Explorer.exe
In explorer.exe is een fout opgetreden en moet worden afgesloten. Onze excuses voor het ongemak.
U was bezig met een bewerking. Deze gegevens zijn mogelijk verloren gegaan.
Vertel microsoft over dit probleem.
Wij hebben een foutenrapport gemaakt die u kunt verzenden zodat wij weten hoe Explorer.exe moet worden verbeterd. blablabla
Weet iemand hoe ik hier vanaf kom? Ik ben echt een leek. En daarom hoop ik ook gewoon op een bestandje te kunnen downloaden. Dat zou me heel erg deugd doen.
bij voorbaat dank.
Hoewel het mogelijk is dat een virus dit bestand heeft aangetast, lijkt het me wel erg sterk. Juist omdat Explorer zo'n belangrijke functie heeft, kan het best zijn dat er iets anders is wat Explorer om zeep helpt.
Dus mijn vraag: wanneer treed de fout exact op?
en dit programma http://www.microsoft.com/(...)ispywaredefault.aspx
En het ontstaat al heel snel na het opstarten. Mijn pictogrammen op de desktop zijn dan nog niet eens allemaal actief. En als ik dan druk op niet verzenden, gaat alles even weg. Komen mijn schermpjes van internet of windows verkenner weer terug. En krijg ik na een paar seconden weer dat schermpje van Explorer.exe
quote:ja ben ik mee bezig.Op zaterdag 2 juli 2005 12:26 schreef RiDo78 het volgende:
Volg dan de links van -Dominator- eens. Misschien dat dat helpt. Als het niet helpt, laat het dan weten dan gaan we verder kijken.
in ieder geval bedankt allemaal.
quote:lol elke 2 maanden, wat doe je met die bak?Op zaterdag 2 juli 2005 13:01 schreef RiDo78 het volgende:
Windows opnieuw installeren is altijd mogelijk, maar ik probeer het zoveel mogelijk te vermijden. (Ookal doe ik het zelf elke 2 maanden).
quote:Vanalles. Tot het uittesten van computervirussen aan toe. Kijken wat een bepaald virus doet; naar welke machines hij verbinding probeert te maken, kijken wat hij verandert in de systeeminstellingen enzo.Op zaterdag 2 juli 2005 13:31 schreef Sjonnjoop het volgende:
lol elke 2 maanden, wat doe je met die bak?
Maar ik gebruik Ghost voor de herinstallatie hoor, dus ben in no-time klaar.
die spyware heb ik toen getest maar helaas viel die na een tijdje vast. het duurt ook elke uren om te scannen en dat is helaas net iets te lang waardoor het vastloopt. maar weet iemand niet verder nog iets?
en b-boy is het nu wel allemaal goed met je pc?
formateren en windows opnieuw installeren doe ik liever niet, zo veel verstand heb ik er niet van en dat lukt dan ook vast niet. en die cd's heb ik ook vast niet meer om te installeren.
quote:Het programma van Kaspersky is een trail en kun je 30 dagen gratis proberen.Op zaterdag 2 juli 2005 16:07 schreef yvette1982 het volgende:
helaas is het nu helemaal kut zeg. op internet kom ik helaas niet meer. en ik heb die 2 programma's gedowload. de kaspersky had ik niks aan want ik moest een license hebben.
die spyware heb ik toen getest maar helaas viel die na een tijdje vast. het duurt ook elke uren om te scannen en dat is helaas net iets te lang waardoor het vastloopt. maar weet iemand niet verder nog iets?
en b-boy is het nu wel allemaal goed met je pc?
formateren en windows opnieuw installeren doe ik liever niet, zo veel verstand heb ik er niet van en dat lukt dan ook vast niet. en die cd's heb ik ook vast niet meer om te installeren.
En ik denk dat het toch beter is om je computer 'even' te herinstalleren.
Of ken je mss ken je iemand die het wel kan.
en probeer anders eens avg anti virus
quote:Jep, beter een schopje naar DIGOp zaterdag 2 juli 2005 17:01 schreef classpc het volgende:
Kan dit topic niet beter in DIG?
XP en ME hebben een systeemherstel functie waarmee je terug kan naar een datum voordat je problemen kreeg.
quote:Je geeft d'r een link naar updatepackage...Op zaterdag 2 juli 2005 16:16 schreef -Dominator- het volgende:
[..]
Het programma van Kaspersky is een trail en kun je 30 dagen gratis proberen.
En ik denk dat het toch beter is om je computer 'even' te herinstalleren.
Of ken je mss ken je iemand die het wel kan.
http://www.kaspersky.com/trials
quote:xpOp zaterdag 2 juli 2005 20:55 schreef heijx het volgende:
Welke WIndows versie heb je?
XP en ME hebben een systeemherstel functie waarmee je terug kan naar een datum voordat je problemen kreeg.
Dat heb ik wel geprobeerd door steeds op F8 te drukken als ik mijn pc start. Maar dan kon ik nog niet de veilige modus kiezen. Alleen gewoon windows xp. En het scherm loopt dan ook steeds vast, dus helaas lukt het systeemherstel niet op die manier. Kan dat misschien nog op andere manieren?
tarted memory scan
====================
Running processes:
1: \SystemRoot\System32\smss.exe
2: \??\C:\WINDOWS\system32\winlogon.exe
3: C:\WINDOWS\system32\services.exe
4: C:\WINDOWS\system32\lsass.exe
5: C:\WINDOWS\system32\svchost.exe
6: C:\WINDOWS\System32\svchost.exe
7: C:\WINDOWS\system32\spoolsv.exe
8: C:\WINDOWS\System32\SKDAEMON.EXE
9: c:\windows\system32\pqscdhr.exe
10: C:\PROGRA~1\NORTON~1\navapw32.exe
11: C:\Program Files\microsoft hardware\dnetc.exe
12: C:\Program Files\QuickTime\qttask.exe
13: C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
14: C:\Program Files\Common Files\Real\Update_OB\realsched.exe
15: C:\WINDOWS\System32\MSASP32.exe
16: C:\WINDOWS\System32\SKSMAILD.EXE
17: C:\Program Files\Internet Explorer\iexplore.exe
18: C:\Program Files\MSN Messenger\MsnMsgr.Exe
19: C:\WINDOWS\System32\MSASP32.exe
20: C:\Program Files\Internet Explorer\IEXPLORE.EXE
21: C:\Program Files\Norton AntiVirus\navapsvc.exe
22: C:\WINDOWS\System32\nvsvc32.exe
23: C:\WINDOWS\system32\slserv.exe
24: C:\WINDOWS\System32\svchost.exe
25: C:\WINDOWS\System32\wuauclt.exe
26: C:\WINDOWS\system32\rundll32.exe
27: C:\PROGRA~1\SPYSPO~1\SPYSPO~2.EXE
28: C:\WINDOWS\Explorer.exe
29: C:\WINDOWS\System32\dwwin.exe
quote:bij het opstarten, vlak voordat je de Windows logo ziet druk je op F8.Op zondag 3 juli 2005 14:16 schreef yvette1982 het volgende:
[..]
xp
Dat heb ik wel geprobeerd door steeds op F8 te drukken als ik mijn pc start. Maar dan kon ik nog niet de veilige modus kiezen. Alleen gewoon windows xp.
als het mislukt, gelijk Ctrl+Alt+Delete drukken, kun je het opnieuw proberen.
quote:heb ik vele keren gedaan, maar het lukt elke keer niet.Op zondag 3 juli 2005 16:22 schreef SlimShady het volgende:
[..]
bij het opstarten, vlak voordat je de Windows logo ziet druk je op F8.
als het mislukt, gelijk Ctrl+Alt+Delete drukken, kun je het opnieuw proberen.
quote:nee, met spyspotter.Op zondag 3 juli 2005 16:11 schreef RiDo78 het volgende:
Waar heb je mee gescand? Hijackthis?? Het lijkt namelijk een ander soort scan.
Een andere spyware wil ik ook wel scannen en hopelijk repareren. Maar dan moet het wel gratis zijn, en dat bleek spyspotter opeens niet te zijn.
Dus misschien weet iemand nog een goede gratis spyspotter waarbij het downloaden, scannen en het verwijderen van de virussen ook nog gratis is.
windows installeren kan het waarschijnlijk verhelpen,
als je daarna nog hetzelfde probleem houdt is er iets mis
met je hardware. denk dan aan kapot geheugen ofzo.
kijk maar op google en typ dan maar explorer.exe virus in.
[ Bericht 0% gewijzigd door yvette1982 op 03-07-2005 17:49:03 ]
quote:HijackThisOp zondag 3 juli 2005 16:45 schreef yvette1982 het volgende:
nee, met spyspotter.
Een andere spyware wil ik ook wel scannen en hopelijk repareren. Maar dan moet het wel gratis zijn, en dat bleek spyspotter opeens niet te zijn.
Dus misschien weet iemand nog een goede gratis spyspotter waarbij het downloaden, scannen en het verwijderen van de virussen ook nog gratis is.
quote:Om welk bestand gaat het nou ?Op zondag 3 juli 2005 16:52 schreef yvette1982 het volgende:
helemaal niet.
kijk maar op google en typ dan maar explore.exe virus in.
exploreR.exe of explorE.exe ??????? Nogmaal EXPLORER.EXE is de grafische interface van windows en GEEN VIRUS.
Wat explore.exe is weet ik niet, zou best stukje spyware kunnen zijn.
dat is echt wel besmet met een virus. Dat kan je ook lezen als je het intypt in google, kijk gewoon maar is dan zie je het zelf.
quote:waar kan ik dat downloaden?
Ik zou zeggen draai eens een fatsoenlijke scan met norton oid, kijk of iemand in je omgeving daar een cd'tje van heeft. Online scans vertrouw ik nooit zo.
Mocht je niet aan een scan kunnen komen dan kan je alsnog deze online scan proberen :
http://housecall.trendmicro.com/housecall/start_corp.asp
Je krijgt een popup venstertje met de vraag of je wat wil installeren klik daar ja op en klaar is kees je hebt een online scanner.
quote:Dat zei ik al eerder: www.merijn.orgOp zondag 3 juli 2005 17:48 schreef yvette1982 het volgende:
waar kan ik dat downloaden?
(of zoek ernaar op google en neem de eerste hit)
quote:ik bedoelde ook dat het besmet is met een virus.Op zondag 3 juli 2005 17:51 schreef Classic-PC het volgende:
Het is geen virus het kan besmet zijn maar het is zelf geen virus.
Ik zou zeggen draai eens een fatsoenlijke scan met norton oid, kijk of iemand in je omgeving daar een cd'tje van heeft. Online scans vertrouw ik nooit zo.
Mocht je niet aan een scan kunnen komen dan kan je alsnog deze online scan proberen :
http://housecall.trendmicro.com/housecall/start_corp.asp
Je krijgt een popup venstertje met de vraag of je wat wil installeren klik daar ja op en klaar is kees je hebt een online scanner.
Nou ik heb 2 keer een complete systeemscan gedaan met:
Ad-aware Se personal en met Spybot.
Helaas heeft het niks geholpen en heb ik nog dezelfde problemen. Daarom denk ik ook niet dat het nog zin heeft om housecall te proberen. Die heb ik trouwens ook al een paar keer geprobeerd maar dat scannen duurde dan bijna 4 uur en dat duurt te lang waardoor het programma of de pc vast loopt.
Nu wilde ik misschien maar windows xp opnieuw installeren. Echter heb ik er weinig verstand van en weet ik ook echt niet hoe ik dit moet doen.
AdAware en Spybot zullen dus geen virussen vinden, daar heb je een virusscanner als housecall nodig.
Hijack-this is evenmin een virusscanner, maar die log laat zien welke programma's er tijdens het opstarten meestarten en wat er bij (Internet) Explorer als rotzooi geïnstalleerd is. De meeste recente virussen worden door hijack-this opgemerkt doordat ze *ergens* in de door Hijack-this in de gaten gehouden instellingen iets moeten wijzigen. Het downloaden gebeurt in no-time en een scan is in enkele seconden klaar. Ik heb je er nu al 3x op gewezen en als je dat niet oppakt....
iets in de pc
ergens bij tijdelijke bestanden oid, dus mijn advies is
virusscanner eroverhalen
daarna ff schjifopruimen
defragmenteren en als het kan ff fouten repareren via norton of Tune up
quote:Hijack is leuk hij is fijn maar als je weinig verstand van een pc hebt kan het je hele systeem verkloten als je de verkeerde dingen eruit gooitOp zondag 3 juli 2005 20:09 schreef RiDo78 het volgende:
AdAware en Spybot zijn geen virusscanners. Ze controleren ALLEEN op bekende vormen van Adware (=programma's die reclame op je scherm zetten) en Spyware (= programma's die je (surf)gedrag in de gaten houden en mogelijk persoonlijke gegevens doorstuurt naar de maker).
AdAware en Spybot zullen dus geen virussen vinden, daar heb je een virusscanner als housecall nodig.
Hijack-this is evenmin een virusscanner, maar die log laat zien welke programma's er tijdens het opstarten meestarten en wat er bij (Internet) Explorer als rotzooi geïnstalleerd is. De meeste recente virussen worden door hijack-this opgemerkt doordat ze *ergens* in de door Hijack-this in de gaten gehouden instellingen iets moeten wijzigen. Het downloaden gebeurt in no-time en een scan is in enkele seconden klaar. Ik heb je er nu al 3x op gewezen en als je dat niet oppakt....
Zoals mij jaren terug eens overkwam
quote:Klopt, ik zei ook dat ze die log hier even neer moest zetten.Op zondag 3 juli 2005 20:15 schreef zhe-devilll het volgende:
Hijack is leuk hij is fijn maar als je weinig verstand van een pc hebt kan het je hele systeem verkloten als je de verkeerde dingen eruit gooit
Zoals mij jaren terug eens overkwam
Dus als het echt een virus is wat explorer.exe aangetast heeft dan wordt dit niet met HT gevonden. Maar ik ben de laatste tijd geen parasiterende virussen meer tegen gekomen waardoor het mij onwaarschijnlijk (maar niet onmogelijk) lijkt dat dit het geval is. Wat ik wel vaak zie zijn programma's die met Windows-componenten lopen te rotzooien en zo SVCHOST of EXPLORER over de zeik helpen.
Met HT kun je deze dingen in elk geval uitsluiten en dan kijken of er echt een parasiet bezig is.
quote:O.a. dat was mijn punt, daarnaast kunnen anti-spyware apps geen virussen detecteren.Op zondag 3 juli 2005 22:06 schreef RiDo78 het volgende:
HT werkt simpelweg door registervermeldingen te vergelijken. Het kijkt niet naar de bestanden zelf.
quote:What about Virus.Win32.Bube? We hebben momenteel zelfs een epidemie mbt een file infector!Maar ik ben de laatste tijd geen parasiterende virussen meer tegen gekomen waardoor het mij onwaarschijnlijk (maar niet onmogelijk) lijkt dat dit het geval is.
Virus.Win32.Nsag.a - mogelijk hieraan gerelateerd. Ik hoop er zelfs morgen een artikel over te publiceren.
quote:Het is niet zo lastig voor malware om zich te verstoppen voor HT, het is dan ook niet meer dan een extra hulpmiddel.Met HT kun je deze dingen in elk geval uitsluiten en dan kijken of er echt een parasiet bezig is.
[ Bericht 7% gewijzigd door Schouw op 03-07-2005 23:02:10 ]
quote:Systeemherstel:Op zondag 3 juli 2005 14:16 schreef yvette1982 het volgende:
[..]
xp
Dat heb ik wel geprobeerd door steeds op F8 te drukken als ik mijn pc start. Maar dan kon ik nog niet de veilige modus kiezen. Alleen gewoon windows xp. En het scherm loopt dan ook steeds vast, dus helaas lukt het systeemherstel niet op die manier. Kan dat misschien nog op andere manieren?
Windows normaal laten opstarten.
Dan menu Start openen en naar Help en Ondersteuning.
Vijfde groene pijltje kiezen: Veranderingen ongedaan maken met Systeemherstel (Ik vertaal het Engels, het kan iets anders heten in het Nederlands)
Dan kies je de eerste optie, naar een eerdere datum herstellen
Daarna kies je een datum waarvan je weet dat je systeem nog goed was. Alleen vetgedrukte data hebben een restore punt dacht ik, de andere kan je niet kiezen.
Helpt dat niet, dan kan je alsnog windows herinstalleren.
quote:bedankt dat was op zich een heel goede tip.Op zondag 3 juli 2005 23:41 schreef heijx het volgende:
[..]
Systeemherstel:
Windows normaal laten opstarten.
Dan menu Start openen en naar Help en Ondersteuning.
Vijfde groene pijltje kiezen: Veranderingen ongedaan maken met Systeemherstel (Ik vertaal het Engels, het kan iets anders heten in het Nederlands)
Dan kies je de eerste optie, naar een eerdere datum herstellen
Daarna kies je een datum waarvan je weet dat je systeem nog goed was. Alleen vetgedrukte data hebben een restore punt dacht ik, de andere kan je niet kiezen.
Helpt dat niet, dan kan je alsnog windows herinstalleren.
Ik kwam ook in het schermpje bij systeemherstel en met een kalender. Helaas stond alleen 4 juli vetgedrukt. En als ik op maand ervoor druk dan weigert hij. Dus ik kan helaas niet bij een datum komen die wel nog goed is. Dus helaas werkt dit weer net niet.
quote:ik ga dat nu wel even doen.Op zondag 3 juli 2005 20:09 schreef RiDo78 het volgende:
AdAware en Spybot zijn geen virusscanners. Ze controleren ALLEEN op bekende vormen van Adware (=programma's die reclame op je scherm zetten) en Spyware (= programma's die je (surf)gedrag in de gaten houden en mogelijk persoonlijke gegevens doorstuurt naar de maker).
AdAware en Spybot zullen dus geen virussen vinden, daar heb je een virusscanner als housecall nodig.
Hijack-this is evenmin een virusscanner, maar die log laat zien welke programma's er tijdens het opstarten meestarten en wat er bij (Internet) Explorer als rotzooi geïnstalleerd is. De meeste recente virussen worden door hijack-this opgemerkt doordat ze *ergens* in de door Hijack-this in de gaten gehouden instellingen iets moeten wijzigen. Het downloaden gebeurt in no-time en een scan is in enkele seconden klaar. Ik heb je er nu al 3x op gewezen en als je dat niet oppakt....
Logfile of HijackThis v1.99.1
Scan saved at 12:52:35, on 07/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SKDAEMON.EXE
c:\windows\system32\bmmcgo.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\microsoft hardware\dnetc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\MSASP32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\SKSMAILD.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\MSASP32.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\HelpCtr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\system32\restore\rstrui.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\dwwin.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Van Dam\Local Settings\Temp\HijackThis.exe
C:\DOCUME~1\VANDAM~1\LOCALS~1\Temp\88.tmp\THNALL~1.EXE
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O1 - Hosts: 80.69.74.15 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SuperBar - {7E745B94-AC01-4AB5-A03F-A5B6D477B20B} - C:\Program Files\SuperBar\SuperBar.Dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\pwikj.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Windows Update Files] C:\Program Files\microsoft hardware\dnetc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [JVM0.14] C:\WINDOWS\System32\pomvsgey.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [vqgmio] c:\windows\system32\bmmcgo.exe r
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
O4 - HKLM\..\Run: [SpySpotter] C:\PROGRA~1\SPYSPO~1\SpySpotter.exe -onreboot
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html
O9 - Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} - http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM32\SHDOCVW.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (HKCU)
O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll
O15 - Trusted Zone: http://groups.msn.com
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.84/users/kick/web/axe/x.chm::/update.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/(...)ousecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/do(...)my/yiebio5_0_2_7.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn(...)howdown.cab31267.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotte(...)potterCabInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8307C8B-3B3C-4534-91AD-E862773B2BF6}: NameServer = 69.50.176.196 195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{B40E2C53-6EBF-4FF8-9D28-80BFD9B0BCCC}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0EC358E-6DD2-411B-BD6D-02C81D9F38F7}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O20 - Winlogon Notify: style2 - C:\WINDOWS\q1071701_disk.dll
O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
Ga naar je startmenu, programma's,bureau-accessoires, systeemwerkset, systeemherstel.
