hijack log kan iemand even kijken

[micki]

Mijn PC is geinfecteerd met Trojan.Gaslide.Nestelt zich in C: Windows/system32/Notepad.
Heb instructies opgevolgd via Symantecsite,maar trojan keert telkens terug als ik op een map of programma klik en wordt vervolgens verwijderd door Norton.
Hoe kom ik hier nu vanaf???


Op aanraden Tanja 1968 log geplaatst.

Logfile of HijackThis v1.98.2
Scan saved at 14:48:51, on 12-9-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
E:\Program Files\Norton AntiVirus\navapsvc.exe
E:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
C:\WINDOWS\REGEDIT.EXE
C:\WINDOWS\explorer.exe
D:\Program Files\eDonkey2000\edonkey2000.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Rob\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.home.nl/?from=www.start.home.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.home.nl/?from=www.start.home.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {029CA12C-89C1-46a7-A3C7-82F2F98635CB} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\program files\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] E:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [SpySweeper] "D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: ZoneAlarm Pro.lnk = D:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_cracks.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.5.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,83/mcinsctl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,20/mcgdmgr.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

 

[SJJ]

Plaats het log even hier .

 

[buffy]

Hoi,


Er zitten wat kleine probleempjes in je log, maar van die trojan is niets te zien. Met HijackThis lossen we dat dus niet op. Toch die kleine probleempjes maar even fixen.

Maak eerst even een eigen, permanente map voor HijackThis, bijvoorbeeld C:\Program Files\HijackThis. Plaats HijackThis.exe in die map en draai het nu dus vanuit die map.

Scan met HijackThis.
Vink de volgende items aan:

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {029CA12C-89C1-46a7-A3C7-82F2F98635CB} - (no file)

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_cracks.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.5.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab

Sluit alle vensters behalve HijackThis zelf.
Klik op "Fix checked".


Nu de trojan nog. Ik stel voor om daar een specifieke (en hele goede) trojanscanner op los te laten:


- Installeer TDS-3: http://tds.diamondcs.com.au/

- Haal de laatste updates binnen. Let op: daarvoor moet je de instructies volgen die hier staan onder "Manual Update" -> http://tds.diamondcs.com.au/index.php?page=update
(bij de trialversie van het programma werkt de automatische update namelijk niet)

- Start TDS-3. Kies in het menu "System Testing" voor "Full System Scan".


Hopelijk weet TDS-3 de trojan te verwijderen!

 

[buffy]

Geplaatst door SJJ
Plaats het log even hier .

Kijk eens goed waar het log staat, SJJ. Keurig in de sectie "HijackThis logs", precies zoals het hoort.

 

[SJJ]

Foutje bedankt

 

[micki]

Buffy,ik wil je in de eerste plaats danken voor de moeite die je neemt om me te helpen.Ik heb alles gedaan zoals je zei,maar de trojan is nog niet weg.Elke keer als ik een exe.bestand open krijg ik een melding van Norton dat hij dus dat virus uit C:Windows/system32,notepad verwijderd heeft.

Nog enig idee wat ik kan doen????

 

[buffy]

Hoi,

Wil je de melding van Norton hier even exact (dus letterlijk) en volledig weergeven?

 

[micki]

Norton Antivirus has detected and removed a virus from your computer.


Object Name: C:\Windows\System32\notepad.exe
Virus Name: Trojan.Gaslide
Action Taken: The virus was automatically deleted

 

[buffy]

Geplaatst door micki
Norton Antivirus has detected and removed a virus from your computer.


Object Name: C:\Windows\System32\notepad.exe
Virus Name: Trojan.Gaslide
Action Taken: The virus was automatically deleted

Bedankt voor de informatie.

Norton verwijdert het dus wel. Maar waarom komt het steeds weer terug?

Hier gaat het dus om (variant 2): http://securityresponse.symantec.com/avcenter/venc/data/trojan.gaslide.html

Heb je ál die instructies uitgevoerd, inclusief het wijzigen van het register (stap 4)? Want dat laatste zou jouw probleem moeten oplossen, volgens mij.

 

[micki]

IK heb alles uitgevoerd volgens die symantec aanwijzigingen.En ik kan bij die 2 waardes niets aparts vinden.
En die laatste waarde staat gewoon op 1

 

[buffy]

Geplaatst door micki
IK heb alles uitgevoerd volgens die symantec aanwijzigingen.En ik kan bij die 2 waardes niets aparts vinden.
En die laatste waarde staat gewoon op 1

Die waarde moet "%1" %* zijn.

 

[micki]

Staar er ook:

C:\WINDOWS\System32\cdrunxp.EXE "%1"%*

 

[buffy]

Geplaatst door micki
Staar er ook:

C:\WINDOWS\System32\cdrunxp.EXE "%1"%*

Even heel zorgvuldig zijn nu, want fouten zouden vervelende gevolgen kunnen hebben.

Bij de sleutel HKEY_CLASSES_ROOT\exefile\shell\open\command vind jij dus de waarde C:\WINDOWS\System32\cdrunxp.EXE "%1"%*?

 

[micki]

Ja,exact!!!

 

[buffy]

Okee. Doe het volgende:

1. Maak een back-up van het register.
Hier kun je lezen hoe dat moet: http://www.breekpunt.nl/artikel.asp?Artikel=614&art=Yes

2. Open het register (start -> uitvoeren -> regedit -> ok).

- Navigeer naar de sleutel HKEY_CLASSES_ROOT\exefile\shell\open\command.

- Dubbelklik in het rechter venster op "Standaard" (of "Default").

- Bij "waardegegevens" zou jij nu dit moeten zien: C:\WINDOWS\System32\cdrunxp.EXE "%1"%*

- Delete dat en type (of plak) in plaats daarvan alléén het volgende: "%1" %* (vergeet de spatie niet!)
(dat C:\WINDOWS\System32\cdrunxp.EXE hoort daar helemaal niet...)

Zo hoort het dus te zijn:

- Klik OK en sluit de register-editor af.

3. Herstart de pc.

 

[micki]

Buffy,hardstikke bedankt het is gelukt!!!
IK vind het alleen vreemd dat op de Symntec site in stap 4 dit dus niet duidelijk vermeld stond.
Ik als leek wat betreft het register zie dus gewoon die 1 staan met wat tekens en woordem ervoor en ging er dus vanuit dat het puur om het getal 1 ging.
Maar,ja ben blij dat het opgelost is.
Nogmaals vele dank voor je moeite.

 

[buffy]

Geplaatst door micki
Buffy,hardstikke bedankt het is gelukt!!!
IK vind het alleen vreemd dat op de Symntec site in stap 4 dit dus niet duidelijk vermeld stond.
Ik als leek wat betreft het register zie dus gewoon die 1 staan met wat tekens en woordem ervoor en ging er dus vanuit dat het puur om het getal 1 ging.
Maar,ja ben blij dat het opgelost is.
Nogmaals vele dank voor je moeite.

Graag gedaan.

Op zich klopt het precies wat er op de Symantec site bij stap 4 staat: de standaardwaarde moet "%1"%* zijn. Maar ik snap dat iemand die niet zo thuis is in het register dan al gauw denkt dat de waarde C:\WINDOWS\System32\cdrunxp.EXE "%1"%* dan wel klopt. Maar ach, dan plaats je gewoon even een vraag op Helpmij en wordt het wel opgelost.