[OPGELOST] *Spoed*Alles uit in Security Center Vista

just--mike

Smartphone Addicted
#1
Hey abraham ik heb hier een hjttje van mn pa's laptop vanwege virus en trojan horse meldingen. Norman doet ook niks. Krijg fout melding.

Kan jij er met spoed naar kijken mvg Mike

--edit--

Ben er net achter gekomen hoe mn pa klikte op een melding van een gratis virus scanner hier!! (loopt hij tegen iedereen te zeggen niet op klikken op dat soort dingne, ik zeg het ook vaak en wat doet hij klikt er op)

en mbam doet ook niks (ook in vielige modus geprobeert)

[hjt]
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 19:27:55, on 28-12-2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal
Running processes:
c:\windows\system32\smss.exe
c:\windows\system32\csrss.exe
c:\windows\system32\wininit.exe
c:\windows\system32\csrss.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\lsm.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\program files\norman\npm\bin\elogsvc.exe
c:\program files\norman\ngs\bin\nprosec.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\system32\audiodg.exe
c:\windows\system32\svchost.exe
c:\windows\system32\slsvc.exe
c:\windows\system32\svchost.exe
c:\program files\asus\smartlogon\smartlogon.exe
c:\program files\norman\npm\bin\zanda.exe
c:\program files\norman\npm\bin\nvoy.exe
c:\windows\system32\dwm.exe
c:\windows\explorer.exe
c:\program files\asus\asus data security manager\adsmsrv.exe
c:\windows\system32\wlanext.exe
c:\program files\asus\atk hotkey\asldrsrv.exe
c:\program files\atkgfnex\gfnexsrv.exe
c:\windows\system32\taskeng.exe
c:\windows\system32\spoolsv.exe
c:\windows\system32\hkcmd.exe
c:\windows\system32\svchost.exe
c:\windows\system32\taskeng.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\asus\smartlogon\sensorsrv.exe
c:\program files\asus\asus copyprotect\aspg.exe
c:\program files\p4g\batterylife.exe
c:\windows\system32\igfxpers.exe
c:\program files\via\viaudioi\vdeck\vdeck.exe
c:\program files\amicosinglun\amicosinglun.exe
c:\program files\asus\atk hotkey\hcontroluser.exe
c:\program files\asus\atk media\dmedia.exe
c:\program files\asus\atkosd2\atkosd2.exe
c:\program files\asus\asus data security manager\adsmtray.exe
c:\program files\elantech\etdctrl.exe
c:\program files\norman\npm\bin\zlh.exe
c:\windows\windowsmobile\wmdsync.exe
c:\program files\srs labs\srs premium sound\srspremiumsoundbig_small.exe
c:\windows\ehome\ehtray.exe
c:\program files\windows media player\wmpnscfg.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\program files\microsoft\search enhancement pack\seaport\seaport.exe
c:\program files\srs labs\srs premium sound\srs_volsync.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\program files\asus\atk hotkey\hcontrol.exe
c:\program files\asus\splendid\acmon.exe
c:\program files\asus\wireless console 3\wcourier.exe
c:\windows\system32\searchindexer.exe
c:\windows\system32\acengsvr.exe
c:\windows\system32\wbem\wmiprvse.exe
c:\windows\ehome\ehmsas.exe
c:\program files\asus\atk hotkey\atkosd.exe
c:\program files\asus\atk hotkey\kbfiltr.exe
c:\program files\asus\atk hotkey\wdc.exe
c:\program files\norman\npm\bin\scheduler.exe
c:\program files\norman\npm\bin\njeeves.exe
c:\windows\system32\svchost.exe
c:\program files\windows media player\wmpnetwk.exe
c:\users\gebrui~1\appdata\local\temp\richtx64.exe
c:\program files\windows sidebar\sidebar.exe
c:\program files\norman\nvc\bin\nvcoas.exe
c:\program files\windows sidebar\sidebar.exe
c:\windows\system32\wbem\unsecapp.exe
c:\users\gebrui~1\appdata\local\temp\wscsvc32.exe
c:\program files\internet explorer\iexplore.exe
c:\program files\internet explorer\iexplore.exe
c:\program files\norman\nse\bin\nsesvc.exe
c:\program files\norman\nvc\bin\nip.exe
c:\program files\norman\nvc\bin\cclaw.exe
c:\program files\internet explorer\iexplore.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\vssvc.exe
c:\windows\system32\svchost.exe
c:\windows\system32\wbem\wmiprvse.exe
c:\program files\internet explorer\iexplore.exe
c:\program files\internet explorer\iexplore.exe
d:\program files\trendmicro\hijackthis\tool.exe
r1 - hkcu\software\microsoft\internet explorer\main,default_page_url = [noparse]http://asus.msn.com[/noparse]
r1 - hkcu\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r0 - hkcu\software\microsoft\internet explorer\main,start page = [noparse]http://www.google.nl/[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_search_url = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r0 - hklm\software\microsoft\internet explorer\search,searchassistant =
r0 - hklm\software\microsoft\internet explorer\search,customizesearch =
r0 - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername =
o1 - hosts: ::1 localhost
o2 - bho: acroiehelperstub - {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\acroiehelpershim.dll
o2 - bho: (no name) - {5c255c8a-e604-49b4-9d64-90988571cecb} - (no file)
o2 - bho: search helper - {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - c:\program files\microsoft\search enhancement pack\search helper\sepsearchhelperie.dll
o2 - bho: windows live aanmelden - help - {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\windowslivelogin.dll
o2 - bho: java(tm) plug-in 2 ssv helper - {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
o2 - bho: windows live toolbar helper - {e15a8dc0-8516-42a1-81ea-dc94ec1acf10} - c:\program files\windows live\toolbar\wltcore.dll
o3 - toolbar: &windows live toolbar - {21fa44ef-376d-4d53-9b0f-8a89d3229068} - c:\program files\windows live\toolbar\wltcore.dll
o4 - hklm\..\run: [igfxtray] c:\windows\system32\igfxtray.exe
o4 - hklm\..\run: [hotkeyscmds] c:\windows\system32\hkcmd.exe
o4 - hklm\..\run: [persistence] c:\windows\system32\igfxpers.exe
o4 - hklm\..\run: [hdauddeck] c:\program files\via\viaudioi\vdeck\vdeck.exe -r
o4 - hklm\..\run: [amicosinglun] c:\program files\amicosinglun\amicosinglun.exe
o4 - hklm\..\run: [hcontroluser] c:\program files\asus\atk hotkey\hcontroluser.exe
o4 - hklm\..\run: [atkmedia] c:\program files\asus\atk media\dmedia.exe
o4 - hklm\..\run: [atkosd2] c:\program files\asus\atkosd2\atkosd2.exe
o4 - hklm\..\run: [adsmtray] c:\program files\asus\asus data security manager\adsmtray.exe
o4 - hklm\..\run: [etdware] c:\program files\elantech\etdctrl.exe
o4 - hklm\..\run: [norman zanda] c:\program files\norman\npm\bin\zlh.exe /load /splash
o4 - hklm\..\run: [windows mobile-based device management] %windir%\windowsmobile\wmdsync.exe
o4 - hkcu\..\run: [srs premium sound] c:\program files\srs labs\srs premium sound\srspremiumsoundbig_small.exe /hideme
o4 - hkcu\..\run: [ehtray.exe] c:\windows\ehome\ehtray.exe
o4 - hkcu\..\run: [wmpnscfg] c:\program files\windows media player\wmpnscfg.exe
o4 - hkcu\..\run: [richtx64.exe] c:\users\gebrui~1\appdata\local\temp\richtx64.exe
o4 - hkus\s-1-5-19\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /detectmem (user 'local service')
o4 - hkus\s-1-5-19\..\run: [windowswelcomecenter] rundll32.exe oobefldr.dll,showwelcomecenter (user 'local service')
o4 - hkus\s-1-5-20\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /detectmem (user 'network service')
o8 - extra context menu item: e&xporteren naar microsoft excel - res://c:\progra~1\micros~2\office12\excel.exe/3000
o9 - extra button: in weblog opnemen - {219c3416-8cb2-491a-a3c7-d9fcddc9d600} - c:\program files\windows live\writer\writerbrowserextension.dll
o9 - extra 'tools' menuitem: &in weblog opnemen met windows live writer - {219c3416-8cb2-491a-a3c7-d9fcddc9d600} - c:\program files\windows live\writer\writerbrowserextension.dll
o9 - extra button: verzenden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\micros~2\office12\onbttnie.dll
o9 - extra 'tools' menuitem: verz&enden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\micros~2\office12\onbttnie.dll
o9 - extra button: research - {92780b25-18cc-41c8-b9be-3c9c571a8263} - c:\progra~1\micros~2\office12\refiebar.dll
o13 - gopher prefix:
o16 - dpf: {d27cdb6e-ae6d-11cf-96b8-444553540000} (shockwave flash object) - [noparse]http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/noparse]
o22 - sharedtaskscheduler: component categories cache daemon - {8c7461ef-2b13-11d2-be35-3078302c2030} - c:\windows\system32\browseui.dll
o23 - service: adsm service (adsmservice) - asustek computer inc. - c:\program files\asus\asus data security manager\adsmsrv.exe
o23 - service: asldr service (asldrservice) - unknown owner - c:\program files\asus\atk hotkey\asldrsrv.exe
o23 - service: atkgfnex service (atkgfnexsrv) - unknown owner - c:\program files\atkgfnex\gfnexsrv.exe
o23 - service: norman elogger service 6 (eloggersvc6) - norman asa - c:\program files\norman\npm\bin\elogsvc.exe
o23 - service: norman njeeves - norman asa - c:\program files\norman\npm\bin\njeeves.exe
o23 - service: norman zanda - norman asa - c:\program files\norman\npm\bin\zanda.exe
o23 - service: norton internet security - unknown owner - c:\program files\norton internet security\engine\16.0.0.125\ccsvchst.exe (file missing)
o23 - service: norman security service (nprosecsvc) - norman asa - c:\program files\norman\ngs\bin\nprosec.exe
o23 - service: norman scanner engine service (nsesvc) - norman asa - c:\program files\norman\nse\bin\nsesvc.exe
o23 - service: norman virus control on-access component (nvcoas) - norman asa - c:\program files\norman\nvc\bin\nvcoas.exe
o23 - service: norman virus control scheduler (nvcscheduler) - unknown owner - c:\program files\norman\npm\bin\nvcsched.exe (file missing)
o23 - service: norman resource provider (nvoy) - norman asa - c:\program files\norman\npm\bin\nvoy.exe
o23 - service: norman scheduler service (scheduler) - norman asa - c:\program files\norman\npm\bin\scheduler.exe
o23 - service: servicelayer - nokia. - c:\program files\pc connectivity solution\servicelayer.exe
o23 - service: srs volume sync service (srs_volsync_service) - srs labs, inc. - c:\program files\srs labs\srs premium sound\srs_volsync.exe
--
end of file - 10179 bytes
[/hjt]
 

Bijlagen

just--mike

Smartphone Addicted
#2
Re: *Spoed*Alles uit in Security Center Vista

Ik heb net wat gelezen wat niet best is. Het gaat hier om een chatage virus als ik het goed heb, mn pa heeft de laptop uitgeschakeld. Dat schijnt geen goed advies te zijn klopt dat? Lukt het met hjt of andere programma's of moet ik contact op nemen met Kaspersky.

--edit--
ik heb ff snel de pc doorzocht maar nog geen crypted bestanden te vinden (ben wel aan het back-uppen)
 

Abraham54

Administrator
Medewerker
#3
Re: *Spoed*Alles uit in Security Center Vista

Hallo Mike, je Pa zal in ieder geval dat notebook weer moeten starten.

Het log laat niets zien wat op een besmetting lijkt, of het moet zijn, dat Norman in ieder geval beschadigd is!

Dus of het ransomware is weet ik niet; maar in geval van wel, dan komt die melding bij het opstarten!

Dan gaat het erom precies te weten welk virus het is, want waarschijnlijk zijn er patches voor!



Apropos, je kan je handtekening weer aanpassen!
 

just--mike

Smartphone Addicted
#4
Re: *Spoed*Alles uit in Security Center Vista

Hey Abraham de laptop staat nu weer aan.
En ik zie niks bijzonders staan via een ballonnetje (liever gezegd geen ballon).

Als je de bijgevoegde bijlages bekijkt dan zie je op de linker het chatage virus Gpcode.ak (heb ook mn huiswerk gedaan) de bestanden zijn op het moment van spreken nog niet ge crypt.

Ik heb ook mbam er op gezet en vervangen door mijn bestanden, toen ik mbam wilde draaien ging het niet, hij reageerde niet.

oja ik kreeg hjt niet in admin modus, niks meer wil in admin modus draaien.
Ook kan ik het sercurity centre niet meer in.

heb ook norman repair centre laten draaien maar hij wil nog niet.

Heb ook norman verwijdert en opnieuw genstalleerd maar geen beweging in te krijgen.
Is het een idee op terug te gaan naar een datum waar de infectie er nog niet was (systeem herstel)
 

Abraham54

Administrator
Medewerker
#5
Re: *Spoed*Alles uit in Security Center Vista

Dat is denk ik een optie!

Zijn er dan geen problemen meer, dan is het zaak eerst alle herstelpunten te wissen.

En Norman dan ook weer opnieuw installeren.

Tevens dan een scan doen met a-squared 4.5 free (grondige scan)


Indien Norman straks verloopt, kijk dan uit naar een betere betaalde antivirus!
 

just--mike

Smartphone Addicted
#6
Re: *Spoed*Alles uit in Security Center Vista

Norman verloopt pas in 2011.

Ik krijg bij een hoop systeem herstel punten (bijv. een van begin december, bestaat er ook nog 1 van de 14de december) scrijffout tijdens systeem herstel.

Ik heb ff gekeken en bij een asus laptop kan je zonder recovery dvd windows herstellen. Misschien is dat handig??
Of moet ik windows opnieuw installeren (maar ik kan geen drivers vinden voor de asus k07ij).
 

Abraham54

Administrator
Medewerker
#7
Re: *Spoed*Alles uit in Security Center Vista

Je kan gewoon de recovery inschakelen!
Maar dan wel kiezen voor het in aankoopnieuwe toestand brengen; daarbij wordt de HD geformateerd en is dus de besmetting ook foetsj.

Kies je voor herstel met behoud van gegevens, dan wordt er niet geformateerd en blijft de besmetting bestaan!
 

just--mike

Smartphone Addicted
#8
Re: *Spoed*Alles uit in Security Center Vista

Mooi dan ga ik dat straks doen. Alleen het jammere is dat ik geen crosscable heb anders had ik het sneller van mn pa's laptop kunnen halen nu wireless snelheid van 1.15 MB/s
--- automatische edit ---
Hey abraham thxs voor de hulp. Ik heb de laptop opnieuw genstalleerd en ben nu bezig met de updates

Ik heb mbam avira en a-squared er op gezet dus geen trage norman dan maar jammer van het geld maar als je kijkt hier onder zie je dat avira toch nog niet slecht is en nog weinig cpu verbruikt ook nog.
 
Laatst bewerkt door een moderator:

Nieuwste berichten