last van o.a. richfind popup/toolbar/startpagina

Status
Niet open voor verdere reacties.
W

wilbertneedhelp

Gebruiker
Lid geworden
1 apr 2004
Berichten
171
Logfile of HijackThis v1.98.2
Scan saved at 15:55:46, on 8-12-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Stardock\SDMCP.exe
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Wilbert\Application Data\ora?y.exe
C:\Program Files\Webshots\WebshotsTray.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\AvidSDMService.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
C:\Program Files\GameSpy Arcade\aphex.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.gxzvawbhmwckwzreaib.com/...JvC9dTLzmralyfRS890FOKHgOkidUoF3lQB/TuGc8.jpg
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fyiyoeiqfnnihchiqrhpp.us/rPIzSwPORzTtxXvhhXas7HuCGyfL943eM7_Yl0Xvu6g.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: Richfind - {9A32764D-C423-425F-8F25-B3EA46D6843E} - C:\WINDOWS\System32\Q736781.dll
R3 - URLSearchHook: Richfind - {FD2D30F5-1896-4CA7-9CFF-211D65623C17} - C:\WINDOWS\System32\Q736781.dll
R3 - URLSearchHook: Richfind - {9E03FA62-E8B6-4D79-BF35-511EE6FC24D0} - C:\WINDOWS\System32\Q736781.dll
R3 - URLSearchHook: Richfind - {BCE951DB-8285-41F0-AF88-402C467F6AFB} - C:\WINDOWS\System32\Q777500.dll
R3 - URLSearchHook: Richfind - {2E5ADE04-A5B8-4BCA-AEDD-98B75EBB49CB} - C:\WINDOWS\System32\Q775250.dll
O2 - BHO: Richfind - {3FCBF801-5694-4ED6-8E83-064300C3F4C7} - C:\WINDOWS\System32\Q775250.dll
O2 - BHO: Richfind - {7BDDDDAE-AFB1-4285-A489-F84A28982996} - C:\WINDOWS\System32\Q777500.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll
O3 - Toolbar: Richfind - {E6D743B9-CA38-45D3-A232-033AF10B9B47} - C:\WINDOWS\System32\Q736781.dll
O3 - Toolbar: Richfind - {0970B2D7-A87B-49DF-8F23-D2BAEF1BEAC4} - C:\WINDOWS\System32\Q736781.dll
O3 - Toolbar: Richfind - {A72AFC57-1212-46DA-83F7-BCBEA65E4786} - C:\WINDOWS\System32\Q736781.dll
O3 - Toolbar: Richfind - {856355B9-1800-4D72-92B0-31A91E751A9C} - C:\WINDOWS\System32\Q777500.dll
O3 - Toolbar: Richfind - {C54BC0AC-5486-4684-8E68-C827BF6BE3FE} - C:\WINDOWS\System32\Q775250.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [7xcQjq] C:\documents and settings\wilbert\local settings\temp\7xcQjq.exe
O4 - HKLM\..\Run: [5tm] C:\documents and settings\wilbert\local settings\temp\5tm.exe
O4 - HKLM\..\Run: [p16qmu] C:\documents and settings\wilbert\local settings\temp\p16qmu.exe
O4 - HKLM\..\Run: [9e6df3b1f2f7] C:\WINDOWS\System32\authz342.exe
O4 - HKLM\..\Run: [5FHLPHD5C9Q8H6] C:\WINDOWS\System32\Eruz6x9.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Deaf Site] C:\DOCUME~1\Wilbert\APPLIC~1\ARMYNU~1\heckless.exe
O4 - HKCU\..\Run: [Tesr] C:\Documents and Settings\Wilbert\Application Data\ora?y.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\WebshotsTray.exe
O4 - Startup: WKCALREM.LNK = C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Richfind - {00000000-0000-0000-0000-000000000000} - (no file)
O9 - Extra button: Richfind - {0970B2D7-A87B-49DF-8F23-D2BAEF1BEAC4} - C:\WINDOWS\System32\Q736781.dll
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe
O9 - Extra button: Richfind - {856355B9-1800-4D72-92B0-31A91E751A9C} - C:\WINDOWS\System32\Q777500.dll
O9 - Extra button: Richfind - {A72AFC57-1212-46DA-83F7-BCBEA65E4786} - C:\WINDOWS\System32\Q736781.dll
O9 - Extra button: Richfind - {C54BC0AC-5486-4684-8E68-C827BF6BE3FE} - C:\WINDOWS\System32\Q775250.dll
O9 - Extra button: Richfind - {E6D743B9-CA38-45D3-A232-033AF10B9B47} - C:\WINDOWS\System32\Q736781.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://*.search-soft.net
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} -
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://fastsearchweb.com/counter/new/x.chm::/update.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/bltd/572.chm::/file.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1294dd5d94a9acbd9806/netzip/RdxIE601.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1100606398108
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab27513.cab
O16 - DPF: {E3E34A32-3A6A-47CC-B4E3-B8B86715D388} (MBoom Class) - http://pain.gamepoint.net/msn2/2003/ds/sintgame/marsepein/dll/boom.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll
O18 - Filter: text/html - {9B82B7B1-E38E-4CF3-9465-FFFB8E4D3536} - C:\WINDOWS\System32\Q775250.dll
O18 - Filter: text/plain - {9B82B7B1-E38E-4CF3-9465-FFFB8E4D3536} - C:\WINDOWS\System32\Q775250.dll
 
