Archief - Check log plz

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.

Exit

Legacy Member
haalt ge na format uw mail binnen?
wrs zit het ergens in mail/online of in uw backup files.

als het lukt, die schijf eruit halen en in een andere pc scannen.

wecker

Legacy Member
nee, khaal nx binnen.
Wat ik doe:
1.format c
2.format e
3.format d
4.Instal drivers vn moederbord & graka
5. nprton derop
6. i'net late werke
en dan beginne de probleme :(


ik kan nu zelfs m'n processe nmr opene :eek:
het kaderke springt op en na ne second ofzo gaget terug weg :s:(

Skeddie

Legacy Member
Installeer met slipstreamed XP SP2 CD, of zet die SP2 al op een andere CD bij de backups.
Kies bij Windows Update om die als netwerk install te downloaden.

Als je bepaalde bestanden niet vindt, wees dan zeker dat je verborgen bestanden en mappen, EN beveiligde systeemsbestanden en mappen kan zien.
Voor beide moet je hier zijn:
Start-->Uitvoeren-->control folders-->tab Weergave-->vink uit: "Beveiligde besturingssyteembestanden verbergen (aanbevolen)" || vink aan: "Verborgen bestanden en mappen weergeven"

Als je met HJT een O23 - Service fixt, moet je om het helemaal mooi op te kuisen, ook nog in HJT naar Config-->Misc Tools-->Delete an NT Service: en daar de naam tussen haakjes gegeven ingeven.

wecker

Legacy Member
Logfile of HijackThis v1.99.1
Scan saved at 18:14:18, on 29/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\fre\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\programms\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\programms\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] E:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [MICROSOFT UNPACK SYSTEM] winrarx.exe
O4 - HKLM\..\Run: [Media Software UPdater] sscs.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
O4 - HKLM\..\Run: [Compaq32 Service Drivers] ms32.exe
O4 - HKLM\..\RunServices: [MICROSOFT UNPACK SYSTEM] winrarx.exe
O4 - HKLM\..\RunServices: [Media Software UPdater] sscs.exe
O4 - HKLM\..\RunServices: [Compaq32 Service Drivers] ms32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Media Software UPdater] sscs.exe
O4 - HKCU\..\Run: [MICROSOFT UNPACK SYSTEM] winrarx.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - E:\programms\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - E:\programms\Norton Antivirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - E:\programms\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe



das de laatste hjt
wat moet ik verwijderen ? of toch proberen :)

Preske

Legacy Member
O4 - HKLM\..\Run: [MICROSOFT UNPACK SYSTEM] winrarx.exe
O4 - HKLM\..\Run: [Media Software UPdater] sscs.exe
O4 - HKLM\..\Run: [Compaq32 Service Drivers] ms32.exe
O4 - HKLM\..\RunServices: [MICROSOFT UNPACK SYSTEM] winrarx.exe
O4 - HKLM\..\RunServices: [Media Software UPdater] sscs.exe
O4 - HKLM\..\RunServices: [Compaq32 Service Drivers] ms32.exe
O4 - HKCU\..\Run: [Media Software UPdater] sscs.exe
O4 - HKCU\..\Run: [MICROSOFT UNPACK SYSTEM] winrarx.exe

Hoe formateert ge juist?
is dat met een opstart diskette v win98 en zo alle partities verwijderen?

Skeddie

Legacy Member
WeCKeR zei:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Daar zit al je eerste probleem, met een niet geupdate windowsmachine ga je het internet op...

Als je die dingen fixt in HJT, verwijder dan ook die bestanden (in de windows of windows\system32 map).

wecker

Legacy Member
ik steek m'n windows cd erin, pc reboot en dan windows xp installeren, dan vragen ze toch altijd om eerst te formateren en dan als windows erop staat begin ik die andere 2 te formateren door gwn rechtsklikken => formateren...
@Skeddie: vorige keren deed ik net hetzelfde en toen had ik geen problemen :s

Preske

Legacy Member
echt freaky. Ik ben serieus benieuwd wat de oorzaak hier van kan zijn.

Koppel eens internet af terwijl je windows installeert. en zet enkele spyware programma's op een lege partitie.
Dan als windows geinstalleerd is, alle spyware programma's installeren, en dan je internet inpluggen. (er vanuitgaande dat je telenet hebt)

Ik zou de volgende nemen.

Microsoft antispyware
adaware 1.05 SE
Spywareblaster (best al even laten lopen en immuniseren)
spybot search & destroy (ook even laten runnen en immuniseren)

j .

Legacy Member
Het kan een bootsector virus zijn:
*backup alle bestanden die je wil behouden
*start op met een beveiligde win 95/98 diskette, en geef in DOS in: fdisk/MBR
*download F-secure for DOS op http://www.f-secure.com/download-purchase/tools.shtml, en zet dat op een diskette; beveilig de diskette. Scan.
N.B. Die floppy's moet je aanmaken op een niet-besmette computer.
*scan nu de gebackupte bestanden.

