Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Wat kan weg uit deze log

None
6 antwoorden
  • Een computer van een buurjongen staat nogal vol met spyware, Spybot en Ad Aware helpen niets, het overgrote deel blijft gewoon. Wat kan er allemaal weg worden gegooid, en zo ja hoe kan ik het weg gooien ??

    EDIT: (Nieuwe log, na Ad Aware goed te hebben geupdate, volgens mij is er al aardig wat weg)

    [quote:ebb5cbf678]Logfile of HijackThis v1.97.7
    Scan saved at 16:54:52, on 13-6-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Program Files\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
    C:\Program Files\Panda Software\Panda Antivirus Titanium\apvxdwin.exe
    C:\Program Files\Panda Software\Panda Antivirus Titanium\pavProxy.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Logitech\iTouch\iTouch.exe
    C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
    C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
    C:\Program Files\Messenger Plus! 2\MsgPlus.exe
    D:\Winamp\winampa.exe
    C:\WINDOWS\System32\svchosd.exe
    C:\WINDOWS\slchost.exe
    C:\WINDOWS\System32\services\exploit.exe
    C:\WINDOWS\System32\wintsu.exe
    C:\windows\rundll32.exe
    C:\Program Files\Logitech\MouseWare\system\em_exec.exe
    C:\Documents and Settings\Max Vijn\Bureaublad\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://coolsearch.biz/gamma.htm
    F1 - win.ini: run=C:\WINDOWS\System32\services\exploit.exe
    F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
    O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\System32\services\2.01.00.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
    O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
    O4 - HKLM\..\Run: [Microsoft Tray] D:\kazaa\My Shared Folder\game dat don't work.exe
    O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
    O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner\RivaTuner.exe" /S
    O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
    O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe
    O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe
    O4 - HKLM\..\Run: [Aplune Service] svchosd.exe
    O4 - HKLM\..\Run: [cxgruv] C:\WINDOWS\cxgruv.exe
    O4 - HKLM\..\Run: [Systems Restart] C:\WINDOWS\slchost.exe
    O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\exploit.exe
    O4 - HKLM\..\RunServices: [SystemSAS] system32.exe
    O4 - HKCU\..\Run: [WCPS] C:\WINDOWS\System32\wintsu.exe
    O4 - HKCU\..\Run: [rundll32] C:\windows\rundll32.exe
    O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\exploit.exe
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: SEARCH (HKLM)
    O9 - Extra button: ENTERTAINMENT (HKLM)
    O9 - Extra button: PILLS (HKLM)
    O9 - Extra button: SECURITY (HKLM)
    O9 - Extra button: SEARCH (HKLM)
    O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
    O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
    O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
    O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
    O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
    O14 - IERESET.INF: START_PAGE_URL=http://www.startpagina.nl
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/sikes/nl/win/QuickTimeInstaller.exe
    O16 - DPF: {6211AC26-A1B4-422A-AC52-1E70B7D24465} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/nl/filesharingctrl.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37907.0002314815
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8711B096-1E45-476D-BA25-FFFF28D12830}: NameServer = 195.85.130.68,195.85.130.69

    [/quote:ebb5cbf678]
  • Download CWShredder.
    Start het programma, klik op de Fix-knop en reboot.
    Nadien post je een nieuwe HijackThislog.

    Edit: Volgende keer de post graag gewoon in je bericht plakken. Dit leest makkelijker :wink:
    thanx
    Marc
    /edit
  • zie startpost. :wink:
  • Hallo Noepzor,

    Beëindig deze processen:
    C:\WINDOWS\System32\svchosd.exe
    C:\WINDOWS\slchost.exe
    C:\WINDOWS\System32\services\exploit.exe
    C:\WINDOWS\System32\wintsu.exe
    C:\windows\rundll32.exe

    Deze virusjes zitten er nog op:
    http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.m@mm.html
    http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.tarno.h.html
    http://securityresponse.symantec.com/avcenter/venc/data/backdoor.dvldr.html
    http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_BENJAMIN.A&VSect=T


    Verplaats eerst HijackThis even…
    Sla HijackThis op in een eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maakt namelijk backups in de map waar het opgestart wordt.
    Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:a8b937886d]
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://coolsearch.biz/gamma.htm

    F1 - win.ini: run=C:\WINDOWS\System32\services\exploit.exe

    F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,

    O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
    O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\System32\services\2.01.00.dll

    O4 - HKLM\..\Run: [Microsoft Tray] D:\kazaa\My Shared Folder\game dat don't work.exe
    O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe
    O4 - HKLM\..\Run: [Aplune Service] svchosd.exe
    O4 - HKLM\..\Run: [cxgruv] C:\WINDOWS\cxgruv.exe
    O4 - HKLM\..\Run: [Systems Restart] C:\WINDOWS\slchost.exe
    O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\exploit.exe
    O4 - HKLM\..\RunServices: [SystemSAS] system32.exe
    O4 - HKCU\..\Run: [WCPS] C:\WINDOWS\System32\wintsu.exe
    O4 - HKCU\..\Run: [rundll32] C:\windows\rundll32.exe
    O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\exploit.exe
    [/b:a8b937886d]
    Als je dit gedaan hebt start je de computer op in veilige modus.
    Zorg dat alle verborgen bestanden weergegeven worden, en verwijder de volgende bestanden of mappen indien aanwezig:
    C:\WINDOWS\System32\services\exploit.exe <–dit bestand
    C:\WINDOWS\winupd.exe <–dit bestand
    C:\WINDOWS\System32\svchosd.exe <–dit bestand
    C:\WINDOWS\cxgruv.exe <–dit bestand
    C:\WINDOWS\slchost.exe <–dit bestand
    C:\WINDOWS\System32\wintsu.exe <–dit bestand
    C:\windows\rundll32.exe <–dit bestand (let op! niet die in de system32 map)
    system32.exe <–dit bestand.
    Maak de temp-files leeg en ook de map met tijdelijke internetbestanden.

    Scan online: http://housecall.trendmicro.com/housecall/start_corp.asp
    Update je virusscanner.
    Reboot wanneer dit alles gedaan is, run HijackThis nog een keertje en post een nieuwe log.

    edit: zeker een nieuwe log posten want er moet nog uit…
    eerst die virussen eruit…

    Succes
    Marc
  • Zo nette lijst :)

    ik heb die coolbiz ed, wat het blote oog niet kan missen kwa spyware al gedelete, hij moet zn virusscanner ook eens updaten dan :)

    maar ik ga er van de week mee aan de slag, of misschien nog beter, een format C:\ als opschonen niet helemaal helpt :wink:

    bedankt voor het uitzoeken
  • heb mijn vorige post geëdit: Post zeker een nieuwe log want er moet nog uit..

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.