hijack log

deb's · 15 apr 2003

Goedemorgen allemaal,

Ik heb ns rondgekeken op de helpmij en nu heb ik ook hijackthis geiinstalleerd, nu wil ik ns iemand er naar laten kijken die er verstand van heeft,voordat ik allemaal dingen weghaal die niet weg mogen. Willen jullie alsjeblieft even kijken naar mijn logfile en mij advies geven? Heel erg bedankt.

Logfile of HijackThis v1.93.0
Scan saved at 8:38:10, on 15-4-03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.planet.nl/
O1 - Hosts: 216.239.37.101 www.kazaagold.com
O1 - Hosts: 216.239.37.101 kazaagold.com
O1 - Hosts: 216.239.37.101 www.k-lite.com
O1 - Hosts: 216.239.37.101 www.kazaa-download.de
O1 - Hosts: 216.239.37.101 www.mp3downloadhq.com
O1 - Hosts: 216.239.37.101 www.easymusicdownload.com
O1 - Hosts: 216.239.37.101 easymusicdownload.com
O1 - Hosts: 216.239.37.101 www.mp3madeeasy.com
O1 - Hosts: 216.239.37.101 www.monstershare.com
O1 - Hosts: 216.239.37.101 www.kazaa-plus.net
O1 - Hosts: 216.239.37.101 kazaa-plus.net
O1 - Hosts: 216.239.37.101 www.kazaa-plus.com
O1 - Hosts: 216.239.37.101 www.edonkey.com
O1 - Hosts: 216.239.37.101 www.kazaa-file-sharing-downloads.com
O1 - Hosts: 216.239.37.101 www.kazaaplatinum.com
O1 - Hosts: 216.239.37.101 www.madeformusic.com
O1 - Hosts: 216.239.37.101 ikazaa.net
O1 - Hosts: 216.239.37.101 www.mp3u.com
O1 - Hosts: 216.239.37.101 www.mp3specialty.com
O1 - Hosts: 216.239.37.101 music-download-world.com
O1 - Hosts: 216.239.37.101 song-download-world.com
O1 - Hosts: 216.239.37.101 www.flixs.net
O1 - Hosts: 216.239.37.101 www.ishareit.net
O1 - Hosts: 216.239.37.101 www.ishareit.com
O1 - Hosts: 216.239.37.101 www.download-doctor.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {7559B76E-0222-4d77-9499-CCE9EB4EDC2F} - C:\ADSHIELD\ADSHIELD.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Multimedia Keyboard] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [EM_EXEC] c:\MOUSE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVG_CC] c:\AVGANT~1\avgcc32.exe /STARTUP
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
O4 - HKLM\..\RunServices: [Avgserv9.exe] c:\AVGANT~1\Avgserv9.exe
O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Global Startup: ZoneAlarm.lnk = C:\zonealarm\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Add to &Block List... - c:\ADSHIELD\suppress.htm
O8 - Extra context menu item: &Maintain Block List... - c:\ADSHIELD\maintain.htm
O8 - Extra context menu item: AdShield Option &Settings... - c:\ADSHIELD\settings.htm
O9 - Extra button: AdShield (HKCU)
O10 - Broken Internet access because of LSP provider 'c:\windows\newdotnet2_78.dll' missing
O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll
O12 - Plugin for .avi: C:\PROGRA~1\Intern~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (IPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2003031901/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://194.179.58.227/AxisCamControl.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://photos.msn.nl/r/neutral/controls/MsnPUpld.cab?5,0,1730,0
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37595.160162037
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (sys Class) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB

Pieter Arntz · 15 apr 2003

Niks mis mee. Ik vind het alleen raar als je hier geen last van hebt:
O10 - Broken Internet access because of LSP provider 'c:\windows\newdotnet2_78.dll' missing

Het is alleen beter om deze met
LSPfix te repareren.
Run het programma en laat alleen iets repareren dat in het rechtervenster (Remove) verschijnt.

Hoe kom je trouwens aan die mooie hosts file?

Groetjes,

Pieter

blaataap · 15 apr 2003

Ik vraag me alleen af of ze al die url's hier wel zo leuk vinden

virtually · 15 apr 2003

bij deze mijn log maar volgens mij zit dat wel snor

grtz

bartb112 · 15 apr 2003

Dan doe ik ook even mee !

Logfile of HijackThis v1.91.2
Scan saved at 12:16:17, on 15-4-2003
Platform: Windows XP
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.startpagina.nl/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\program files\adobe\acro\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\norton\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Program Files\adobe\acro\Distillr\AcroTray.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ontvang alles met FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Ontvang met FlashGet - D:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

deb's · 15 apr 2003

Geplaatst door Pieter Arntz
Niks mis mee. Ik vind het alleen raar als je hier geen last van hebt:
O10 - Broken Internet access because of LSP provider 'c:\windows\newdotnet2_78.dll' missing

Het is alleen beter om deze met
LSPfix te repareren.
Run het programma en laat alleen iets repareren dat in het rechtervenster (Remove) verschijnt.

Hoe kom je trouwens aan die mooie hosts file?

Groetjes,

Pieter

Hoi pieter,
dat newdotnet2 gedoe hebben ze mij geloof ik ns geadviseerd om dat verwijderen. Wat bedoel je met die mooie hosts file??? misschien stom maar ik weet niet wat je bedoelt.

groetjes
debby

Pieter Arntz · 15 apr 2003

Geplaatst door virtually
bij deze mijn log maar volgens mij zit dat wel snor

:thumb: snor

Had niet anders verwacht.

Groetjes,

Pieter

Pieter Arntz · 15 apr 2003

Geplaatst door bartb112
Dan doe ik ook even mee !

Ik mis Windows update, een firewall en ben niet zo dol op Flashget, maar is schoon.

Groetjes,

Pieter

Pieter Arntz · 15 apr 2003

Geplaatst door deb's

Wat bedoel je met die mooie hosts file??? misschien stom maar ik weet niet wat je bedoelt.

Is niet stom.

Dit: O1 - Hosts: 216.239.37.101 www.kazaagold.com
O1 - Hosts: 216.239.37.101 kazaagold.com
O1 - Hosts: 216.239.37.101 www.k-lite.com
O1 - Hosts: 216.239.37.101 www.kazaa-download.de
O1 - Hosts: 216.239.37.101 www.mp3downloadhq.com
O1 - Hosts: 216.239.37.101 www.easymusicdownload.com
O1 - Hosts: 216.239.37.101 easymusicdownload.com
O1 - Hosts: 216.239.37.101 www.mp3madeeasy.com
O1 - Hosts: 216.239.37.101 www.monstershare.com
O1 - Hosts: 216.239.37.101 www.kazaa-plus.net
O1 - Hosts: 216.239.37.101 kazaa-plus.net
O1 - Hosts: 216.239.37.101 www.kazaa-plus.com
O1 - Hosts: 216.239.37.101 www.edonkey.com
O1 - Hosts: 216.239.37.101 www.kazaa-file-sharing-downloads.com
O1 - Hosts: 216.239.37.101 www.kazaaplatinum.com
O1 - Hosts: 216.239.37.101 www.madeformusic.com
O1 - Hosts: 216.239.37.101 ikazaa.net
O1 - Hosts: 216.239.37.101 www.mp3u.com
O1 - Hosts: 216.239.37.101 www.mp3specialty.com
O1 - Hosts: 216.239.37.101 music-download-world.com
O1 - Hosts: 216.239.37.101 song-download-world.com
O1 - Hosts: 216.239.37.101 www.flixs.net
O1 - Hosts: 216.239.37.101 www.ishareit.net
O1 - Hosts: 216.239.37.101 www.ishareit.com
O1 - Hosts: 216.239.37.101 www.download-doctor.com

staat in je hosts file. Allemaal "gevaarlijke" adressen die omgeleid worden naar Google.

Leesvoer hosts file: http://www.helpmij.nl/forum/showthread.php?threadid=91986

Groetjes,

Pieter

bartb112 · 15 apr 2003

Geplaatst door Pieter Arntz

Ik mis Windows update, een firewall en ben niet zo dol op Flashget, maar is schoon.

Groetjes,

Pieter

Ben niet zo dol op de windows update

waarom weet ik niet meer

Werk achter een router met ingebouwde firewall .

Flashget werk ik nu al bijna 2 jaar mee die is echt super snapt zelfs mijn vrouw hoe die werkt !!
met b.v. DAP heb ik wel redelijke problemen gehad en die zit ook vol spyware wat flashget niet heeft !

deb's · 15 apr 2003

Geplaatst door Pieter Arntz

Is niet stom.

staat in je hosts file. Allemaal "gevaarlijke" adressen die omgeleid worden naar Google.

