virus winlogon.exe

[Anoniem2]

kan iemand me alsjeblieft helpen?\r\nik wil het graag zelf oplossen, voordat ik bonje krijg...\r\nik heb al zo\'n programma laten draaien (HijackThis) en het virus is in quarantaine, maar mijn laptop valt telkens uit of loopt vast :S\r\nverder heb ik Norman ook meerdere malen al laten draaien en kan ik het verwijderen, maar aangezien winlogon.exe een belangrijk bestand is, is dat onmogelijk.\r\n\r\ndit is trouwens de uitkomst van HijackThis:\r\n\r\n\r\nLogfile of Trend Micro HijackThis v2.0.2\r\nScan saved at 18:57:00, on 28-4-2009\r\nPlatform: Windows XP SP2 (WinNT 5.01.2600)\r\nMSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)\r\nBoot mode: Normal\r\n\r\nRunning processes:\r\nC:\\WINDOWS\\System32\\smss.exe\r\nC:\\WINDOWS\\system32\\csrss.exe\r\nC:\\WINDOWS\\system32\\winlogon.exe\r\nC:\\WINDOWS\\system32\\services.exe\r\nC:\\WINDOWS\\system32\\lsass.exe\r\nC:\\Norman\\Npm\\bin\\ELOGSVC.EXE\r\nC:\\WINDOWS\\system32\\Ati2evxx.exe\r\nC:\\WINDOWS\\system32\\svchost.exe\r\nC:\\WINDOWS\\system32\\svchost.exe\r\nC:\\WINDOWS\\System32\\svchost.exe\r\nC:\\Norman\\Npm\\Bin\\Zanda.exe\r\nC:\\Norman\\npm\\bin\\nvoy.exe\r\nC:\\WINDOWS\\system32\\svchost.exe\r\nC:\\WINDOWS\\system32\\svchost.exe\r\nC:\\WINDOWS\\system32\\Ati2evxx.exe\r\nC:\\WINDOWS\\Explorer.EXE\r\nC:\\WINDOWS\\system32\\spoolsv.exe\r\nC:\\WINDOWS\\system32\\acs.exe\r\nC:\\WINDOWS\\system32\\svchost.exe\r\nC:\\Program Files\\Atheros\\ACU\\Utility\\ACU.exe\r\nC:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\r\nC:\\WINDOWS\\AGRSMMSG.exe\r\nC:\\Norman\\Npm\\Bin\\ZLH.EXE\r\nC:\\Program Files\\Java\\jre1.5.0_04\\bin\\jusched.exe\r\nC:\\Program Files\\QuickTime\\qttask.exe\r\nC:\\Program Files\\Common Files\\InstallShield\\UpdateService\\issch.exe\r\nC:\\WINDOWS\\system32\\ctfmon.exe\r\nC:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe\r\nC:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpohmr08.exe\r\nC:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpotdd01.exe\r\nC:\\Program Files\\Microsoft Office\\Office\\OSA.EXE\r\nC:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpoevm08.exe\r\nC:\\WINDOWS\\system32\\PSIService.exe\r\nC:\\Program Files\\Analog Devices\\SoundMAX\\SMAgent.exe\r\nC:\\WINDOWS\\System32\\PAStiSvc.exe\r\nC:\\WINDOWS\\system32\\svchost.exe\r\nC:\\WINDOWS\\system32\\wbem\\wmiprvse.exe\r\nC:\\Program Files\\Hewlett-Packard\\Digital Imaging\\Bin\\hpoSTS08.exe\r\nC:\\WINDOWS\\System32\\alg.exe\r\nC:\\Norman\\Npm\\Bin\\Nvcsched.exe\r\nC:\\Norman\\Npm\\Bin\\Njeeves.exe\r\nC:\\Norman\\nse\\bin\\NSESVC.EXE\r\nC:\\Norman\\Nvc\\bin\\nvcoas.exe\r\nC:\\Norman\\Nvc\\Bin\\Nip.exe\r\nC:\\Norman\\nvc\\bin\\nvcod.exe\r\nC:\\Norman\\Nvc\\Bin\\cclaw.exe\r\nC:\\Program Files\\Internet Explorer\\iexplore.exe\r\nC:\\WINDOWS\\system32\\wuauclt.exe\r\nC:\\Program Files\\Trend Micro\\HijackThis\\HijackThis.exe\r\nC:\\WINDOWS\\system32\\wbem\\wmiprvse.exe\r\n\r\nR0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = [url]http://www.marktplaats.nl/[/url]\r\nR1 - HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings,ProxyOverride = *.local\r\nR0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Toolbar,LinksFolderName = Koppelingen\r\nO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\\Program Files\\Adobe\\Acrobat 5.0\\Reader\\ActiveX\\AcroIEHelper.ocx\r\nO2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\\Program Files\\Windows Live\\Messenger\\wlchtc.dll\r\nO2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\\Program Files\\Common Files\\Microsoft Shared\\Windows Live\\WindowsLiveLogin.dll\r\nO4 - HKLM\\..\\Run: [ACU] C:\\Program Files\\Atheros\\ACU\\Utility\\ACU.exe -nogui\r\nO4 - HKLM\\..\\Run: [ATIPTA] C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\r\nO4 - HKLM\\..\\Run: [AGRSMMSG] AGRSMMSG.exe\r\nO4 - HKLM\\..\\Run: [Norman ZANDA] \"C:\\Norman\\Npm\\Bin\\ZLH.EXE\" /LOAD /SPLASH\r\nO4 - HKLM\\..\\Run: [SunJavaUpdateSched] C:\\Program Files\\Java\\jre1.5.0_04\\bin\\jusched.exe\r\nO4 - HKLM\\..\\Run: [QuickTime Task] \"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime\r\nO4 - HKLM\\..\\Run: [ISUSPM Startup] C:\\PROGRA~1\\COMMON~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup\r\nO4 - HKLM\\..\\Run: [ISUSScheduler] \"C:\\Program Files\\Common Files\\InstallShield\\UpdateService\\issch.exe\" -start\r\nO4 - HKCU\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\ctfmon.exe\r\nO4 - HKCU\\..\\Run: [MsnMsgr] \"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe\" /background\r\nO4 - HKUS\\S-1-5-19\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'Lokale service\')\r\nO4 - HKUS\\S-1-5-20\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'Netwerkservice\')\r\nO4 - HKUS\\S-1-5-18\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'SYSTEM\')\r\nO4 - HKUS\\.DEFAULT\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'Default user\')\r\nO4 - Startup: Adobe Gamma.lnk = C:\\Program Files\\Common Files\\Adobe\\Calibration\\Adobe Gamma Loader.exe\r\nO4 - Global Startup: hp psc 1000 series.lnk = ?\r\nO4 - Global Startup: hpoddt01.exe.lnk = ?\r\nO4 - Global Startup: Microsoft Office Snelzoeken.lnk = C:\\Program Files\\Microsoft Office\\Office\\FINDFAST.EXE\r\nO4 - Global Startup: Office Opstarten.lnk = C:\\Program Files\\Microsoft Office\\Office\\OSA.EXE\r\nO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\\Program Files\\Java\\jre1.5.0_04\\bin\\npjpi150_04.dll\r\nO9 - Extra \'Tools\' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\\Program Files\\Java\\jre1.5.0_04\\bin\\npjpi150_04.dll\r\nO9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\\Documents and Settings\\Gebruiker\\Menu Start\\Programma\'s\\IMVU\\Run IMVU.lnk\r\nO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe\r\nO9 - Extra \'Tools\' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe\r\nO12 - Plugin for .spop: C:\\Program Files\\Internet Explorer\\Plugins\\NPDocBox.dll\r\nO16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - [url]http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab[/url]\r\nO16 - DPF: {138E6DC9-722B-4F4B-B09D-95D191869696} (Bebo Uploader Control) - [url]http://www.bebo.com/files/BeboUploader.5.1.4.cab[/url]\r\nO16 - DPF: {459E93B6-150E-45D5-8D4B-45C66FC035FE} (get_atlcom Class) - [url]http://apps.corel.com/nos_dl_manager_dev/plugin/IEGetPlugin.ocx[/url]\r\nO16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - [url]http://lads.myspace.com/upload/MySpaceUploader1006.cab[/url]\r\nO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - [url]http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab[/url]\r\nO16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - [url]http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab[/url]\r\nO16 - DPF: {63D6DD13-C913-466D-9444-9357561E4D94} (upload toepassing Control) - [url]http://www.mijnalbum.nl/v3/skinsrc/core/system/ma5.5.9/uploadtoepassing.cab[/url]\r\nO16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - [url]http://go.divx.com/plugin/DivXBrowserPlugin.cab[/url]\r\nO16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - [url]http://game13.zylom.com/activex/zylomgamesplayer.cab[/url]\r\nO16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - [url]http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab[/url]\r\nO16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - [url]http://cache.hyves-static.net/statics/Aurigma/ImageUploader4.cab[/url]\r\nO16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - [url]http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab[/url]\r\nO23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\\WINDOWS\\system32\\acs.exe\r\nO23 - Service: Adobe LM Service - Adobe Systems - C:\\Program Files\\Common Files\\Adobe Systems Shared\\Service\\Adobelmsvc.exe\r\nO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\\WINDOWS\\system32\\Ati2evxx.exe\r\nO23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\\Norman\\Npm\\bin\\ELOGSVC.EXE\r\nO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\\Program Files\\Common Files\\InstallShield\\Driver\\1050\\Intel 32\\IDriverT.exe\r\nO23 - Service: Norman NJeeves - Norman ASA - C:\\Norman\\Npm\\Bin\\Njeeves.exe\r\nO23 - Service: Norman ZANDA - Norman ASA - C:\\Norman\\Npm\\Bin\\Zanda.exe\r\nO23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\\Norman\\nse\\bin\\NSESVC.EXE\r\nO23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\\Norman\\Nvc\\bin\\nvcoas.exe\r\nO23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\\Norman\\Npm\\Bin\\Nvcsched.exe\r\nO23 - Service: Norman Resource Provider (NVOY) - Norman ASA - C:\\Norman\\npm\\bin\\nvoy.exe\r\nO23 - Service: Pml Driver HPZ12 - Unknown owner - C:\\WINDOWS\\system32\\HPZipm12.exe (file missing)\r\nO23 - Service: ProtexisLicensing - Unknown owner - C:\\WINDOWS\\system32\\PSIService.exe\r\nO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\\Program Files\\Analog Devices\\SoundMAX\\SMAgent.exe\r\nO23 - Service: STI Simulator - Unknown owner - C:\\WINDOWS\\System32\\PAStiSvc.exe\r\n\r\n--\r\nEnd of file - 8459 bytes

[Anoniem2]

verder heb ik norman laten draaien en daar kwam uit dat ik 2 virussen op mijn laptop heb zitten.\r\n1 in winlogon.exe \r\nen\r\n1 in HPZipmiz.exe\r\n\r\ndie laatste blijkt niet geheel gevaarlijk te zijn, maar kan ik deze alsnog verwijderen??

[Anoniem2]

Logje ziet er nochtans netjes uit. Doe voor alle zekerheid even dit:\r\n\r\nDownload [b][url=http://www.besttechie.net/tools/mbam-setup.exe]MBAM (Malwarebytes\' Anti-Malware).[/url][/b]\r\n\r\nDubbelklik op mbam-setup.exe om het programma te installeren.\r\n\r\nZorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes\' Anti-Malware en Start Malwarebytes\' Anti-Malware, Klik daarna op \"Voltooien\".\r\nIndien een update gevonden werd, zal die gedownload en geïnstalleerd worden.\r\nWanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : \"Snelle Scan\", daarna klik op Scan.\r\nHet scannen kan een tijdje duren, dus wees geduldig.\r\nWanneer de scan voltooid is, klik op OK, daarna \"Bekijk Resultaten\" om de resultaten te zien.\r\nZorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.\r\nNa het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder)\r\nDe log wordt automatisch bewaard door MBAM en kan je terugvinden door op de \"Logs\" tab te klikken in MBAM.\r\n\r\nIndien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken.\r\nDaarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.\r\n\r\nPlak de inhoud van het logje in je volgende bericht

[Anoniem2]

super :D ik ben er nu mee bezig, heb het al eerder willen doen, maar toen liep mijn laptop telkens weer vast :S

[Anoniem2]

Malwarebytes\' Anti-Malware 1.36\r\nDatabase versie: 2058\r\nWindows 5.1.2600 Service Pack 2\r\n\r\n2-5-2009 9:44:55\r\nmbam-log-2009-05-02 (09-44-55).txt\r\n\r\nScan type: Snelle Scan\r\nObjecten gescand: 80910\r\nVerstreken tijd: 15 minute(s), 48 second(s)\r\n\r\nGeheugenprocessen geïnfecteerd: 0\r\nGeheugenmodulen geïnfecteerd: 0\r\nRegistersleutels geïnfecteerd: 3\r\nRegisterwaarden geïnfecteerd: 0\r\nRegisterdata bestanden geïnfecteerd: 2\r\nMappen geïnfecteerd: 3\r\nBestanden geïnfecteerd: 1\r\n\r\nGeheugenprocessen geïnfecteerd:\r\n(Geen kwaadaardige items gevonden)\r\n\r\nGeheugenmodulen geïnfecteerd:\r\n(Geen kwaadaardige items gevonden)\r\n\r\nRegistersleutels geïnfecteerd:\r\nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\shoppingreport (Adware.Shopping.Report) -> Quarantined and deleted successfully.\r\nHKEY_CURRENT_USER\\SOFTWARE\\ShoppingReport (Adware.Shopping.Report) -> Quarantined and deleted successfully.\r\nHKEY_LOCAL_MACHINE\\SOFTWARE\\ShoppingReport (Adware.Shopping.Report) -> Quarantined and deleted successfully.\r\n\r\nRegisterwaarden geïnfecteerd:\r\n(Geen kwaadaardige items gevonden)\r\n\r\nRegisterdata bestanden geïnfecteerd:\r\nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Security Center\\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.\r\nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Security Center\\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.\r\n\r\nMappen geïnfecteerd:\r\nC:\\Program Files\\ShoppingReport (Adware.Shopping.Report) -> Quarantined and deleted successfully.\r\nC:\\Program Files\\ShoppingReport\\Bin (Adware.Shopping.Report) -> Quarantined and deleted successfully.\r\nC:\\Program Files\\ShoppingReport\\Bin\\2.5.0 (Adware.Shopping.Report) -> Quarantined and deleted successfully.\r\n\r\nBestanden geïnfecteerd:\r\nC:\\Program Files\\ShoppingReport\\Uninst.exe (Adware.Shopping.Report) -> Quarantined and deleted successfully.

[Anoniem2]

en Norman geeft nu ook aan dat ik een claw heb (A)

[Anoniem2]

[QUOTE=tinkieme;461745]en Norman geeft nu ook aan dat ik een claw heb (A)[/QUOTE] Een wat ???