Hijack logje

[Angel1985]

Hallo, hier nogmaals het opgeschoonde logje van een vriend van me. Het was echt een zooitje. Zou je even willen kijken of het nu wel schoon is? Alvast bedankt

Logfile of HijackThis v1.98.2
Scan saved at 21:47:01, on 5-9-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\DC++\DCPlusPlus.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Babylon\Babylon.exe
D:\Setup\Hijack This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Program Files\TV Media\TvmBho.dll (file missing)
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

 

[buffy]

Geplaatst door Angel1985
Hallo, hier nogmaals het opgeschoonde logje van een vriend van me. Het was echt een zooitje. Zou je even willen kijken of het nu wel schoon is? Alvast bedankt

Is dit log onvolledig, of ben je of is die vriend zo stom geweest op eigen houtje van alles te gaan fixen?

 

[rodin]

Geplaatst door buffy



Is dit log onvolledig, of ben je of is die vriend zo stom geweest op eigen houtje van alles te gaan fixen?

van alles? het lijkt met dat je die van gewoon weg kan laten..

en geen virusscanner.. geen firewall.. erg onverstandig

en ga eens langs windows update en download ZEKER internet explorer sp1..

//edit: en windows xp sp1

 

[crash]

Geplaatst door rodin
en geen virusscanner.. geen firewall.. erg onverstandig

Volgens mij zit er wel een viruscanner op.

C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe

Een firewall zie ik niet staan.

 

[Angel1985]

Hallo,

Ik had al eerder een logje geplaatst in deel 8 en daar kreeg ik het onderstaande antwoord op. Volgens hem heeft hij dit uitgevoerd met behulp van iemand die goed met computers overweg kan, dus je zal toch denken dat het goed uitgevoerd is.

Er zit inderdaad geen firewall op, maar die komt er deze week op (Agnitum Outpost Firewall Pro). Als antivirus zit er norton 2004 op.

Er zit ook nog een oude crack op van winxp pro. Daarmee kun je sp1 niet downloaden van de windowssite. Die geeft een foutmelding. Dus dat is niet mogelijk

Maar hier is het eerder gegeven advies:
-------------------------------------------------
Angel1985

quote:
--------------------------------------------------------------------------------
Geplaatst door Angel1985

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Startportal/Portal/portal.html

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Program Files\TV Media\TvmBho.dll

O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: CSIECore Class - {00000000-0000-0000-0000-000000000221} - C:\Program Files\ClearSearch\CSIE.DLL
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
O2 - BHO: rwskhuygdhjgrhaxhfst - {b4e8800d-7191-47d6-b0a5-21ffb4587305} - C:\DOCUME~1\Benno\APPLIC~1\lljoalouosh.dll

O3 - Toolbar: eafrfrqtrto - {9013846b-f891-4e5c-a524-a2938c52f1e5} - C:\DOCUME~1\Benno\APPLIC~1\lljoalouosh.dll

O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe
O4 - HKLM\..\Run: [SpecialOffers] C:\WINDOWS\specialoffers4.exe
O4 - HKLM\..\Run: [tyfrho] C:\WINDOWS\System32\dqsaict.exe
O4 - HKLM\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\Hotbar\bin\4.5.0.0\WeatherOnTray.exe
O4 - HKLM\..\Run: [Spam Blocker for Outlook Express] C:\PROGRA~1\Hotbar\bin\450~1.0\SBInst.exe
O4 - HKLM\..\Run: [zehut] C:\WINDOWS\zehut.exe
O4 - HKCU\..\Run: [SpecialOffers] C:\WINDOWS\SpecialOffers.exe
O4 - HKCU\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll (file missing)

O16 - DPF: {8F24DE00-0D66-4F93-9405-3F21E97AEE99} (TestingCtl Control) - http://esb.alcena.com/ESBAdultInstaller.ocx

--------------------------------------------------------------------------------





Hallo Angel1985,


Daar kan ik me iets bij voorstellen, dat hij helemaal gek wordt van de pop-ups. Wat een verzameling adware en spyware zeg.

Je vriend moet naar WindowsUpdate gaan om alle essentiële updates en servicepacks voor XP en IE te installeren, want zijn systeem is nu zo lek als een mandje.


1. Scan opnieuw met HijackThis, vink de bovenstaande items (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

2. Herstart de pc in veilige modus.
Mocht je niet weten hoe dat moet, kijk dan hier even: http://www.virushelp.nl/veilige_modus.htm

Zorg ervoor dat verborgen bestanden en mappen worden weergegeven.
Hier kun je lezen hoe dat moet: http://users.telenet.be/marcvn/spyware/1117602.htm

Verwijder nu, in veilige modus dus, de volgende bestanden en mappen (voor zover nog aanwezig):

Bestanden:
C:\WINDOWS\SpecialOffers.exe
C:\WINDOWS\specialoffers4.exe
C:\WINDOWS\twaintec.dll
C:\WINDOWS\localNRD.dll
C:\WINDOWS\Belt.exe
C:\WINDOWS\alchem.exe
C:\WINDOWS\zehut.exe
C:\WINDOWS\System32\dqsaict.exe
C:\Documents and Settings\Benno\Application Data\lljoalouosh.dll

Mappen:
C:\Program Files\VVSN
C:\Program Files\SideFind
C:\Program Files\ClearSearch
C:\Program Files\TV Media
C:\Program Files\Startportal
C:\Program Files\Hotbar

3. Herstart de pc in 'normale modus'.

4. Installeer de nieuwste versie van AdAware. Dat is AdAware SE Personal 1.03: http://www.majorgeeks.com/download506.html
Haal de laatste updates binnen, laat het programma scannen en laat het verwijderen wat wordt gevonden. Herstart daarna de pc.

5. Maak een nieuw log met HijackThis en plaats dat hier.


Groetjes,

Buffy

 

[rodin]

Geplaatst door crash

Volgens mij zit er wel een viruscanner op.

Een firewall zie ik niet staan.

idd.. virusscanner zit er wel op.. khad het maar heel vluchtig bekeken

 

[buffy]

Geplaatst door Angel1985
Hallo,

Ik had al eerder een logje geplaatst in deel 8 en daar kreeg ik het onderstaande antwoord op. Volgens hem heeft hij dit uitgevoerd met behulp van iemand die goed met computers overweg kan, dus je zal toch denken dat het goed uitgevoerd is.

Hallo Angel1985,

Er is echt veel meer gefixt dan alleen de items die ik aldaar heb aangegeven. Waarschijnlijk zijn álle items die op dat moment in het log verschenen gefixt. De opstartitems van het antivirusprogramma bijvoorbeeld: ik heb echt niet gezegd dat díe gefixt moesten worden hoor!

 

[Angel1985]

Aha, vandaar. Er werd mij wel verteld dat als er in de lijst 6 items van O2 stonden en met het verwijderen er 8 stonden, dat die twee extra ook verwijderd werden.

Maar ik heb er nog wel bijgezet dat ze niet alles moesten verwijderen, want dat er ook dingen bijstonden die wel belangrijk waren voor de computer. Maar mijn vriend zei al dat zijn helper ontzettend eigenwijs was

Wat kan er nog aan gedaan worden om het wel goed te maken?????? :8-0:

 

[buffy]

Geplaatst door Angel1985

Wat kan er nog aan gedaan worden om het wel goed te maken?????? :8-0:

Nou, HijackThis maakt keurig back-ups aan die teruggezet kunnen worden. Maar... zo te zien is HijackThis vanaf een cd'tje gedraaid (ook dat klopt trouwens niet met onze instructies):

D:\Setup\Hijack This.exe

Back-ups terugzetten zal niet gaan, vrees ik.

Misschien haalt systeemherstel nog iets uit?

 

[Angel1985]

Hijack This is niet vanaf een cd-rom gedraaid. Mijn vriend heeft geloof ik 3 of 4 partities. C is de windows schijf, en d is de schijf met belangrijke dingen zoals setup bestandjes. En vanaf die partitie is ie opgestart.

Maar ik zal tegen hem zeggen dat ie een systeemherstel moet maken en dan ALLEEN de bestandjes moet verwijderen die jij hebt aangegeven.

Is dat oke?

 

[buffy]

Geplaatst door Angel1985
Hijack This is niet vanaf een cd-rom gedraaid. Mijn vriend heeft geloof ik 3 of 4 partities. C is de windows schijf, en d is de schijf met belangrijke dingen zoals setup bestandjes. En vanaf die partitie is ie opgestart.

Maar ik zal tegen hem zeggen dat ie een systeemherstel moet maken en dan ALLEEN de bestandjes moet verwijderen die jij hebt aangegeven.

Is dat oke?

Laat systeemherstel dan maar even zitten. De back-ups zouden er in dit geval nog moeten zijn.

Start HijackThis.
Klik op "Config..." (rechtsonder)
Klik op "Backups"
Selecteer alle back-ups en kies "Restore".

Voer dan mijn instructies uit het bericht in 'Helpmij tegen spyware offensief (deel 8)' nogmaals uit en fix ditmaal alléén die items die daar in de quote staan.

 

[Angel1985]

Oke bedankt ik zal het doorgeven en het (goede) log dan weer hier plaatsen... :thumb:

 

[Angel1985]

Oke hier heb ik weer een logje, maar er is een nieuw probleempje Hij heeft de back-ups teruggezet, maar de bestanden kwamen niet terug die hij verwijderd had. Ook de mappen bleven leeg. En een herstelpunt is ook niet meer mogelijk. Hij is tot een maand terug gegaan, maar bij ieder herstelpunt gaf ie na het herstellen aan dat het niet mogenlijk was om de computer naar die datum te herstellen

Hij woont hier helaas ver vandaan, dus ik kan hem niet zelf helpen. Nu heeft ie volgens mij meer problemen met z'n pc dan ie al had... maar hier is het nieuwe logje, nog steeds erg klein:
------------------------------------------------

Logfile of HijackThis v1.98.2
Scan saved at 16:56:47, on 6-9-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MsgPlus.exe
C:\Program Files\Trust\250S Series\lwbwheel.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
D:\Setup\Hijack This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MsgPlus.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Trust\250S Series\lwbwheel.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

 

[buffy]

Het spijt me zeer, maar hier kan ik niets mee.
Formatteren en Windows opnieuw installeren is de enige oplossing.

 

[Angel1985]

Au.... ik zal het aan hem doorgeven