Helpmij tegen spyware offensief

[Stanley19]

kan je dit ook even controleren

wat kan er uit en wat niet?


Logfile of HijackThis v1.97.2
Scan saved at 15:38:35, on 2-10-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\LEXMAR~4\ACMonitor_X73.exe
C:\PROGRA~1\LEXMAR~4\AcBtnMgr_X73.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\D-Tools\daemon.exe
G:\symsetup.exe
C:\WINDOWS\System32\msiexec.exe
G:\Support\Prescan\Prescan.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\Stanley\LOCALS~1\Temp\Rar$EX00.252\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.linksummary.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.linksummary.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts: 213.222.11.11 auto.search.msn.com
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~4\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~4\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37893.2755208333
O16 - DPF: {A1DC3241-B122-195F-B21A-000000000000} - http://members.ams.chello.nl/j.hulscher/freesms.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - http://activex.microsoft.com/activex/controls/sdkupdate/sdkinst.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

 

[Pieter Arntz]

Hoi Stanley19,

Vink de onderstaande zaken aan in HijackThis, sluit dan alle vensters behalve HijackThis en klik op Fix checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.linksummary.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.linksummary.com/

Start daarna opnieuw op.

Klopt het dat Demon jouw provider is?

Groetjes,

Pieter

 

[vaat]

Stanley19,

fix deze evenmtueel nog, ze hoeven niet op te straten:

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE


Pieter,

waarom moet auto.search.msn.com dan naar demon verwijzen als dat zijn provider zou zijn ??

sc.exe wacht ik even af wat de vraagsteller hierover te vertellen heeft.

 

[Stanley19]

Demon?
ken ik niet

Mijn Provider is gewoon Wanadoo

Het rare is als een website niet gevonden kan worden ik automatisch doorgeschakeld word naar dotcombar
ipv auto.search.msn.com dat vind ik nogal irritant

 

[Pieter Arntz]

Geplaatst door Stanley19


Het rare is als een website niet gevonden kan worden ik automatisch doorgeschakeld word naar dotcombar
ipv auto.search.msn.com dat vind ik nogal irritant

Daarom vroeg ik het eigenlijk. Laat deze dan ook Fixen:
O1 - Hosts: 213.222.11.11 auto.search.msn.com

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door vaat
waarom moet auto.search.msn.com dan naar demon verwijzen als dat zijn provider zou zijn ??

http://www.samspade.org/t/ipwhois?a=213.222.11.11

Ik ging naar dat IP adres toe en kreeg een inlogscherm, vandaar dat ik eerst navraag deed.
Niet alle verwijzingen in hosts zijn hijacks.

Groetjes,

Pieter

 

[khk464]

Hoi, heb vanmorgen weer ergens geklikt waar ik niet wou zijn en nu wil svcinit als ik op het net ga telkens verbinding maken maar wordt gestopt door sygate firewall. Wat is dit?

F1 - win.ini: run=C:\WINDOWS\svcinit.exe

Heb gescant met s&d, adaware, anti keylogger.

Hier mijn logje:

Logfile of HijackThis v1.97.2
Scan saved at 16:25:22, on 2/10/2003
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\SVCINIT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\WINIPCFG.EXE
C:\WINDOWS\SYSTEM\AKSRV.EXE
C:\PROGRAM FILES\MSI\PC ALERT 4\PCALERT4.EXE
C:\WINDOWS\SYSTEM\ZYJKZGBE.EXE
C:\PROGRAM FILES\ALCATEL\ENTERNET 300\APP\ENTERNET.EXE
C:\WINDOWS\TEMP\TD_0003.DIR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.pi.be:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F1 - win.ini: run=C:\WINDOWS\svcinit.exe
O1 - Hosts: 3510794918 auto.search.msn.com
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Anti-keylogger service] C:\WINDOWS\SYSTEM\aksrv.exe
O4 - HKLM\..\Run: [Tapicfg.exe] \tapicfg.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE
O4 - HKLM\..\RunServices: [SVC Service] C:\WINDOWS\SYSTEM\svcinit.exe
O4 - HKCU\..\Run: [Anti-Keylogger check] C:\PROGRAM FILES\ANTI-KEYLOGGER\ANTIKEY.EXE /checkautorun
O4 - Startup: PC Alert 4.lnk = C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O19 - User stylesheet: C:\WINDOWS\Web\win.def



Bedankt.

 

[vaat]

Geplaatst door Pieter Arntz


http://www.samspade.org/t/ipwhois?a=213.222.11.11

Ik ging naar dat IP adres toe en kreeg een inlogscherm, vandaar dat ik eerst navraag deed.
Niet alle verwijzingen in hosts zijn hijacks.

Groetjes,

Pieter

verwijzingen zijn in principe bedoeld of het process wat te versnellen. De url hoeft niet meer bij de DNS server opgezocht te worden om hem te vertalen in een ip-adres.

Maar bedoelde dat auto.search.msn.com niet hoort te verwijzen naar een ip dat van demon is. Kreeg ook demon namelijk als ik het invulde bij samspade. Dus mijn eerste gedachte was, gewoon fixen omdat het soiezo niet bij die url hoorde.
Probeer een beetje in jouw hoofd te duiken af en toe, dus vandaar mijn vraag

 

[Pieter Arntz]

Hoi khk464,

Haal even de nieuwste versie van CWShredder op en run die.
http://www.spywareinfo.com/~merijn/files/cwshredder.zip

Plaats daarna nog een nieuw log om te kijken wat erover blijft.
Misschien heb je wel een nieuwe versie.

Groetjes,

Pieter

 

[vaat]

fix deze:

F1 - win.ini: run=C:\WINDOWS\svcinit.exe
O1 - Hosts: 3510794918 auto.search.msn.com
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [Tapicfg.exe] \tapicfg.exe


O4 - HKLM\..\RunServices: [SVC Service] C:\WINDOWS\SYSTEM\svcinit.exe

Je hebt een CoolWebSearch variant (http://www.doxdesk.com/parasite/CoolWebSearch.html). Draai ook eens CwSchredder: http://www.spywareinfo.com/~merijn/files/cwshredder.zip

 

[Pieter Arntz]

Geplaatst door vaat


verwijzingen zijn in principe bedoeld of het process wat te versnellen. De url hoeft niet meer bij de DNS server opgezocht te worden om hem te vertalen in een ip-adres.

Maar bedoelde dat auto.search.msn.com niet hoort te verwijzen naar een ip dat van demon is. Kreeg ook demon namelijk als ik het invulde bij samspade. Dus mijn eerste gedachte was, gewoon fixen omdat het soiezo niet bij die url hoorde.
Probeer een beetje in jouw hoofd te duiken af en toe, dus vandaar mijn vraag

Sommige verwijzingen zijn aangebracht met het doel om iemand naar een beter adres te brengen dan het oorspronkelijke.

Als je bv TDS3 installeert wordt er een regel aan je hosts file toegevoegd omdat er in het programma een verwijzing zit naar de oude site, die ondertussen door iemand anders is overgenomen.

Als Demon zoiets bij zijn klanten zou doen is daar misschien ook een geldige reden voor.
Vandaar.

Groetjes,

Pieter

 

[vaat]

Geplaatst door Pieter Arntz


Sommige verwijzingen zijn aangebracht met het doel om iemand naar een beter adres te brengen dan het oorspronkelijke.

Als je bv TDS3 installeert wordt er een regel aan je hosts file toegevoegd omdat er in het programma een verwijzing zit naar de oude site, die ondertussen door iemand anders is overgenomen.

Als Demon zoiets bij zijn klanten zou doen is daar misschien ook een geldige reden voor.
Vandaar.

Groetjes,

Pieter

ok, thanxs

khk464,

wat is de volgende file ??
C:\WINDOWS\SYSTEM\ZYJKZGBE.EXE

 

[khk464]

Voila, heb shredder laten lopen:

Logfile of HijackThis v1.97.2
Scan saved at 16:59:03, on 2/10/2003
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\SVCINIT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\WINIPCFG.EXE
C:\WINDOWS\SYSTEM\AKSRV.EXE
C:\PROGRAM FILES\MSI\PC ALERT 4\PCALERT4.EXE
C:\WINDOWS\SYSTEM\ZYJKZGBE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\ALCATEL\ENTERNET 300\APP\ENTERNET.EXE
C:\WINDOWS\TEMP\TD_0009.DIR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.pi.be:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F1 - win.ini: run=C:\WINDOWS\svcinit.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Anti-keylogger service] C:\WINDOWS\SYSTEM\aksrv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE
O4 - HKLM\..\RunServices: [SVC Service] C:\WINDOWS\SYSTEM\svcinit.exe
O4 - HKCU\..\Run: [Anti-Keylogger check] C:\PROGRAM FILES\ANTI-KEYLOGGER\ANTIKEY.EXE /checkautorun
O4 - Startup: PC Alert 4.lnk = C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab




@vaat:
khk464,

wat is de volgende file ??
C:\WINDOWS\SYSTEM\ZYJKZGBE.EXE

Dit is van het progje anti-keylogger

groetjes

 

[vaat]

fix deze nog:

F1 - win.ini: run=C:\WINDOWS\svcinit.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [SVC Service] C:\WINDOWS\SYSTEM\svcinit.exe

vertrouw dus die svcinit.exe niet, zie ook:

http://www.pestpatrol.com/PestInfo/other/007_starr.asp

 

[Pieter Arntz]

Hoi khk464,

Wil je mij het bestandje C:\WINDOWS\svcinit.exe mailen svp? (Zie eerste bericht ind deze thread)

Dan de volgende fixen:
F1 - win.ini: run=C:\WINDOWS\svcinit.exe
O4 - HKLM\..\RunServices: [SVC Service] C:\WINDOWS\SYSTEM\svcinit.exe

En opnieuw opstarten.
Ik laat je zo spoedig mogelijk iets weten over dat bestand.

Groetjes,

Pieter

 

[vaat]

Pieter,

http://research.pestpatrol.com/Search/FileInfoResults.asp?MD5=3f8e72eb9c76da71996213060ccd7615

Is dus een keylogger

 

[mloes]

bedankt !

bedankt nog voor de snelle reactie!!

Succes nog verder

Groeten ! :thumb:

 

[khk464]

Hoi Pieter , heb getracht dat bestandje op te sturen. Het zou moeten aangekomen zijn.

Vaat, als dat een keylogger is dan is het progje "anti-keylogger" op mijn pc waardeloos en kan ik het beter verwijderen want hij geeft op dat mijn systeem zuiver is. Ik heb jou link gevolgd en daar staat het inderdaad goed uitgelegd.

Ga nu trachten om svcinit.exe te verwijderen uit system maar dat zal in veilige modus moeten want nu zegt hij dat het in gebruik is door windows.

In ieder geval al hartelijk bedankt.

P.S, sorry voor de late reactie maar na mijn laatste reactie daarstraks kwam ik tot de vaststelling dat mijn vrouwtje al bijna aan het treinstation stond en ik moest haar ophalen. Heb net geen pcverbod gekregen.

 

[jippiejajee]

Ik weet niet wat het is, wil het je wel toesturen, wil je de gehele map hebben, of alleen de exe file, ik heb wel gezien dat het logfiles aanmaakt van wat ik doe. totale grootte is ongeveer 3,5 mb.

 

[vaat]

Geplaatst door khk464
Hoi Pieter , heb getracht dat bestandje op te sturen. Het zou moeten aangekomen zijn.

Vaat, als dat een keylogger is dan is het progje "anti-keylogger" op mijn pc waardeloos en kan ik het beter verwijderen want hij geeft op dat mijn systeem zuiver is. Ik heb jou link gevolgd en daar staat het inderdaad goed uitgelegd.

Ga nu trachten om svcinit.exe te verwijderen uit system maar dat zal in veilige modus moeten want nu zegt hij dat het in gebruik is door windows.

In ieder geval al hartelijk bedankt.

P.S, sorry voor de late reactie maar na mijn laatste reactie daarstraks kwam ik tot de vaststelling dat mijn vrouwtje al bijna aan het treinstation stond en ik moest haar ophalen. Heb net geen pcverbod gekregen.

mocht dat verwijderen niet lukken dan kan je het eventueel hiermee proberen:

http://www.dslreports.com/forum/remark,7374516~root=sware~mode=flat