Zet hem terug naar een dikgedrukte datum, waarvan je weet dat toen alles nog goed was, en ga duimen dat het werkt.
. Als je de muis beweegt krijg je zo'n schermpje, en nadat windows opnieuw was geinstalleerd direct allemaal spyware en kritieke fouten, en virusmeldingen http://www.hijackthis.de/(...)692474e341685af.html
quote:wat kwam er uit?Op maandag 4 juli 2005 14:02 schreef heijx het volgende:
Ik heb bovenstaand lijstje door http://www.hijackthis.de gehaald en gesaved:
http://www.hijackthis.de/(...)692474e341685af.html
quote:heb ik dus al geprobeerd.Op maandag 4 juli 2005 13:58 schreef mazaru het volgende:
Systeem herstel.
Ga naar je startmenu, programma's,bureau-accessoires, systeemwerkset, systeemherstel.
Zet hem terug naar een dikgedrukte datum, waarvan je weet dat toen alles nog goed was, en ga duimen dat het werkt.
aan het eind van bladzijde 1 zei ik al dat ik wel bij systeemherstel kom en ook bij de kalender met de vetgedrukte data. Echter weigert de kalender een maand terug te gaan waardoor ik geen goede datum aan kan klikken.
skdaemon.exe, bmmcgo.exe, msasp32.exe, sksmaild.exe (hangt met die andere sks samen, zou een mailservertje voor spammers kunnen zijn), opzoeken op Google
C:\DOCUME~1\VANDAM~1\LOCALS~1\Temp\88.tmp\THNALL~1.EXE is sowieso slecht, een exe mag niet vanuit een temp dir runnen.
C:\WINDOWS\Nail.exe is je shell. Hoort de standaard windows explorer te zijn. Daarom die rare crash.
Hosts: 80.69.74.15 auto.search.msn.com moet weg.
Toolbar: SuperBar - {7E745B94-AC01-4AB5-A03F-A5B6D477B20B} - C:\Program Files\SuperBar\SuperBar.Dll (file missing) Naarling.
Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\pwikj.dll weg ermee.
HKLM\..\Run: [Windows Update Files] C:\Program Files\microsoft hardware\dnetc.exe ook verdacht.
HKLM\..\Run: [JVM0.14] C:\WINDOWS\System32\pomvsgey.exe weg.
HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe daar is dan je msasp32. Waar heb je IPSec protectie vandaan? Draait meerdere keren.
HKLM\..\Run: [vqgmio] c:\windows\system32\bmmcgo.exe r VAAG!!!
HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe VAAG!!!
Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} - http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing) How cute. But it's WRONG!!!
ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone >> Ga naar internet opties > veiligheid en zet alle zones op Default (standaard) waarden.
DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.84/users/kick/web/axe/x.chm::/update.exe Fout!
DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll wa's dit??
Hele bende gekaapte DNS (Name servers)
Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe De veilige versie heet svchost.exe
quote:ahaOp maandag 4 juli 2005 14:13 schreef heijx het volgende:
Internet Explorer updaten (WIndows update)
skdaemon.exe, bmmcgo.exe, msasp32.exe, sksmaild.exe (hangt met die andere sks samen, zou een mailservertje voor spammers kunnen zijn), opzoeken op Google
C:\DOCUME~1\VANDAM~1\LOCALS~1\Temp\88.tmp\THNALL~1.EXE is sowieso slecht, een exe mag niet vanuit een temp dir runnen.
C:\WINDOWS\Nail.exe is je shell. Hoort de standaard windows explorer te zijn. Daarom die rare crash.
Hosts: 80.69.74.15 auto.search.msn.com moet weg.
Toolbar: SuperBar - {7E745B94-AC01-4AB5-A03F-A5B6D477B20B} - C:\Program Files\SuperBar\SuperBar.Dll (file missing) Naarling.
Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\pwikj.dll weg ermee.
HKLM\..\Run: [Windows Update Files] C:\Program Files\microsoft hardware\dnetc.exe ook verdacht.
HKLM\..\Run: [JVM0.14] C:\WINDOWS\System32\pomvsgey.exe weg.
HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe daar is dan je msasp32. Waar heb je IPSec protectie vandaan? Draait meerdere keren.
HKLM\..\Run: [vqgmio] c:\windows\system32\bmmcgo.exe r VAAG!!!
HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe VAAG!!!
Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} - http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing) How cute. But it's WRONG!!!
ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone >> Ga naar internet opties > veiligheid en zet alle zones op Default (standaard) waarden.
DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.84/users/kick/web/axe/x.chm::/update.exe Fout!
DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll wa's dit??
Hele bende gekaapte DNS (Name servers)
Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe De veilige versie heet svchost.exe
bedankt voor de analyse.
Maar ik ben echt een leek dus ik snap er weinig van hoor. En dus ook niet hoe ik dit allemaal op moet lossen en wat voor mij het makkelijkste is.
En ik heb ook geen idee wat alles is en hoe ik overal aan kom. Deze computer wordt ook gebruikt door broer, zus enz.
Het rare is ook dat ik geen systeemherstel kan doen of in veilige modus op kan starten.
Maar weet wel 100% zeker dat je de juiste regels hebt, want pak je de verkeerde dan kun je meer kwaad dan goed doen. Bij twijvel, niet doen. Ik ga er ook even naar kijken...
quote:Virusbesmetting (bij voorkeur met virusscanner verwijderen. Dus niet met Hijack This)R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\SYSTEM\blank.htm
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O1 - Hosts: 80.69.74.15 auto.search.msn.com
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.84/users/kick/web/axe/x.chm::/update.exe
O3 - Toolbar: SuperBar - {7E745B94-AC01-4AB5-A03F-A5B6D477B20B} - C:\Program Files\SuperBar\SuperBar.Dll (file missing)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\pwikj.dll
O4 - HKLM\..\Run: [JVM0.14] C:\WINDOWS\System32\pomvsgey.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8307C8B-3B3C-4534-91AD-E862773B2BF6}: NameServer = 69.50.176.196 195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{B40E2C53-6EBF-4FF8-9D28-80BFD9B0BCCC}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0EC358E-6DD2-411B-BD6D-02C81D9F38F7}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/do(...)my/yiebio5_0_2_7.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotte(...)potterCabInstall.cab
quote:Twijvelgevallen:O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe (W32/Rbot-AER)
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe (W32/Rbot-AER)
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (HKCU)
quote:Waar ik nog even naar moet kijken:O4 - HKLM\..\Run: [Windows Update Files] C:\Program Files\microsoft hardware\dnetc.exe
quote:O4 - HKLM\..\Run: [vqgmio] c:\windows\system32\bmmcgo.exe r
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
O4 - HKLM\..\Run: [SpySpotter] C:\PROGRA~1\SPYSPO~1\SpySpotter.exe -onreboot
O9 - Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} - http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing)
O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\q1071701_disk.dll
[ Bericht 51% gewijzigd door RiDo78 op 04-07-2005 15:20:42 ]
quote:ok. dan wacht ik nog even op jouw oordeel.Op maandag 4 juli 2005 14:38 schreef RiDo78 het volgende:
Het oplossen kun je doen door in HijackThis de 'foute' regels aan te klikken en dan op FIX te drukken.
Maar weet wel 100% zeker dat je de juiste regels hebt, want pak je de verkeerde dan kun je meer kwaad dan goed doen. Bij twijvel, niet doen. Ik ga er ook even naar kijken...
En fix ik alleen datgene wat jullie aangeven.
quote:Kunnen weg.Op maandag 4 juli 2005 12:53 schreef yvette1982 het volgende:
O4 - HKLM\..\Run: [vqgmio] c:\windows\system32\bmmcgo.exe r
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
quote:Deze kan op zich geen kwaad.O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
[ Bericht 22% gewijzigd door r_one op 04-07-2005 15:46:33 ]
quote:wat doen die dan?
quote:SpoofDNS trojan
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O1 - Hosts: 80.69.74.15 auto.search.msn.com
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.84/users/kick/web/axe/x.chm::/update.exe
O3 - Toolbar: SuperBar - {7E745B94-AC01-4AB5-A03F-A5B6D477B20B} - C:\Program Files\SuperBar\SuperBar.Dll (file missing)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\pwikj.dll
O4 - HKLM\..\Run: [JVM0.14] C:\WINDOWS\System32\pomvsgey.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8307C8B-3B3C-4534-91AD-E862773B2BF6}: NameServer = 69.50.176.196 195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{B40E2C53-6EBF-4FF8-9D28-80BFD9B0BCCC}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0EC358E-6DD2-411B-BD6D-02C81D9F38F7}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/do(...)my/yiebio5_0_2_7.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotte(...)potterCabInstall.cab
Heb ik net allemaal geselecteert en gefixed. Nu zal ik de nieuwe log posten.