Leesvoer hosts file: http://www.helpmij.nl/forum/showthread.php?threadid=91986

Groetjes,

Pieter

Dit is dus in orde dan? En hoef ik hier niks aan te doen? Hoe ik eraan kom weet ik ook niet haha, misschien veel zoeken met google? I don't know

thanxx
debby

Eagle Creek · 15 apr 2003

Pieter. Mijn ZAP voegt aan elke pagina


<script language='javascript' src='http://127.0.0.1:1027/js.cgi?a&r=31754'></script>

toe. Is dat dus net zoiets?

Blue Thunder · 15 apr 2003

Dan deze.

Logfile of HijackThis v1.92.0
Scan saved at 13:12:48, on 15-4-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.paradigit.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe"
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKCU\..\Run: [Pulse] C:\Program Files\Pulse\Pulse.exe -splash
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - Startup: SpywareGuard Control Panel.lnk = C:\Program Files\SpywareGuard\spywareguardcp.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Look for Spybot-S&&D updates (HKLM)
O9 - Extra 'Tools' menuitem: Look for Spybot-S&&D updates (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.paradigit.nl
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {5B27C20D-FFB6-4054-BA78-DE4A059BC75A} (Microsoft Office Template Downloader) - http://office.microsoft.com/dutch/TemplateGallery/msotd.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37657.0533680556
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Weet niet waar deze van zijn,
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Hijackthis geeft aan dat dit gedaan kan zijn door hijackers of een programma dat je startpagina beveiligd.

Deze is bij mij ook onbekend,
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

Pieter Arntz · 15 apr 2003

Geplaatst door XP_PC
Pieter. Mijn ZAP voegt aan elke pagina


<script language='javascript' src='http://127.0.0.1:1027/js.cgi?a&r=31754'></script>

toe. Is dat dus net zoiets?

Nee, dat lijkt me een opdracht dat Javascript alleen locaal (dus op je eigen computer) mag worden uitgevoerd.
Als je het precies wilt weten zou ik het moeten navragen.

Groetjes,

Pieter

Pieter Arntz · 15 apr 2003

Geplaatst door Blue Thunder
Dan deze.

Weet niet waar deze van zijn,
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Hijackthis geeft aan dat dit gedaan kan zijn door hijackers of een programma dat je startpagina beveiligd.

Deze is bij mij ook onbekend,
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

Deze lijkt mij dubbel:

O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"

De O6 items zijn waarschijnlijk van Spybot S&D (zie bijlage)
De O12 is normaal.

Met de bescherming van SpywareGuard en Spybot S&D kan je (bijna) niks gebeuren.
:thumb:

Groetjes,

Pieter

Pieter Arntz · 15 apr 2003

Geplaatst door deb's

Dit is dus in orde dan?

Ja hoor. :thumb:

deb's · 15 apr 2003

Geplaatst door Pieter Arntz

Ja hoor. :thumb:

thanxx
Je hebt het gelijk druk he, duur mijn vraag haha.

groetjes !!!!!!!!1

Pieter Arntz · 15 apr 2003

Geplaatst door deb's

thanxx
Je hebt het gelijk druk he, duur mijn vraag haha.

groetjes !!!!!!!!1

Dat geeft niet.

Groetjes,

Pieter

Blue Thunder · 15 apr 2003

De O6 items zijn waarschijnlijk van Spybot S&D (zie bijlage)

Dat zal wel eens kunnen kloppen ik heb namelijk de twee onderste aangevinkt staan als beveiliging voor m'n kinderen.

Pieter Arntz · 15 apr 2003

Dat klopt dan, het verwijderen in HijackTHis zou dan deze beveiliging weer ongedaan maken.
Dus mooi zo laten.

Groetjes,

Pieter

hijack log

Gebruiker

Spywareslayer

Gebruiker

Gebruiker

Bijlagen

Terugkerende gebruiker

Gebruiker

Spywareslayer

Spywareslayer

Spywareslayer

Terugkerende gebruiker

Gebruiker

Verenigingslid

Gebruiker

Spywareslayer

Spywareslayer

Bijlagen

Spywareslayer

Gebruiker

Spywareslayer

Gebruiker

Spywareslayer

Wij waarderen jouw privacy