:( Afschuwelijk.

Een ongelooflijke verzameling ellende en ik vrees dat er iets bij zit dat bijzonder moeilijk te verwijderen is. Het zou dus kunnen dat het wel even duurt voordat we hiermee klaar zijn.
Maar laten we eens kijken wat er na deze eerste ronde overblijft. Ál deze stappen precies uitvoeren, in deze volgorde:


1. Scan met HijackThis en vink de volgende items aan:
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.gxzvawbhmwckwzreaib.com/...JvC9dTLzmralyfRS890FOKHgOkidUoF3lQB/TuGc8.jpg
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fyiyoeiqfnnihchiqrhpp.us/rPIzSwPORzTtxXvhhXas7HuCGyfL943eM7_Yl0Xvu6g.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R3 - URLSearchHook: Richfind - {9A32764D-C423-425F-8F25-B3EA46D6843E} - C:\WINDOWS\System32\Q736781.dll
R3 - URLSearchHook: Richfind - {FD2D30F5-1896-4CA7-9CFF-211D65623C17} - C:\WINDOWS\System32\Q736781.dll
R3 - URLSearchHook: Richfind - {9E03FA62-E8B6-4D79-BF35-511EE6FC24D0} - C:\WINDOWS\System32\Q736781.dll
R3 - URLSearchHook: Richfind - {BCE951DB-8285-41F0-AF88-402C467F6AFB} - C:\WINDOWS\System32\Q777500.dll
R3 - URLSearchHook: Richfind - {2E5ADE04-A5B8-4BCA-AEDD-98B75EBB49CB} - C:\WINDOWS\System32\Q775250.dll

O2 - BHO: Richfind - {3FCBF801-5694-4ED6-8E83-064300C3F4C7} - C:\WINDOWS\System32\Q775250.dll
O2 - BHO: Richfind - {7BDDDDAE-AFB1-4285-A489-F84A28982996} - C:\WINDOWS\System32\Q777500.dll

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll
O3 - Toolbar: Richfind - {E6D743B9-CA38-45D3-A232-033AF10B9B47} - C:\WINDOWS\System32\Q736781.dll
O3 - Toolbar: Richfind - {0970B2D7-A87B-49DF-8F23-D2BAEF1BEAC4} - C:\WINDOWS\System32\Q736781.dll
O3 - Toolbar: Richfind - {A72AFC57-1212-46DA-83F7-BCBEA65E4786} - C:\WINDOWS\System32\Q736781.dll
O3 - Toolbar: Richfind - {856355B9-1800-4D72-92B0-31A91E751A9C} - C:\WINDOWS\System32\Q777500.dll
O3 - Toolbar: Richfind - {C54BC0AC-5486-4684-8E68-C827BF6BE3FE} - C:\WINDOWS\System32\Q775250.dll

O4 - HKLM\..\Run: [7xcQjq] C:\documents and settings\wilbert\local settings\temp\7xcQjq.exe
O4 - HKLM\..\Run: [5tm] C:\documents and settings\wilbert\local settings\temp\5tm.exe
O4 - HKLM\..\Run: [p16qmu] C:\documents and settings\wilbert\local settings\temp\p16qmu.exe
O4 - HKLM\..\Run: [9e6df3b1f2f7] C:\WINDOWS\System32\authz342.exe
O4 - HKLM\..\Run: [5FHLPHD5C9Q8H6] C:\WINDOWS\System32\Eruz6x9.exe
O4 - HKCU\..\Run: [Deaf Site] C:\DOCUME~1\Wilbert\APPLIC~1\ARMYNU~1\heckless.exe
O4 - HKCU\..\Run: [Tesr] C:\Documents and Settings\Wilbert\Application Data\ora?y.exe

O9 - Extra button: Richfind - {00000000-0000-0000-0000-000000000000} - (no file)
O9 - Extra button: Richfind - {0970B2D7-A87B-49DF-8F23-D2BAEF1BEAC4} - C:\WINDOWS\System32\Q736781.dll
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe
O9 - Extra button: Richfind - {856355B9-1800-4D72-92B0-31A91E751A9C} - C:\WINDOWS\System32\Q777500.dll
O9 - Extra button: Richfind - {A72AFC57-1212-46DA-83F7-BCBEA65E4786} - C:\WINDOWS\System32\Q736781.dll
O9 - Extra button: Richfind - {C54BC0AC-5486-4684-8E68-C827BF6BE3FE} - C:\WINDOWS\System32\Q775250.dll
O9 - Extra button: Richfind - {E6D743B9-CA38-45D3-A232-033AF10B9B47} - C:\WINDOWS\System32\Q736781.dll

O15 - Trusted Zone: http://*.search-soft.net

O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} -
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://fastsearchweb.com/counter/new/x.chm::/update.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/bltd/572.chm::/file.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1294dd5d94a9acbd9806/netzip/RdxIE601.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {E3E34A32-3A6A-47CC-B4E3-B8B86715D388} (MBoom Class) - http://pain.gamepoint.net/msn2/2003/ds/sintgame/marsepein/dll/boom.cab

O18 - Filter: text/html - {9B82B7B1-E38E-4CF3-9465-FFFB8E4D3536} - C:\WINDOWS\System32\Q775250.dll
O18 - Filter: text/plain - {9B82B7B1-E38E-4CF3-9465-FFFB8E4D3536} - C:\WINDOWS\System32\Q775250.dll
Klik om te vergroten...
Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

2. Herstart de pc in veilige modus.
Mocht je niet weten hoe dat moet, kijk dan hier even: http://www.virushelp.nl/veilige_modus.htm

Zorg ervoor dat verborgen bestanden en mappen worden weergegeven.
Hier kun je lezen hoe dat moet: http://users.telenet.be/marcvn/spyware/1117602.htm

Verwijder nu, in veilige modus dus, de volgende bestanden en mappen (voor zover nog aanwezig):

Bestanden:
C:\Documents and Settings\Wilbert\Application Data\ora?y.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
C:\WINDOWS\System32\authz342.exe
C:\WINDOWS\System32\Eruz6x9.exe
C:\WINDOWS\System32\Q736781.dll
C:\WINDOWS\System32\Q777500.dll
C:\WINDOWS\System32\Q775250.dll

Mappen:
C:\Documents and Settings\Wilbert\Application Data\ARMYNU~1 (de map waar "heckless.exe" in zit)
C:\Program Files\GameSpy Arcade

