Trojan?

Status
Niet open voor verdere reacties.
A

André Klaver

Terugkerende gebruiker
Lid geworden
30 jan 2002
Berichten
1.301
Melding gehad over een trojan die binnen dreigde te komen. Was uncleanable en could not be quarantained. Heb internet op slot gegooid. Weet nu niet of hij er in zit of niet.
Wat moet ik posten om er een slimbo naar te laten kijken? :confused:
 
Download HijackThis. Uitleg en link vind je hier: http://www.tomcoyote.org/hjt/
Unzip en run het. Klik op Scan > Save log en sla het log op als een .txt bestand.
Kopieer en plak de inhoud in je volgende post.
Dan kan ik zien of hij zich geinstalleerd heeft, maar dat zal wel niet.

Groetjes,

Pieter
 
Logfile of HijackThis v1.93.0
Scan saved at 14:42:54, on 22-4-03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.startnederland.nl/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {7559B76E-0222-4d77-9499-CCE9EB4EDC2F} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2003\pccguide.exe"
O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 2003\PCCIOMON.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2003\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2003\Pop3trap.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\RunServices: [PccPfw] C:\Program Files\Trend Micro\PC-cillin 2003\PccPfw.exe
O4 - HKLM\..\RunServices: [LoadBlackD] C:\PROGRAM FILES\ISS\BLACKICE\BLACKD.EXE
O4 - HKCU\..\Run: [Pulse] C:\Program Files\Pulse\Pulse.exe -splash
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: All (HKLM)
O9 - Extra 'Tools' menuitem: Close ALL IEx's (HKLM)
O9 - Extra button: Others (HKLM)
O9 - Extra 'Tools' menuitem: Close OTHER IEx's (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://www.p3.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
 
Deze kun je laten fixen:
O2 - BHO: (no name) - {7559B76E-0222-4d77-9499-CCE9EB4EDC2F} - (no file)
Adshield beschadigt of verwijdert?

Twee firewalls? (BlackIce en PCCillin)
Maar geen trojan. :)

Groetjes,

Pieter
 
Pieter, bedankt!
BlackIce inactief. Conflicteert met PCC.
Adshield is verwijderd.
Kan er dan nog meer af?

:8-0:
 
Als je BlackIce niet meer gebruikt kan deze ook uit:
O4 - HKLM\..\RunServices: [LoadBlackD] C:\PROGRAM FILES\ISS\BLACKICE\BLACKD.EXE
Scheelt weer snelheid en kans op conflicten.

Groetjes,

Pieter
 
Ook gedaan. Trouwens leuk om je naam bij AdAware vermeld te zien. De wereld kan steeds minder zonder helpmij (mezelf voorop!).

:D: :D:
 
En nu nog eens leren om die smilies meteen goed in te toetsen..................

:D
 
Geplaatst door André Klaver
Ook gedaan. Trouwens leuk om je naam bij AdAware vermeld te zien. De wereld kan steeds minder zonder helpmij (mezelf voorop!).

:D: :D:
Klik om te vergroten...

Wacht maar, de nieuwe versie van AdAware zit er al weer aan te komen. ;)

Als je trouwens altijd dezelfde toetsenbordinstellingen gebruikt, kan deze ook nog uit:
O4 - HKLM\..\Run: [internat.exe] internat.exe

Groetjes,

Pieter
 
Bedankt voor de laatste tip, maar dat doe ik nou net soms wel. Krijg ik die nieuwe versie van Adje automatisch via de update?
 
Nee, het mooie aan die versie wordt juist dat dat wel kan, programma-updates automatisch ophalen.
Maar als het zover is zie je het wel verschijnen op Helpmij.

Groetjes,

Pieter
 
Er mag er nog meer uit André Klaver,


Deze mag je ook alle 4 uitzetten:


1.Run: [LoadQM] loadqm.exe

2.Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe

3.Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

4.Run: [Pulse] C:\Program Files\Pulse\Pulse.exe -splash

Daarnaast is even de vraag: welk trojan was het?
En in welke map is hij gevonden? Was hij toevallig in de map temporary internet files-content.ie5?
 
Saldos, hij was toch tegengehouden.
Bedankt voor de overige tips, maar start pulse soms vanzelf als ik ga typen?

:confused:
 
Weer eens niet nagedacht (geloof ik). Even mijn virus log bekeken, het stond inderdaad die map en het heet JS_EXEPTION.GEN

:eek:
 
Dat hang ervan af waar je Pulse voor wil gebruiken.
je kunt hem laten opstarten met de pc als je hem continu gebruikt, maar als je hem niet continu gebruikt dan kun je er ook voor kiezen om van Pulse.exe een snelkoppeling te maken en die aan te klikken als je pulse nodig hebt.

De rest van de dingen heb je in iedere geval niet nodig.
 
Ik gebruik pulse voor het Dolphin project in het Helpmijteam, dus ik laat hem maar.
De rest heb ik weggehaald.
Nogmaals bedankt voor de tip. :D
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan