Hijackthislog

Hoi Peter,

Om dat ik tijdens het testen soms erg lang moest wachten op het uitvoeren van bepaalde acties, heb ik HiJackThis weer eens gedraaid. Omdat ik geen idee heb waarvoor sommige regels dienen, wil ik je vragen of je de lijst eens wilt controleren en aangeven welke regels verwijderd kunnen worden.
Het zou natuurlijk ook kunnen dat er aan het testprogramma iets aan de afsluiting ontbreekt waardoor er dingen in het geheugen  achterblijven van de vorige test.
Graag je mening.
 
m.vr.gr.,
 
Jan

[Peter]

Dag Jan,

Op je computer staan nogal wat toolbars en items die gestart worden met elke Windows start.
Hier valt wel wat op te schonen.

De-installeer eerst de volgende items via Configuratiescherm - Software:
Ask Toolbar
ToogleDU Toolbar     <-- gebruik je dit? nee, dan verwijderen
WinZipBar            <-- gebruik je dit? nee, dan verwijderen
Google Toolbar for Internet Explorer      <-- gebruik je dit? nee, dan verwijderen

Start HijackThis
Sluit alle andere programma's
Klik op 'Do a system scan only'. Als deze knop niet zichtbaar is, klik op 'Scan'
Vink alleen onderstaande items aan, indien nog aanwezig:
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Support.com Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
(Ask Toolbar verwijzingen)

R3 - URLSearchHook: ToggleDU Toolbar - {3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} - C:\Program Files\ToggleDU\prxtbTog2.dll
O2 - BHO: ToggleDU - {3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} - C:\Program Files\ToggleDU\prxtbTog2.dll
O3 - Toolbar: ToggleDU Toolbar - {3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} - C:\Program Files\ToggleDU\prxtbTog2.dll
(ToogleDU verwijzingen)

R3 - URLSearchHook: WinZipBar Toolbar - {50fafaf0-70a9-419d-a109-fa4b4ffd4e37} - C:\Program Files\WinZipBar\prxtbWin0.dll
O2 - BHO: WinZipBar - {50fafaf0-70a9-419d-a109-fa4b4ffd4e37} - C:\Program Files\WinZipBar\prxtbWin0.dll
O3 - Toolbar: WinZipBar Toolbar - {50fafaf0-70a9-419d-a109-fa4b4ffd4e37} - C:\Program Files\WinZipBar\prxtbWin0.dll
(WinZipBar verwijzingen)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
(Google Toolbar verwijzingen)

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
(taakbalk ikoontje voor je Intel netwerkkaart tbv diagnose opties, lijkt me overbodig)

O4 - HKLM\..\Run: [rfagent] "F:\Program Files\RFA 8\rfagent32.exe"
(onderdeel van Registry First Aid. Heb je dat altijd nodig?

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\program files\real\realplayer\update\realsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - Global Startup: Kaspersky Security Scan.lnk = ?

O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
(restant van AVG Antivirus)

Klik op 'Fix checked'
Sluit HijackThis

Herstart je computer en post een nieuw logje.


Hoeveel harde schijven zitten je computer?
Ik zie bijv.:
C:\Program Files\
F:\Program Files\
G:\Program Files\
H:\Program Files\
N:\Program Files\

Je hebt 2 backup programma's actief?
Nero BackitUp
Acronis Nonstop Backup-service

De volgende services lijken me ook overbodig:
gupdate          <- Google
gupdatem         <- Google
gusvc            <- Google
JavaQuickStarterService  <- Sun
PacketSvc        <- Compuserve/AOL
SandraAgentSrv   <- SiSoftware Sandra, gebruik je dat nog? nee, deinstalleren
HPZ12 driver     <- HP, onderdeel van een printer, heb je die nog?


Peter

Peter,
Ik heb een nieuw log gemaakt, na verwijderen van het eerste stuk HiJackThis-regels. Ik heb met D: mee 12 partities en maar 1 schijf.
Ik wil zowel Nero BackItUp als Acronis NonStop Backup-service uitschakelen. Moet ik voor deze laatste afcdpsrv.exe aanvinken? 
 
 

[Peter]

Hoi Jan,

Deze regel mag je nog 'fixen' met HijackThis:

O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
(restant van een verwijderde toolbar)

Moet ik voor deze laatste afcdpsrv.exe aanvinken?

Nee, ik ken beide programma's niet uit mijn hoofd. Probeer daarmee eerst in te stellen dat je die optie niet gebruikt.
Lukt dat niet, dan kunnen we die services in principe uitschakelen.

Er staat nog een update van FlashPlayer in de wacht. Herstart je computer en voer de FlashPlayerUpdate uit.

PS: ondertussen Spybot S&D 2 geinstalleerd ?.
Zitten we je computer een beetje op te schonen, ga jij er weer programma's bijzetten...


Peter

Hoi Peter,
Dat bijzetten was al gebeurd voordat we met opschonen begonnen.
 
Jan

[Peter]

Hoi Jan,

Dat bijzetten was al gebeurd voordat we met opschonen begonnen.

Met welke reden?


Peter

Hoi Peter,

Met welke reden?

Omdat ik last had van een trage computer. Opslaan van een bestand duurde soms wel meer dan een minuut. Daarom vreesde ik dat ik een virus had, temeer omdat NOD32 het opgegeven had vanwege een beschadiging van het bestand. NOD32 zoekt nog steeds naar een oplossing.
Ik heb om achter de oorzaak te komen van de trage computer ook geprobeerd Acronis NonSop Backup Service uit te schakelen (ik had deze nooit zelf bewust ingeschakeld), maar de betreffende backups werden wel verwijderd, maar de trage computer bleef. Dus waarschijnlijk moet ik de oorzaak ergens anders zoeken.
 
 
m.vr.gr.,
 
Jan

[Peter]

Hoi Jan,

Omdat ik last had van een trage computer.

Ok. Ik raad je dan het volgende aan:
- Sluit eerst alle programma's af.
- Ruim alle tijdelijke bestanden op:
Download TFC en plaats het op je bureaublad.  (Klik op 'Download')

Start TFC.
(Alle programma's worden afgesloten en alle ikoontjes op je bureaublad verdwijnen tijdens het opruimen. Dit is normaal.)
In TFC klik op Start.
Als het opruimen klaar is verschijnt onder die knop Start het totaal opgeruimde MB's.
Herstart de computer als daarom gevraagd wordt. Dit is belangrijk!
Als de computer niet herstart hoeft te worden, herstart dan wel je antivirus programma!

- Spybot S&D 2 is nog in beta-versie. Doe een complete systeemscan en geef de resultaten.
- Download Autoruns om een lijst van programma's te maken die op je pc gestart worden.

Pak het .ZIP bestand uit in een aparte map, bijv. c:\Autoruns
Nadat het programma gestart is, klik op menu "Options".
Plaats een vinkje bij "Hide Microsoft and Windows Entries".
Plaats geen vinkje bij "Include Empty Locations"
Klik op menu File - Refresh

Er wordt nu een lijst samengesteld van alle automatisch gestarte programma's, uitgezonderd die van Microsoft en Windows.

Klik op menu File - Save
Bij "Opslaan als type", selecteer "Text (*.txt)"
Klik op Opslaan
Post de logfile in een nieuw bericht.


Peter

Hoi Peter,
Ik heb je aanwijzingen opgevolgd. Alleen het opgeven van wat Spybot had ontdekt is in zoverre mislukt dat ik je de namen van de bestanden niet kan opgeven. Het waren er 5 met sub onderdelen, ik heb ze verwijderd. Ik dacht namelijk dat Spybot daar een log van zou maken maar dat gebeurde voorzover ik weet niet. Ik heb wel het Autoruns resultaat. Gaat hier als attachment bij.
 

[Peter]

Hoi Jan,

Je hebt een besmetting opgelopen, waarschijnlijk via de BearShare installatie.
BearShare lijkt ook weer geinstalleerd te zijn tijdens deze opruimactie!

Sluit eerst alle programma's
De-installeer via Configuratiescherm - Software, indien aanwezig:

Mediabar
WinCore Mediabar
WiseConvert Toolbar


Start AutoRuns
Vink de volgende items uit, indien nog aanwezig:
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
+ "DATAMNGR"
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects"
+ "DataMngr"
+ "Wincore Mediabar"
+ "WiseConvert Toolbar"
"HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks"
+ "WiseConvert Toolbar"
"HKLM\Software\Microsoft\Internet Explorer\Toolbar"
+ "Wincore Mediabar"
+ "WiseConvert Toolbar"
"Task Scheduler"
+ "Check for updates (Spybot - Search & Destroy).job"
+ "GoogleUpdateTaskMachineCore.job"
+ "GoogleUpdateTaskMachineUA.job"
+ "RealUpgradeLogonTaskS-1-5-18.job"
+ "RealUpgradeLogonTaskS-1-5-21-1202660629-602162358-725345543-1003.job"
+ "RealUpgradeScheduledTaskS-1-5-18.job"
+ "RealUpgradeScheduledTaskS-1-5-21-1202660629-602162358-725345543-1003.job"
+ "Refresh immunization (Spybot - Search & Destroy).job"
+ "Scan the system (Spybot - Search & Destroy).job"
"HKLM\System\CurrentControlSet\Services"
+ "Avgfwdx"
+ "Avgfwfd"

Sluit Autoruns en herstart je computer


Post een nieuw HijackThis logje.

Hoi Peter,
Die BearShare is er ingekomen toen ik TFC downloadde. Ze doen je geloven dat jet TFC downloadt, maar als je op download klikt blijk je een totaal ander programma te krijgen. Ik heb hem er daarom meteen weer af gegooid en via Spybot de ongerechtigheden verwijderd. Ik heb na deze schoonmaakoperatie getest of de vertraging weg was, maar nee. Opslaan van een simpel bestand duurt onder bepaalde omstandigende meer dan een minuut. De oplossing moet daarom komen uit de autorunsgegevens. Die heb ik nog niet verwerkt. Ik verdenk echter Acronis True Image van de vertraging, maar kan er niet achter komen hoe. Ik gebruik het programma al jaren en heb kortgeleden de upgrade gekocht en sindsdien treedt het probleem op. Kun je nagaan wat het programma aan het doen is?   
 
Jan

Peter,
Al onze inspanningen hebben wel snelheidswinst opgeleverd, maar het systeem blijft onder bepaalde omstandigheden traag.
Zo duurt bijv. in VB het saven van een verbeterd form 3/4 minuut. Als ik een break zet in de eerste "With MSChart" dan duurt het lang als ik met F8 door de regels loop. Doe ik dat ook in de tweede MSChart dan gaat het wel met normale snelheid.
Je constaeerde dat ik twee backup programm's gebruik, nl. Nero BackItUp en Acronis NonStop Backup-service. Kunnen deze twee elkaar in de weg zitten. Ik gebruik geen schedule, dus beide lopen alleen als ik er een opstart, nooit automatisch (althans dat is de bedoeling). Alleen kan ik in Acronis wel de gemaakte backups verwijderen, maar er is geen aparte knop Uitschakelen. De Acronis update is nog geen 30 dagen in gebruik, ik heb dus nog support. Maar eens proberen.
Mogelijk doet bovenstaande informatie een lichtje bij je branden.
 
 
Jan
 

[Peter]

Hoi Jan,

Die BearShare is er ingekomen toen ik TFC downloadde. Ze doen je geloven dat jet TFC downloadt, maar als je op download klikt blijk je een totaal ander programma te krijgen.

Vreemd, net nog getest en ik krijg netjes TFC. Als ik dat start is het ook TFC.

De oplossing moet daarom komen uit de autorunsgegevens.

Ik hem zo mijn twijfels of dat voldoende helpt. Ik verdenk eerder een dichtgeslibte XP door de loop der jaren. Het opruimen van zoveel mogelijk autorun programma's en achtergrond taken is in ieder geval aan te raden.

Ik gebruik het programma al jaren en heb kortgeleden de upgrade gekocht en sindsdien treedt het probleem op.

Dat is natuurlijk wel een belangrijke aanwijzing. Wat ik vreemd vond zijn deze 2 taken van Acronis:
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
+ "Acronis Scheduler2 Service"
+ "Acronis Scheduler2Service"

Die verwijzen beide naar hetzelfde programma. Schakel er eens 1 uit met AutoRuns en post het resultaat.

Post een nieuw HijackThis logje nadat je de AutoRuns aanpassingen gedaan hebt.


Peter

Hoi Peter,
Dat ik in BearShare verzeild raakte is niet zo vreemd. Ik begreep in eerste instantie niet dat ik in je antwoord op TFC moest drukken en heb het in Google ingevoerd.  Toen ik me realiseerde wat er gebeurde drong het tot me door en ben toen snel terug gegaan naar de tekst van je antwoord en toen kwam ik op de juiste site terecht (na eerst met SpyBot de rommel verwijderd te hebben).     
Wat je opmerking over Acronis betreft. Ik vond dat ook vreemd. Misschien is de ene van Acronis True Image 2011 en de andere van 2012. Ik heb er een verwijderd en een nieuwe Autoruns en HiJackThis gemaakt en aangehecht. Ik heb die met de spatie bewaard en die zonder de spatie naar een kladblokbestandje verplaatst, mocht ik de verkeerde in het installatiepad bewaard hebben.
 
 
Jan

Hoi Peter,
Sorry, ik verzond twee keer dezelfde. Daarom hier Aurotuns alsnog.
 
 
Jan