En leeg de map:

C:\documents and settings\wilbert\local settings\temp <- alles wat in die map zit verwijderen

3. Herstart de pc in 'normale modus'.

4. Gebruik CCleaner om tijdelijke en andere overbodige bestanden te verwijderen: http://www.ccleaner.com/

5. Doe een volledige scan met AdAware Se, laat alles verwijderen wat wordt gevonden: http://www.antispywareoffensief.nl/adaware/handleiding.html

6. Doe een volledige scan met Spybot - Search & Destroy, laat alle rode items repareren: http://www.antispywareoffensief.nl/spybot/handleiding.html

7. Scan online bij Housecall: http://housecall.trendmicro.com/housecall/start_corp.asp

8. Start de pc opnieuw op.

9. Maak een nieuw HijackThis-log en plaats dat hier.
 
even een vraagje, waarom moet gamespy verwijderd worden, dat is toch geen spyware ofzo. das gewoon een gameserver :thumb:
 
Geplaatst door wilbertneedhelp
even een vraagje, waarom moet gamespy verwijderd worden, dat is toch geen spyware ofzo. das gewoon een gameserver :thumb:
Klik om te vergroten...

't Is echt adware (advertentiesoftware) hoor: http://www3.ca.com/securityadvisor/pest/Pest.aspx?id=453073352
Als je er echt niet zonder kunt moet je het natuurlijk zelf weten, maar als je je pc een beetje schoon wilt krijgen (en ook houden) dan moet je het verwijderen en nooit weer gebruiken. Veel van die ellende op jouw pc is waarschijnlijk dankzij het gebruiken van GameSpy binnengekomen.
 
das balen, veel spellen kun je online spelen via gamespy, maar ik verwijder het maar
thnx
er zijn trouwens een hele stel rtjes bijgekomen van richfind enzo, ik neem aan dat ik die ook gewoon mee moet nemen. ik heb nu zon 8 richfind searchbars
 
Geplaatst door wilbertneedhelp
das balen, veel spellen kun je online spelen via gamespy, maar ik verwijder het maar
thnx
er zijn trouwens een hele stel rtjes bijgekomen van richfind enzo, ik neem aan dat ik die ook gewoon mee moet nemen. ik heb nu zon 8 richfind searchbars
Klik om te vergroten...

Yep, al die items waarvan je zeker weet dat ze van RichFind zijn moet je fixen.
 
nog een laatste vraag: er staat een hele lijst O9-extrabutton richfind....... moeten die ook weg, en O18filter: text/html
 
ik zie net dat ik (ik had op voor en achterkant afgedrukt) dat ik een pagina vergeten was aan te vinken
 
Ja, de 09 en 018 items van Richfind moet je ook fixen. Maar ik gaf dat in mijn antwoord toch ook aan? Precies die items fixen die in de 'quote' in mijn antwoord staan. Zijn er extra 09 en 018 items van Richfind bijgekomen, fix die dan ook.

En ook alle andere stappen precies uitvoeren, in die volgorde, en meteen na elkaar (die niet halverwege stoppen en dan morgen verdergaan).

Succes ermee!

Nadat je dit stappenplan helemaal hebt uitgevoerd, moet je dus een nieuw log plaatsen want we zijn nog lang niet klaar. Ik vrees namelijk dat er iets heel vervelends op je pc staat...
 
Logfile of HijackThis v1.98.2
Scan saved at 0:05:37, on 9-12-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Stardock\SDMCP.exe
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\AvidSDMService.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Webshots\WebshotsTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\pingnet.exe
C:\WINDOWS\System32\sfcver.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
F:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: Richfind - {D40505AC-630C-4D1B-AD64-72A450A48F33} - C:\WINDOWS\System32\Q3050109.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Richfind - {5D2F150B-4994-4D83-ADC9-90F8C52C9838} - C:\WINDOWS\System32\Q3050109.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [5FHLPHD5C9Q8H6] C:\WINDOWS\System32\Bio9f.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\WebshotsTray.exe
O4 - Startup: WKCALREM.LNK = C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Richfind - {5D2F150B-4994-4D83-ADC9-90F8C52C9838} - C:\WINDOWS\System32\Q3050109.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.search-soft.net
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1100606398108
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab27513.cab
O16 - DPF: {E3E34A32-3A6A-47CC-B4E3-B8B86715D388} -
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll
O18 - Filter: text/html - {F865BF40-DDED-4C91-86B4-FF1070088722} - C:\WINDOWS\System32\Q3050109.dll
O18 - Filter: text/plain - {F865BF40-DDED-4C91-86B4-FF1070088722} - C:\WINDOWS\System32\Q3050109.dll
 
Precies wat ik al vermoedde.

Download dit bestandje: http://www.thespykiller.co.uk/files/ms4hd.zip
Unzip het naar je bureaublad.
In de map imm_mh4 vind je drie bestanden.
Dubbelklik op het bestand runme.bat.
Er worden 2 bestanden aangemaakt: look.txt en err.log. Look.txt bevat een lijst bestanden. Kopieer dit geheel en plak het hier in je volgende bericht.
 
hij geeft nu de volgende foutmelding (zie printscreen)
 

Bijlagen

  • error.jpg
    error.jpg
    99,6 KB · Weergaven: 18
Andere methode:

1. Download rem.zip: http://users.pandora.be/bluepatchy/www/rem.zip

Dit zip-bestand bevat 2 bestanden: rem.bat en zip.exe.
Unzip de bestanden naar de volgende map: C:\Windows\System32

2. Start de pc in veilige modus: http://www.virushelp.nl/veilige_modus.htm

Ga naar Start -> Uitvoeren -> en type in de balk:

C:\WINDOWS\System32\rem.bat

Klik "OK" of druk op "Enter".

3. Herstart de pc in 'normale modus'.

4. Zoek via Windows Verkenner naar het bestand C:\log.txt.

Open dat bestand, kopieer de volledige inhoud ervan en plak dat hier in je volgende bericht.

5. Maak een nieuw HijackThis-log en plaats ook dat in je volgende bericht.
 
ik zal het meteen doen, ik heb trouwens ook last van een virus, waardoor weet ik niet, ik kreeg hem vanavond pas last van, terwijl ik bijna geen sites geopend heb, straks voor ik ga slapen zal ik norten 2005 nog even scannen
 
Geplaatst door wilbertneedhelp
er is nu weer een toolbar verschenen van richfind
Klik om te vergroten...

Zie mijn vorige antwoord.

Zoals ik meteen in het begin al aangaf, heb jij afgrijselijk veel problemen op je pc staan en kan het even duren voordat we hiermee klaar zijn. Dat Richfind er nog is hoef je mij niet te vertellen, ik kan dat ook wel zien in je log.

We moeten nu eerst van het ergste probleem af, dus doe nu eerst eens wat ik in mijn vorige bericht beschreef.
 
Microsoft Windows XP [versie 5.1.2600]
C:\windows\System32
"Files found"
---------------------------------------------------------------------
clfmon.exe

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

"Files Not Deleted"
---------------------------------------------------------------------

Checking for version 2 files..........
Files Found
------------------------------------------------------------
rsn.exe
pingnet.exe
odcfg.exe
getdns.exe
netssh.exe
syspack.dll
netcfg.dll
odbcfg32.dll
p2pserv.dll