Als dat het niet oplost, kan je proberen de partities te wissen en te wijzigen(b.v. van 3 naar 4 partities met een verschillende grootte; om dan de oude toestand te herstellen).
Laatste redmiddel: mid-level format: ga naar de site van de fabrikant, en gebruik zijn tools om je harde schijf te overschrijven met de waarde nul.

wecker

Legacy Member
kheb m'n pc terug geformateert.
dan dit gedaan:
1.norton erop gezet
2. windows upgedate
3.norton upgedate
4.norton paar keer late scannen, er is redelijk wat af, zowel manueel als door norton
5. hjt lijstje:
Logfile of HijackThis v1.99.1
Scan saved at 21:25:03, on 30/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\programms\Norton Antivirus\navapsvc.exe
D:\programms\Norton Antivirus\AdvTools\NPROTECT.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\programms\Norton Antivirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\fre\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\programms\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\programms\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [MICROSOFT UNPACK SYSTEM] winrarx.exe
O4 - HKLM\..\Run: [winNT updatc] wupgrd.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [FireWire Services] nvcsv32.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\RunServices: [MICROSOFT UNPACK SYSTEM] winrarx.exe
O4 - HKLM\..\RunServices: [winNT updatc] wupgrd.exe
O4 - HKLM\..\RunServices: [FireWire Services] nvcsv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MICROSOFT UNPACK SYSTEM] winrarx.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1114884202777
O17 - HKLM\System\CCS\Services\Tcpip\..\{6676C75B-5246-4205-91EA-380904150628}: NameServer = 195.238.2.22 195.238.2.21
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\programms\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\programms\Norton Antivirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: SAVScan - Symantec Corporation - D:\programms\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe


ik merk alleszins al niets abnormaal maar ik kan er volledig naast zitten :)

j .

Legacy Member
Het barst nog steeds van de schadelijke instructies, zoals:
O4 - HKLM\..\Run: [MICROSOFT UNPACK SYSTEM] winrarx.exe
O4 - HKLM\..\Run: [winNT updatc] wupgrd.exe
...

Ik zou toch naar die bootsector kijken, die wordt namelijk niet gewijzigd tijdens een "normale" format.

wecker

Legacy Member
:sad:

zou je dat van die bootsector eens zo simpel mogelijk willen uitlegge ?
ben nu niet echt ne pro op dit gebied :)

EDIT:
kheb in veilige modus is wa ligge prulle en terug gescanned:
Logfile of HijackThis v1.99.1
Scan saved at 22:02:13, on 30/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\fre\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\programms\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\programms\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1114884202777
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\programms\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\programms\Norton Antivirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: SAVScan - Symantec Corporation - D:\programms\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe


die scardclnt.exe blijft daar maar tusse staan :s

j .

Legacy Member
De instructies zijn weer weg (maar blijven ze weg?)
Die service kan je normaal wegkrijgen met hijackthis:start in veilige modus, misc tools>delete an NT service; geef daar SCardClnt in.

Ik zou eerst die F-secure antivirus proberen.

De bootsector (MBR)is het eerste stuk van je harde schijf, en bevat opstartinstructies; een virus kan daar zijn eigen instructies tussen plaatsen.
Je kan vanuit dos die MBR terug herstellen met het commando fdisk/mbr
Win XP heeft geen dos meer, dus moet je een opstartdiskette van b.v. win 98 hebben (kan je downloaden van het net). Dan opstarten van de diskette, en achter de a:\> fdisk/mbr typen.
Maak wel backups indien nodig, want fdisk heeft moeilijkheden met schijven met meer dan 3 (of was het 4?) partities.

wecker

Legacy Member
ik heb al m'n partities weggedaan, nu heb ik gwn 2 harde schijven.
dom vraagje: hoe beveilig je een diskette :$

edit:

eeuhm...kan het zijn dat ik van alles af ben ? want alles loopt perfect voor de moment...:s

wecker

Legacy Member
mmmm...tloopt nimeer zo perfect percies:
ik kan m'n taakbeheer, norton & hijackthis ni openen:s da springt op en na ne second springt da terug weg :s:(

j .

Legacy Member
Diskette beveiligen: achteraan zit er een klepje dat je kan verschuiven; als het naar boven staat, en het vierkantje is open, is de diskette beveiligd.

Preske

Legacy Member
WeCKeR zei:
mmmm...tloopt nimeer zo perfect percies:
ik kan m'n taakbeheer, norton & hijackthis ni openen:s da springt op en na ne second springt da terug weg :s:(

kan mogelijk virus zijn.
gister pas nog bij nonkel verwijderd.

ga eens met IE naar www.norton.com of www.pandasoftware.com

sluit het af, zit je met een virus, en moet je (weer) een HJT logje posten

f*ck, je kan HJT ni openen, das waar...
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan