Bericht 1 van 17NL Computer Forum ~ Computerbeveiligin g | Van | : | Don Esteban (NLHelp) | Datum | : | 25-01-2007 |
| Aan | : | Allen | MsgID | : | 3245.1 |
| Onderwerp | : | iallazlk | Forum | : | ws-nlcomputer |
Hoi All,
Ik zie plots bij mijn items voor Opstarten (via msconfig) een toegevoegd programma genaamd iallazlk.exe . Na controle blijkt dit in de map System 32 te zitten. Ik heb procesinformatie gegoogled maar nergens is iallazlk bekend. Ook niet bij virusalert. Iemand van jullie bekend hiermee? Ik vertrouw het voor geen meter. Ik heb hem uiteraard uit opstarten gehaald maar zomaar de exe uit System 32 verwijderen doe ik niet. Ik weet niet wat het is en als het een virus betreft kan ik beter op een correcte verwijderingsmethode wachten die ook het register meeneeemt.
Don
Bericht 2 van 17NL Computer Forum ~ Computerbeveiligin g | Van | : | Peter | Datum | : | 25-01-2007 |
| Aan | : | Don Esteban (NLHelp) | MsgID | : | 3245.2 |
| Onderwerp | : | iallazlk | Forum | : | ws-nlcomputer |
Hoi Don,
>>Ik zie plots bij mijn items voor Opstarten (via msconfig) een toegevoegd programma genaamd iallazlk.exe <<
Rare naam en verdachte lokatie.
Ik neem aan dat je antivirus en antispyware uptodate zijn (welke?) en dat een volledige systeemscan uitgevoerd is.
Als je dat opstart item uitvinkt, blijft dat na een herstart uitgevinkt en is er geen andere wazige naam bijgekomen?
Ik zou het bestand eens uploaden naar een online scanner., bijv.
Jotti of
Kaspersky Plaats eens een
hijackthis log als bijlage.
groeten, Peter
Bericht 3 van 17NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 25-01-2007 |
| Aan | : | Don Esteban (NLHelp) | MsgID | : | 3245.3 |
| Onderwerp | : | iallazlk | Forum | : | ws-nlcomputer |
Hoi Don,
>> nergens is iallazlk bekend. Ook niet bij virusalert. Iemand van jullie bekend hiermee? Ik vertrouw het voor geen meter <<
iallazlk, lijkt op zo'n automatisch gegenereerde naam van da/spyware. Heeft geen zin daar naar te googelen. Wat je even kan doen is rechtsklikken op die .exe en de eigenschappen opvragen. Meestal is ook hier niet veel info te vinden bij beestjes, maar kwaad kan het niet. Je hebt in Nod32 (dacht ik) toch wel automatisch blokkeren van mogelijk verdachte applicaties aanstaan, alsmede websites met schadelijke inhoud automatisch blokkeren aan staan?
Kom je er niet uit welk kreng dit is, hernoem dan iallazlk.exe naar iallazlk.bak. Vervolgens de computer (liefst 2 keer) herstarten en zien of onder msconfig nog nieuwe troep verschijnt. Loop de pc door op normale werking, kijk ook in de syetem32 map of er nieuwe .exe's ontstaan met dit soort onzinnamen.
Als alles werkt zoals het hoort kan je later die .bak wegkiepen.
Mocht het echter zo zijn, dat je de .exe niet hernoemd krijgt (in gebruik), of dat er andere executables ontstaan, dan moet je even een gil geven, gaan we de flitspuit pakken.
Michel Uphoff (NLcomputer)
Homepage
Bericht 4 van 17NL Computer Forum ~ Computerbeveiligin g | Van | : | Don Esteban (NLHelp) | Datum | : | 25-01-2007 |
| Aan | : | Peter | MsgID | : | 3245.4 |
| Onderwerp | : | iallazlk | Forum | : | ws-nlcomputer |
Hoi Peter,
Ik plaats de beantwoording van beide berichten in die van Michel, OK?
Don
Bericht 5 van 17NL Computer Forum ~ Computerbeveiligin g | Van | : | Peter | Datum | : | 25-01-2007 |
| Aan | : | Don Esteban (NLHelp) | MsgID | : | 3245.5 |
| Onderwerp | : | iallazlk | Forum | : | ws-nlcomputer |
is prima.
Bericht 6 van 17NL Computer Forum ~ Computerbeveiligin g | Van | : | Don Esteban (NLHelp) | Datum | : | 25-01-2007 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3245.6 |
| Onderwerp | : | iallazlk | Forum | : | ws-nlcomputer |
Hoi Michel (en Peter)
Ik heb uiteraard een volledige systeemscan uitgevoerd en NOD32 (mijn antivirusprogramma) ook nog eens apart op het bestand iallazlk.exe losgelaten. Geen virusmelding. Maar volgens mij kunnen Trojans stiekemerds zijn. Ik heb hem in iallazlk.bak veranderd en dat laat hij gewillig doen. Na herstart komen er geen nieuwe zaken in het csconfig Opstartenscherm. Dus ik zou hem kunnen verwijderen. Maarrrrr.. ik ben eens met keyword iallazlk gaan zoeken en vind de bestanden die je in bijgaand screenshot kan zien. Hier zit dus ook een *sf bestand bij van 15 Kb. Lijkt me ook niet de bedoeling. Dan zit iallazlk dus in de Temp. Int. Files. Die heb ik handmatig verwijderd maar zoals je ziet zitten ze er later weer in.
Michel, het barst van de exe´s onder System 32 dus of na herstart dat iets veranderd is? Als je een lijst van die exe' s wilt, zeg het maar.
BVDVDO
Don
| Bijlagen : 
IALLAZLK.JPG
216KB |
Bericht 7 van 17NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 25-01-2007 | | Aan | : | Don Esteban (NLHelp) | MsgID | : | 3245.7 | | Onderwerp | : | iallazlk | Forum | : | ws-nlcomputer |
Hoi Don, >> Dan zit iallazlk dus in de Temp. Int. Files. Die heb ik handmatig verwijderd maar zoals je ziet zitten ze er later weer in. <<Dat lijkt maar zo. Er is niets bijzonders aan de hand. Dat geavanceerd zoeken zoekt ook naar zoekopdrachten naar dat programma. Ook die zoekopdrachten worden dan getoond. Er is maar 1 executable. Dat .pf bestand is een zogenaamde prefetch. Zo'n prefetch wordt van ieder regelmatig opgestart bestand gemaakt. Kan meestal geen kwaad, maar kieper eenmalig de map windows\prefectch even leeg, en herstart Wil je mij die iallazlk.bak even mailen? Kijk ik even of ik iets wijzer kan worden. >> het barst van de exes onder System 32 <<O, wat raar, er hoort er geen een te staan! GRAPJE.. Sorteer even op datum, kijk naar nieuw gemaakte uitvoerbare files met maffe namen (ppiut123.dll, qqewsadz.exe enzo).
Michel Uphoff (NLcomputer)
Homepage
Gewijzigd 25/01/2007 15:23 CET door Michel Uphoff (Sysop) |
Bericht 8 van 17NL Computer Forum ~ Computerbeveiligin g | Van | : | Peter | Datum | : | 25-01-2007 |
| Aan | : | Don Esteban (NLHelp) | MsgID | : | 3245.8 |
| Onderwerp | : | iallazlk | Forum | : | ws-nlcomputer |
Don,
Het bestand voor de zekerheid toch maar eens uploaden naar een online scanner, zie eerder bericht.
Als die ook niets vinden, lijkt het onschuldig. Kijk dan eens bij de eigenschappen van dat bestand. Misschien staat daar een aanwijzing wat of van wie het is.
Een HJT log kan mischien ook wat meer duidelijkheid geven.
Peter
Bericht 9 van 17NL Computer Forum ~ Computerbeveiligin g | Van | : | Don Esteban (NLHelp) | Datum | : | 25-01-2007 |
| Aan | : | Peter | MsgID | : | 3245.9 |
| Onderwerp | : | iallazlk | Forum | : | ws-nlcomputer |
Peter,
Komtie, maar ik zie niks bijzonders, tenzij ik iets over het hoofd zie. Waarom zie ik 3 keer C:\WINDOWS\system32\svchost.exe ??
Don
----------------------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 21:49:07, on 25-1-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CompuServe 6.0\cstray.exe
C:\PROGRA~1\Webshots\webshots.scr
C:\WINDOWS\System32\PackethSvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: MailWasherPro.lnk = C:\Program Files\MailWasher Pro\MailWasher.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: CompuServe 6.0-werkbalkpictogram.lnk = C:\Program Files\CompuServe 6.0\cstray.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Toevoegen aan Mobiele favorieten (HKLM)
O9 - Extra 'Tools' menuitem: Toevoegen aan Mobiele favorieten... (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: eBay - Homepage (HKLM)
O15 - Trusted Zone:
http://community.compuserve.comO16 - DPF: Contains -
O16 - DPF: DownloadInformation -
O16 - DPF: InstalledVersion -
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -
http://download.macromedia.com/pub/shockwave/cabs/director/sw.cabO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) -
https://signup.msn.com/pages/MsnInstC.cabO16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) -
http://www.skylinesoft.com/interactive/terraexplorer/install/TEInstallPlugIn.cabO16 - DPF: {4692316D-32E1-4A48-A3E7-548EDE1056E3} -
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -
http://80.33.88.242:81/activex/AxisCamControl.cabO16 - DPF: {A364AF35-0CDF-41E8-8F3B-E0E55E15EBA1} (Zenturi Active Programs Control) -
http://www.programchecker.com/dll/nixon.cabO16 - DPF: {B0A2C7FC-8666-44D6-A990-2FCE3B933341} (ING Bank Autorisatiescherm) -
https://secure.ingbank.nl/download/DigiSign.cabO16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) -
http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cabO16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} -
http://www.crtvg.es/camweb/camera.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cabO16 - DPF: {D4CBCE3D-EC46-4D76-8316-03976C19541C} (Connection Class) -
http://www.databolsa.com/DatabolsaWeb/(agjejyauvkit3yrgh4rbjm55)/browserdriver.cab
Bericht 10 van 17NL Computer Forum ~ Computerbeveiligin g | Van | : | Peter | Datum | : | 25-01-2007 |
| Aan | : | Don Esteban (NLHelp) | MsgID | : | 3245.10 |
| Onderwerp | : | iallazlk | Forum | : | ws-nlcomputer |
>>Waarom zie ik 3 keer C:\WINDOWS\system32\svchost.exe ??<<
Dat is normaal, SVCHOST.EXE is 1 van de basis-modules van windows en start diverse onderdelen.
>>Logfile of HijackThis v1.97.7<<Dat is een antieke versie, haal eerst eens de laatste versie op (v1.99.1), bijv.
HIERIk zie wel een hoop onzinnige items. Eens kijken of die ook weer in een logfile met versie 1.99.1 voorkomen.
Peter
Bericht 11 van 17NL Computer Forum ~ Computerbeveiligin g | Van | : | Don Esteban (NLHelp) | Datum | : | 25-01-2007 |
| Aan | : | Peter | MsgID | : | 3245.11 |
| Onderwerp | : | iallazlk | Forum | : | ws-nlcomputer |
Peter,
Versie 1.99.1 komt me inderdaad bekend voor. Heb ik in de laptop. Ik heb Hijack al zo lang niet meer gebruikt in de Desktop.
Dat er wat onzin in de log staat, wist ik eigenlijk wel. Ik hoor graag van je wat overbodig is.
Onderstaande log kwam dus tot stand direct na een herstart.
Logfile of HijackThis v1.99.1
Scan saved at 22:37:09, on 25-1-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CompuServe 6.0\cstray.exe
C:\Program Files\MailWasher Pro\MailWasher.exe
C:\PROGRA~1\Webshots\webshots.scr
C:\WINDOWS\System32\PackethSvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
D:\Downloads\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: MailWasherPro.lnk = C:\Program Files\MailWasher Pro\MailWasher.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: CompuServe 6.0-werkbalkpictogram.lnk = C:\Program Files\CompuServe 6.0\cstray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Toevoegen aan Mobiele favorieten - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Toevoegen aan Mobiele favorieten... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O15 - Trusted Zone:
http://community.compuserve.comO16 - DPF: Contains -
O16 - DPF: DownloadInformation -
O16 - DPF: InstalledVersion -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) -
https://signup.msn.com/pages/MsnInstC.cabO16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) -
http://www.skylinesoft.com/interactive/terraexplorer/install/TEInstallPlugIn.cabO16 - DPF: {4692316D-32E1-4A48-A3E7-548EDE1056E3} -
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -
http://80.33.88.242:81/activex/AxisCamControl.cabO16 - DPF: {A364AF35-0CDF-41E8-8F3B-E0E55E15EBA1} (Zenturi Active Programs Control) -
http://www.programchecker.com/dll/nixon.cabO16 - DPF: {B0A2C7FC-8666-44D6-A990-2FCE3B933341} (ING Bank Autorisatiescherm) -
https://secure.ingbank.nl/download/DigiSign.cabO16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) -
http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cabO16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} -
http://www.crtvg.es/camweb/camera.cabO16 - DPF: {D4CBCE3D-EC46-4D76-8316-03976C19541C} (Connection Class) -
http://www.databolsa.com/DatabolsaWeb/(agjejyauvkit3yrgh4rbjm55)/browserdriver.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Virtual NIC Service (PackethSvc) - America Online, Inc. - C:\WINDOWS\System32\PackethSvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
Bericht 12 van 17NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 25-01-2007 |
| Aan | : | Don Esteban (NLHelp) | MsgID | : | 3245.12 |
| Onderwerp | : | iallazlk | Forum | : | ws-nlcomputer |
Hoi Don,
Het is inderdaad hoogstwaarschijnlijk een beestje, maar dan wel een van de onbekendste. Veel virusscanners geven geen alarm. Ik heb het krengetje inmiddels voor analyse naar Eset (Nod32) gestuurd. De zeer summiere info die ik vond beschrijft een generieke, niet erg gevaarlijke backdoor Trojan.
Dit is wat de viruscheckers er van vonden:
AntiVir TR/Crypt.PCMM.Gen
Authentium no virus found
Avast no virus found
AVG no virus found
BitDefender no virus found
ClamAV no virus found
DrWeb no virus found
eSafe no virus found
eTrust-InoculateIT no virus found
eTrust-Vet no virus found
Ewido no virus found
F-Prot no virus found
Ikarus no virus found
Kaspersky no virus found
McAfee no virus found
Microsoft no virus found
NOD32v2 no virus found
Norman no virus found
Panda Suspicious file
Sophos no virus found
Sunbelt Suspicious
TheHacker no virus found
UNA no virus found
VirusBuster Worm.Akbot.GenPac1 Ik zou het kreng (en de inhoud van de map temp internet files, en van temp mappen) verwijderen.
Michel Uphoff (NLcomputer)
Homepage
Gewijzigd 25/01/2007 17:53 CET door
Michel Uphoff (Sysop)
Bericht 13 van 17NL Computer Forum ~ Computerbeveiligin g | Van | : | Peter | Datum | : | 25-01-2007 |
| Aan | : | Don Esteban (NLHelp) | MsgID | : | 3245.13 |
| Onderwerp | : | iallazlk | Forum | : | ws-nlcomputer |
Don,
De GoogleToolbar:
Gebruik je die? zonee, eerst netjes deinstalleren
Deze kun je aanvinken en 'fixen':
Alleen als je de GoogleToolbar verwijdert hebt, moet je mogelijk deze 2 nog verwijderen:
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
De O9 regels met extra knoppen en menu-items kun je naar eigen wens opschonen
Deze items verwijzen naar niets:
O16 - DPF: Contains -
O16 - DPF: DownloadInformation -
O16 - DPF: InstalledVersion -
O16 - DPF: {4692316D-32E1-4A48-A3E7-548EDE1056E3} -
De overige O16 regels met voor jou onbekende URL's kun je ook 'fixen'
groeten, Peter
Bericht 14 van 17NL Computer Forum ~ Computerbeveiligin g | Van | : | Don Esteban (NLHelp) | Datum | : | 26-01-2007 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3245.14 |
| Onderwerp | : | iallazlk | Forum | : | ws-nlcomputer |
Hoi Michel,
Zo zeg, je hebt er behoorlijk werk in gestoken. Betaal ik cash of credit?..
Ik zal de handel verwijderen en dan zien we wel weer verder. In elk geval wederom bedankt. (daar moet je toch inmiddels een kast van vol hebben, nietwaar? ;-)
Don
Bericht 15 van 17NL Computer Forum ~ Computerbeveiligin g | Van | : | Don Esteban (NLHelp) | Datum | : | 26-01-2007 |
| Aan | : | Peter | MsgID | : | 3245.15 |
| Onderwerp | : | iallazlk | Forum | : | ws-nlcomputer |
Peter,
<<De GoogleToolbar:
Gebruik je die? zonee, eerst netjes deinstalleren<<
Wat is het leven nog zonder Google Toolbar? nee.. mooi staan laten:-)
Voor de rest, thanks, ik ga er aan werken.
Don
Bericht 16 van 17NL Computer Forum ~ Computerbeveiligin g | Van | : | Don Esteban (NLHelp) | Datum | : | 27-01-2007 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3245.16 |
| Onderwerp | : | iallazlk | Forum | : | ws-nlcomputer |
Michel,
Mag ik deze thread gebruiken om een zijstraatvraag te stellen? Ja? Dat mag? Fijn. Dank je;-)
In het venster 'Hulpprogramma voor systeemconfiguratie' (te bereiken via Start / Uitvoeren / msconfig zien we dus onder tabblad Opstarten de programma's die mede opstarten. Vinkje weghalen, pc herstarten en het programma start niet meer mede op. Maar het programma blijft wel zichtbaar in de lijst, ook zonder vinkje. Hoe kan ik nu die programma's zonder vinkje verwijderen? Ik heb het ooit geweten en ik meen me te herinneren dat we ervoor in het register moesten gaan wroeten, maar ja, het geheugen van een mens is niet het geheugen van een pc;-)
Don
Bericht 17 van 17NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 27-01-2007 |
| Aan | : | Don Esteban (NLHelp) | MsgID | : | 3245.17 |
| Onderwerp | : | iallazlk | Forum | : | ws-nlcomputer |
Hoi Don,
>> ik meen me te herinneren dat we ervoor in het register moesten gaan wroeten <<Jij meent correct. Deze disabled startups staan onder de key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupregJe kan hier die vermeldingen verwijderen indien je dat wilt.
Michel Uphoff (NLcomputer)
Homepage
