Helpmij tegen spyware offensief

Status
Niet open voor verdere reacties.
Nou ben ik even het overzicht van wat gefixed moet worden kwijt. Kan je dat opnieuw samenstellen. Er zou er een teveel in staan en die van Kleinkramer er bij !
En die system32.exe file, is dat een virusfile (omdat ik die moet verwijderen). Is dat geen windowsfile ?

De file system32.exe kan 'Deze computer' niet vinden !
 
Laatst bewerkt:
System32.exe is geen windowsbestand, maar een trojan:

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.sysxxx.html

Maar ik denk dat Pieter me in de war heeft gebracht.

Hij moet het over sweetalice's log gehad hebben...
:rolleyes:
Jij hebt dat bestand inderdaad helemaal niet...

Het is hier ook best verwarrend met al die logjes door elkaar.

Vergeet wat ik gezegd heb, en doe precies wat Pieter je aangeraden heeft.

Sorry!
 
Hallo Pieter,

Welke zou er teveel zijn (zie bijlage) en wat de 04 - tjes betreft. Ik heb er voor gekozen de INCD niet meer op te starten (via msconfig uitgezet). DAP en Webshots starten nog wel op(en dat wil ik ook), waarom staan deze in de hijackthis.log ?
 

Bijlagen

  • jijackthis.jpg
    jijackthis.jpg
    61,1 KB · Weergaven: 36
Sorry voor de verwarring.

Yari02,

Wat er nu staat, klopt. Ik had eerst ZoneAlarm erbij staan en die hoort daar natuurlijk niet, maar die heb ik weggehaald.
Als jij webshots en DAP meteen nodig hebt is dat prima. Er is niks mis met die programma's. Je vroeg alleen wat er uit kon en dat staat er nu. De rest is jouw keuze, jij weet wat je vaak gebruikt.

Ton,

Ik ben er niet zo zeker van dat HijackThis het zo gedaan heeft: http://www.helpmij.nl/forum/showthread.php?postid=881754#post881754

Misschien is het beter om deze thread te sluiten. Er loopt teveel door elkaar heen.

Groetjes,

Pieter
 
Hallo Pieter,

Allemaal goed gegaan. Ik stuur je de inhoud van opstarten in msconfig mee. Vraag ik mij nog af wat de overige betreft. Wat doen ctfmon.exe en Loadpowerfile.
De laatste staat er overigens 'twee maal' in met exact dezelfde omschrijving; net als Systray.exe (eenmaal als systeemwerkbalk en eenmaal als Systemtray).
Kan dat kwaad, ofwel moet ik daar iets mee en waarom staan ze er tweemaal in..
 

Bijlagen

  • yari02_msconfig.jpg
    yari02_msconfig.jpg
    57,7 KB · Weergaven: 26
Ik lees dat de LoadPowerfile er twee keer in hoort te staan. Ik heb er een uitgezet, kan dat dan wel.
Van de systray lees ik niet dat ie er twee keer in hoort te staan. Dat laat ik dus maar zo.
Bedankt voor je hulp. Verder ga ik is rondneuzen op
Windows98 support center.
 
Dat we over zo iets relatief kleins zoveel kunnen schrijven en aandacht besteden. Maar, het is wel zo; dat op het moment dat ik een van de twee loadpowerprofile's had uitgezet en tegelijk een van de twee systemtrays ik een aantal probleempjes had.
Die zijn na weer activeren van voornoemde opties, net zo plotseling weer verdwenen. En bovendien het is windows eigen dat er altijd wel wat (relatief kleins) te klagen valt.
 
Gescand met ad-aware:

Logfile of HijackThis v1.96.4
Scan saved at 18:54:15, on 3-9-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Ultimate Popup Killer\Popupkiller.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ZoneLabs\MINILOG.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Documents and Settings\Rienk & Tineke\Bureaublad\hijackthis\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchby.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Ultimate Popup Killer] C:\Program Files\Ultimate Popup Killer\Popupkiller.exe
O4 - HKCU\..\Run: [ChkMail] ¸<‹
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Photo Express 3.0 SE Calendar Checker.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Allow popups - file://C:\Program Files\Ultimate Popup Killer\Popupkiller.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: ChatSpace Java Client 2.1.0.90 - http://csites.securewebs.com:8400/Java/cs4ms090.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/nl/b...g/GoogleNav.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...StatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/...ash/swflash.cab


Enne, ik ben niet zo'n kenner, met net een nieuw laptopje, dus er zal wel vanalles verkeerd staan.
 
Hoi okijoki,

Van: http://www.searchby.net/whyhomepage.html

"If your homepage is set to SearchBy.net and you don't recall setting it as your home page, it was probably set as a result of the terms of use of the Ultimate Popup Killer program."

Ik kan er met het log weinig aan veranderen zonder de Popup Killer te verwijderen.

Groetjes,

Pieter
 
Hoi Pieter,

Dus ik moet de popup killer verwijderen??

En wil je de rest van het log ook even kritisch bekijken??
 
Hoi okijoki,

Als je zelf je startpagina in wilt kunnen stellen, wel.
In je log zitten geen nare dingen wel ééntje die er een beetje vreemd uitziet:
O4 - HKCU\..\Run: [ChkMail] ¸<‹
en twee die ik pas zou laten starten als ik ze nodig heb:
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Photo Express 3.0 SE Calendar Checker.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe

Groetjes,

Pieter
 
Hartelijk bedankt, zal ook nog het log van mijn andere pc laten zien.
Startpagina is weer klaar. Popupkiller weg, en klaar was klara.
 
adaware items verwijderen??

Hoi Pieter en Vrienden,

Ik ben bezig met het opvolgen van jouw tips,
heb net adaware 6 gedownload , update, 113 items aangevinkt, Quarantine geplaats en dan next en dan vraagt ie alles verwijderen moet ik dat doen of niet???

Groet,

Piet
 
Als je PC na opstarten niet vreemd doet en alle programma's naar behoren werken, kan in principe alles weg. Wellicht kan je het een weekje aanzien. De door Adaware weggehaalde items staan toch voorlopig in quarantaine.
 
Prima,

Ik heb ze verwijdert en ga nu verder met de hijack this prog.

ik heb wel een vraagje
ik zie regelmatig de melding plaats geen hijack als er nog een onbeantwoord is

maar hoe weet ik of iets onbeantwoord is of niet er staan geen icoontjes of zo en alles heeft een sub map niemand plaats een nieuwe bericht dus ook geen groen of rood icoontje!!

of zie ik het verkeerd?

Groet,

Piet
 
Hoi piet235,

De quarantaine is een backup, dus mocht je iets dierbaars missen, dan kun je het altijd terugzetten.

Alle logs zijn op dit moment beantwoord.

Groetjes,

Pieter
 
Oh gelukkig maar.

Dan wil ik bij deze mijn log plaatsen.

info: Adaware 6

ik wil graag alle onnodige dingen uit bij het opstarten.

Tevens heb ik een soort bureaublad achtergrond die elke dag verandert van wallpaper ik denk ism datemanager of precisionontime die wil ik ook weg hebben het is toch allemaal rotzooi die mijn vriendin erop heeft gezet kun je dat ook hiermee achterhalen/verwijderen?

Bij voorbaat dank jullie.

here it comes...

Logfile of HijackThis v1.96.4
Scan saved at 9:31:24 PM, on 9/4/2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\WildTangent\Apps\GameChannel.exe
C:\WINDOWS\System32\qttask.exe
C:\WINDOWS\wt\updater\wcmdmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\Program Files\McAfee\McAfee VirusScan\Webscanx.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Documents and Settings\Sexygirl\Mijn documenten\Mijn ontvangen bestanden\HiJackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Wanadoo Cable v2.0c NL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EM_EXEC] c:\PROGRA~1\logitech\MOUSEW~1\system\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WT GameChannel] C:\Program Files\WildTangent\Apps\GameChannel.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: PrecisionTime.lnk = C:\Program Files\PrecisionTime\PrecisionTime.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: Help (HKCU)
O9 - Extra button: Website (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.nl
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37709.0008217593
O16 - DPF: {A2ECDF87-BFE5-4EBA-852A-45E4F881377F} (icePlayer Class) - http://www.flashants.com/codebase/iceplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A136CFC-77D4-49E2-B1C0-69CD0CA3426E}: NameServer = 195.96.96.97 195.96.96.33
 
Hoi piet235,

Vink de onderstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked:

O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WT GameChannel] C:\Program Files\WildTangent\Apps\GameChannel.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: PrecisionTime.lnk = C:\Program Files\PrecisionTime\PrecisionTime.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx

Start daarna opnieuw op en verwijder:
C:\WINDOWS\wt <= de hele map
C:\Program Files\Date Manager <= de hele map
C:\Program Files\Common Files\GMT <= de hele map
C:\Program Files\PrecisionTime <= de hele map

Groetjes,

Pieter
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan