zou iemand willen bekijken?

Status
Niet open voor verdere reacties.
Missy

Missy

Gebruiker
Lid geworden
22 jun 2004
Berichten
162
Hallo,

Gescand met ad-ware, spybot... Zou iemand voor my Hijackthis willen bekijken!

Groetjes,

Alvast bedankt

Logfile of HijackThis v1.98.2
Scan saved at 14:07:56, on 10-10-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\servers.exe
C:\WINDOWS\System32\wind32.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\wmon32.exe
C:\WINDOWS\System32\msnmsgrr.exe
C:\WINDOWS\ewupdater.exe
C:\WINDOWS\System32\command32.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\calcheck.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Documents and Settings\Administrator.FAMILY-AJ212ZLY\Mijn documenten\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.easywebsearch.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.easywebsearch.nl/ie.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.easywebsearch.nl/ie.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.easywebsearch.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.easywebsearch.nl/ie.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.easywebsearch.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {78545376-8241-C7E5-C71F-6A2E42322ADF} - C:\WINDOWS\system32\netqi.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [reg.reg] servers.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WSAConfiguration] wmon32.exe
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\Run: [ewupdater] C:\WINDOWS\ewupdater.exe
O4 - HKLM\..\Run: [candy] command32.exe
O4 - HKLM\..\Run: [candynet] taskmsg.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] wind32.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\RunServices: [reg.reg] servers.exe
O4 - HKLM\..\RunServices: [WSAConfiguration] wmon32.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [candy] command32.exe
O4 - HKLM\..\RunServices: [candynet] taskmsg.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] wind32.exe
O4 - HKLM\..\RunOnce: [reg.reg] servers.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] wind32.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [reg.reg] servers.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Win32 USB2 Driver] wind32.exe
O4 - HKCU\..\RunOnce: [reg.reg] servers.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] wind32.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express 3.0 SE Calendar Checker.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\calcheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - http://s7.blingblingcontent.com/toolbarcash/activex/easywebinstaller.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/07d68bed34822bc8ed17/netzip/RdxIE601.cab
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://vchat.cvnet.ca/talk.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
 
Laatst bewerkt:
Hallo,

Ik Heb wel geduld! ik dacht,straks is die nou helemaal weg want, niemand kijkt naar de oude onderwerpen....

Misschien te snel beoordeelt, mijn excusses!

Groetjes,
 
Geplaatst door Missy
Hallo,

Ik Heb wel geduld! ik dacht,straks is die nou helemaal weg want, niemand kijkt naar de oude onderwerpen....

Misschien te snel beoordeelt, mijn excusses!

Groetjes,
Klik om te vergroten...
Er wordt wel naar gekeken, maar je hebt hem vandaag geplaatst.
Er staan ook nog log's van gisteren, die nog niet nagekeken zijn.
Je log wordt gerust nagekeken, dat houden de Experts gerust goed bij.:)
Alleen diegene die eerder geplaatst zijn worden, als eerste nagekeken.
Het kan ook nog dat er een ingewikkelde spyware variant tussen zit, dan kan het nog langer duren.
 
:rolleyes: Oh wist ik niet, ik raak snel in de paniek

Alvast bedankt!
 
Geplaatst door Missy

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.easywebsearch.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.easywebsearch.nl/ie.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.easywebsearch.nl/ie.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.easywebsearch.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.easywebsearch.nl/ie.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.easywebsearch.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.com

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {78545376-8241-C7E5-C71F-6A2E42322ADF} - C:\WINDOWS\system32\netqi.dll (file missing)

O4 - HKLM\..\Run: [reg.reg] servers.exe
O4 - HKLM\..\Run: [WSAConfiguration] wmon32.exe
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\Run: [ewupdater] C:\WINDOWS\ewupdater.exe
O4 - HKLM\..\Run: [candy] command32.exe
O4 - HKLM\..\Run: [candynet] taskmsg.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] wind32.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\RunServices: [reg.reg] servers.exe
O4 - HKLM\..\RunServices: [WSAConfiguration] wmon32.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [candy] command32.exe
O4 - HKLM\..\RunServices: [candynet] taskmsg.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] wind32.exe
O4 - HKLM\..\RunOnce: [reg.reg] servers.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] wind32.exe
O4 - HKCU\..\Run: [reg.reg] servers.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] wind32.exe
O4 - HKCU\..\RunOnce: [reg.reg] servers.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] wind32.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - http://s7.blingblingcontent.com/toolbarcash/activex/easywebinstaller.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/07d68bed34822bc8ed17/netzip/RdxIE601.cab
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://vchat.cvnet.ca/talk.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
Klik om te vergroten...



1. Scan met HijackThis, vink de bovenstaande items (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

2. Herstart de pc in veilige modus.
Mocht je niet weten hoe dat moet, kijk dan hier even: http://www.virushelp.nl/veilige_modus.htm

Zorg ervoor dat verborgen bestanden en mappen worden weergegeven.
Hier kun je lezen hoe dat moet: http://users.telenet.be/marcvn/spyware/1117602.htm

Verwijder nu, in veilige modus dus, de volgende bestanden en mappen (voor zover nog aanwezig):

C:\WINDOWS\ewupdater.exe <- dat bestand
C:\WINDOWS\System32\servers.exe <- dat bestand
C:\WINDOWS\System32\wind32.exe <- dat bestand
C:\WINDOWS\System32\wmon32.exe <- dat bestand
C:\WINDOWS\System32\msnmsgrr.exe <- dat bestand
C:\WINDOWS\System32\command32.exe <- dat bestand
C:\Program Files\Windows SyncroAd <- die map

3. Herstart de pc in 'normale modus'.

4. Doe de volgende online virusscans:

- Panda: http://www.pandasoftware.com/activescan/com/activescan_principal.htm
- BitDefender: http://www.bitdefender.com/scan/licence.php

Start na elke scan de pc opnieuw op.

5. Maak een nieuw HijackThis-log en plaats dat hier.
 
Hallo,

Ik heb precies gedaan wat je zei. 36 items aangeklikt en "fix checked" zoals je zei. Daarna mapweergave geschakelt. Toen met veilig mode gestart, ik kon ik alleen deze bestand vinden:
C:\WINDOWS\ewupdater.exe.

Verder gescand, allebei scanners, alleen bleef bij de bitdefender vast aan het laatst, maar alles was al gescand!

Dit is mijn nieuwe hijackthis...

Mijn computer is nu wat sneller, dus bedankt tot zover! Hopelijk ziet het nu wat beter uit.

Groetjes :rolleyes:

Logfile of HijackThis v1.98.2
Scan saved at 23:08:09, on 12-10-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\calcheck.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\devldr32.exe
C:\Documents and Settings\Administrator.FAMILY-AJ212ZLY\Mijn documenten\HIJACKTHIS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express 3.0 SE Calendar Checker.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\calcheck.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
 
Laatst bewerkt:
Okee, dat log ziet er goed uit. Nu nog de restjes opruimen:


1. Schakel systeemherstel uit: rechtsklik op "Deze computer", kies voor "Eigenschappen", kies voor het tabblad "Systeemherstel", plaats een vinkje voor "Systeemherstel op alle stations uitschakelen", klik "OK".

2. Herstart de pc in veilige modus.

Open de Verkenner, ga naar Extra -> Mapopties -> Weergave en zorg voor de volgende instellingen:
- géén vinkje voor "beveiligde besturingssysteembestanden verbergen (aanbevolen)";
- wél een vinkje voor "verborgen bestanden en mappen weergeven".
Klik "Toepassen", klik "OK".

Leeg nu de volgende mappen (de mappen zelf niet verwijderen, maar alles wat erin zit wel):

C:\WINDOWS\Temp

C:\Documents and Settings\gebruikersnaam\Local Settings\Temp
C:\Documents and Settings\gebruikersnaam\Local Settings\Temporary Internet Files

Die laatste twee mappen komen ook bij andere gebruikers voor. Leeg ze voor alle gebruikers.

(Windows zal enkele bestandjes uit de Temporary Internet Files misschien niet willen verwijderen; dat geeft niets.)

Doe, nog steeds in veilige modus, schijfopruiming: Start -> Alle programma's -> Bureau-accessoires -> Systeemwerkset -> Schijfopruiming. Het 'berekenen' kan even duren. Vink alle opties aan.

3. Herstart de pc in normale modus.

4. Download en installeer PurgeIE: ftp://ftp.purgeie.com/purgp202.exe (directe downloadlink)

- Sluit Internet Explorer en je mailprogramma af.

- Start PurgeIE.

(Het ventertje met "Quick Start Information" mag je wegklikken.)

- Klik op de knop Set All Options 'On'.

- Verwijder het vinkje voor 'Run Plugins'.

- Klik op de knop Purge.

(Verschijnt er een mededeling over "Unprotected Cookies", klik dan "Continue".)

- Is PurgeIE klaar, klik dan Exit.

5. Start de pc opnieuw op.

6. Schakel systeemherstel weer in (niet vergeten!).

7. Installeer een antivirusprogramma en een firewall.
 
Laatst bewerkt:
Hallo,

Ja, ik heb alles uitgevoerd behalve stap 7, zal ik ook doen hoor.

Moet ik hier een nieuwe hijackthis plaatsen??

Bedankt voor al de moeite!
:thumb:

Groetjes,
 
Laatst bewerkt:
Nee, een nieuw log is niet nodig. Stap 7 daarentegen is wél nodig - zeer dringend zelfs. Doe dat alsjeblieft zo snel mogelijk, anders zit je voor je het weet weer met dezelfde (of nog veel ergere) problemen.
 
Hallo,

Ja, ik zal stap 7 ik regelen! :thumb:

Volgens mij, had ik een fout gecreerd gisteren want ik vond deze bestanden, Thumbs en desktopoveral in de mappen, dat kwam omdat ik gisteren mappen moest legen zoals je had aangegeven. Toen had ik perongeluk een andere map leeg gehaald :o dus ben ik terug gegaan naar de prullenbak en alles terug gezet, toen opnieuw begonnen maar stond er niet bij stil dat het een fout kon maken :( Toen met spybot gecontroleerd en is nu weg :confused:

Maar bedankt nogmaals voor alles!

Groetjes,
 
Laatst bewerkt:
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan