C://windows/system32/ms7531

[Druppel]

Ola, ik heb een probleempje. Ik heb een trojan horse binnen gekregen en die zat in het bestand C://windows/system32/ms7531. Nu heb ik per ongeluk het hele bestand verwijderd. Het probleem is nu dat als ik internetexplorer open, de fout krijg dat hij het bestand C://windows/system32/ms7531 niet kan vinden. Logisch, want die is er niet meer. Hoe kom ik weer aan dat bestand? Het bestand correspondeert namelijk met mijn startpagina, welke ik maar niet kan veranderen.

Alvast super bedankt!

 

[Tanja1968]

Als je prullenbak niet op automatisch legen staat zou je hem terug kunnen halen. Daarna online scannen bij www.housecall.nl en hopen dat hij hem kan repareren.

 

[khk464]

Hoi, zoek hier eens verder:

http://forums.breekpunt.nl/forum/topic.asp?ARCHIVE=true&TOPIC_ID=2483


Groetjes

 

[Jozo]

Hier staat een removel tool:
http://home.wanadoo.nl/fassen/dutch/download.html

Gr Jozo

 

[Tanja1968]

In die link van khk464 stond inderdaad een oplossing. Spybot eroverheen laten draaien. Het schijnt een dialup te zijn. http://beam.to/spybotsd. Maar het bestand moet dan toch eerst teruggehaald zijn.

 

[Kleinkramer]

Je moet het bestand niet terughalen, want het is inderdaad een bekende hijacker.

Windows denkt alleen nog dat het het bestand moet opstarten, hetgeen dus niet het geval is.

Doe dit:
Ga naar http://www.tomcoyote.org/hjt/ , en download daar 'Hijack This'.

Uitpakken, en vervolgens dubbelklikken op HijackThis.exe.
Klik op "Scan", en vervolgens op "Save Log File" , en post vervolgens de inhoud van die log hier.

Laat Hijack This niets fixen vóórdat je ons die log hebt laten zien, want het meeste mag absoluut niet weg!

 

[Druppel]

oke, heb het gedaan en dit is wat ik kreeg in kladblok

Logfile of HijackThis v1.95.0
Scan saved at 12:05:59, on 6-7-2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\Program Files\Norton Internet Security\NISSERV.EXE
C:\Program Files\Norton Internet Security\SymProxySvc.exe
C:\Program Files\Norton Internet Security\IAMAPP.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\PROGRA~1\HotKeys\Ikeymain.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Dik van de Geer\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=file:///C:/WINDOWS/System32/ms7531.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina=C:\WINDOWS\System32\ms7531.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HotKeys\Ikeymain.exe
O4 - HKLM\..\Run: [MS7531] "C:\WINDOWS\System32\ms7531.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: Website (HKCU)
O9 - Extra button: Help (HKCU)
O16 - DPF: {214868A8-F71B-473E-8ECF-6EE1DE6B91D8} - http://pms.localscripts.nl/plugins/1/ms7531_nl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://plugins.10er.nl/cinemaxxxnl360.exe
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.communities.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37478.058599537
O16 - DPF: {A1DC3241-B122-195F-B21A-000000000000} - http://pluginaccess.com/Browser_Plugin.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

[Druppel]

oh sorry vergeten te vertellen, het bestand zit niet meer in mijn prullenbak die is geleegd. Dus dat hele bestand moet ik onieuw installeren

bedankt voor de reacties tot zover

 

[Kleinkramer]

Nee, je moet dat bestand dus NIET opnieuw installeren, evenmin als dat je een virus opnieuw zou willen installeren.

Vink al het volgende aan in Hijack This, en druk dan op "Fix checked".

Even opnieuw opstarten, en wég is de foutmelding.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=file:///C:/WINDOWS/System32/ms7531.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina=C:\WINDOWS\System32\ms7531.html

O4 - HKLM\..\Run: [MS7531] "C:\WINDOWS\System32\ms7531.exe"

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O16 - DPF: {214868A8-F71B-473E-8ECF-6EE1DE6B91D8} - http://pms.localscripts.nl/plugins/1/ms7531_nl.cab
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://plugins.10er.nl/cinemaxxxnl360.exe
O16 - DPF: {A1DC3241-B122-195F-B21A-000000000000} - http://pluginaccess.com/Browser_Plugin.cab

Succes,

 

[Druppel]

Super!!!! Dank je wel, het is helemaal opgelost! Perfect!!

 

[Kleinkramer]

Graag gedaan!

 

[Tanja1968]

"dubbele post ".

 

[Tanja1968]

Kan dus opgelost worden zonder terughalen van bestand heb ik nu geleerd. Ook bedankt voor de les Ton. Dit is toch echt jouw terrein.

Btw. hoe weet je nu met hijjack this wat weg kan en wat niet? (of is dat geheim)

 

[Kleinkramer]

Het is belangrijk om die dingen uit elkaar te houden:

Windows kijkt bij het opstarten naar een flink aantal locaties om te zien wat er opgestart moet worden.
De belangrijkste daarvan zijn de map Opstarten, en de Run en RunServices sleutels in het register.

Dat zie je overigens allemaal keurig bij elkaar gegroepeerd in Msconfig/Opstarten.

Wat je daar ziet (en dat zijn dus weer de O4 Run en Startup dingen in een Hijack This log) zijn niet de bestanden zelf, maar alléén maar register- en andere vermeldingen die Windows eraan herinneren dat ze het bestand waar zo'n vermelding naar verwijst moet laden bij het opstarten.

Wanneer je een melding krijgt dat er een bestand "mist" is het dus allereerst zaak om te kijken van welk programma dat dan wel zou kunnen zijn.

Weet je zeker dat het bestand/programma er niet meer is, moet je dus alleen maar die (register)verwijzing ernaar verwijderen, en dat kan met Msconfig/Opstarten, of d.m.v. een Hijack This log

Dan ben je vervolgens die foutmelding dus kwijt.

En hoe je weet wat er weg kan is niet eenvoudig uit te leggen.

Gekken als Pieter en ik hangen de ganse dag op een stuk of 10 forums (Spywareinfo.com, Cexx.org, Lavasoft, SpyBot, etcetera) rond waar we de ene log naar de andere te zien krijgen.

Ook word je zo continu op de hoogte gegouden van wat er allemaal steeds aan nieuwe ellende uitkomt
Je wordt daar dus handig in, en het gemiddelde logje hebben we in een paar seconden wel bekeken.

In geval van twijfel valt er met Google uiteraard ook veel te ontdekken.

GRtz,

 

[Tanja1968]

Geplaatst door Kleinkramer
Gekken als Pieter en ik hangen de ganse dag op een stuk of 10 forums (Spywareinfo.com, Cexx.org, Lavasoft, SpyBot, etcetera) rond waar we de ene log naar de andere te zien krijgen.
GRtz,

Tnx Ton. Er komt dus wel degelijk een stuk ervaring bij kijken. Er zijn op dit forum inderdaad een paar echte experts.:thumb:

Wat wel heel makkelijk is is dat jullie door dat programma heel snel "moeilijke"problemen zo kunnen oplossen.

Echt klasse!:thumb: (alleen het herkennen doe ik niet zo )

 

[Pieter Arntz]

Geplaatst door Tanja1968

(alleen het herkennen doe ik niet zo )

Afkijken bij Ton. Doe ik ook.

Groetjes,

Pieter

 

[Tanja1968]

[offtopic] Alleen al het doorlezen van alle vragen en antwoorden word je hier al veel wijzer. Maar dat programma van jullie is een vrij nieuw begrip voor mij. Laat ik maar aan jullie over. Iedereen heeft zijn eigen interesses wat computerproblemen aangaat. Dit gaat een beetje boven mijn pet . Maar.........ik ga het afkijken.[/offtopic]

 

[Kleinkramer]

Dit kan een beetje helpen:

HijackThis log tutorial: What's good and what's bad?

Dan blijft er nog genoeg over om af te kijken, maar het wordt wellicht wat duidelijker.

 

[Tanja1968]

Tnx Ton. Staat nu in mijn favorieten. Kan ik iedere keer een beetje meekijken