Mededeling

**BD44** · 29-12-07, 11:47

Hallo forumleden,
Ik weet dat jullie het ongelovelijk druk hebben maar ik wordt echt gek van die CiD popup

. Daarom wil ik jullie vragen me toch even te helpen.

met vriendelijk groet,

BD44

**smeenk** · 29-12-07, 13:39

Start HijackThis nog een keer, kies voor "Do a system scan only" en plaats alleen een vinkje voor de volgende regels:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [mpeg heck log link] C:\Documents and Settings\All Users\Application Data\Joy coal mpeg heck\Acid Boob.exe
O4 - HKCU\..\Run: [Eggs hope] C:\DOCUME~1\hofstee\APPLIC~1\BIASBA~1\remotestupid.exe
Sluit alle open vensters(behalve HijackThis), klik daarna op "Fix checked" en sluit HijackThis af.

Herstart even je computer.

Download dit bestand: Deljob.exe (mirror)
Plaats het op je bureaublad.
Indien je virusscanner de download van deljob.exe blokkeert,
schakel dan tijdelijk je virusscanner uit of download de zip-versie
deljob.zip en pak deze uit naar je Bureaublad.
Dubbelklik Deljob.exe.
Een logje(logit.txt) zal openen, het bestandje kan je ook terugvinden op je bureaublad.
Post de inhoud van logit.txt in je volgende bericht.
Post ook een nieuw logje van HijackThis

Groeten smeenk

**BD44** · 29-12-07, 15:58

Heel erg bedankt voor je reactie.

Hier is het log van deljob:

--------------------------------------------------------
Backups created in C:\deljob

ABE68CF5919103C1.job
--------------------------------------------------------
Files in Windows Tasks folder

Norton Internet Security - Volledige systeemscan - hofstee.job
--------------------------------------------------------
Export App Data folders

Het volume in station C heeft geen naam.
Het volumenummer is 9413-BFE6

Map van C:\Documents and Settings\hofstee\Application Data

26-12-2007 10:40 <DIR> .
26-12-2007 10:40 <DIR> ..
23-11-2007 15:33 <DIR> Adobe
30-11-2007 15:07 <DIR> Azureus
22-12-2007 10:36 <DIR> BIASBA~1 Bias Bat More
21-10-2007 09:07 <DIR> EPSON
05-10-2007 16:14 <DIR> EUROPA~1 Europa Barbarorum
29-09-2007 14:38 <DIR> GETRIG~1 GetRightToGo
25-12-2007 09:37 <DIR> Google
28-09-2007 15:21 <DIR> IDENTI~1 Identities
20-10-2007 15:13 <DIR> INSTAL~1 InstallShield
13-10-2007 16:53 <DIR> JANESH~1 Jane s Hotel
26-12-2007 10:47 <DIR> Lavasoft
23-11-2007 15:38 <DIR> LEADER~1 Leadertech
19-11-2007 17:25 <DIR> LIMEWI~1 LimeWirePlus
28-09-2007 16:07 <DIR> MACROM~1 Macromedia
27-12-2007 18:01 <DIR> MICROS~1 Microsoft
28-09-2007 18:30 <DIR> MICROS~2 Microsoft Web Folders
26-10-2007 15:12 <DIR> Mozilla
25-12-2007 10:02 <DIR> PCTOOL~2 PCToolsFirewallPlus
29-09-2007 14:38 <DIR> PLAYFI~1 PlayFirst
19-10-2007 16:48 <DIR> Sun
25-12-2007 17:02 <DIR> SUPERA~1.COM SUPERAntiSpyware.com
0 bestand(en) 0 bytes
23 map(pen) 54.074.318.848 bytes beschikbaar
Het volume in station C heeft geen naam.
Het volumenummer is 9413-BFE6

Map van C:\Documents and Settings\All Users\Application Data

27-12-2007 15:10 <DIR> .
27-12-2007 15:10 <DIR> ..
23-11-2007 15:32 <DIR> Adobe
20-10-2007 15:13 <DIR> EPSON
25-12-2007 09:28 <DIR> Google
22-12-2007 10:36 <DIR> JOYCOA~1 Joy coal mpeg heck
26-12-2007 10:47 <DIR> MICROS~1 Microsoft
13-10-2007 11:05 <DIR> SANDLO~1 Sandlot Games
28-09-2007 15:27 <DIR> Support.com
29-12-2007 15:53 <DIR> Symantec
25-12-2007 17:27 <DIR> TEMP
20-10-2007 15:19 <DIR> UDL
28-09-2007 16:59 <DIR> WINDOW~1 Windows Genuine Advantage
17-10-2007 14:34 <DIR> Zylom
0 bestand(en) 0 bytes
14 map(pen) 54.074.318.848 bytes beschikbaar
Het volume in station C heeft geen naam.
Het volumenummer is 9413-BFE6

Map van C:\WINDOWS

--------------------------------------------------------

En hier is het nieuwe log van HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:58:32, on 29-12-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICEE.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Het Net\ADSL Tijd Surfen\ADSLDialIn.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Program Files\Symantec\LiveUpdate\AUPDATE.EXE
C:\Program Files\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Program Files\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Program Files\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Program Files\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Program Files\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Symantec\LiveUpdate\LuCallbackProxy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX8400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICEE.EXE /FU "C:\WINDOWS\TEMP\E_SC8.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ADSL Dial-in.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.13\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.13\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In weblog opnemen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &In weblog opnemen met Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {34F12AFD-E9B5-492A-85D2-40FA4535BE83} (AxProdInfoCtl Class) - http://www.symantec.com/techsupp/activedata/nprdtinf.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://www2.driveragent.com/files/driveragent.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Planner voor Automatische LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 9438 bytes

**smeenk** · 29-12-07, 16:06

Download en installeer dit programma: GV Killer.exe

Dubbelklik het, er zal een text-bestand openen(input.txt)
Verwijder eventueel de text die al in dat bestand staat en plaats de volgende vetgedrukte regels er weer in:

C:\Documents and Settings\hofstee\Application Data\Bias Bat More
C:\Documents and Settings\All Users\Application Data\Joy coal mpeg heck
C:\Program Files\Bias Bat More
C:\deljob

Sluit het textbestand en laat de wijzigingen opslaan
Klik nu op de knop "Kill on reboot" en laat de PC herstarten.
Na de herstart zal GV_Killer.exe opnieuw gestart worden, geef toestemming om de mappen te verwijderen.
Als dat gelukt is mag je GV_Killer afsluiten.

Post daarna een nieuw logje van Deljob.exe en meldt of de problemen voorbij zijn

**BD44** · 29-12-07, 16:26

Bedankt voor je snelle reactie. Ik heb tot nu toe geen CiD popup gehad

Hier is het nieuwe logje van deljob:

--------------------------------------------------------
No LOP job-files found
--------------------------------------------------------
Files in Windows Tasks folder

Norton Internet Security - Volledige systeemscan - hofstee.job
--------------------------------------------------------
Export App Data folders

Het volume in station C heeft geen naam.
Het volumenummer is 9413-BFE6

Map van C:\Documents and Settings\hofstee\Application Data

29-12-2007 16:22 <DIR> .
29-12-2007 16:22 <DIR> ..
23-11-2007 15:33 <DIR> Adobe
30-11-2007 15:07 <DIR> Azureus
21-10-2007 09:07 <DIR> EPSON
05-10-2007 16:14 <DIR> EUROPA~1 Europa Barbarorum
29-09-2007 14:38 <DIR> GETRIG~1 GetRightToGo
25-12-2007 09:37 <DIR> Google
28-09-2007 15:21 <DIR> IDENTI~1 Identities
20-10-2007 15:13 <DIR> INSTAL~1 InstallShield
13-10-2007 16:53 <DIR> JANESH~1 Jane s Hotel
26-12-2007 10:47 <DIR> Lavasoft
23-11-2007 15:38 <DIR> LEADER~1 Leadertech
19-11-2007 17:25 <DIR> LIMEWI~1 LimeWirePlus
28-09-2007 16:07 <DIR> MACROM~1 Macromedia
27-12-2007 18:01 <DIR> MICROS~1 Microsoft
28-09-2007 18:30 <DIR> MICROS~2 Microsoft Web Folders
26-10-2007 15:12 <DIR> Mozilla
25-12-2007 10:02 <DIR> PCTOOL~2 PCToolsFirewallPlus
29-09-2007 14:38 <DIR> PLAYFI~1 PlayFirst
19-10-2007 16:48 <DIR> Sun
25-12-2007 17:02 <DIR> SUPERA~1.COM SUPERAntiSpyware.com
0 bestand(en) 0 bytes
22 map(pen) 54.066.868.224 bytes beschikbaar
Het volume in station C heeft geen naam.
Het volumenummer is 9413-BFE6

Map van C:\Documents and Settings\All Users\Application Data

29-12-2007 16:22 <DIR> .
29-12-2007 16:22 <DIR> ..
23-11-2007 15:32 <DIR> Adobe
20-10-2007 15:13 <DIR> EPSON
25-12-2007 09:28 <DIR> Google
26-12-2007 10:47 <DIR> MICROS~1 Microsoft
13-10-2007 11:05 <DIR> SANDLO~1 Sandlot Games
28-09-2007 15:27 <DIR> Support.com
29-12-2007 15:59 <DIR> Symantec
25-12-2007 17:27 <DIR> TEMP
20-10-2007 15:19 <DIR> UDL
28-09-2007 16:59 <DIR> WINDOW~1 Windows Genuine Advantage
17-10-2007 14:34 <DIR> Zylom
0 bestand(en) 0 bytes
13 map(pen) 54.066.868.224 bytes beschikbaar
Het volume in station C heeft geen naam.
Het volumenummer is 9413-BFE6

Map van C:\WINDOWS

--------------------------------------------------------

**BD44** · 29-12-07, 16:59

Ik heb als een half uur niks meer gehad, dus ik denk dat het probleem is opgelost. Echt hartstikke bedankt voor je hulp

**smeenk** · 29-12-07, 21:56

Graag gedaan hoor

Doe dit nog:
Download ATF cleaner (mirror)(gemaakt door Atribune)

Belangrijk: Sluit al je browservensters(IE en/of Firefox en/of Opera) om de tool goed te kunnen laten werken.

Dubbelklik op ATF cleaner om het programma te starten.
Op het tabblad "Main", plaats je een vinkje bij Select All.
Klik op de knop Empty Selected.

Het volgende doen als je ook FireFox als browser hebt:
Klik op tabblad "Firefox", plaats een vinkje bij Select All.
Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No".
(dit haalt het vinkje weer weg bij "Firefox saved passwords")
Klik op de knop Empty Selected.

Het volgende doen als je ook Opera als browser hebt:
Klik op tabblad "Opera", plaats een vinkje bij Select All.
Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No".
Klik op de knop Empty Selected.
Ga naar het tabblad "Main" en klik op de knop Exit om het programma af te sluiten.

Schakel Systeemherstel uit. Herstart de computer. Schakel Systeemherstel weer in.
Kijk hier hoe je je systeemherstel moet uitschakelen.
Hiermee verwijder je eventuele restanten van de infecties uit je systeemherstel.

Dan denk ik dat alles weer OK is

Mededeling

CiD popup

CiD popup

Comment

Comment

Comment

Comment

Comment

Comment

Comment