Helpmij tegen spyware offensief (deel 4)

Status
Niet open voor verdere reacties.
Re: Hijack log IRRITANT.A

Geplaatst door Tinky
Daar komt ie dan,

Alvast bedankt voor enige aanwijzingen wat te doen.
Klik om te vergroten...

Hallo Tinky,
Je hebt een bijna schone log, eentje waar menig persoon jaloers op zou kunnen zijn.
Jouw probleem is iets anders, zie mijn reactie in je oorspronkelijke vraag.
Op de eerste plaats wil ik je dringend adviseren om je Windows en Internet explorer te updaten
Daarnaast moet je ook even Hijack This uitpakken uit de zip en in een eigen aparte map zetten, Hijack This maakt namelijk backups van de bestanden die hij fixt, en op dezemanier gaat dat niet.

In je Hijack Log zit 1 item die 8 van de 10 mensen ook hebben. Namelijk deze:
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} - http://dialxs.nl/install/dialxs.ocx
Wat je moet doen is het volgende,
Nadat je Hijack This in een eigen map hebt gezet open je die en scan je weer.
Vink vervolgens alleen dat hierboven staande item aan. Sluit alle schermen behalve Hijack This en klik op fix checked.

Daarna herstart je even de PC en klaar is kees.
Groeten,
Olav
 
Laatst bewerkt:
Re: hijacklijst

Geplaatst door philipe
Ik heb 3 accounts op mijn computer, hiervan is er nu één normaal bruikbaar, bij de andere is alleen een blauw scherm.
Configuratiescherm werkt niet, internet email niet, alleen wat opgeslagen spelletjes en programma's werken nog.
Tijdens opstarten krijg ik de melding dat windows de bestanden niet kan laden.
Bijlage bevat hijackthis.log.
Klik om te vergroten...

Hallo Philipe,
Wil je de inhoud van je log hier als bericht kopieren?

Bijlage kan/mag geen .log zijn, maar mag alleen gif, jpg, png, txt, zip, bmp, jpeg, doc of rar zijn
Groeten,
Olav
 
Geplaatst door roelie2003
Kan iemand hier ff na kijken?
Alvast bedankt:thumb:


O2 - BHO: (no name) - {00A0A40C-F432-4C59-BA11-B25D142C7AB7} - C:\WINDOWS\System32\mskceo.dll <-- Clientman

O2 - BHO: (no name) - {0982868C-47F0-4EFB-A664-C7B0B1015808} - C:\WINDOWS\System32\mskhhe.dll
O2 - BHO: (no name) - {0BA1C6EB-D062-4E37-9DB5-B07743276324} - C:\WINDOWS\System32\msdaim.dll
O2 - BHO: (no name) - {25F7FA20-3FC3-11D7-B487-00D05990014C} - C:\WINDOWS\System32\mskpkc.dll
O2 - BHO: (no name) - {447160CD-ECF5-4EA2-8A8A-1F70CA363F85} - C:\WINDOWS\System32\msibkd.dll
O2 - BHO: (no name) - {94927A13-4AAA-476A-989D-392456427688} - C:\WINDOWS\System32\msjfbl.dll
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Net Transport\NTIEHelper.dll
O2 - BHO: (no name) - {CC916B4B-BE44-4026-A19D-8C74BBD23361} - C:\WINDOWS\System32\msedah.dll
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\System32\msnkmi.dll

O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"

O8 - Extra context menu item: Ontvang alle bestanden door Net Transport - C:\PROGRA~1\NETTRA~1\NTAddList.html
O8 - Extra context menu item: Ontvangst door Net Transport - C:\PROGRA~1\NETTRA~1\NTAddLink.html

O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://www.x0.nl/install2/dialxs.ocx [/url]
Klik om te vergroten...

Hallo Roellie2003,

op de eerste plaats, download de volgende 2 programma's:
CWShredder.
ClientMan removal tool
Start de ClientMan removal tool en laat hem ClientMan verwijderen.

Start daarna Hijack this op en vink de bovenstaande items (of wat er nog over is) aan in je Hijack This, sluit alle schermen, behalve Hijack This zelf. Klik daarna op Fix Checked.

Herstart daarna de PC in veilige modus en verwijder:
C:\Program Files\AutoUpdate\ <-- Hele map
C:\Program Files\Net Transport <-- Hele map

Herstart nog niet, maar blijf in veilige mode.
Laat nu CWShredder runnen, klik op de knop Fix en volg de aanwijzingen.

Controleer daarna handmatig of de volgende bestanden echt weg zijn:
C:\WINDOWS\System32\mskhhe.dll
C:\WINDOWS\System32\msdaim.dll
C:\WINDOWS\System32\mskpkc.dll
C:\WINDOWS\System32\msibkd.dll
C:\WINDOWS\System32\msjfbl.dll
C:\WINDOWS\System32\msedah.dll
C:\WINDOWS\System32\msnkmi.dll
Zo niet, dan handmatig verwijderen.

Herstart de PC weer normaal op en scan nogmaals met Hijack This en controleer of alles inderdaad weg is.
Succes,
Olav
 
Geplaatst door Raisa


Olav,

Nou, die google toolbar heb ik er zelf gezet dus die laat ik maar staan !

Verder geen problemen ! Scan bijna dagelijks met Ad-Aware, Spybot en Housecall + NAV...maar af en toe plaats ik toch eens een log om te zien of er niets door de mazen van het net geglipt is...

Groetjes,
Raisa
Klik om te vergroten...

prima ! :thumb:
Vooral doorgaan
Olav
 
hijack

Hallo, ik heb problemen met mijn computer, heb spybot gebruikt.
Is er iets vreemds te zien? en wat moet ik doen.
B.V.H.D


Logfile of HijackThis v1.97.7
Scan saved at 21:41:36, on 21-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\IP Insight\ARMon32a.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton Internet Security\NISSERV.EXE
C:\Program Files\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Norton Internet Security\IAMAPP.EXE
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\Messenger Plus! 2\MsgPlus1.exe
E:\Dragdiag.exe
C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
E:\Program Files\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
D:\PROGRA~1\INCRED~1\bin\IMAPP.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\gerda.COMPGERDA\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.sexofactory.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sexofactory.com/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.planet.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.incredimail.com/gallery.asp?typeId=6&lang=19&addon=IncrediMail&pn=32189396
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sexofactory.com/ie
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [CrazyTalk Serve] rundll32.exe C:\WINDOWS\System32\CrazyTalk.dll,DllServeMediaFile
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [ThrustTSR] C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus1.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "E:\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKLM\..\Run: [DM_Server] C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe /onreboot
O4 - HKLM\..\Run: [CloneCDTray] "E:\Program Files\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [IncredimailDownloader] C:\WINDOWS\DOWNLO~1\CONFLICT.1\imloader.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .au: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .png: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.planet.nl
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Fun Web Products Installer Start) - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.5.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37685.5786342593
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
 
Klopt dit of staan er rare dingen bij Sorry voor het verkeerd plaatsen nico

ogfile of HijackThis v1.97.7
Scan saved at 0:20:14, on 22-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\LEXBCES.EXE
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\system32\LEXPPS.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\WINDOWS.0\System32\ctfmon.exe
C:\WINDOWS.0\System32\rundll32.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS.0\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\explorer.exe
C:\Program Files\MailWasher Pro\MailWasher.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\My Downloads\Stinger Controleert op Trojans.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Nico\Local Settings\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://216.239.37.99/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {0189EB34-1E23-FDD4-0F38-AFA9AD4D1C7C} - C:\WINDOWS.0\system32\bgxilffc.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5B00DFC5-E169-01DF-96C6-CA2D08BAD143} - C:\WINDOWS.0\system32\cwxdcabd.dll
O2 - BHO: (no name) - {88A9B5C4-CDCB-39A4-02CF-3C70AC862C5A} - C:\WINDOWS.0\system32\csxbdyqq.dll
O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - (no file)
O2 - BHO: (no name) - {ADEDC726-DACA-848A-6735-A17A4381D0BD} - C:\WINDOWS.0\system32\jjicvqqr.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - (no file)
O2 - BHO: (no name) - {E593F45E-2E8A-E463-B87C-C42756D263BE} - C:\WINDOWS.0\system32\oheexkjl.dll
O2 - BHO: (no name) - {EFACFBDA-8C11-BAB0-456A-E5B9EB3BD2C8} - C:\WINDOWS.0\system32\vbmecjmo.dll
O2 - BHO: (no name) - {FC32E92D-BFA8-36B7-86C6-F1A510964660} - C:\WINDOWS.0\system32\tczyyrik.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.0\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37927.6183564815
O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} (Tintel Class) - http://exe.dialer.tintel.nl/tcw.cab
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - http://cdn.climaxbucks.com/mt/dialers/fc/UniDistIO.CAB
 
Scanfile Frans

Gescand met Adaware
Heb problemen dat mijn inbelverdinding steeds wegvalt.
XP update aanwezig. ETrust Virus software vindt niet.
Wellicht ergens een veroorzaker in dit log
12move wordt niet meer gebruikt dus mag er uit !

Logfile of HijackThis v1.97.7
Scan saved at 20:04:20, on 21-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Program Files\ScreenPrint32 v3\ScreenPrint32.exe
C:\Program Files\Realtek\Rtl8180\RtlWake.exe
C:\WINDOWS\DitExp.exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Elly\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.12move.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.12move.nl/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Program Files\Excid.com Aps\eTrust Antivirus Registration\EzAntivirusRegistrationCheck.exe
O4 - HKLM\..\Run: [ScreenPrint32] C:\Program Files\ScreenPrint32 v3\ScreenPrint32.exe -startup
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RtlWake.lnk = ?
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.12move.nl
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38089.2669560185
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B19C192B-5634-45C6-8632-46D65F78CF00}: NameServer = 192.168.1.1,192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C678F1C3-6514-44DC-835A-DAEF61EEED34}: NameServer = 62.58.50.5 62.58.50.6
 
Laatst bewerkt:
Re: hijack

Geplaatst door philipe
Hallo, ik heb problemen met mijn computer, heb spybot gebruikt.
Is er iets vreemds te zien? en wat moet ik doen.
B.V.H.D

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.sexofactory.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sexofactory.com/ie

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sexofactory.com/ie
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL

O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL

O4 - HKLM\..\Run: [CrazyTalk Serve] rundll32.exe C:\WINDOWS\System32\CrazyTalk.dll,DllServeMediaFile

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKLM\..\Run: [DM_Server] C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe /onreboot


O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net


O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Fun Web Products Installer Start) - http://imgfarm.com/images/nocache/f...etup1.0.0.5.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx


Klik om te vergroten...

Hallo Philipe,
Op de eerste plaats moet je eerst HijackThis uit pakken en plaatsen in een eigen, aparte map. Dit omdat Hijack This backups maakt in de directory van waaruit hij gedraaid wordt. Bij jou kan dat niet omdat hij vanuit de zipfile gedraaid wordt.

Na het verplaatsen opnieuw openen en scannen
Vink de bovenstaande items aan in Hijack This,
sluit alle schermen behalve Hijack This zelf en druk op Fix Checked.
Herstart daarna in veilige modus en verwijder:
C:\Program Files\MyWebSearch\ <-- hele map
C:\PROGRA~1\COMETS~1\ <-- hele map
C:\PROGRAM FILES\NEWDOTNET\ <-- hele map
C:\WINDOWS\System32\CrazyTalk.dll <-- bestand

Herstart daarna weer de PC gewoon op.
Succes,
Olav
 
Laatst bewerkt:
Re: Klopt dit of staan er rare dingen bij Sorry voor het verkeerd plaatsen nico

Geplaatst door clownnico

O2 - BHO: (no name) - {0189EB34-1E23-FDD4-0F38-AFA9AD4D1C7C} - C:\WINDOWS.0\system32\bgxilffc.dll

O2 - BHO: (no name) - {5B00DFC5-E169-01DF-96C6-CA2D08BAD143} - C:\WINDOWS.0\system32\cwxdcabd.dll
O2 - BHO: (no name) - {88A9B5C4-CDCB-39A4-02CF-3C70AC862C5A} - C:\WINDOWS.0\system32\csxbdyqq.dll
O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - (no file)
O2 - BHO: (no name) - {ADEDC726-DACA-848A-6735-A17A4381D0BD} - C:\WINDOWS.0\system32\jjicvqqr.dll

O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - (no file)
O2 - BHO: (no name) - {E593F45E-2E8A-E463-B87C-C42756D263BE} - C:\WINDOWS.0\system32\oheexkjl.dll
O2 - BHO: (no name) - {EFACFBDA-8C11-BAB0-456A-E5B9EB3BD2C8} - C:\WINDOWS.0\system32\vbmecjmo.dll
O2 - BHO: (no name) - {FC32E92D-BFA8-36B7-86C6-F1A510964660} - C:\WINDOWS.0\system32\tczyyrik.dll

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocach...etup1.0.0.6.cab

O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} (Tintel Class) - http://exe.dialer.tintel.nl/tcw.cab

O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - http://cdn.climaxbucks.com/mt/dialers/fc/UniDistIO.CAB
Klik om te vergroten...
Hallo Nico,
Download op de eerste plaats CWShredder
Start hem nog niet op.

Vink eerst de bovenstaande items aan in Hijack This, sluit alle schermen behalve Hijack This zelf. Klik vervolgens op Fix Checked.

herstart daarna de PC en start CWShredder op. Klik op de knop Fix en volg de aanwijzingen.
Herstart daarna de PC en scan nogmaal met hijack this om te controleren of alle gekke dingen er nu uit zijn.

Succes,
Olav
 
Laatst bewerkt:
Hijack log IRRITANT.A

Hallo Olav,

Bedankt voor het bekijken van mijn log en de tips.
Heb inmiddels met de cdrom(- had ik besteld toen ik de vorige week ook zo'n moeite had om SP1 te downloaden-) SP1 op mijn pc gezet. (Heb nu wel erg grote letters en iconen op mijn desktop geen idee hoe dat weer normaal te krijgen ???)
Kan wel weer email ontvangen was even niet mogelijk door een andere update.

Ga zometeen je regel aanvinken als die er nog tussenstaat tenminste en plaatst ik nog een nieuw log.

Wie weet zie je nog iets geks eraan.

Maar ik heb zo'n vermoeden dat ik dat irritante joke ding nu wel kwijt ben. Hope so...:confused:

Reuze bedankt:thumb:
Tinky
 
Re: Scanfile Frans

Geplaatst door frans.hofman
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.12move.nl

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.12move.nl/

O14 - IERESET.INF: START_PAGE_URL=http://www.12move.nl
Klik om te vergroten...

Hallo Frans.Hofman,
In je log vind ik geen redenen waarom je verbinding weg zou vallen. Er zit geen spy- of ad-ware in.
Misschien dat je het moet zoeken in je netwerk die zo te zien hebt. Ik zie ook dat wakeup on Lan geactiveerd is. Dit is gedaan neem ik aan voor het netwerk.
Er kunnen nog talloze andere redenen zijn waarom je netwerk wegvalt.
Waaronder de Power/ Energie instellingen van je computer, je provider zelf etc.

Voor de bovenstaande items (in de quote) vink die aan in Hijack This, sluit alle schermen behalve Hijack This en klik op Fix Checked. Herstart de PC en de items moeten verwdenen zijn.

Succes,
Olav
 
Re: Hijack log IRRITANT.A

Geplaatst door Tinky
Hallo Olav,

Bedankt voor het bekijken van mijn log en de tips.
Heb inmiddels met de cdrom(- had ik besteld toen ik de vorige week ook zo'n moeite had om SP1 te downloaden-) SP1 op mijn pc gezet. (Heb nu wel erg grote letters en iconen op mijn desktop geen idee hoe dat weer normaal te krijgen ???)
Kan wel weer email ontvangen was even niet mogelijk door een andere update.

Ga zometeen je regel aanvinken als die er nog tussenstaat tenminste en plaatst ik nog een nieuw log.

Wie weet zie je nog iets geks eraan.

Maar ik heb zo'n vermoeden dat ik dat irritante joke ding nu wel kwijt ben. Hope so...:confused:

Reuze bedankt:thumb:
Tinky
Klik om te vergroten...
Hallo Tinky,
Heb je een update gedaan van de drivers van je videokaart? Dat kan de oorzaak zijn van die "idioot" grote letters en iconen.
Die kan je instellen door met rechts op je buroblad te klikken. Kies dan voor eigenschappen. In de tabbladen "Vormgeving", "Instellingen" en "Effecten" kan je dat allemaal weer goed zetten.
Succes,
Olav
 
Nieuw log na opschoning

Hoi Olav,

Bedankt voor de tip vwb de letters.:)

Hieronder het nieuwe log:rolleyes:
Ben benieuwd of er iets veranderd is??

Alvast bedankt en voor nu insgelijks en ookzo slaapse.

Logfile of HijackThis v1.97.7
Scan saved at 4:02:54, on 22-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\PackethSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\Microsoft Works\WksSb.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\INTERVIDEO\COMMON\BIN\WinCinemaMgr.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Ineke Mols\Local Settings\Temp\Tijdelijke map 3 voor hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\nl\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [TrustInstaller] F:\Setup.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Ad-aware] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Freeler] C:\Freeler\Freeler.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Registration-Studio 8 SE.lnk = C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\INTERVIDEO\COMMON\BIN\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Onderzoekscentrum (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {4FDD0CE2-5B46-4945-BD7D-E9D89B15E538} (ReVampMain Control) - http://kitcentral.wanadoo.nl/download/install/win32/nl/revamp/revamp.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://F:\Content\include\msSecUcd.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37754.5317592593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup145.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4362/mcfscan.cab

dat was m
gr,
Tinky
 
mijn probleem: in taakbeheer windows xp staat altijd explorer.exe vele malen aktief terwijl alle pagina's gesloten heb, dit resulteerd in problemen bij het afsluiten van mijn computer ik moet dus 6 maal of meer de melding internet explorer reageert niet. aanklikken op nu beeindigen voordat mijn computer afsluit !ik heb sinds het gebruik van adware 1 foutmelding bij het opstarten van windows xp nl. de melding rundll32.exe mist het bestand bridge.dll heb naar dit dll gezocht maar om dit te herstellen moet ik veranderingen in het register aanbrengen en heb ik maar even uitgesteld tot na deze beoordeling van U.
ter info ik heb gister xp er opnieuw er overheen geinstalleerd maar er is geen verschil.

Eerst gescanned met ad-aware 6.0 en spyware verwijdert . daarna deze log ter beoordeling.

Logfile of HijackThis v1.97.7
Scan saved at 9:40:45, on 22-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Program Files\cleandiskpro\cleandisk.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\PROGRA~1\NORTON~3\NORTON~3\GHOSTS~2.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\edwin van der laan\Bureaublad\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {1D01A721-B67D-BBB1-E017-309A6D33D115} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [CleanDiskAutoRun] C:\Program Files\cleandiskpro\cleandisk.exe -boot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Onderzoek (HKLM)
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38098.612349537
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
 
Ik heb problemen met mijn msn/hotmail. Ik heb een virusscanner (mcafee) gebruikt, en ook adaware/spybot, met updates, en niets hielp, telkens krijg ik het bericht wachtwoord en naam onjuist met de code 0x8100303 bij msn en hotmail wil helemaal niet als ik probeer in te loggen. ik heb ook hijack gebruikt, maar ik kan de log niet opslaan, dan geeft hij aan dat ik geen machtiging heb om dit bestand te openen. Wat kan ik nu doen??

alvast bedankt voor de hulp!!
groeten Robert
 
Geplaatst door thairob
Ik heb problemen met mijn msn/hotmail. Ik heb een virusscanner (mcafee) gebruikt, en ook adaware/spybot, met updates, en niets hielp, telkens krijg ik het bericht wachtwoord en naam onjuist met de code 0x8100303 bij msn en hotmail wil helemaal niet als ik probeer in te loggen. ik heb ook hijack gebruikt, maar ik kan de log niet opslaan, dan geeft hij aan dat ik geen machtiging heb om dit bestand te openen. Wat kan ik nu doen??

alvast bedankt voor de hulp!!
groeten Robert
Klik om te vergroten...
Heb je toevallig MSN plus!?
 
Jow,

eerst gescand met adaware6 en dan volgend HiJackThis log gegenereert:

---------------------------------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 11:41:46, on 22/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\loadwin.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Alcatel\ENTERN~1\app\pppoeservice.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\dhsvr.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\MDM.EXE
C:\WINDOWS\System32\inetsrv\DavCData.exe
C:\PROGRA~1\TEXNIC~1\TEXCNTR.EXE
C:\Program Files\mIRC\mirc.exe
C:\Documents and Settings\Freddy\Bureaublad\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.be
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.google.be"); (C:\Documents and Settings\Freddy\Application Data\Mozilla\Profiles\default\80zamdgy.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\Freddy\Application Data\Mozilla\Profiles\default\80zamdgy.slt\prefs.js)
O1 - Hosts: 127.127.127.127 elite
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SL Loader] loadwin.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
O4 - HKLM\..\Run: [WinTools] C:\Program Files\Common files\WinTools\WToolsA.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe" "+b1"
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: Dexia Netbanking - http://netbanking.dexia.be/PC//Dynamic/Shared/Applet//DexiaIIA.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37835.3834953704
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{724473B5-3EFE-4ABE-B4C4-6DD22534E627}: NameServer = 195.238.2.22 195.238.2.21
---------------------------------------------------------------------

Kun je anders vertellen hoe je die spyware herkent in die log?

Dank,

dvrslype
 
Geplaatst door Olav

Hallo Marcel,
Zijn de instructies wel helemaal uitgevoerd? --->


Download eerst de laatste versie van CWShredder, start hem nog niet.

Vink de items aan die ik in jouw quote heb gezet, sluit alle vensters behalve Hijack This, en en klik op Fix Checked.
Herstart de PC in veilige modus en verwijder
C:\Program Files\Onlinedirect\ <-- Hele map

Start nu CWShredder op, en klik op de knop Fix. Volg de aanwijzingen.

herstart daarna de PC.
Los die problemen met de internet verbinding zo snel mogelijk op en update Windows en IE please. hiermee wordt een hoop ellende al voorkomen.

Succes,
Olav
Klik om te vergroten...
Geloof me, ik heb de map Onlinedirect vorige keer verwijderd. Ook nu heb ik hem netjes in de veilige modus verwijderd, maar nadat ik hem ge-restart heb, komt ie toch weer terug... :confused: .

Enig idee hoe dat kan?
Bij het laten scannen door CWShredder, gaf hij aan de file Afax2.exe gevonden te hebben. Kan het daar aan liggen?
 
Re: Nieuw log na opschoning

Geplaatst door Tinky
Hoi Olav,

Bedankt voor de tip vwb de letters.:)

Hieronder het nieuwe log:rolleyes:
Ben benieuwd of er iets veranderd is??


O4 - HKLM\..\Run: [TrustInstaller] F:\Setup.exe
Klik om te vergroten...

Hallo Trinky,
even een vraagje. wat is F:\? een CD-rom of een harde schijf?

Het item wat ik hierboven heb laten staan stond de vorige keer er ook al in, maar ik heb hem toen aangezien voor iets van het bedrijf Trust, bijvoorbeeld voor een camera, webcam, joystick, scanner oid.
Alleen staat hij er nu nog in en na wat zoeken op het net, kan ik er weinig zinnigs over vinden. Dat baart mij een beetje zorgen omdat mij lijkt dat als het we iets is van Trust, je daar wel meer over zou vinden.

Wil je dat bestand hier eens willen laten scannen? (reden)

Doe verder nog niets met je Hijack This.

Succes,
Olav
 
Laatst bewerkt:
Mijn msn en hotmail werken niet. Dit is mijn hijack (die ik moest overtypen, want het logbestand kon ik niet opslaan). Wat kan ik verwijderen?
alvast harstikke bedankt voor de hulp!!!!!!!







R1- HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.nl
R0- HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName=Koppelingen
02- BHO:(no name)-{53707962-6F74-2D53-2644-206D7942484F}-C:\Progra~1.SPYBOT~1\SDHELPER.DLL
03- Toolbar: @msdxmlC.dll,-1@1043,&Radio-{8E718888-423F-11D2-876E-00AOC9082467}-C:\WINDOWS\SYSTEM\MSDXM.OCX
03- Toolbar: McAfee VirusSCan-{BA52B914-B692-46c4-B683-905236F6F655} - C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHL.DLL
03- Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55DO}-C:\Program FILES\MSN TOOLBAR\01.01.1629.0\NL\MSNTB.DLL
04- HKLM\..\Run:[ScanRegistry]C:\WINDOWS\scanregw.exe/autorun
04- HKLM\..\Run:[Taakcontrole]C:\WINDOWS\taskmon.exe
04- HKLM\..\Run:[SystemTray]SysTray.Exe
04- HKLM\..\Run:[NvCplDaemon]RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
04- HKLM\..\Run:[nwiz] nwiz.exe/install
04- HKLM\..\Run:[ESSOLO]ESSOLO.exe
04- HKLM\..\Run:[CriticalUpdate]C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
04- HKLM\..\Run:[LoadQM]loadqm.exe
04- HKLM\..\Run:[TkBellExe]''C:\Program Files\Common Files\Real\Update OB\realsched.exe'' -osboot
04- HKLM\..\Run:[LoadPowerProfile]Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
04- HKLM\..\Run:[VSOCheckTask]''C:PROGRA~1\MCAFEE.COM\VSO\MCMNHDLR.EXE''/checktask
04- HKLM\..\Run:[VirusScan Online]''C:\Progra~1\MCAFEE.COM\VSO\msvsshld.exe''
04- HKLM\..\Run:[MCAgentExe]C:\PROGRA~1\MCAFEE.COM\AGENT\mcagent.exe
04- HKLM\..\Run:[MCUpdateExe]C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE
04- HKLM\..\Run:[McRegWiz]C:\PROGRA~1\MCAFEE.COM\AGENT\MCREGWIZ.EXE/autorun
04- HKLM\..\RunServices:[LoadPowerProfile]Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
04- HKLM\..\RunServices:[SchedulingAgent]C:\WINDOWS\SYSTEM\mstask.exe
04- HKLM\..\RunServices:[McVsRte]C:\PROGRA~1\MCAFEE.COM\VSO\msvsrte.exe/embedding
04- HKLM\..\Run:[MsnMsgr]''C:\Program Files\MSN MEssenger\MsnMsgr.Exe''/background
04- HKLM\..\Run:[STManager}''C:\Program Files\SpeedTouch\Dr SpeedTouch\drst.exe''-b
04- Startup:WInzip Quick Pick.lnk=C:\Program Files\Winzip\WZQKPICK.EXE
011- Options group:[TOEGANKELIJKHEID]Toegankelijkheid
012- Plugin for .mid:C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
014- IERESET.INF:SEARCH_PAGE_URL=
014- IERESET.INF:START_PAGE_URL=
016- DPF:{9F1C11AA-197B-4942-BA54-47A8489BB47F](Update Class)-http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38111.188333
016- DPF:{D27CDB6E-AE6D-11CF-96B8-444553540000}(Shockwave Flash Object) -http://download.macromedia.com/pub/shockwave/cabs/flash/swflash
016- DPF:{8E0D4DE5-3180-4024-A327-4DFAD1796A8D}(MessengerStatsClient Class)-http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
016- DPF:{00B71CFB-6864-4346-A978-C0A14556272C}(Checkers Class)-http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
016- DPF:{1D4B7D2-6EC9-47A3-BD87-1E41684E07BB}- http://ak.imgfarm.com/imagers/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
016- DPF:{2917297F-F02B-4B9D-81DF-494B6333150B}(Minesweeper Flags Class)-http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
016- DPF:Win32 Classes-file://C:\WINDOWS\JAVA\classes\win32ie4.cab
016- DPF:{33564D57-0000-0010-8000-00AA00389B71}- http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wm......
016- DPF:{10000000-1000-0000-1000-000000000000}- ms-its.mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//paxan/main.chm::/testnewload.exe
016- DPF:{FE8287E9-5F43-11D3-ABCA-00105A5C1F46}(HouseCall Control)-http://www.housecall.nl/housecall/xscan4.cab
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan