hijack help please

[willempie]

groot probleem bij een goede kennis windows xp home als die via uitvoeren msconfig intypt dan wordt het scherm geopend om daarna direct weer te sluiten .zo zijn er nog wat probleempjes willen jullie deze log file eens bekijken?:
Logfile of HijackThis v1.95.0
Scan saved at 20:36:22, on 27-7-2002
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\TSKMNGR32.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\PROGRA~1\PHILIP~1\GameCam SE\Program\RFTray.exe
D:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\Symantec Shared\NMain.exe
C:\Program Files\Norton AntiVirus\Navw32.exe
C:\Program Files\Norton AntiVirus\QSERVER.EXE
D:\Zipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.ertronix.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - Global Startup: Reality Fusion GameCam SE.lnk = ?
O4 - Global Startup: ZoneAlarm.lnk = D:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .psd: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.ertronix.nl
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37575.245625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

 

[gast0225]

Genoeg "vreemde" dingen:

services.exe kan het gevolg zijn van het KAZPING virus,

smss.exe, spoolsv.exe en isass .exe zeggen mij vooralsnog nog even niets,................

 

[gast0225]

TSKMNGR32.EXE (verdacht !!!) kan ik ook niet direct plaatsen in relatie tot Windows..............?

daarnaast svchost.exe :
kan oke zijn, maar kan ook foute boel zijn. Kijk even wat Microsoft erover schrijft.

 

[P@sbeer]

wat info van Pieter

http://www.helpmij.nl/forum/showthread.php?s=&threadid=120276

 

[Kleinkramer]

Het enige wat niet klopt in die log is TSKMNGR32.EXE.

Het is geen Windows bestand, maar als het een trojan was, zou je daar toch een startup entry voor verwachten, en die is er niet.

Alhoewel we langzamerhand ook worms en trojans beginnen te zien die zich gewoon maar meteen als een service registreren...

Test allereerst eens het volgende:

Upload dat bestand C:\WINDOWS\System32\TSKMNGR32.EXE eens naar de volgende twee online virus checkers:

<A HREF="http://www.dials.ru/english/www_av/">Dialogue Science on-line virus checker</A><BR>
<A HREF="http://www.kaspersky.com/remoteviruschk.html">Kasperski anti virus checker</A><BR>

Je krijgt binnen enkele seconden antwoord of zij het kennen, en of het dus geinfecteerd is.

 

[gast0225]

waarom denk jij dat services.exe niet het gevolg kan zijn van dit lieverdje :

W32.HLLW.Kazping

 

[Bennie]

Dan zou het vanuit de RUN worden aangeroepen en is dat hier niet het geval.

Groetjes,
Bennie

 

[gast0225]

is dat nu net niet een van de verradelijke "Kameleon" functies van Kapzing: zich gedragen als de "echte" services.exe ?

 

[Bennie]

Nee.

Groetjes,
Bennie

 

[gast0225]

oh,

dan zit Symantec er dus naast, tja........... dat kan gebeuren

http://www.symantec.com/avcenter/venc/data/w32.hllw.kazping.html

 

[game-master]

TSKMNGR32.EXE

Neej 'Pasja' daar heb je gelijk in het bestand TSKMNGR32.EXE Komt idd niet voor in de microsoft database. Dus het kan spyware zijn, of gewoon een matig virrus. Wel gek dat je geen melding hebt gehad dat daarin zat dat het een virrus was, en zo te zien in je Msconfig heb je NAV. Dus das wel vreemd, maar volgens mij heeft het met games te maken, want ik heb dit ook wel een gehad.

 

[Bennie]

Symantec zit er niet naast, maar je moet kijken onder puntje 3.

Groetjes,
Bennie

 

[gast0225]

ja ?

m.a.w. daar komen we pas achter als Willempie het register raadpleegt...............

 

[Bennie]

Dat heb ik al gedaan Kijk goed naar z'n log.

Groetjes,
Bennie

 

[gast0225]

dan zal ik daar wel wat missen

 

[Bennie]

Die zou ongetwijfeld achter 04 hebben gestaan. Daarom vraag ik mensen ook altijd om hun log.

Groetjes,
Bennie

 

[JPeetje]

<a href="http://www.reger24.de/prozesse.html" target="_blank">Hier</a> kun je een hele lijst vinden met draaiende processen en wat ze betekenen...
waaronder smss, winlogon, enz....

p.s. waarom staat dit bij internet algemeen ?

 

[willempie]

nog niet alle problemen zijn opgelost we hebben wat bestanden laten controleren er was niets mee nu nog msconfig zodra dat opgeroepen wordt verdwijnt direct het schermpje weer zo ook als we ctrl-alt-delete dat scermpje komt en verdwijnt direct weer iemand nog een idee

 

[Bennie]

Naar aanleiding van dat bestand TSKMNGR32.EXE. Heb je stappen ondernomen? Ik zou zeker nog een online scan doen, want dit duidt op een Klez of Yaha-virus:
http://housecall.antivirus.com/housecall/start_corp.asp

Groetjes,
Bennie

 

[willempie]

oke housecall kon niks vinden toen the cleaner laten downloaden en laten installeren na opstarten greep norton in en dit kwam eruit w32.spybot.worm die niet gerepareerd kon worden.