Mededeling

**Bobbi Flekman** · 01-01-05, 14:21

Hi Arend,

Ik neem aan dat Admilli niet te verwijderen is via het configuratiescherm?

Het is handig om deze pagina op te slaan in je favorieten zodat je deze makkelijker kan vinden wanneer je terugkomt.

Start HijackThis, klik op "Scan" and kruis de volgende onderdelen aan.

O4 - HKLM\..\Run: [Microsoft Synchronization Manager] svhost.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINNT\RUNDLL16.EXE
O4 - HKLM\..\Run: [Windows+Services] c:\winnt\win32\ntlm.exe
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] svhost.exe
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINNT\system32\ruwm.exe
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] svhost.exe

O23 - Service: MSSvc msnet - Unknown - c:\RECYCLER\system32\MSSvc.EXE
O23 - Service: MSSvc runbatch - Unknown - c:\RECYCLER\system32\MSSvc.EXE

Sluit alle programma's, inclusief browsers, behalve HijackThis. Klik op "Fix checked".

Start je computer in beveiligde modus. Hoe start ik mijn computer in veilige modus?

Zorg dat je verborgen bestanden kan zien. Hoe toon ik verborgen bestanden?

Verwijder de volgende bestanden in rood (het kan zijn dat ze al verwijderd zijn):

C:\WINNT\system32\svhost.exe
C:\WINNT\RUNDLL16.EXE
c:\winnt\win32\ntlm.exe
C:\WINNT\system32\ruwm.exe
Leeg de Prullenbak!

Verwijder de volgende mappen in rood (het kan zijn dat deze al verwijderd zijn):

c:\winnt\win32
C:\Program Files\Admilli Service

Herstart de computer en post een nieuwe log in deze thread.

**Arend** · 01-01-05, 15:46

Verwijder de volgende bestanden in rood (het kan zijn dat ze al verwijderd zijn):

C:\WINNT\system32\svhost.exe
C:\WINNT\RUNDLL16.EXE
c:\winnt\win32\ntlm.exe
C:\WINNT\system32\ruwm.exe
Leeg de Prullenbak!

Verwijder de volgende mappen in rood (het kan zijn dat deze al verwijderd zijn):

c:\winnt\win32
C:\Program Files\Admilli Service¨

Ik kon de bovenstaande bestanden niet verwijderen.
RUNDLL16.exe stond niet in die map, alleen RUNDLL32.exe
De 2 mappen zijn wel verwijderd en zo te zien is de Admilli Service
nu volledig van mijn systeem af!!

Hoe kan ik de bestanden in veilige modus verwijderen??
Het bestand svhost.exe bv. wordt gebruikt door Windows en
staat ook bij mijn processen als ik bij taakbeheer kijk. Kan het
proces niet beeindigen, zelfs niet in de veilige modus.....

Anyway, een update van mijn logbestand:

Logfile of HijackThis v1.99.0
Scan saved at 16:34:58, on 1-1-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
D:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
D:\Program Files\Avant Browser\avant.exe
D:\Program Files\Winamp\winamp.exe
D:\Programs\hijackthis.exe
C:\WINNT\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gmail.google.com/gmail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] D:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Snelstart HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Alle links in deze pagina openen... - D:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Blokkeer alle plaatjes afkomstig van dezelfde server - D:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Markeren - D:\Program Files\Avant Browser\Highlight.htm
O8 - Extra context menu item: Toevoegen aan Reclame Black List - D:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Zoeken - D:\Program Files\Avant Browser\Search.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: Logical Disk Manager Administrative-service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

**Bobbi Flekman** · 02-01-05, 10:23

Hi Arend,

Hoe kan ik de bestanden in veilige modus verwijderen??
Het bestand svhost.exe bv. wordt gebruikt door Windows en
staat ook bij mijn processen als ik bij taakbeheer kijk. Kan het
proces niet beeindigen, zelfs niet in de veilige modus.....

Let heel goed op wat je doet met dit bestand! Heel veel virussen en spyware vermommen zich als een geldig Windows-bestand. Delete niet svchost.exe!!!

Als je je computer opstart in veilige modus, dan kan je gewoon de verkenner openen en naar de mappen/bestanden gaan en ze verwijderen.

We moeten nog evenb wat schoonmaakwerk doen met die twee verwijderde services. Download ServiceFilter van Rand1038. Pak dit uit naar een map als c:\ServiceFilter. Dubbelklik op ServiceFilter.vbs. Dit maakt een bestand aan genaamd Post_This.txt. Kopieer en plak de inhoud van dit bestand in een volgende post.

**Arend** · 02-01-05, 10:50

Tja, ik weet niet of het onvermeidelijk was, maar uiteindelijk
is mijn hele Windhoos gisteravond gecrasht. Het feit dat ik hier
nu al wel weer ben, geeft denk ik al wel aan dat ik Windows er
weer helemaal opnieuw op heb moeten zetten!!

In ieder geval bedankt voor de hulp tot nu toe!
Heb een hoop extra dingetjes geleerd!!

(adaware, spybot, hijackthis...)

Mededeling

Mijn log... (last van Admilli Service?)

Mijn log... (last van Admilli Service?)

Comment

Comment

Comment

Comment