hijack log

willemknigge · 7 sep 2004

Hallo,

Na een crash alles opnieuw geinstalleerd (behalve beveiligingsprogramma's (stom stom) en vervolgens email en internet gebruikt met alle gevolgen vandien.
Heb nu wel de nodige beveiliging er opgezet, maar het kwaad was al geschied. Dus schrik niet van de log file.
Ws is al die troep ook de oorzaak dat de pc nogal traag is geworden

alvast bedankt
Gr
Willem
Heb wel eerst hijack en adaware en spybot er over gehaald en denodige handel verwijder met al resultaat de onderstaande log

Logfile of HijackThis v1.98.2
Scan saved at 12:51:20, on 7-9-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\syscfg32.exe
C:\WINDOWS\System32\scvhosting.exe
C:\WINDOWS\BCMSMMSG.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\sysentry32.exe
C:\WINDOWS\System32\wmplayer.exe
C:\Program Files\Winad Client\Winad.exe
C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe
C:\WINDOWS\System32\nicftjse.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Winad Client\WinClt.exe
C:\Program Files\Wanadoo\NL\Mnu\IGOMNU.EXE
C:\Program Files\Web_Rebates\WebRebates1.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\wijasa\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startkabel.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchba.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchsa.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchcs.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [diagent] "C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe" startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Windows Registry Scan] regscan32.exe
O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] syscfg32.exe
O4 - HKLM\..\Run: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\Run: [starter] scvhosting.exe
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
O4 - HKLM\..\Run: [Media Player] wmplayer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [wdzengqp] C:\WINDOWS\System32\nicftjse.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\RunServices: [Windows Registry Scan] regscan32.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] syscfg32.exe
O4 - HKLM\..\RunServices: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\RunServices: [Media Player] wmplayer.exe
O4 - HKLM\..\RunServices: [starter] scvhosting.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] syscfg32.exe
O4 - HKLM\..\RunOnce: [starter] scvhosting.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Wanadoo Menu] C:\Program Files\Wanadoo\NL\Mnu\IGOMNU.EXE /S:T
O4 - HKCU\..\Run: [Win32 USB2 Driver] syscfg32.exe
O4 - HKCU\..\Run: [Zone Alarm] vsmon.exe
O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKCU\..\Run: [starter] scvhosting.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] syscfg32.exe
O4 - HKCU\..\RunOnce: [starter] scvhosting.exe
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...59a099af4172:cff482a8dc15814f6feed591071fa5ae

buffy · 7 sep 2004

1. Scan online op virussen en trojans bij Housecall en Panda:
Housecall: http://housecall.trendmicro.com/
Panda: http://www.pandasoftware.com/activescan/com/activescan_principal.htm

2. Download, unzip en run CWShredder: http://www.majorgeeks.com/download4086.html
Gebruik de Fix knop.

3. Maak een nieuw log met HijackThis en plaats dat hier.
Draai HijackThis.exe dan vanuit een eigen, permanente map, bijvoorbeeld C:\Program Files\HijackThis (en dus niet vanuit een tijdelijke map).

Succes!

willemknigge · 7 sep 2004

cwshredder

Het lukt me niet om cwshredder te dwn omdat de beveiligingsinstelling het dwn van dit bestand niet toestaan.

moet ik iets veranderen in de instellingen dan??

gr
willem

buffy · 7 sep 2004

Vreemd.

Ga in IE naar Extra -> Internet-opties -> Beveiliging. Klik daar op "Aangepast niveau". Zet het niveau op "laag" of desnoods op "zeer laag" en kijk of je CWShredder dan wel kunt downloaden. Zet het beveiligingsniveau daarna natuurlijk meteen weer hoger!

willemknigge · 7 sep 2004

Ik heb de ie op zeer laag gezet en toen lukte het wel om swshredder te dwn. Heb hem gedraaid en hij heeft een aantal zaken verwijderd. Vervolgens spybot gedraaid en hierbij de logfile van hijack

Kan er zoveel rommel op de pc zijn gekomen via internet/ email dat de pc ontzettend traag is geworden? Soms lopen progs gewoon vast.
Het duurt een eeuwigheid voordat de paginas zijn geladen en dat progs zijn gestart. Het is toch een pentium 4 met 2.80 ghz processor. lijkt me snel genoeg.

Ik ben geneigd om alles eraf te gooien te formateren en alles weer opnieuwe erop te zetten. maar ben ik dan alle rommel ook echt kwijt??

hierbij de log
Logfile of HijackThis v1.98.2
Scan saved at 15:05:23, on 7-9-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\syscfg32.exe
C:\WINDOWS\System32\scvhosting.exe
C:\WINDOWS\BCMSMMSG.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Winad Client\Winad.exe
C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe
C:\WINDOWS\System32\nicftjse.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Winad Client\WinClt.exe
C:\Program Files\Wanadoo\NL\Mnu\IGOMNU.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Web_Rebates\WebRebates1.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Documents and Settings\wijasa\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startkabel.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [diagent] "C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe" startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Windows Registry Scan] regscan32.exe
O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] syscfg32.exe
O4 - HKLM\..\Run: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\Run: [starter] scvhosting.exe
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
O4 - HKLM\..\Run: [Media Player] wmplayer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [wdzengqp] C:\WINDOWS\System32\nicftjse.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\RunServices: [Windows Registry Scan] regscan32.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] syscfg32.exe
O4 - HKLM\..\RunServices: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\RunServices: [Media Player] wmplayer.exe
O4 - HKLM\..\RunServices: [starter] scvhosting.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] syscfg32.exe
O4 - HKLM\..\RunOnce: [starter] scvhosting.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Wanadoo Menu] C:\Program Files\Wanadoo\NL\Mnu\IGOMNU.EXE /S:T
O4 - HKCU\..\Run: [Win32 USB2 Driver] syscfg32.exe
O4 - HKCU\..\Run: [Zone Alarm] vsmon.exe
O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKCU\..\Run: [starter] scvhosting.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] syscfg32.exe
O4 - HKCU\..\RunOnce: [starter] scvhosting.exe
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...59a099af4172:cff482a8dc15814f6feed591071fa5ae
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EA3769D-7D55-4A4F-9D20-774AE6E4F411}: NameServer = 194.134.5.55 194.134.5.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{0EA3769D-7D55-4A4F-9D20-774AE6E4F411}: NameServer = 194.134.5.55 194.134.5.5

buffy · 7 sep 2004

Geplaatst door willemknigge
Ik heb de ie op zeer laag gezet en toen lukte het wel om swshredder te dwn. Heb hem gedraaid en hij heeft een aantal zaken verwijderd. Vervolgens spybot gedraaid en hierbij de logfile van hijack

Kan er zoveel rommel op de pc zijn gekomen via internet/ email dat de pc ontzettend traag is geworden? Soms lopen progs gewoon vast.
Het duurt een eeuwigheid voordat de paginas zijn geladen en dat progs zijn gestart. Het is toch een pentium 4 met 2.80 ghz processor. lijkt me snel genoeg.

Ik ben geneigd om alles eraf te gooien te formateren en alles weer opnieuwe erop te zetten. maar ben ik dan alle rommel ook echt kwijt??

Willem,

Je hebt stap 1 uit mijn eerste antwoord, de online scans, niet uitgevoerd. Ik zou dat namelijk aan je log kunnen zien.

Die rommel ís allemaal binnengekomen via internet/e-mail. Je schreef zelf ook al dat je na de format zonder beveiligingsprogramma's het internet bent opgegaan. Dit is het logische gevolg daarvan.

Om je even een idee te geven wat hoe het ervoor staat: het onderstaande is allemaal virus- en trojanellende:

O4 - HKLM\..\Run: [Windows Registry Scan] regscan32.exe
O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] syscfg32.exe
O4 - HKLM\..\Run: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\Run: [starter] scvhosting.exe
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
O4 - HKLM\..\Run: [Media Player] wmplayer.exe
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [wdzengqp] C:\WINDOWS\System32\nicftjse.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\RunServices: [Windows Registry Scan] regscan32.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] syscfg32.exe
O4 - HKLM\..\RunServices: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\RunServices: [Media Player] wmplayer.exe
O4 - HKLM\..\RunServices: [starter] scvhosting.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] syscfg32.exe
O4 - HKLM\..\RunOnce: [starter] scvhosting.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] syscfg32.exe
O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKCU\..\Run: [starter] scvhosting.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] syscfg32.exe
O4 - HKCU\..\RunOnce: [starter] scvhosting.exe

Dit niet gaan fixen hoor, dat heeft weinig zin.

Ik wil best een poging wagen, maar kan niet beloven dat we dit schoon krijgen en dat je dan een goed draaiende computer overhoudt. Opnieuw formatteren is dus geen slecht idee. Zorg dan dat je een antivirusprogramma én een firewall op cd-rom of floppy's hebt staan en installeer die programma's voordat je na de format voor het eerst het internet opgaat.

Laat even weten of je nog een poging wilt wagen dit schoon te krijgen of dat je toch voor opnieuw formatteren kiest.

willemknigge · 7 sep 2004

hijack

Dan maar formateren. zo wordt het ook niets.

De onlinescans werkten niet. dus niet gedaan.
Ik heb norton op cd

een firewall echter niet, maar als ik IE vanaf cd (dat zit toch in xp?) installeer en vervolgens de firewall instel voordat ik het net opga dan is het toch ook goed.

Moet ik vooraf ook de onderstaand beveiligers installeren voordat ik weer inlog??

adaware, spybot, hijack, spywareblaster?
Moet er ook een spamblokker opgezet worden vooraf?

Wat en welke progs adviseer jij??

bedankt dat je steeds zo snel reageert, ik zit nl al 2dagen achter die rammelkast om het weer goed te krijgen en nu pas zie ik eindelijk aan het eind van de tunnel een beetje licht

grt
Willem

buffy · 7 sep 2004

Ja, de firewall van XP activeren is ook goed. Zolang je dat maar doet voordat je voor het eerst internetverbinding maakt.

Andere programma's hoef je niet per se te installeren voordat je weer het internet opgaat, dat mag later ook wel. De firewall is het belangrijkst. Haal zodra je voor het eerst internetverbinding hebt, meteen de laatste updates voor je antivirusprogramma op.

Installeer dan (maar dat hoeft dus niet per se vooraf) in ieder geval SpywareBlaster. Kijk hier voor uitleg (plus meer handige tips): http://home.planet.nl/~kleyn080/Spywareinfonl.html#voorkomen. Installeer ook AdAware en/of Spybot.

willemknigge · 7 sep 2004

formateren

Okee bedankt

ik ga aan de slag, maar ik sluit de vraag nog niet als opgelost af omdat ik je nog wil laten weten of het allemaal goed is gegaan.

grt
willem

hijack log

willemknigge

Gebruiker

buffy

Meubilair

willemknigge

Gebruiker

buffy

Meubilair

willemknigge

Gebruiker

buffy

Meubilair

willemknigge

Gebruiker

buffy

Meubilair

willemknigge

Gebruiker

Nieuwste berichten

Wij waarderen jouw privacy