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

Files Not deleted
------------------------------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Files]
"taskrun.exe"=""
"trayinfo.exe"=""
"subsys.exe"=""
"spoolsvc.exe"=""
"smlogvcc.exe"=""
"sessngr.exe"=""
"rsvxp.exe"=""
"rsn.exe"=""
"rexecs.exe"=""
"resrvc32.exe"=""
"rcip.exe"=""
"proxyconf.exe"=""
"powerconf.exe"=""
"pingnet.exe"=""
"dnsping.exe"=""
"odcfg.exe"=""
"netstart.exe"=""
"netdns.exe"=""
"getdns.exe"=""
"msswchxp.exe"=""
"msng.exe"=""
"msinfo.exe"=""
"netssl.exe"=""
"netdetect.exe"=""
"sfcver.exe"=""
"netcfg.dll"=""
"odbcfg32.dll"=""
"p2pserv.dll"=""
"clfmon.exe"=""
"netssh.exe"=""
"syspack.dll"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes]
"taskrun.exe"=""
"trayinfo.exe"=""
"subsys.exe"=""
"spoolsvc.exe"=""
"smlogvcc.exe"=""
"sessngr.exe"=""
"rsvxp.exe"=""
"rsn.exe"=""
"rexecs.exe"=""
"resrvc32.exe"=""
"rcip.exe"=""
"proxyconf.exe"=""
"powerconf.exe"=""
"pingnet.exe"=""
"dnsping.exe"=""
"odcfg.exe"=""
"netstart.exe"=""
"netdns.exe"=""
"getdns.exe"=""
"msswchxp.exe"=""
"msng.exe"=""
"msinfo.exe"=""
"netssl.exe"=""
"netdetect.exe"=""
"sfcver.exe"=""
"clfmon.exe"=""
"netssh.exe"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys]
"{98DBBF16-CA43-4c33-BE80-99E6694468A4}"=""
"{E9590744-812B-46C3-96EB-33212855927D}"=""
"Files"=""
"Ms4Hd"=""
"Processes"=""
"RegKeys"=""
"RegValues"=""
"Vendor"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues]
"clfmon.exe"=""
"netssh.exe"=""
"sessngr.exe"=""
"spoolsvc.exe"=""

-----------------------------------------------------------------

Done
 
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Webshots\WebshotsTray.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: Richfind - {19F51728-9FDC-4CA1-A364-93D9F748601E} - C:\WINDOWS\System32\Q1044906.dll
R3 - URLSearchHook: Richfind - {D40505AC-630C-4D1B-AD64-72A450A48F33} - C:\WINDOWS\System32\Q3050109.dll
O2 - BHO: Richfind - {2B462B49-0D0B-4BA9-8604-D08D82BF01BD} - C:\WINDOWS\System32\Q1044906.dll
O2 - BHO: Richfind - {646622F6-37E1-4B97-8FED-16E579EA6BD1} - C:\WINDOWS\System32\Q3050109.dll
O2 - BHO: (no name) - {E9590744-812B-46C3-96EB-33212855927D} - C:\WINDOWS\System32\netcfg.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Richfind - {A456EB97-8713-4206-9A57-B83DFA953253} - C:\WINDOWS\System32\Q1044906.dll
O3 - Toolbar: Richfind - {5D2F150B-4994-4D83-ADC9-90F8C52C9838} - C:\WINDOWS\System32\Q3050109.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [5FHLPHD5C9Q8H6] C:\WINDOWS\System32\Bio9f.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\WebshotsTray.exe
O4 - Startup: WKCALREM.LNK = C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Richfind - {5D2F150B-4994-4D83-ADC9-90F8C52C9838} - C:\WINDOWS\System32\Q3050109.dll
O9 - Extra button: Richfind - {A456EB97-8713-4206-9A57-B83DFA953253} - C:\WINDOWS\System32\Q1044906.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1100606398108
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab27513.cab
O16 - DPF: {E3E34A32-3A6A-47CC-B4E3-B8B86715D388} -
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll
O18 - Filter: text/html - {178FEBB5-2BC2-4F9E-A4E5-F1A9ED3E3129} - C:\WINDOWS\System32\Q1044906.dll
O18 - Filter: text/plain - {178FEBB5-2BC2-4F9E-A4E5-F1A9ED3E3129} - C:\WINDOWS\System32\Q1044906.dll
 
Dat HijackThis-log is niet volledig, het bovenste deel ontbreekt. Plaats even een volledig log, alsjeblieft.
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan