Wie kan me helpen tegen een Explorer.exe virus

quote:

Op zondag 3 juli 2005 20:09 schreef RiDo78 het volgende:
AdAware en Spybot zijn geen virusscanners. Ze controleren ALLEEN op bekende vormen van Adware (=programma's die reclame op je scherm zetten) en Spyware (= programma's die je (surf)gedrag in de gaten houden en mogelijk persoonlijke gegevens doorstuurt naar de maker).

AdAware en Spybot zullen dus geen virussen vinden, daar heb je een virusscanner als housecall nodig.

Hijack-this is evenmin een virusscanner, maar die log laat zien welke programma's er tijdens het opstarten meestarten en wat er bij (Internet) Explorer als rotzooi geďnstalleerd is. De meeste recente virussen worden door hijack-this opgemerkt doordat ze *ergens* in de door Hijack-this in de gaten gehouden instellingen iets moeten wijzigen. Het downloaden gebeurt in no-time en een scan is in enkele seconden klaar. Ik heb je er nu al 3x op gewezen en als je dat niet oppakt....

ik ga dat nu wel even doen.

ok hier is mijn logfile van hijack.

Logfile of HijackThis v1.99.1
Scan saved at 12:52:35, on 07/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SKDAEMON.EXE
c:\windows\system32\bmmcgo.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\microsoft hardware\dnetc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\MSASP32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\SKSMAILD.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\MSASP32.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\HelpCtr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\system32\restore\rstrui.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\dwwin.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Van Dam\Local Settings\Temp\HijackThis.exe
C:\DOCUME~1\VANDAM~1\LOCALS~1\Temp\88.tmp\THNALL~1.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O1 - Hosts: 80.69.74.15 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SuperBar - {7E745B94-AC01-4AB5-A03F-A5B6D477B20B} - C:\Program Files\SuperBar\SuperBar.Dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\pwikj.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Windows Update Files] C:\Program Files\microsoft hardware\dnetc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [JVM0.14] C:\WINDOWS\System32\pomvsgey.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [vqgmio] c:\windows\system32\bmmcgo.exe r
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
O4 - HKLM\..\Run: [SpySpotter] C:\PROGRA~1\SPYSPO~1\SpySpotter.exe -onreboot
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html
O9 - Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} - http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM32\SHDOCVW.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (HKCU)
O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll
O15 - Trusted Zone: http://groups.msn.com
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.84/users/kick/web/axe/x.chm::/update.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/(...)ousecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/do(...)my/yiebio5_0_2_7.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn(...)howdown.cab31267.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotte(...)potterCabInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8307C8B-3B3C-4534-91AD-E862773B2BF6}: NameServer = 69.50.176.196 195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{B40E2C53-6EBF-4FF8-9D28-80BFD9B0BCCC}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0EC358E-6DD2-411B-BD6D-02C81D9F38F7}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O20 - Winlogon Notify: style2 - C:\WINDOWS\q1071701_disk.dll
O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

iemand?

quote:

Op maandag 4 juli 2005 14:02 schreef heijx het volgende:
Ik heb bovenstaand lijstje door http://www.hijackthis.de gehaald en gesaved:

http://www.hijackthis.de/(...)692474e341685af.html

wat kwam er uit?

quote:

Op maandag 4 juli 2005 13:58 schreef mazaru het volgende:
Systeem herstel.
Ga naar je startmenu, programma's,bureau-accessoires, systeemwerkset, systeemherstel.
Zet hem terug naar een dikgedrukte datum, waarvan je weet dat toen alles nog goed was, en ga duimen dat het werkt.

heb ik dus al geprobeerd.
aan het eind van bladzijde 1 zei ik al dat ik wel bij systeemherstel kom en ook bij de kalender met de vetgedrukte data. Echter weigert de kalender een maand terug te gaan waardoor ik geen goede datum aan kan klikken.

quote:

Op maandag 4 juli 2005 14:13 schreef heijx het volgende:
Internet Explorer updaten (WIndows update)
skdaemon.exe, bmmcgo.exe, msasp32.exe, sksmaild.exe (hangt met die andere sks samen, zou een mailservertje voor spammers kunnen zijn), opzoeken op Google
C:\DOCUME~1\VANDAM~1\LOCALS~1\Temp\88.tmp\THNALL~1.EXE is sowieso slecht, een exe mag niet vanuit een temp dir runnen.
C:\WINDOWS\Nail.exe is je shell. Hoort de standaard windows explorer te zijn. Daarom die rare crash.
Hosts: 80.69.74.15 auto.search.msn.com moet weg.
Toolbar: SuperBar - {7E745B94-AC01-4AB5-A03F-A5B6D477B20B} - C:\Program Files\SuperBar\SuperBar.Dll (file missing) Naarling.
Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\pwikj.dll weg ermee.
HKLM\..\Run: [Windows Update Files] C:\Program Files\microsoft hardware\dnetc.exe ook verdacht.
HKLM\..\Run: [JVM0.14] C:\WINDOWS\System32\pomvsgey.exe weg.
HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe daar is dan je msasp32. Waar heb je IPSec protectie vandaan? Draait meerdere keren.
HKLM\..\Run: [vqgmio] c:\windows\system32\bmmcgo.exe r VAAG!!!
HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe VAAG!!!
Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} - http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing) How cute. But it's WRONG!!!

ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone >> Ga naar internet opties > veiligheid en zet alle zones op Default (standaard) waarden.
DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.84/users/kick/web/axe/x.chm::/update.exe Fout!

DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll wa's dit??
Hele bende gekaapte DNS (Name servers)
Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe De veilige versie heet svchost.exe

aha
bedankt voor de analyse.
Maar ik ben echt een leek dus ik snap er weinig van hoor. En dus ook niet hoe ik dit allemaal op moet lossen en wat voor mij het makkelijkste is.
En ik heb ook geen idee wat alles is en hoe ik overal aan kom. Deze computer wordt ook gebruikt door broer, zus enz.

Het rare is ook dat ik geen systeemherstel kan doen of in veilige modus op kan starten.

quote:

Op maandag 4 juli 2005 14:38 schreef RiDo78 het volgende:
Het oplossen kun je doen door in HijackThis de 'foute' regels aan te klikken en dan op FIX te drukken.

Maar weet wel 100% zeker dat je de juiste regels hebt, want pak je de verkeerde dan kun je meer kwaad dan goed doen. Bij twijvel, niet doen. Ik ga er ook even naar kijken...

ok. dan wacht ik nog even op jouw oordeel.
En fix ik alleen datgene wat jullie aangeven.

ok

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\SYSTEM\blank.htm
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O1 - Hosts: 80.69.74.15 auto.search.msn.com
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.84/users/kick/web/axe/x.chm::/update.exe

O3 - Toolbar: SuperBar - {7E745B94-AC01-4AB5-A03F-A5B6D477B20B} - C:\Program Files\SuperBar\SuperBar.Dll (file missing)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\pwikj.dll
O4 - HKLM\..\Run: [JVM0.14] C:\WINDOWS\System32\pomvsgey.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8307C8B-3B3C-4534-91AD-E862773B2BF6}: NameServer = 69.50.176.196 195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{B40E2C53-6EBF-4FF8-9D28-80BFD9B0BCCC}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0EC358E-6DD2-411B-BD6D-02C81D9F38F7}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/do(...)my/yiebio5_0_2_7.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotte(...)potterCabInstall.cab

Heb ik net allemaal geselecteert en gefixed. Nu zal ik de nieuwe log posten.

Logfile of HijackThis v1.99.1
Scan saved at 15:44:06, on 07/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SKDAEMON.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
c:\windows\system32\gdzoqhr.exe
C:\Program Files\microsoft hardware\dnetc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\MSASP32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\MSASP32.exe
C:\WINDOWS\System32\SKSMAILD.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\dwwin.exe
C:\Documents and Settings\Van Dam\Local Settings\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Windows Update Files] C:\Program Files\microsoft hardware\dnetc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [gtsrmz] c:\windows\system32\gdzoqhr.exe r
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe
O4 - HKLM\..\Run: [SpySpotter] C:\PROGRA~1\SPYSPO~1\SpySpotter.exe -onreboot
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html
O9 - Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} - http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM32\SHDOCVW.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (HKCU)
O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll
O15 - Trusted Zone: http://groups.msn.com
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/(...)ousecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn(...)howdown.cab31267.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\q1071701_disk.dll
O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

En na nog wat verwijderd te hebben:
Het is in ieder geval nog steeds geen koek en ei. Maar hopelijk komt dat nog, in ieder geval dank ik iedereen voor alle hulp.

Logfile of HijackThis v1.99.1
Scan saved at 15:52:55, on 07/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SKDAEMON.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
c:\windows\system32\gdzoqhr.exe
C:\Program Files\microsoft hardware\dnetc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\MSASP32.exe
C:\WINDOWS\System32\SKSMAILD.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\dwwin.exe
C:\Documents and Settings\Van Dam\Local Settings\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Windows Update Files] C:\Program Files\microsoft hardware\dnetc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [gtsrmz] c:\windows\system32\gdzoqhr.exe r
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe
O4 - HKLM\..\Run: [SpySpotter] C:\PROGRA~1\SPYSPO~1\SpySpotter.exe -onreboot
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html
O9 - Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} - http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM32\SHDOCVW.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll
O15 - Trusted Zone: http://groups.msn.com
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/(...)ousecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn(...)howdown.cab31267.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\q1071701_disk.dll
O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

quote:

Op maandag 4 juli 2005 15:58 schreef r_one het volgende:

[..]

Lijkt me dat Trojan.Win32.Stervis.b er nog steeds in zit.

@Yvette1982: last gehad van Aurora pop-ups?

ja soms heb ik last van aurora pop-ups.
mijn pc doet het nog steeds kut. Nog steeds elke keer dat explorer.exe venstertje met een foutmelding.

quote:

Op maandag 4 juli 2005 16:21 schreef RiDo78 het volgende:
Yvette: Waar woon je ongeveer? Ik woon in de buurt van Amsterdam. Als je niet te ver weg woont wil ik evt. wel even langskomen om te kijken of ik wat van die troep eruit kan slopen. Dat lijkt me makkelijker dan zo online aanmodderen

ik woon helemaal in het westen van het land. Vlak bij hoek van holland. Dus dat is nogal ver voor jou. Wel erg lief van je hoor.

Misschien zijn die files teruggekomen van hijack vanwege hijack winzip die steeds piept dat het om een temporare folder is en dat ik het moet copiereren ergens anders heen voor fixen en backups. Dat probeer ik ook steeds maar dan nog krijg ik steeds dezelfde waarschuwing als ik het in winzip open.

quote:

Op maandag 4 juli 2005 16:27 schreef yvette1982 het volgende:

[..]

ik woon helemaal in het westen van het land. Vlak bij hoek van holland. Dus dat is nogal ver voor jou. Wel erg lief van je hoor.

Misschien zijn die files teruggekomen van hijack vanwege hijack winzip die steeds piept dat het om een temporare folder is en dat ik het moet copiereren ergens anders heen voor fixen en backups. Dat probeer ik ook steeds maar dan nog krijg ik steeds dezelfde waarschuwing als ik het in winzip open.

ok dat is nu dan eindelijk gelukt
Dan ga ik nu weer die dingen selecteren en fixen en dan post ik wel weer die loggegevens.

quote:

Op maandag 4 juli 2005 16:34 schreef RiDo78 het volgende:
Valt wel mee hoor, ik werk in Den Haag... maar dan moet ik even kijken wanneer ik een geschikte dienst heb waarmee ik met de auto kan (vanwege parkeerproblemen heb ik meestal het OV) en tijd genoeg om even langs te komen.

En het is logisch dat er dingen bij Hijack This terug komen omdat sommige programma's als ze eenmaal actief zijn, op hun opstart-sleutel blijven letten. Dus gooi jij die met HT eruit, dan zet dat programma hem meteen weer terug. De enige manier om deze rotzooi eruit te halen is door te voorkomen dat dat ding uberhaupt al start of op een andere manier zorgen dat die troep geen bestaansrecht heeft.

o relaxt.
en je kan toch ook zoiets als via msn aanklikken dat je de ander in je computer laat om te kijken? Dan zou je dat gewoon via thuis kunnen doen.

aha ok.
IN ieder geval heb ik opieuw gefixt. Maar die nail en andere troep staat er nog steeds.

quote:

Op maandag 4 juli 2005 16:11 schreef r_one het volgende:

[..]

Helemaal mee eensch.

TS: je zou eens http://mypctuneup.com/evaluate.php kunnen proberen (op eigen risico, heb er zelf geen ervaring mee).

en moet ik dan die uninstaller downloaden en gebruiken?

quote:

Op maandag 4 juli 2005 16:47 schreef r_one het volgende:

[..]

Komt ws omdat je niet in veilige modus zit. Heb je de workaround al geprobeerd?

nee dat zal ik nu wel doen.

quote:

Op maandag 4 juli 2005 16:34 schreef r_one het volgende:

[..]

Ik kwam de link tegen in andere een paar andere fora, maar je zou best gelijk kunnen hebben. Ik dacht, baat het niet, dan schaadt het niet (TS had toch al last van Aurora).

Je kunt niet in veilige modus starten via F8 tijdens booten. Probeer deze workaround eens:
[..]

Bron: http://service1.symantec.(...)cid/2001052409420406

op zich vind ik dat nu wat eng om te doen. Die link werkt even niet dus heb ik ff geen idee hoe dat precies per stap werkt.

Ik denk zoiets als:
start
uitvoeren
msconfig intypen. En verder geen idee

bedankt ik ga het proberen.

dankzij jullie tips is het gelukt om in de veilige modus op te starten.
Echter is het haast niet te geloven maar zelfs in de veilige modus kreeg ik steeds de foutmelding en werkt het allemaal voor geen meter. Net als het systeemherstel. Weer kreeg ik de kalender alleen van juli en gebeurde er niks als ik op maand terug klik.
Dus blijkbaar is het echt zo verziekt dat het systeemherstel gewoon niet lukt en dat in de veilige modus ook kapot is. Ik weet niet meer wat ik moet doen nu, de moed zinkt me in de schoenen.