HijackThis

Status
Niet open voor verdere reacties.
elvenpath

elvenpath

Gebruiker
Lid geworden
20 okt 2001
Berichten
246
Ik kom hier geregeld een vraag tegen waar ze wijzen op "HijackThis" wat is dit en vooral wat doet het ?

ik heb het gedownload maar snap er niks van
 
Geplaatst door elvenpath
Ik kom hier geregeld een vraag tegen waar ze wijzen op "HijackThis" wat is dit en vooral wat doet het ?

ik heb het gedownload maar snap er niks van
Klik om te vergroten...

Hoef je opzich niks van te snappen, als je problemen hebt plaats je de log ervan even hier en dan vertellen de wijze mannen/vrouwen van dit forum wel welke zaken je mag verwijderen.
Voor de uitleg kijk even hier.
http://www.spywareinfo.com/~merijn/htlogtutorial.html
 
is me nu een beetje te veel leesvoer voor een zondagavond.

maar heb hier wel een log
 

Bijlagen

  • hijackthis1.txt
    5,5 KB · Weergaven: 29
Hoi elvenpath,

Slachtoffer van patchou?

Vink de onderstaande zaken aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html

O2 - BHO: (no name) - {89f7192e-cdc2-41d3-8df5-3503c68a088d} - C:\DOCUME~1\ADMINI~1\APPLIC~1\brstenitck.dll

O3 - Toolbar: oeeieoangst - {425fac49-ea6a-491d-b698-8a38dc1132da} - C:\DOCUME~1\ADMINI~1\APPLIC~1\brstenitck.dll

O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O14 - IERESET.INF: START_PAGE_URL=http://www.msn.nl
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.nl

Start daarna opnieuw op.

Vraagje: heb je deze zelf geinstalleerd, of was dat ook een "cadeautje"?
http://www.submitwolf.com/toolbar/

Groetjes,

Pieter
 
Vink de volgende zaken aan in hijackthis en klik daarna op Fix, wel eerst alle openstaande vensters sluiten.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
O2 - BHO: (no name) - {89f7192e-cdc2-41d3-8df5-3503c68a088d} - C:\DOCUME~1\ADMINI~1\APPLIC~1\brstenitck.dll
O3 - Toolbar: oeeieoangst - {425fac49-ea6a-491d-b698-8a38dc1132da} - C:\DOCUME~1\ADMINI~1\APPLIC~1\brstenitck.dll
O16 - DPF: {4006E7B2-0FB2-4345-B388-083B138E80AF} (DFRun Class) - http://webpdp.gator.com/v3/download/iegator_3490_hd3ptdm.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/yiebio5_1_4_0.cab
 
Laatst bewerkt:
Pieter heb ik het mis als ik zeg dat dit geen spyware is?
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O14 - IERESET.INF: START_PAGE_URL=http://www.msn.nl
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.nl


En deze zijn toch ook "slecht"?
O16 - DPF: {4006E7B2-0FB2-4345-B388-083B138E80AF} (DFRun Class) - http://webpdp.gator.com/v3/download...490_hd3ptdm.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.yah...ebio5_1_4_0.cab
 
Goeie Caspar107,

Gator had ik gemist. :eek:
Mobsync komt vanzelf weer terug, maar belemmert soms het veranderen van R1 items.
Die Yahoo ActiveX is volgens mij niks mis mee
Die IERESET´s zijn alleen maar lastig

Over deze O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe kon ik alleen maar iets nuttigs vinden op de Google groups waar Kleinkramer aanraadde het te verwijderen.


Groetjes,

Pieter
 
om te beginnen:

wat is patchou ??

ten tweede:

ik kan dus alles waar jullie naar verwijzen aanvinken en dan fix ?

ten derde wat betreft http://www.submitwolf.com/toolbar/ :

van dit progje heb ik de trail versie gedownload maar van deze toolbar ben ik nog niet tegen gekomen.
ook aanvinken dan?
 
Patchou is de maker van MessengerPlus, dat tegenwoordig met lop.com gebundeld komt als je niet oplet tijdens het installeren.
Dat is die nare balk waar je waarschijnlijk vanaf wou die ook de zoekpagina's van IE gehijacked had.

Deze heeft waarschijnlijk die andere toolbar verdrongen.
Je kunt hem met Beeld > Werkbalken naar voren halen.
Hij is voor mij nieuw, dus ik weet niet of het spyware is/bevat.

Alles wat Caspar107 en ik genoemd hebben kan zonder gevaar weg. Mocht je iets missen, maakt HijackThis altijd nog backups.

Groetjes,

Pieter
 
hey bedankt
ik zal van de week eens alles op mijn gemak door gaan lezen


maar hoe weet je nou wat wel en wat geen spyware/rommel is ??

je moet er toch wel een dag taak aan hebben om dit allemaal uit te zoeken!!!!!!

thx
 
Geplaatst door elvenpath

maar hoe weet je nou wat wel en wat geen spyware/rommel is ??

je moet er toch wel een dag taak aan hebben om dit allemaal uit te zoeken!!!!!!
Klik om te vergroten...

Klopt. ;)

Groetjes,

Pieter
 
Pieter,

al hoewel het vrij duidelijk is dat ze wegkunnen staan ze niet op Ton's bho en toolbar lijstje:

O2 - BHO: (no name) - {89f7192e-cdc2-41d3-8df5-3503c68a088d} - C:\DOCUME~1\ADMINI~1\APPLIC~1\brstenitck.dll
O3 - Toolbar: oeeieoangst - {425fac49-ea6a-491d-b698-8a38dc1132da} - C:\DOCUME~1\ADMINI~1\APPLIC~1\brstenitck.dll

veranderen ze van naam elke keer (de dll). Hoe weet je dat het de trillian toolbar is ??
 
Deze is van de Trellian toolbar
O3 - Toolbar: Trellian Toolbar - {71AAABE5-1F0F-11d7-BD6F-004854603DCE} - C:\Program Files\TRELLIAN\ToolBar\toolbar.dll
 
dan vraag ik me toch dus af wat het nou precies is die toolbar en wat het doet. Gewoon benieuwd ..
 
Welke? De Trellian toolbar of deze twee?
O2 - BHO: (no name) - {89f7192e-cdc2-41d3-8df5-3503c68a088d} - C:\DOCUME~1\ADMINI~1\APPLIC~1\brstenitck.dll
O3 - Toolbar: oeeieoangst - {425fac49-ea6a-491d-b698-8a38dc1132da} - C:\DOCUME~1\ADMINI~1\APPLIC~1\brstenitck.dll
 
niet trellian, maar deze inderdaad:

O2 - BHO: (no name) - {89f7192e-cdc2-41d3-8df5-3503c68a088d} - C:\DOCUME~1\ADMINI~1\APPLIC~1\brstenitck.dll
O3 - Toolbar: oeeieoangst - {425fac49-ea6a-491d-b698-8a38dc1132da} - C:\DOCUME~1\ADMINI~1\APPLIC~1\brstenitck.dll
 
dat is wel heel waarschijnlijk ja, gezien de mysearchnow entries. ook plaatst lop dan een file in C:\DOCUME~1\ADMINI~1\APPLIC~1\ ! Na installeren van MessengerPlus met lop krijg je dit ook namelijk.

Maar de naam van dll wisselt dus wel steeds. Maar lop komt dan zeker in het lijstje van Ton voor, aangezien het een van de meest bekende rotzooi is die je kan besmetten. Dus raakte even in de war. Kan tenslotte toch ook een andere vorm van spyware zijn, die zich nestelt in dezelfde directory. Kan eigenlijk nog steeds, maar hoort in dit geval heel waarschijnlijk wel bij een variant van lop.

Maar had er even niet op gelet/opgemerkt dat ook de CLSID dus verandert. verklaart meteen waarom het niet in Ton's lijst voorkomt.
 
Hoi vaat,

Helaas staat het stukje over spyware die random CLSID's en bestandsnamen gebruiken nu helemaal onderaan op http://www.spywareinfo.com/bhos/

Dit is een tijdelijke noodmaatregel, omdat anders de 421 (!) bekende BHO's niet meer op de eerste bladzijde van het blog passen.

Bovendien moet er nog een stukje bij over AdGoblin die ook deze methode gebruikt.

Groetjes,

Pieter
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan