Hijack this log

[Warmold]

Hoi,

Tijdens het werken met internet explorer krijg ik constant de meest vreemde soort popups in beeld. Daarnaast kan ik geen startpagina instellen.

Ik heb gescand met een geupdate spybot S&D en adaware. Hier volgt mn logbestand van Hijack this:

Logfile of HijackThis v1.98.2
Scan saved at 14:41:56, on 13-9-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe
D:\UTwente\defwatch.exe
C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\ansyslmd.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
D:\UTwente\rtvscan.exe
C:\WINDOWS\system32\javadr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Microsoft Hardware\Keyboard\speedkey.exe
D:\fotoshop\Monitor.exe
D:\UTwente\vptray.exe
C:\WINDOWS\System32\Smtray.exe
D:\Program Files\ahead\InCD\InCD.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\addbj32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\MD40323\ICON.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Administrator\Desktop\hijack this\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ifdet.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rzqzt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rzqzt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ifdet.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rzqzt.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ifdet.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ifdet.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1A73479F-2785-CF6C-EAB8-9261C8D3F612} - C:\WINDOWS\system32\crgb.dll
O2 - BHO: (no name) - {79215374-7B27-A899-FBC1-3D321BA35AE9} - C:\WINDOWS\mssz32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft IntelliType Pro] "C:\Program Files\Microsoft Hardware\Keyboard\speedkey.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] D:\fotoshop\Monitor.exe
O4 - HKLM\..\Run: [vptray] D:\UTwente\vptray.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] Smtray.exe
O4 - HKLM\..\Run: [InCD] D:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [addbj32.exe] C:\WINDOWS\addbj32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [netgt32.exe] C:\WINDOWS\system32\netgt32.exe
O4 - HKLM\..\RunOnce: [sysrk.exe] C:\WINDOWS\sysrk.exe
O4 - HKLM\..\RunOnce: [sysvz32.exe] C:\WINDOWS\system32\sysvz32.exe
O4 - HKLM\..\RunOnce: [msnq32.exe] C:\WINDOWS\msnq32.exe
O4 - HKLM\..\RunOnce: [d3bf.exe] C:\WINDOWS\system32\d3bf.exe
O4 - HKLM\..\RunOnce: [apihp.exe] C:\WINDOWS\apihp.exe
O4 - HKLM\..\RunOnce: [msqs.exe] C:\WINDOWS\system32\msqs.exe
O4 - HKLM\..\RunOnce: [appyq32.exe] C:\WINDOWS\system32\appyq32.exe
O4 - HKLM\..\RunOnce: [ntxi32.exe] C:\WINDOWS\ntxi32.exe
O4 - HKLM\..\RunOnce: [sdkhq32.exe] C:\WINDOWS\system32\sdkhq32.exe
O4 - HKLM\..\RunOnce: [ntoc32.exe] C:\WINDOWS\ntoc32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: 2Mega Camera Manager Monitor.lnk = ?
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} (WebBasedClientInstall Class) - https://www.utwente.nl/software/antivirus/WebInst/WebInst.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://www.p3.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4362/mcfscan.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = student.utwente.nl
O17 - HKLM\Software\..\Telephony: DomainName = student.utwente.nl
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = student.utwente.nl





Alvast bedankt,

Met vriendelijke groeten
Warmold ten Zijthoff

 

[buffy]

Geplaatst door Warmold
Hoi,

Tijdens het werken met internet explorer krijg ik constant de meest vreemde soort popups in beeld. Daarnaast kan ik geen startpagina instellen.

Hoi Warmold,

Dit is verschrikkelijk. Je hebt de moeilijkst te verwijderen CWS-variant te pakken die we kennen. Verwijdering is niet onmogelijk, maar vergt een ingewikkelde en tijdrovende procedure. Daarom wil ik je, voordat ik iets met het log doe, eerst vragen of formatteren en met een schone installatie opnieuw beginnen voor jou ook een optie is. Ik zeg niet dat je móet formatteren hoor, is dat geen optie dan zal ik mijn best doen je hiervan af te helpen (waarbij ik geen 100% resultaat kan garanderen, trouwens). Laat me even weten wat je ervan denkt.

 

[Warmold]

Hoi Buffy,

Wat een drama.... Ik denk dat formatteren dan de beste oplossing is. Hopelijk lukt het om belangrijke bestanden ergens anders tijdelijk op te slaan. In elk geval hartelijk dank voor je advies.

Vriendelijke groeten
Warmold