system32

[g.vanherk1]

system 32

hoi thunder.

jes ik heb het bestand ontvangen. maar als ik het aanklik dan heb ik het virus terug. alhoewel niet actief.
ik heb mijn comp door trend-micro laten scannen ,en ik was weer virus vrij, na instal van jou progje had ik het weer terug, de worm was doorgedrongen in 91 fyltjes>niet actief< daar ik de bron al in het begin verwijderd had.. ben nu weer virusvrij. maar mijn opstart probleem heb ik nu nog!!!!

moet ik niet doen wat pieter arntz zegt?? zoja hoe moet ik dat doen??>>>lees wat ik pieter heb gezegt<<<

ik weet nu niet wat te doen, ik ben een novice op dat gebied.

ik hoop dat het lukt om het probleem op te lossen.
andres moet ik formateren, en daar ben ik echt niet blij mee.

ik hoop dat jullie mij hiermee kunnen helpen.

bvb hartelijke dank voor de genomen moeite.

bert

 

[Blue Thunder]

Als het register nog niet ontdaan is van de verwijzingen klopt het inderdaad dat de worm zich weer instaleert, ik heb je net een e-mail gestuurd waar het bestand te plaatsen.
Om Pieter Arntz zijn advies uit te voeren moet je het register in!!!!
Ga via start naar uitvoeren en type als opdracht regedit, nu kom je in het register.
Het ziet er uit als een normale directory, volg vanaf hier de aanwijzingen die Pieter heeft gegeven, dan moet het lukken, start daarna de computer opnieuw op.

Print het stukje van pieter eerst even uit als leiddraad.

 

[Pieter Arntz]

Bert,

Zou je je HijackThis log willen posten?
Uitleg en downloadlink: http://www.tomcoyote.org/hjt/
Na het unzippen en runnen klik je op Scan > Save log.
Sla het log op als .txt bestand en kopieer de inhoud ervan naar je volgende bericht.

Groetjes,

Pieter

 

[g.vanherk1]

hoi mannen,

tomcoyote werkt niet , pagina kan niet weergegeven worden.

in een eerdere mail heb ik al geschreven wat ik in mijn register ben tegen gekomen, lees dat eens , mischien zit daar een verwijzing in.


bert

 

[Pieter Arntz]

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Groetjes,

Pieter

 

[g.vanherk1]

hoi mannen,

ik denk dat het een probleem gaat worden.

ik kan geen contact maken met spywareinfo.. site maakt geen verbinding.

bert

 

[g.vanherk1]

system 32

hoi againe.

ik ga hier morgen mee verder. ik moet gaan werken.

maar ik zie jullie mailtje met plezier tegemoet

het eerste wat ik morgen doe is helpmij bezoeken


werk ze bert .
doe ik.

bedankt jongens

 

[Pieter Arntz]

Beide sites doen het gewoon bij mij, dus ik begin me ernstig zorgen te maken over je.

Laatste poging: http://www.lurkhere.com/~nicefiles/hijackthis192.zip

Groetjes,

Pieter

 

[g.vanherk1]

goedemorgen pieter en blue thunder

hier is het gevraagde highjack file

bert

 

[Pieter Arntz]

Bingo

Hij heeft zich in system.ini verstopt.

Scan nog een keer met HijackThis, vink deze aan:
F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\System32\cmd32.exe
O4 - HKLM\..\Run: [tgcmd] "C:\Program Files\Support.com\bin\tgcmd.exe" /server
O16 - DPF: {01111F00-3E00-11D2-8470-0060089874ED} (Support.com Installer) - http://quickfix.chello.nl/sdccommon/download/tgctlins.cab
Klik op Fix checked.

Heb jij vrijwillig je zoekpagina door Copernic vervangen?
Zoniet, kun je deze:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=C:\Program Files\Copernic 2000 Pro\Search Bar.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=C:\Program Files\Copernic 2000 Pro\Search Bar.htm
R3 - URLSearchHook: (no name) - {C12B4EC1-1F65-11D3-91CA-00104B9C4765} - C:\Program Files\Copernic 2000 Pro\CopernicFind.dll
ook meteen laten Fixen.

En wat is dit?
O4 - HKCU\..\Run: [Schmaili] C:\Program Files\Schmaili\Schmaili.exe

Groetjes,

Pieter

 

[g.vanherk1]

system 32

hoi pieter,

het is jou {jullie} weer gelukt!!!ik ben er vanaf.
bedankt allemaal. heb meteen highjack op diskette gezet, kan nog van pas komen.

copernic heb ik zelf vervangen, het is een geweldige zoekmaschiene , gebruik hem veel.

schmaili is een progje dat 120 schmailis bevad die mijn zoon aan zijn e-mails kan toevoegen.

jongens nogmaals harstikke bedankt


bert

 

[Pieter Arntz]

:thumb: Graag gedaan

Ik werd achterdochtig, omdat je al die sites niet kon bereiken. Is dat nou ook verholpen?

Groetjes,

Pieter

 

[g.vanherk1]

jes
alles werkt weer perfect, heb geen problums meer

nogmaals bedankt

bert

 

[VeGeTtO]

hai..

ik heb het zelfde probleem..als ik mn log hier plaats kan je mij dan ook ff helpen..

alvast bedankt...

 

[VeGeTtO]

Logfile of HijackThis v1.97.2
Scan saved at 22:04:32, on 15-9-2003
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\CMD32.EXE
C:\PROGRAM FILES\SYNC MANAGER\AGENT\SYNCAGENT.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\LXSUPMON.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAM FILES\ADAPTEC\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\PROGRAM FILES\LOGITECH\IMAGESTUDIO\LOGITRAY.EXE
C:\PROGRAM FILES\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAM FILES\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAM FILES\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\WINRAR\WINRAR.EXE
C:\WINDOWS\TEMP\RAR$EX00.010\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sureseeker.com/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.chello.nl/utilities/search/index.php3
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sureseeker.com/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.chello.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F1 - win.ini: run=C:\windows\system\reg66.exe
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAM FILES\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAM FILES\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [CMD] cmd32.exe
O4 - HKLM\..\Run: [Millenium] C:\windows\system\reg66.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [CleanRegPath] C:\Program Files\ADSLModemUtility(AnnexA)\CleanReg.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [CMD] cmd32.exe
O4 - HKLM\..\RunServices: [Synchronization Agent] C:\PROGRAM FILES\SYNC MANAGER\AGENT\SYNCAGENT.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [CMD] cmd32.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Startup: Encoder Agent.lnk = C:\Program Files\Windows Media Components\Encoder\WMENCAGT.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Real.com (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.chello.nl/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37645.5960185185
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {78960E0E-0B0C-11D4-8997-00104BD12D94} (AV Class) - http://www.pcpitstop.com/antivirus/PCPAV.CAB
O16 - DPF: {6FB9FE59-7D3B-483D-9909-C870BE5AFA1F} (DiskHealth Class) - http://www1.pcpitstop.com/pcpitstop/diskhealth.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...apple.com/sikes/nl/win/QuickTimeInstaller.exe
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://www.slanketen.nl/ab/plugin/plugin.exe
O16 - DPF: {F8F88D0D-E455-11D6-B547-00400555C7FB} (DiskHealth2 Class) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab

 

[m@rio]

Topic is een half jaar oud..

Er is een speciaal topic voor je logfiles. Daar mag je hem nogmaal plaatsen