haxdoor-H/ hijackthis log ter controle

[ramon28]

Hallo, helaas moet ik na een paar maanden weer terugkeren met een Hijackthislog

Wat info; Spybot S&D blijft maar Haxdoor-H tegenkomen. Hij geeft aan dat het verwijderd is maar bij scannen zit dit er weer. Ook DSO exploit blijft maar tevoorschijn komen, volgens mij was dit de vorige keer geen "gevaarlijk" iets (dat DSO). CWS heeft ook al wat verwijderd wat hij tegenkwam (JKsearch en HiddenDLL). McAfee komt regelmatig met Exploit-ByteVerify die hij niet kan verwijderen. Adaware blijft ook cookies tegenkomen terwijl ik die dan allemaal al verwijderd heb en Spysubtract vindt iets van 109 reg.keys die niet goed zouden zijn.
Al met al een heel verhaal waar ik niet uitkom.
Hopelijk dat jullie mij wat kunnen vertellen/adviseren door het Hijackthis log.


Logfile of HijackThis v1.98.2
Scan saved at 14:04:08, on 20-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe
O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1092988512018
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{75F12E5C-E50B-4B51-8A9B-CC73357A59C9}: NameServer = 194.109.6.66,194.109.9.99

 

[buffy]

In je log is niets te zien waar je je zorgen om zou moeten maken.

Die meldingen van Spybot over DSO-exploits moet je negeren; dat komt namelijk door een foutje in Spybot.

Dat AdAware altijd wel cookies vindt is normaal.


Doe het volgende even:

1. Installeer CleanUp!: http://downloads.stevengould.org/cleanup/CleanUp312.exe
Draai dit programma door op de knop "CleanUp!" te klikken. Dan even geduld hebben tot het venstertje met "CleanUp! Finished..." verschijnt. Enfin, het wijst zichzelf wel, het is een simpel programma.

2. Scan daarna nog eens met Spybot. Worden nog steeds problemen gevonden (afgezien van DSO exploit), plaats het log van Spybot dan even hier.

 

[ramon28]

Goed om te horen dat er geen bijzonderheden zijn.
Ik kan alleen dat CleanUp niet downloaden. De genoemde site werkt wel maar de downloads daar niet. Heb al gezocht naar andere site's maar kan het prog. niet vinden. Even wachten waarschijnlijk.

 

[buffy]

Vreemd, bij mij werkt de download gewoon.

Alternatieve locaties:
http://www.webattack.com/get/cleanup.shtml
http://www.spychecker.com/program/cleanup.html
http://www.antispyware.nextdesigns.net/showsoftware.php?id=1

 

[ramon28]

Ok Buffy,
Gedaan wat je zei maar Spybot komt nog steeds met dat Haxdoor. Weet niet wat het is maar hij geeft het volgende aan;

Cache: Cache (102) (Cache, nothing done) Adobe Acrobat Reader 6: Recent file #2 (Register sleutel, nothing done) HKEY_USERS\S-1-5-21-1659004503-1292428093-839522115-1072\Software\Adobe\Acrobat Reader\6.0\AVGeneral\cRecentFiles\c2 Adobe Acrobat Reader 6: Recent file #1 (Register sleutel, nothing done) HKEY_USERS\S-1-5-21-1659004503-1292428093-839522115-1072\Software\Adobe\Acrobat Reader\6.0\AVGeneral\cRecentFiles\c1 Ahead Nero Burning Rom: Last MP3 directory (Register-verandering., nothing done) HKEY_USERS\S-1-5-21-1659004503-1292428093-839522115-1072\Software\ahead\Nero - Burning Rom\General\OFDLastMP3Dir!= Ahead Nero Burning Rom: Browser directory (Register-verandering., nothing done) HKEY_USERS\S-1-5-21-1659004503-1292428093-839522115-1072\Software\Ahead\Nero - Burning Rom\Settings\BrowserDir!= Ahead Nero Burning Rom: Last Audio directory (Register-verandering., nothing done) HKEY_USERS\S-1-5-21-1659004503-1292428093-839522115-1072\Software\ahead\Nero - Burning Rom\General\OFDLastAudioDir!= Ahead Nero Burning Rom: Working directory (Register-verandering., nothing done) HKEY_USERS\S-1-5-21-1659004503-1292428093-839522115-1072\Software\Ahead\Nero - Burning Rom\Settings\WorkingDir!= Common Dialogs: History (35 files) (Register sleutel, nothing done) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU Cookie: Cookie (1) (Cookie, nothing done) DSO Exploit: Data source object exploit (Register-verandering., nothing done) HKEY_USERS\S-1-5-21-1659004503-1292428093-839522115-1072\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 Haxdoor-H: Settings (Register-verandering., nothing done) HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters\DisableTrayIcon!=B=0 Internet Explorer: User agent (Register-verandering., nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32) Internet Explorer: Download directory (Register-verandering., nothing done) HKEY_USERS\S-1-5-21-1659004503-1292428093-839522115-1072\Software\Microsoft\Internet Explorer\Download Directory!= Internet Explorer: Last used directory (Register-verandering., nothing done) HKEY_USERS\S-1-5-21-1659004503-1292428093-839522115-1072\Software\Microsoft\Internet Explorer\Main\Save Directory!= Internet Explorer: URL history #1 (1 files) (Register sleutel, nothing done) HKEY_USERS\S-1-5-21-1659004503-1292428093-839522115-1072\Software\Microsoft\Internet Explorer\TypedURLs Internet Explorer: User agent (Register-verandering., nothing done) HKEY_USERS\S-1-5-21-1659004503-1292428093-839522115-1072\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; M SIE; Win32) Internet Explorer: User agent (Register-verandering., nothing done) HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32) Internet Explorer: User agent (Register-verandering., nothing done) HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32) Internet Explorer: User agent (Register-verandering., nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32) Log: Shutdown: System32\wbem\logs\wmiprov.log (Back-up bestand, nothing done) C:\WINDOWS\System32\wbem\logs\wmiprov.log Log: Activity: COM+.log (Back-up bestand, nothing done) C:\WINDOWS\COM+.log Log: Activity: imsins.log (Back-up bestand, nothing done) C:\WINDOWS\imsins.log Log: Activity: ntbtlog.txt (Back-up bestand, nothing done) C:\WINDOWS\ntbtlog.txt Log: Activity: OEWABLog.txt (Back-up bestand, nothing done) C:\WINDOWS\OEWABLog.txt Log: Activity: SchedLgU.Txt (Back-up bestand, nothing done) C:\WINDOWS\SchedLgU.Txt Log: Install: Active Setup Log.txt (Back-up bestand, nothing done) C:\WINDOWS\Active Setup Log.txt Log: Install: comsetup.log (Back-up bestand, nothing done) C:\WINDOWS\comsetup.log Log: Install: Directx.log (Back-up bestand, nothing done) C:\WINDOWS\Directx.log Log: Install: DtcInstall.log (Back-up bestand, nothing done) C:\WINDOWS\DtcInstall.log Log: Install: ocgen.log (Back-up bestand, nothing done)


Wel heel verhaal zo. Hoop dat je er wat in kunt vinden.

Groet,
Ramon

 

[ramon28]

Buffy, heb je nog kunnen zien wat dat Haxdoor-H doet?
Ik heb het hele file van spybot er maar op gezet.