Scan saved at 15:44:06, on 07/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SKDAEMON.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
c:\windows\system32\gdzoqhr.exe
C:\Program Files\microsoft hardware\dnetc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\MSASP32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\MSASP32.exe
C:\WINDOWS\System32\SKSMAILD.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\dwwin.exe
C:\Documents and Settings\Van Dam\Local Settings\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Windows Update Files] C:\Program Files\microsoft hardware\dnetc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [gtsrmz] c:\windows\system32\gdzoqhr.exe r
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe
O4 - HKLM\..\Run: [SpySpotter] C:\PROGRA~1\SPYSPO~1\SpySpotter.exe -onreboot
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html
O9 - Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} - http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM32\SHDOCVW.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (HKCU)
O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll
O15 - Trusted Zone: http://groups.msn.com
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/(...)ousecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn(...)howdown.cab31267.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\q1071701_disk.dll
O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
Het is in ieder geval nog steeds geen koek en ei. Maar hopelijk komt dat nog, in ieder geval dank ik iedereen voor alle hulp.
Logfile of HijackThis v1.99.1
Scan saved at 15:52:55, on 07/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SKDAEMON.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
c:\windows\system32\gdzoqhr.exe
C:\Program Files\microsoft hardware\dnetc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\MSASP32.exe
C:\WINDOWS\System32\SKSMAILD.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\dwwin.exe
C:\Documents and Settings\Van Dam\Local Settings\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Windows Update Files] C:\Program Files\microsoft hardware\dnetc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [gtsrmz] c:\windows\system32\gdzoqhr.exe r
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe
O4 - HKLM\..\Run: [SpySpotter] C:\PROGRA~1\SPYSPO~1\SpySpotter.exe -onreboot
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html
O9 - Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} - http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM32\SHDOCVW.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll
O15 - Trusted Zone: http://groups.msn.com
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/(...)ousecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn(...)howdown.cab31267.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\q1071701_disk.dll
O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
quote:Lijkt me dat Trojan.Win32.Stervis.b er nog steeds in zit.Op maandag 4 juli 2005 15:53 schreef yvette1982 het volgende:
Running processes:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
@Yvette1982: last gehad van Aurora pop-ups?
quote:Helemaal mee eensch.Op maandag 4 juli 2005 16:01 schreef RiDo78 het volgende:
Ik denk inderdaad dat er een groot aantal teruggekomen zijn. Zo gek is dat niet, want HijackThis is geen wondermiddel. Maar ik denk dat het crashen van Explorer door die Nail komt.
TS: je zou eens http://mypctuneup.com/evaluate.php kunnen proberen (op eigen risico, heb er zelf geen ervaring mee).
quote:ja soms heb ik last van aurora pop-ups.Op maandag 4 juli 2005 15:58 schreef r_one het volgende:
[..]
Lijkt me dat Trojan.Win32.Stervis.b er nog steeds in zit.
@Yvette1982: last gehad van Aurora pop-ups?
mijn pc doet het nog steeds kut. Nog steeds elke keer dat explorer.exe venstertje met een foutmelding.
quote:Da's dan duidelijk! Bovenstaande link zou ik doen. Er zijn ook wel andere oplossingen, maar die vereisen de veilige modus en dat lukt bij jou dus net niet.Op maandag 4 juli 2005 16:12 schreef yvette1982 het volgende:
[..]
ja soms heb ik last van aurora pop-ups.
mijn pc doet het nog steeds kut. Nog steeds elke keer dat explorer.exe venstertje met een foutmelding.
quote:Dat is van de makers van aurora zelf, of iig partners.Op maandag 4 juli 2005 16:11 schreef r_one het volgende:
[..]
Helemaal mee eensch.
TS: je zou eens http://mypctuneup.com/evaluate.php kunnen proberen (op eigen risico, heb er zelf geen ervaring mee).
Ik geloof niet dat KAV moeite heeft met het verwijderen van deze malware, dus dat is ook nog een optie.
quote:ik woon helemaal in het westen van het land. Vlak bij hoek van holland. Dus dat is nogal ver voor jou. Wel erg lief van je hoor.Op maandag 4 juli 2005 16:21 schreef RiDo78 het volgende:
Yvette: Waar woon je ongeveer? Ik woon in de buurt van Amsterdam. Als je niet te ver weg woont wil ik evt. wel even langskomen om te kijken of ik wat van die troep eruit kan slopen. Dat lijkt me makkelijker dan zo online aanmodderen
Misschien zijn die files teruggekomen van hijack vanwege hijack winzip die steeds piept dat het om een temporare folder is en dat ik het moet copiereren ergens anders heen voor fixen en backups. Dat probeer ik ook steeds maar dan nog krijg ik steeds dezelfde waarschuwing als ik het in winzip open.
quote:ok dat is nu dan eindelijk geluktOp maandag 4 juli 2005 16:27 schreef yvette1982 het volgende:
[..]
ik woon helemaal in het westen van het land. Vlak bij hoek van holland. Dus dat is nogal ver voor jou. Wel erg lief van je hoor.
Misschien zijn die files teruggekomen van hijack vanwege hijack winzip die steeds piept dat het om een temporare folder is en dat ik het moet copiereren ergens anders heen voor fixen en backups. Dat probeer ik ook steeds maar dan nog krijg ik steeds dezelfde waarschuwing als ik het in winzip open.
Dan ga ik nu weer die dingen selecteren en fixen en dan post ik wel weer die loggegevens.
En het is logisch dat er dingen bij Hijack This terug komen omdat sommige programma's als ze eenmaal actief zijn, op hun opstart-sleutel blijven letten. Dus gooi jij die met HT eruit, dan zet dat programma hem meteen weer terug. De enige manier om deze rotzooi eruit te halen is door te voorkomen dat dat ding uberhaupt al start of op een andere manier zorgen dat die troep geen bestaansrecht heeft.
quote:Ik kwam de link tegen in andere een paar andere fora, maar je zou best gelijk kunnen hebben. Ik dacht, baat het niet, dan schaadt het niet (TS had toch al last van Aurora).Op maandag 4 juli 2005 16:22 schreef Schouw het volgende:
[..]
Dat is van de makers van aurora zelf, of iig partners.
Ik geloof niet dat KAV moeite heeft met het verwijderen van deze malware, dus dat is ook nog een optie.
Je kunt niet in veilige modus starten via F8 tijdens booten. Probeer deze workaround eens:
quote:Bron: http://service1.symantec.(...)cid/2001052409420406Close all open programs.
Click Start > Run.
As shown in this illustration, in the Run dialog box, type msconfig and then click OK.
In the System Configuration Utility, on the BOOT.INI tab, check /SAFEBOOT.
Click OK.
When you are asked to restart the computer, click Restart.
The computer restarts in Safe mode. (This can take several minutes.) When you are finished working in Safe mode, use the System Configuration Utility to start Windows XP in normal mode.
quote:o relaxt.Op maandag 4 juli 2005 16:34 schreef RiDo78 het volgende:
Valt wel mee hoor, ik werk in Den Haag... maar dan moet ik even kijken wanneer ik een geschikte dienst heb waarmee ik met de auto kan (vanwege parkeerproblemen heb ik meestal het OV) en tijd genoeg om even langs te komen.
En het is logisch dat er dingen bij Hijack This terug komen omdat sommige programma's als ze eenmaal actief zijn, op hun opstart-sleutel blijven letten. Dus gooi jij die met HT eruit, dan zet dat programma hem meteen weer terug. De enige manier om deze rotzooi eruit te halen is door te voorkomen dat dat ding uberhaupt al start of op een andere manier zorgen dat die troep geen bestaansrecht heeft.
en je kan toch ook zoiets als via msn aanklikken dat je de ander in je computer laat om te kijken? Dan zou je dat gewoon via thuis kunnen doen.
Jij kunt namelijk niet controleren wat ik doe en ik kan het je niet uitleggen. Dus voor je het weet heb je misverstanden en nare gevoelens. Als ik iets met de PC van een onbekende doe, dan doe ik dat bij die persoon thuis, als hij of zij mee kan kijken en vragen kan stellen waarom ik iets doe of waarom juist niet.
Edit: Bovendien kun je lang niet alles op afstand doen. Naar veilige modus gaan, de recovery-console starten en meer van dat soort zaken. Dus dat schiet ook niet op.
[ Bericht 15% gewijzigd door RiDo78 op 04-07-2005 16:46:18 ]
IN ieder geval heb ik opieuw gefixt. Maar die nail en andere troep staat er nog steeds.
quote:Komt ws omdat je niet in veilige modus zit. Heb je de workaround al geprobeerd?Op maandag 4 juli 2005 16:46 schreef yvette1982 het volgende:
aha ok.
IN ieder geval heb ik opieuw gefixt. Maar die nail en andere troep staat er nog steeds.
quote:en moet ik dan die uninstaller downloaden en gebruiken?Op maandag 4 juli 2005 16:11 schreef r_one het volgende:
[..]
Helemaal mee eensch.
TS: je zou eens http://mypctuneup.com/evaluate.php kunnen proberen (op eigen risico, heb er zelf geen ervaring mee).
quote:nee dat zal ik nu wel doen.Op maandag 4 juli 2005 16:47 schreef r_one het volgende:
[..]
Komt ws omdat je niet in veilige modus zit. Heb je de workaround al geprobeerd?
quote:Als we hier eventueel ook nog met daadwerkelijke infecties te maken hebben gaat een AT deze niet vinden, zeker niet opschonen.Op maandag 4 juli 2005 16:46 schreef r_one het volgende:
@Schouw: En deze dan? http://www.majorgeeks.com/download.php?det=903
Mogelik gerelateerd, maar zeker interessant, leesvoer: http://www.viruslist.com/en/weblog?weblogid=166508324
quote:op zich vind ik dat nu wat eng om te doen. Die link werkt even niet dus heb ik ff geen idee hoe dat precies per stap werkt.Op maandag 4 juli 2005 16:34 schreef r_one het volgende:
[..]
Ik kwam de link tegen in andere een paar andere fora, maar je zou best gelijk kunnen hebben. Ik dacht, baat het niet, dan schaadt het niet (TS had toch al last van Aurora).
Je kunt niet in veilige modus starten via F8 tijdens booten. Probeer deze workaround eens:
[..]
Bron: http://service1.symantec.(...)cid/2001052409420406
Ik denk zoiets als:
start
uitvoeren
msconfig intypen. En verder geen idee
quote:Blijf hier toch maar even af, zie de post van Schouw.Op maandag 4 juli 2005 16:48 schreef yvette1982 het volgende:
[..]
en moet ik dan die uninstaller downloaden en gebruiken?
quote:Linkje naar Symantec, dus die zal ws door het virus geblockt worden.Op maandag 4 juli 2005 16:53 schreef yvette1982 het volgende:
op zich vind ik dat nu wat eng om te doen. Die link werkt even niet dus heb ik ff geen idee hoe dat precies per stap werkt.
quote:Ik denk zoiets als:
start
uitvoeren
msconfig intypen. En verder geen idee
Als je dan wel in veilige modus zit, dán nog eens HjackThis doorlopen.
quote:Ga dan naar het tabblad BOOT.INI, vink /SAFEBOOT aan, dan OK en opnieuw opstarten. Dan start de PC automatisch in veilige modus.Op maandag 4 juli 2005 16:53 schreef yvette1982 het volgende:
op zich vind ik dat nu wat eng om te doen. Die link werkt even niet dus heb ik ff geen idee hoe dat precies per stap werkt.
Ik denk zoiets als:
start
uitvoeren
msconfig intypen. En verder geen idee
Als de PC gestart is krijg je een melding van MS-Config of je de wijziging terug wilt draaien. Bevestig je deze dan kom je na de volgende herstart weer in de gewone modus terecht.
Eventueel kun je MS-Config met de hand starten en dat vinkje weer uitzetten.
quote:Wat hij zegt.Op maandag 4 juli 2005 17:02 schreef RiDo78 het volgende:
succes
Echter is het haast niet te geloven maar zelfs in de veilige modus kreeg ik steeds de foutmelding en werkt het allemaal voor geen meter. Net als het systeemherstel. Weer kreeg ik de kalender alleen van juli en gebeurde er niks als ik op maand terug klik.
Dus blijkbaar is het echt zo verziekt dat het systeemherstel gewoon niet lukt en dat in de veilige modus ook kapot is. Ik weet niet meer wat ik moet doen nu, de moed zinkt me in de schoenen.
quote:Aanbod geldt nog steeds, maar voor HvH eo. zal ik even moeten kijken hoe ik met mijn werk zit.Op maandag 4 juli 2005 17:33 schreef yvette1982 het volgende:
Ik weet niet meer wat ik moet doen nu, de moed zinkt me in de schoenen.
En mocht je er echt niet uit kunnen komen is Windows opnieuw installeren ook nog een optie.
ik ga denk ik maar proberen om windows te installeren. Als dat niet lukt moet ik er inderdaad echt hulp bij gaan halen.
quote:Kijk ik niet van op. Ook in de veilige modus is explorer.exe een cruciaal proces en probeert Windows die op te starten. In werkelijkheid wordt dan nail.exe opgestart en dat merk je.Op maandag 4 juli 2005 17:33 schreef yvette1982 het volgende:
dankzij jullie tips is het gelukt om in de veilige modus op te starten.
Echter is het haast niet te geloven maar zelfs in de veilige modus kreeg ik steeds de foutmelding en werkt het allemaal voor geen meter.
Maar kun je wel HijackThis starten in veilige modus?
quote:ja vast wel.Op maandag 4 juli 2005 17:53 schreef r_one het volgende:
[..]
Kijk ik niet van op. Ook in de veilige modus is explorer.exe een cruciaal proces en probeert Windows die op te starten. In werkelijkheid wordt dan nail.exe opgestart en dat merk je.
Maar kun je wel HijackThis starten in veilige modus?
Maar aangezien het in de veilige modus ook kut was dacht ik dat het toch geen zin had om te scannen en te fixen. Want die virussen zijn blijkbaar dan toch al actief.
Ik twijfel zelfs of windows opnieuw installeren wel zin heeft, maar goed ik kan het altijd proberen.
Doe me eens een plezier en scan je explorer.exe en wininet.dll eens.
Wat ook nog kan is KAV webscanner proberen, die is momenteel in RC status.
http://www.kaspersky.com/beta?product=161744315
Ik zou bij de opties de extended bases aanzetten en het scannen van mailarchives uitzetten.
quote:Ben bang dat in explorer.exe geen virus gevonden wordt, dit kan gerust de standaard explorer zijn. Probleem is dat alle verzoeken aan explorer.exe naar nail.exe worden gestuurd door de vermelding in de registry.Op maandag 4 juli 2005 18:01 schreef Schouw het volgende:
Doe me eens een plezier en scan je explorer.exe en wininet.dll eens.
Als Explorer gestart wordt bij het opstarten moet Explorer Nail.exe starten.
http://securityresponse.symantec.com/avcenter/FixBinet.exe
en
http://www.noidea.us/easyfile/file.php?download=20050515010747824
Start dan op in de veilige modus (start, uitvoeren, msconfig, boot.ini, safeboot) en laat FixBinet.exe scannen. Pak dan de nailfix.zip uit en start nailfix.cmd.
Nu weer in de gewone modus opstarten en kijken of het geholpen heeft.
Succes
quote:Lijkt me idd beter, nu je wél in veilige modus kunt komen, eerst dit soort removal tools er op los te laten, vóórdat je Windows helemaal opnieuw gaat installen.Op maandag 4 juli 2005 18:22 schreef foo-fighter het volgende:
Download deze bestanden eens:
http://securityresponse.symantec.com/avcenter/FixBinet.exe
en
http://www.noidea.us/easyfile/file.php?download=20050515010747824
Start dan op in de veilige modus (start, uitvoeren, msconfig, boot.ini, safeboot) en laat FixBinet.exe scannen. Pak dan de nailfix.zip uit en start nailfix.cmd.
Nu weer in de gewone modus opstarten en kijken of het geholpen heeft.
Succes
Werkt deze niet, google dan even met nail.exe en je zult nog veel meer fixes vinden.
Succes
quote:ok bedankt.Op maandag 4 juli 2005 18:22 schreef foo-fighter het volgende:
Download deze bestanden eens:
http://securityresponse.symantec.com/avcenter/FixBinet.exe
en
http://www.noidea.us/easyfile/file.php?download=20050515010747824
Start dan op in de veilige modus (start, uitvoeren, msconfig, boot.ini, safeboot) en laat FixBinet.exe scannen. Pak dan de nailfix.zip uit en start nailfix.cmd.
Nu weer in de gewone modus opstarten en kijken of het geholpen heeft.
Succes
maar het is dus wel zo dat ook in de veilige modus alles verziekt is. En waar ik dus waarschijnlijk niet alles kan verwijderen. Maar ik zal het morgen proberen.
quote:zal ik doen.Op maandag 4 juli 2005 18:01 schreef Schouw het volgende:
http://www.kaspersky.com/scanforvirus
Doe me eens een plezier en scan je explorer.exe en wininet.dll eens.
Wat ook nog kan is KAV webscanner proberen, die is momenteel in RC status.
http://www.kaspersky.com/beta?product=161744315
Ik zou bij de opties de extended bases aanzetten en het scannen van mailarchives uitzetten.
Als ik moet bladeren in mijn bestanden waar zal ik die explorer.exe en wininet.ddl dan vinden?
quote:c:\windows\explorer.exeOp maandag 4 juli 2005 19:47 schreef yvette1982 het volgende:
[..]
zal ik doen.
Als ik moet bladeren in mijn bestanden waar zal ik die explorer.exe en wininet.ddl dan vinden?
c:\windows\system32\wininet.dll
Als het goed is kun je die locaties ook gewoonweg ingeven.
Maar als je die webscan gaat doen is dit niet nodig, sla het report aub op, dat kan mogelijk nog helpen.
quote:gedaan en het is clean.Op maandag 4 juli 2005 18:01 schreef Schouw het volgende:
http://www.kaspersky.com/scanforvirus
Doe me eens een plezier en scan je explorer.exe en wininet.dll eens.
Wat ook nog kan is KAV webscanner proberen, die is momenteel in RC status.
http://www.kaspersky.com/beta?product=161744315
Ik zou bij de opties de extended bases aanzetten en het scannen van mailarchives uitzetten.
http://securityresponse.symantec.com/avcenter/FixBinet.exe
Als veilige modus niet lekker werkt kan je ook de normale gebruiken..
quote:Als ze op Symantec kan komen...Op dinsdag 5 juli 2005 14:41 schreef foo-fighter het volgende:
Heb je deze nu al geprobeerd?
http://securityresponse.symantec.com/avcenter/FixBinet.exe
Als veilige modus niet lekker werkt kan je ook de normale gebruiken..
daar had ze eerder problemen mee dat ze niet op symantec.com kon ofzo.
quote:Je hebt je hele pc gescand met extended bases en alles is clean? Moeilijk te geloven.
quote:nee alleen die 2 bestandjes explorer. exe en het dll bestandje.Op dinsdag 5 juli 2005 15:04 schreef Schouw het volgende:
[..]
Je hebt je hele pc gescand met extended bases en alles is clean? Moeilijk te geloven.
quote:wat is je probleem op dit moment? en na het scannen en rebooten is er niks veranderd?Op dinsdag 5 juli 2005 15:12 schreef yvette1982 het volgende:
[..]
nee alleen die 2 bestandjes explorer. exe en het dll bestandje.
En ik heb besloten niks meer te proberen maar gewoon te formateren en windows opnieuw te installeren.
quote:En dan naast je virusscanner en firewall een goede antispyware erop te zetten (Microsoft AntiSpyware, werkt op je XP en blijft op de achtergrond checken).Op dinsdag 5 juli 2005 15:17 schreef yvette1982 het volgende:
alles is nog hetzelfde.
En ik heb besloten niks meer te proberen maar gewoon te formateren en windows opnieuw te installeren.
Ook nu weer: succes!
quote:Bij een goede AV is een anti-spyware tool alleen nog maar redundant.Op dinsdag 5 juli 2005 16:35 schreef r_one het volgende:
[..]
En dan naast je virusscanner en firewall een goede antispyware erop te zetten (Microsoft AntiSpyware, werkt op je XP en blijft op de achtergrond checken).
De AV vangt de Exploit en/of Trojan al die de adware moet installeren.
Daarnaast detecteert de AV natuurlijk ook de adware.
En een anti-spyware app kan geen files disinfecten, noch ook maar enigzins in de buurt komen van de responsetijd die een AV heeft.
quote:meen je dat? ik dacht dat de combinatie die "r_one" noemde juist ideaal is.Op dinsdag 5 juli 2005 16:47 schreef Schouw het volgende:
[..]
Bij een goede AV is een anti-spyware tool alleen nog maar redundant.
De AV vangt de Exploit en/of Trojan al die de adware moet installeren.
Daarnaast detecteert de AV natuurlijk ook de adware.
En een anti-spyware app kan geen files disinfecten, noch ook maar enigzins in de buurt komen van de responsetijd die een AV heeft.
quote:En toch is TS geïnfecteerd. AV alleen is voor mij niet zalig makend, Adware/Spyware glipt me te vaak door mijn AV maar wordt wel afgevangen door MSAS. Liever wat redundantie dan voor mij.Op dinsdag 5 juli 2005 16:47 schreef Schouw het volgende:
[..]
Bij een goede AV is een anti-spyware tool alleen nog maar redundant.
De AV vangt de Exploit en/of Trojan al die de adware moet installeren.
Daarnaast detecteert de AV natuurlijk ook de adware.
Verder doet een AV volgens mij geen zak met browser hijackers, tracking cookies en meer van die spy-/ad-/malware bagger. Alleen exploits, trojans, worms en andere virussen.
quote:Dan ben je dus al te laat imo. Realtime heeft mijn voorkeur. Buiten dat, Hitman Pro laat een batterij tools erop los die wél je systeem desinfecten, geen virussen uit exe's uiteraard.En een anti-spyware app kan geen files disinfecten,
quote:Symantec AV Virus Definitions File: 6/29/2005 rev. 8noch ook maar enigzins in de buurt komen van de responsetijd die een AV heeft.
Spyware defintions MSAS: juli 4, 2005 at 21:30:10
[ Bericht 11% gewijzigd door r_one op 05-07-2005 17:21:31 ]
quote:Het ligt nogal aan de gebruikte AV, maar ja, dit kan zeker waarheid zijn.Op dinsdag 5 juli 2005 16:55 schreef SlimShady het volgende:
[..]
meen je dat? ik dacht dat de combinatie die "r_one" noemde juist ideaal is.
quote:All AV are not created equal.Op dinsdag 5 juli 2005 17:01 schreef r_one het volgende:
[..]
En toch is TS geïnfecteerd. AV alleen is voor mij niet zalig makend, Adware/Spyware glipt me te vaak door mijn AV maar wordt wel afgevangen door MSAS. Liever wat redundantie dan voor mij.
quote:Goed punt, anti-spyware apps zijn niet gericht op het kunnen detecteren van virussen.[..]
Dan ben je dus al te laat imo. Realtime heeft mijn voorkeur.
Het is niet meer dan wachten op polymorphics en metamorphics welke AdWare 'installeren'.
quote:Zonder zo nodig te willen spammen.[..]
Symantec AV Virus Definitions File: 6/29/2005 rev. 8
Spyware defintions MSAS: juli 4, 2005 at 21:30:10
Kaspersky Anti-Virus: uurlijkse virus en ad/spyware updates.
Beide sets bases nog geen 10 minuten geleden voor het laatst geüpdate.
Vind je een firewall dan misschien ook redundant naast je KAV?
Zelf blijf ik zweren bij het complete pakket Antivirus + Firewall + MSAutoUpdate + Antispy + Internetten "met beleid".
quote:Spammen is iig niet mijn intentie, ook geen zin of tijd voor. Ik reply alleen in threads die interessant lijken te zijn.
quote:Nee, maar die heeft dan ook een compleet andere taak.Vind je een firewall dan misschien ook redundant naast je KAV?
Een AV behoort gewoon alle malware te kunnen detecteren, waaronder adware.
quote:Daar valt natuurlijk eigenlijk niets op aan te merken, hoewel je je kan afvragen of 'internetten met beleid' nog wel betekenis heeft met de vele hacks die plaatsvinden...Zelf blijf ik zweren bij het complete pakket Antivirus + Firewall + MSAutoUpdate + Antispy + Internetten "met beleid".
Nooit problemen mee gehad.
quote:Die zul je sowieso opnieuw moeten installeren. Zorg dat je je data veilig stelt en dat je de installatiebestanden hebt.Op dinsdag 5 juli 2005 17:47 schreef yvette1982 het volgende:
Als ik ga formateren raak ik dan ook mijn programma's zoals word en kazaa kwijt? Hoe kan ik makkelijk een aantal bestanden opslaan zodat niet alles verloren gaat?
quote:Maar is in theorie overbodig behoren te zijn als andere maatregelen al exploits, virussen, malware afvangen en je systeem up-to-date is.Op dinsdag 5 juli 2005 17:44 schreef Schouw het volgende:
Nee, maar die heeft dan ook een compleet andere taak.
quote:De praktijk is vaak anders, vandaar bij mij het meer dedicated antispywareEen AV behoort gewoon alle malware te kunnen detecteren, waaronder adware.
quote:Hackers zoeken jou, met verkeerd surfen vind jij hackers. Twee verschillende richtingen.Daar valt natuurlijk eigenlijk niets op aan te merken, hoewel je je kan afvragen of 'internetten met beleid' nog wel betekenis heeft met de vele hacks die plaatsvinden...
quote:o jammer.Op dinsdag 5 juli 2005 17:50 schreef r_one het volgende:
[..]
Die zul je sowieso opnieuw moeten installeren. Zorg dat je je data veilig stelt en dat je de installatiebestanden hebt.
over welke data en installatiebestanden heb je het?
quote:Wat als je apps gewoonweg geen inet toegang wil geven? Je netbios of VNC wel in je LAN maar niet in je WAN wil gebruiken? etc etcOp dinsdag 5 juli 2005 17:56 schreef r_one het volgende:
[..]
Maar is in theorie overbodig behoren te zijn als andere maatregelen al exploits, virussen, malware afvangen en je systeem up-to-date is.
quote:Dat kan, maar ik ben niet van mening dat een anti-spyware app meerwaarde heeft tov. KAV.[..]
De praktijk is vaak anders, vandaar bij mij het meer dedicated antispyware
quote:Nee, dat was mijn hele punt juist.[..]
Hackers zoeken jou, met verkeerd surfen vind jij hackers. Twee verschillende richtingen.
Lees http://www.viruslist.com/en/weblog?weblogid=166347489 maar eens.
quote:Data zijn je Word-bestanden en MP3'tjes b.v., eventueel instellingbestanden en (Word) sjablonen en zo.Op dinsdag 5 juli 2005 18:04 schreef yvette1982 het volgende:
[..]
o jammer.
over welke data en installatiebestanden heb je het?
Installatiebestanden staan op CD (Word) of misschien op je harddisk ergens (Kazaa) toen je het gedownload hebt.
Het heeft iig geen zin je map Program Files te backuppen met het idee die later zo weer terug te kunnen zetten.
quote:How 'bout a router?Op dinsdag 5 juli 2005 18:07 schreef Schouw het volgende:
Wat als je apps gewoonweg geen inet toegang wil geven? Je netbios of VNC wel in je LAN maar niet in je WAN wil gebruiken? etc etc
quote:Dit soort ongein blijf je altijd houden natuurlijk. Een groot deel van de HTK-users loopt troep echter op via onveilig surfen en P2P-en. Dat bedoel ik met beleid, dat de andere tools je geen gevoel van schijnveiligheid geven.Lees http://www.viruslist.com/en/weblog?weblogid=166347489 maar eens.
quote:Dat behoudt apps ervan een outbound connectie aan te gaan?
Zoals ik al zei, een firewall heeft een compleet andere taak dan een AV.
Als dit, als dat, tja dat is leuk maar daar koop je natuurlijk niets voor.
Trouwens, in je rijtje van security apps mis ik o.a. nog een anti-trojan.
Als je voor elke specifieke dreiging een apart programma wil draaien hoort die er natuurlijk ook bij.
quote:Je had het ook over Netbios in je WAN/LAN, die poort gooi je toch op je router dicht, klaar.Op dinsdag 5 juli 2005 19:15 schreef Schouw het volgende:
Dat behoudt apps ervan een outbound connectie aan te gaan?
quote:Ik hou me aanbevolen voor elk goed advies.Trouwens, in je rijtje van security apps mis ik o.a. nog een anti-trojan.
Als je voor elke specifieke dreiging een apart programma wil draaien hoort die er natuurlijk ook bij.
quote:Hoe en waar kan ik mijn databestanden het best en makkelijkste opslaan?Op dinsdag 5 juli 2005 18:44 schreef r_one het volgende:
[..]
Data zijn je Word-bestanden en MP3'tjes b.v., eventueel instellingbestanden en (Word) sjablonen en zo.
Installatiebestanden staan op CD (Word) of misschien op je harddisk ergens (Kazaa) toen je het gedownload hebt.
Het heeft iig geen zin je map Program Files te backuppen met het idee die later zo weer terug te kunnen zetten.
Word enzo kan ik vast via cd's makkelijk installeren als ik ze van iemand leen, en kazaa kan ik wel downloaden.
quote:Branden op CD's of DVD's als het niet te veel isOp dinsdag 5 juli 2005 19:27 schreef yvette1982 het volgende:
Hoe en waar kan ik mijn databestanden het best en makkelijkste opslaan?
Anders naar een 2e harddisk pompen of, als je 2 computers in een netwerkje hebt, op die 2e computer parkeren.
- Geen ENKELE virusscanner detecteert ALLE virussen, en geen ENKELE Spyware-scanner vind ALLE spyware. Hoe up to date je definities ook zijn.
- Je PC goed beveiligen is gewoon lastig. Je PC waterdicht en schokbestendig maken is onmogelijk.
Veel virusscanners mikken op performance, wat ten kostte gaat van de kwaliteit van de scanner. Het grootste nadeel van virusscanners is dat de virusdefinities binnen een vastgelegd 'framework' moeten passen. Als een virusscanner eenmaal door heeft hoe het framework van die fabrikant in elkaar zit, kan hij een virus schrijven wat onmogelijk door die scanner gedetecteerd wordt. De fabriakant is dan genoodzaakt om het framework aan te passen of een aparte scanner de wereld in te sturen. (Symantec doet dit regelmatig).
En juist op DAT soort stugge scanners moet ik gaan vertrouwen? Helaas kun je sowieso niet zonder AV... maar programma's als AdAware en Spybot hebben voor mij al meer spyware gevonden en weggehaald dan Norton AV of McAfee. Simpelweg omdat ze een heel ander framework en detectie-mechanisme hebben.
Dan firewalls. Die rotzooi die bij XP-SP2 geleverd wordt is sowieso compleet bagger. Okay, het beschermd tegen inkomend verkeer, maar uitgaand heeft de vrije loop. En mensen die op hun router vertrouwen, hebben OF een hele dure router, OF weten niet waar ze het over hebben. @r_one: Heb jij bijvoorbeeld poort 6667 naar buiten toe geblokkeerd? De meeste routers bieden een *klein* beetje bescherming tegen inkomend verkeer, doordat ze NAT toepassen. Maar van binnenuit kun je meestal probleemloos overal komen op elke willekeurige poort, TCP of UDP.
Een softwarematige firewall is wat dat aan gaat een betere oplossing, mits deze goed geconfigureerd is. Maar met de meeste consumenten-firewalls is het droevig gesteld. Een virus wat zich in Explorer.exe nestelt (om een beetje ontopic te blijven) krijgt bij NIS onbeperkt toegang. Onder het mom van: explorer.exe is een bekend en goedgekeurd programma waarvoor de toegangsregels (nagenoeg onbeperkt) al door Symantec zijn bepaald.
Dus alle software heeft zo zijn zwakke plek. (En dan heb ik het nog niet eens over de gebruikers, die na het zoveelste "mag dit programma toegang hebben tot bron X" op 'altijd toestaan' klikken). Om deze zwakke plekken op te vangen gebruik ik dus meerdere programma's naast elkaar, afhankelijk van hoe belangrijk die PC voor mij is. En ook in het netwerk heb ik het een en ander aan beveiligingen ingebakken.
Ik heb het als volgt geregeld:
== netwerk ==
Tussen mijn router en mijn netwerk zit een Linux-bakje met IP-Tables die alleen een aantal specifieke poorten toestaan. Daarnaast draait SQUID, die toegang verleent op poort 80 naar alle websites, muv. een aantal op de blacklist. Voor sommige bekende websites is poort 443 ook toegestaan. Al het overige verkeer naar exotische poorten vereist een wachtwoord waarom gevraagd wordt zodra je probeert om dit te bezoeken.
== 'speelpc' ==
Voorzien van NIS en AdAware Pro. Deze machine met enige regelmaat opnieuw voorzien van een schone image (Norton Ghost)
== 'experimenteer-pc' ==
Deze machine is NIET beveiligd, maar wordt bij elke keer dat hij opstart opgeschoond dmv. Norton GoBack en eens per maand krijgt hij een schone Ghost image.
== werklaptop ==
Hiermee kom ik bij de baas en de klanten over de vloer en in het netwerk. Deze zit dus zo dicht mogelijk. Dat wil zeggen 2 virusscanners (NIS en McAfee) waarvan er 1 continu actief is en de ander 's nachts een volledige scan draait. Ad-Aware Pro en Spybot worden regelmatig gedraaid en ook HijackThis ontbreekt niet. Verder staat de firewall van NIS zo ingesteld dat er *geen* automatische acties plaats vinden. SMB toegang (laptop->server) is alleen mogelijk als ik dat voor dat netwerk specifiek aangegeven heb. En vanaf het netwerk naar de laptop zit gewoon dicht. In NIS wordt de poort geblokkeerd en in Windows bestaan de Computerbrowser en Server-services niet. De browsers Firefox en IE en Outlook Express worden door NIS beschermd wordt tegen scripts, active-X e.d. Alleen van vooraf ingevoerde sites en afzenders wordt het toegestaan.
Wie de moeite heeft genomen om dit allemaal door te lezen zal misschien denken dat ik (vooral op de laptop) uitstekend beveiligd ben. Ik blijf alleen van mening dat als ze echt willen, ze dat ding toch kunnen besmetten. Ookal zijn er bij mij een aantal zaken redundant uitgevoerd.
Nu vraag ik je... een buffer-overflow in een gevestigd security-product.... het moet niet gekker worden.
quote:EenschOp dinsdag 5 juli 2005 20:40 schreef RiDo78 het volgende:
Om mij even te mengen in de Anti- virus, spyware, trojan discussie... ik heb een paar uitgangspunten:
- Geen ENKELE virusscanner detecteert ALLE virussen, en geen ENKELE Spyware-scanner vind ALLE spyware. Hoe up to date je definities ook zijn.
- Je PC goed beveiligen is gewoon lastig. Je PC waterdicht en schokbestendig maken is onmogelijk.
quote:NAT is leuk maar niet voldoende. Daarnaast kan ik In mijn router wel poorten dichtgooien via een whitelist, maar ook dat is me nog te tricky. Vandaar dat ik zelf ook wel een soft firewalls heb draaien. Ik was alleen benieuwd of aan Kapersky ook wonderen werden toegedicht.Dan firewalls. Die rotzooi die bij XP-SP2 geleverd wordt is sowieso compleet bagger. Okay, het beschermd tegen inkomend verkeer, maar uitgaand heeft de vrije loop. En mensen die op hun router vertrouwen, hebben OF een hele dure router, OF weten niet waar ze het over hebben. @r_one: Heb jij bijvoorbeeld poort 6667 naar buiten toe geblokkeerd? De meeste routers bieden een *klein* beetje bescherming tegen inkomend verkeer, doordat ze NAT toepassen. Maar van binnenuit kun je meestal probleemloos overal komen op elke willekeurige poort, TCP of UDP.
En nee, 6667 heb ik niet dicht. Hoezo 6667 speciaal?
quote:Dát bedoel ik nou ook met "Internetten met (wan)beleid"(En dan heb ik het nog niet eens over de gebruikers, die na het zoveelste "mag dit programma toegang hebben tot bron X" op 'altijd toestaan' klikken).
quote:Dat mag je eens wat specifieker uitleggen, want dit klinkt als BS namelijk.Het grootste nadeel van virusscanners is dat de virusdefinities binnen een vastgelegd 'framework' moeten passen. Als een virusscanner eenmaal door heeft hoe het framework van die fabrikant in elkaar zit, kan hij een virus schrijven wat onmogelijk door die scanner gedetecteerd wordt.
quote:Nestelen? Infecteren? Dll injection? Code injection?Maar met de meeste consumenten-firewalls is het droevig gesteld. Een virus wat zich in Explorer.exe nestelt (om een beetje ontopic te blijven) krijgt bij NIS onbeperkt toegang.
quote:Ik dacht dat het veel gemakkelijker zou zijn, maar nu je begint over pompen en parkeren snap ik er niks meer van.Op dinsdag 5 juli 2005 19:37 schreef r_one het volgende:
[..]
Branden op CD's of DVD's als het niet te veel is
Anders naar een 2e harddisk pompen of, als je 2 computers in een netwerkje hebt, op die 2e computer parkeren.
quote:Is 't ook.Op dinsdag 5 juli 2005 21:09 schreef classpc het volgende:
[..]
Ik dacht dat het veel gemakkelijker zou zijn, maar nu je begint over pompen en parkeren snap ik er niks meer van.
Kopiëren
quote:Netjes gedaan.. alhoewel ik het wel lichtelijk overdreven vindOp dinsdag 5 juli 2005 20:40 schreef RiDo78 het volgende:
Ik heb het als volgt geregeld:
.Ik heb alles simpel beveiligd (kav, windows firewall, router + firewall, en ms antispyware)... nooit problemen mits je met een beetje gezond verstand rondsurft. Daarnaast zorg ik voor een wekelijkse backup van mijn bestanden onder het mom van "just in case"
.quote:Slecht programmeerwerk achter een goede naam verstoppenOp dinsdag 5 juli 2005 20:44 schreef RiDo78 het volgende:
Oh jah, nog zoiets leuks... ik probeerde laatst een programmatje uit waarmee ik bepaalde bestanden zou moeten kunnen versleutellen. Dat programmatje was van een bekende speler op de security-markt. Het had een mooie indicator die aangaf hoe veilig je wachtwoord was, wanneer je een moest bedenken. Dus ik begin te tikken, en die indicator die groeit en groeit, gaat van rood via geel naar groen terwijl het blijft groeien... en opeens wordt die weer rood! Alsof een wachtwoord van meer dan 256 tekens minder veilig is dan een van 255 tekens. Buffertje was blijkbaar over gelopen. Want 256 tekens later gebeurde hetzelfde.
Nu vraag ik je... een buffer-overflow in een gevestigd security-product.... het moet niet gekker worden.
. Ik vind dit soort programma's trouwens ook niet echt geschikt voor de huis-tuin-en keuken consument.. alhoewel reclames je vaak anders doen willen geloven 
.(erg offtopic bezig is hier
)quote:Dit was iets wat ik in een security-column opgepikt had. Waar het in het kort op neer kwam was dat om de snelheid in de scanner te houden, er meestal een soort framework opgezet is waar developers de definities in moeten gieten. Zo is het mogelijk dat een complex virus niet in die definites te passen valt en er kunstgrepen toegepast moesten worden. Een voorbeeld wat gegeven werd was Norton Internet Security die in het begin moeite had met de eerste Blaster-varianten. Symantec bracht daar een separate scanner voor uit omdat de NAV engine niet in staat was om Blaster op te sporen.Op dinsdag 5 juli 2005 21:07 schreef Schouw het volgende:
Dat mag je eens wat specifieker uitleggen, want dit klinkt als BS namelijk.
quote:Hoe je het ook wilt noemen, of welke methode je ook wilt toepassen... het was in de brede zin van het woord bedoeld. Of dat nu is door het appenden (en misschien comprimeren) van code en het invoegen van een JMP instructie in een van de eerste codeblocks, of dat je het hele bestand vervangt en de vervanger het origineel aan laat roepen of een nog andere manier verzint... maakt niet uit.Nestelen? Infecteren? Dll injection? Code injection?
quote:Ach er zijn wel meer poorten die je dicht zou kunnen zetten, maar van een aantal wormen is bekend dat ze verbinding maken met de IRC-netwerken en daar in een verborgen en met wachtwoord beveiligde chatroom om daar te wachtten op commando's van de auteur of eigenaar van de worm. Zo kunnen DDoS attacks geïnitieerd worden.Op dinsdag 5 juli 2005 21:04 schreef r_one het volgende:
En nee, 6667 heb ik niet dicht. Hoezo 6667 speciaal?
De IRC netwerken zijn doorgaans te bereiken over poort 6667, maar meestal is de reeks 6667-7000 in gebruik.
quote:Right, ik geloof er geen snars van.Op woensdag 6 juli 2005 09:20 schreef RiDo78 het volgende:
[..]
Een voorbeeld wat gegeven werd was Norton Internet Security die in het begin moeite had met de eerste Blaster-varianten. Symantec bracht daar een separate scanner voor uit omdat de NAV engine niet in staat was om Blaster op te sporen.
Blaster/Lovesan kan desnoods gedetecteerd worden met een MD5, so to speak, niets anders als een hoop static code. Ik kan me niet indenken dat er ook maar één scanner is geweest die moeite had ermee. Slammer zou al een ander geval zijn geweest, net zoals een metamorphic of EPO malware.
quote:Ik geloof dat NPF sinds de 2003 versie or so al dll injection kan detecteren, net zoals de grote meerderheid van de andere firewalls.[..]
Hoe je het ook wilt noemen, of welke methode je ook wilt toepassen... het was in de brede zin van het woord bedoeld. Of dat nu is door het appenden (en misschien comprimeren) van code en het invoegen van een JMP instructie in een van de eerste codeblocks, of dat je het hele bestand vervangt en de vervanger het origineel aan laat roepen of een nog andere manier verzint... maakt niet uit.
Code injection wordt ook door een aardig rijtje FWs gedetecteerd.
Feit blijft dat ik niet veel vertrouwen heb in de gemiddelde virusscanner. Daarvoor zijn er teveel virussen 'doorheen' geglipt.
quote:En dan nog zou ik het niet geloven totdat ik het van een analyst of engineer van Symantec zou horen.Op woensdag 6 juli 2005 09:59 schreef RiDo78 het volgende:
Jammer dat ik dat artikel niet meer terug kan vinden.
Volgende keer moet ik het toch eens vragen.
quote:---> GOTOp woensdag 6 juli 2005 10:04 schreef Schouw het volgende:
[..]
En dan nog zou ik het niet geloven totdat ik het van een analyst of engineer van Symantec zou horen.
Volgende keer moet ik het toch eens vragen.
quote:
Als je GoT bedoeld, daar zit geen analyst/engineer van Symantec? Iig niemand die zich zo kenbaar heeft gemaakt.
Je Usericon heeft problemen
quote:GoT ja, dit gaat aardig offtopic, hier is TS niet mee geholpen.Op woensdag 6 juli 2005 10:27 schreef Schouw het volgende:
[..]
Als je GoT bedoeld, daar zit geen analyst/engineer van Symantec? Iig niemand die zich zo kenbaar heeft gemaakt.
Ik kreeg een zwart scherm en een klein schermpje met foutmelding. Dit stond er o.a.:
c:msprss32.exe
Fout er is al een extended memory geinstalleerd.
En in het zwarte scherm stond: bestandsnaam onjuist
Nu doet mijn pc ook wel heel gek want mijn 2 vensters internet doen het prima en vlot zonder foutmeldingen. Maar verder is mijn hele computer blank. En kom ik ook niet meer in start, zijn er geen pictogrammen, als ik op knopje windows druk gebeurt er ook niks.
quote:Dit betekent dat er nog steeds iets mis is met je Explorer.exe. Ik denk dat het dan toch het beste is om opnieuw te (laten) installeren.Nu doet mijn pc ook wel heel gek want mijn 2 vensters internet doen het prima en vlot zonder foutmeldingen. Maar verder is mijn hele computer blank. En kom ik ook niet meer in start, zijn er geen pictogrammen, als ik op knopje windows druk gebeurt er ook niks.
Zelfs al lukt het je een paar virussen eruit te krijgen, dat ding is en blijft brak functioneren. Gewoon ff door de zure appel heen en format & opnieuw erop.
quote:TrojanOp woensdag 6 juli 2005 11:47 schreef yvette1982 het volgende:
c:msprss32.exe
Fout er is al een extended memory geinstalleerd.
En in het zwarte scherm stond: bestandsnaam onjuist
quote:Daar loopt er maar eentje rond, iig eentje die daadwerkelijk op dat gebied post, en ik werk niet voor Symantec.
quote:Heb je nog bestanden verwijderd sinds de laatste keer?Op woensdag 6 juli 2005 11:47 schreef yvette1982 het volgende:
Nu doet mijn pc ook wel heel gek want mijn 2 vensters internet doen het prima en vlot zonder foutmeldingen. Maar verder is mijn hele computer blank. En kom ik ook niet meer in start, zijn er geen pictogrammen, als ik op knopje windows druk gebeurt er ook niks.
Dat zou dit gedrag kunnen verklaren.
Maar het wordt hoe langer hoe hopelozer, zorg er dus voor dat je je data kan backuppen en daarna formatteren.
quote:StoerOp woensdag 6 juli 2005 12:23 schreef Schouw het volgende:
Daar loopt er maar eentje rond, iig eentje die daadwerkelijk op dat gebied post, en ik werk niet voor Symantec.
quote:ga ik ook doen.Op woensdag 6 juli 2005 12:05 schreef Scorpie het volgende:
formatteer nou, en zet alles opnieuw erop, dit schiet toch niet op
Zelfs al lukt het je een paar virussen eruit te krijgen, dat ding is en blijft brak functioneren. Gewoon ff door de zure appel heen en format & opnieuw erop.
Ik moet eerst ff wat belangrijke dingen opslaan en ik moet ook alle cd's lenen, want zelf heb ik ze niet meer.
quote:Niet alleen mijn usericoon. M'n hele homepage is op dit moment down. Moet straks maar even de provider bellen. Tnx anyway.
quote:HeyOp zondag 3 juli 2005 23:41 schreef heijx het volgende:
[..]
Systeemherstel:
Windows normaal laten opstarten.
Dan menu Start openen en naar Help en Ondersteuning.
Vijfde groene pijltje kiezen: Veranderingen ongedaan maken met Systeemherstel (Ik vertaal het Engels, het kan iets anders heten in het Nederlands)
Dan kies je de eerste optie, naar een eerdere datum herstellen
Daarna kies je een datum waarvan je weet dat je systeem nog goed was. Alleen vetgedrukte data hebben een restore punt dacht ik, de andere kan je niet kiezen.
Helpt dat niet, dan kan je alsnog windows herinstalleren.
Wat ik me nu afvraag is of bestanden zoals Adobe Photoshop ook worden verwijderd als je gebruik maakt van 'n herstelpunt..
Want ik heb ook dit probleem met explorer.exe de laatste dagen..
Normaal neemt explorer.exe bij mij nauwelijks geheugen in beslag, terwijl dat programma nu zowat de helft van me geheugen inneemt, en vaak ook nog 's vastloopt
Verder vroeg ik me af of de topicstarter ook last heeft van een foutmelding van windows, wanneer je de pc opstart (WINDOWS - Geen schijf)
Dit gebeurt mij dus wel, en sinds ik dit heb doet explorer.exe raar.
Als IEMAND weet wat 't probleem is, a little help would be appreciated!!
Groetjsssss
quote:nee ik heb die melding geen schijf niet gekregen.Op woensdag 21 juni 2006 18:20 schreef DownGirl het volgende:
[..]
Hey
Wat ik me nu afvraag is of bestanden zoals Adobe Photoshop ook worden verwijderd als je gebruik maakt van 'n herstelpunt..
Want ik heb ook dit probleem met explorer.exe de laatste dagen..
Normaal neemt explorer.exe bij mij nauwelijks geheugen in beslag, terwijl dat programma nu zowat de helft van me geheugen inneemt, en vaak ook nog 's vastloopt
Verder vroeg ik me af of de topicstarter ook last heeft van een foutmelding van windows, wanneer je de pc opstart (WINDOWS - Geen schijf)
Dit gebeurt mij dus wel, en sinds ik dit heb doet explorer.exe raar.
Als IEMAND weet wat 't probleem is, a little help would be appreciated!!
Groetjsssss
Ik heb het probleem alleen op kunnen lossen door windows eraf te gooien en alles opnieuw te installeren.