hijack this log

[Ovarmars]

ogfile of HijackThis v1.98.2
Scan saved at 13:41:23, on 20-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\FACEOO~1\bone axis.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijack backups\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Blehdeaf] C:\PROGRA~1\FACEOO~1\bone axis.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [winupdt] RUNDLL32.EXE c:\windows\wqopuc.dll,_mainRD
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .png: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{02D42C53-906B-4C53-92CF-90F2BC8EA42D}: NameServer = 195.241.48.33 195.241.49.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{02D42C53-906B-4C53-92CF-90F2BC8EA42D}: NameServer = 195.241.48.33 195.241.49.33
O18 - Filter: text/html - {2E22587F-3332-40A9-91AC-5DD56E7E6DA7} - C:\Documents and Settings\Jeroen\Local Settings\Application Data\microsoft\internet explorer\V0.26.dat

 

[buffy]

Heb je zelf al items gefixt?

 

[Ovarmars]

nee

 

[buffy]

of zaken uitgevinkt in MSConfig -> Opstarten?

 

[Ovarmars]

nee, kheb niks gedaan

 

[buffy]

Geplaatst door Ovarmars

O4 - HKLM\..\Run: [Blehdeaf] C:\PROGRA~1\FACEOO~1\bone axis.exe
O4 - HKLM\..\Run: [winupdt] RUNDLL32.EXE c:\windows\wqopuc.dll,_mainRD

O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab

O18 - Filter: text/html - {2E22587F-3332-40A9-91AC-5DD56E7E6DA7} - C:\Documents and Settings\Jeroen\Local Settings\Application Data\microsoft\internet explorer\V0.26.dat

1. Scan met HijackThis, vink de bovenstaande items (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

2. Herstart de pc in veilige modus.
Mocht je niet weten hoe dat moet, kijk dan hier even: http://www.virushelp.nl/veilige_modus.htm

Zorg ervoor dat verborgen bestanden en mappen worden weergegeven.
Hier kun je lezen hoe dat moet: http://users.telenet.be/marcvn/spyware/1117602.htm

Verwijder nu, in veilige modus dus, de volgende bestanden en mappen (voor zover nog aanwezig):

C:\WINDOWS\wqopuc.dll <- dat bestand
C:\PROGRAM FILES\FACEOO~1 <- d.w.z. die map waarvan de naam begint met "Faceoo..."

3. Herstart de pc in 'normale modus'.

4. Scan online op virussen en trojans bij Housecall: http://housecall.trendmicro.com/

5. Start de pc opnieuw op.

6. Maak een nieuw log en plaats dat hier.

 

[Ovarmars]

bij housecall zegt tie dat ik wat moet installeren, moet dat??

 

[buffy]

ja

 

[Ovarmars]

Logfile of HijackThis v1.98.2
Scan saved at 11:12:29, on 21-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\hijack backups\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Blehdeaf] C:\PROGRA~1\FACEOO~1\bone axis.exe
O4 - HKLM\..\Run: [winupdt] RUNDLL32.EXE c:\windows\vhopuc.dll,_mainRD
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .png: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

 

[buffy]

Geplaatst door Ovarmars

O4 - HKLM\..\Run: [Blehdeaf] C:\PROGRA~1\FACEOO~1\bone axis.exe
O4 - HKLM\..\Run: [winupdt] RUNDLL32.EXE c:\windows\vhopuc.dll,_mainRD

Waarom plaats je dat log nu twee keer?



1. Scan met HijackThis, vink de bovenstaande items (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

2. Herstart de pc in veilige modus.
Zorg ervoor dat verborgen bestanden en mappen worden weergegeven.

Verwijder nu, in veilige modus dus, de volgende bestanden en mappen (indien nog aanwezig):

C:\WINDOWS\vhopuc.dll <- dat bestand
C:\PROGRAM FILES\FACEOO~1 <- d.w.z. die map waarvan de naam begint met "Faceoo..."

3. Herstart de pc in 'normale modus'.

4. Maak een nieuw log en plaats dat hier.