Vraag & Antwoord

Beveiliging & privacy

Wat kan weg uit deze log

6 antwoorden
  • Een computer van een buurjongen staat nogal vol met spyware, Spybot en Ad Aware helpen niets, het overgrote deel blijft gewoon. Wat kan er allemaal weg worden gegooid, en zo ja hoe kan ik het weg gooien ?? EDIT: (Nieuwe log, na Ad Aware goed te hebben geupdate, volgens mij is er al aardig wat weg) [quote:ebb5cbf678]Logfile of HijackThis v1.97.7 Scan saved at 16:54:52, on 13-6-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Program Files\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE C:\Program Files\Panda Software\Panda Antivirus Titanium\apvxdwin.exe C:\Program Files\Panda Software\Panda Antivirus Titanium\pavProxy.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Logitech\iTouch\iTouch.exe C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Program Files\ScanSoft\OmniPageSE\opware32.exe C:\Program Files\Messenger Plus! 2\MsgPlus.exe D:\Winamp\winampa.exe C:\WINDOWS\System32\svchosd.exe C:\WINDOWS\slchost.exe C:\WINDOWS\System32\services\exploit.exe C:\WINDOWS\System32\wintsu.exe C:\windows\rundll32.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\Documents and Settings\Max Vijn\Bureaublad\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://coolsearch.biz/gamma.htm F1 - win.ini: run=C:\WINDOWS\System32\services\exploit.exe F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe, O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\System32\services\2.01.00.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" O4 - HKLM\..\Run: [Microsoft Tray] D:\kazaa\My Shared Folder\game dat don't work.exe O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner\RivaTuner.exe" /S O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe O4 - HKLM\..\Run: [Aplune Service] svchosd.exe O4 - HKLM\..\Run: [cxgruv] C:\WINDOWS\cxgruv.exe O4 - HKLM\..\Run: [Systems Restart] C:\WINDOWS\slchost.exe O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\exploit.exe O4 - HKLM\..\RunServices: [SystemSAS] system32.exe O4 - HKCU\..\Run: [WCPS] C:\WINDOWS\System32\wintsu.exe O4 - HKCU\..\Run: [rundll32] C:\windows\rundll32.exe O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\exploit.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: SEARCH (HKLM) O9 - Extra button: ENTERTAINMENT (HKLM) O9 - Extra button: PILLS (HKLM) O9 - Extra button: SECURITY (HKLM) O9 - Extra button: SEARCH (HKLM) O9 - Extra button: Microsoft® JavaScript® Console (HKLM) O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM) O9 - Extra button: Microsoft® JavaScript® Console (HKLM) O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM) O9 - Extra button: Microsoft® JavaScript® Console (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.startpagina.nl O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/sikes/nl/win/QuickTimeInstaller.exe O16 - DPF: {6211AC26-A1B4-422A-AC52-1E70B7D24465} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/nl/filesharingctrl.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37907.0002314815 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8711B096-1E45-476D-BA25-FFFF28D12830}: NameServer = 195.85.130.68,195.85.130.69 [/quote:ebb5cbf678]
  • Download [url=http://www.spywareinfo.com/~merijn/files/CWShredder.exe]CWShredder[/url]. Start het programma, klik op de Fix-knop en reboot. Nadien post je een nieuwe HijackThislog. Edit: Volgende keer de post graag gewoon in je bericht plakken. Dit leest makkelijker :wink: thanx Marc /edit
  • zie startpost. :wink:
  • Hallo Noepzor, Beëindig deze processen: C:\WINDOWS\System32\svchosd.exe C:\WINDOWS\slchost.exe C:\WINDOWS\System32\services\exploit.exe C:\WINDOWS\System32\wintsu.exe C:\windows\rundll32.exe Deze virusjes zitten er nog op: http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.m@mm.html http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.tarno.h.html http://securityresponse.symantec.com/avcenter/venc/data/backdoor.dvldr.html http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_BENJAMIN.A&VSect=T Verplaats eerst HijackThis even... Sla HijackThis op in een eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maakt namelijk backups in de map waar het opgestart wordt. Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren: [b:a8b937886d] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://coolsearch.biz/gamma.htm F1 - win.ini: run=C:\WINDOWS\System32\services\exploit.exe F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe, O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file) O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\System32\services\2.01.00.dll O4 - HKLM\..\Run: [Microsoft Tray] D:\kazaa\My Shared Folder\game dat don't work.exe O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe O4 - HKLM\..\Run: [Aplune Service] svchosd.exe O4 - HKLM\..\Run: [cxgruv] C:\WINDOWS\cxgruv.exe O4 - HKLM\..\Run: [Systems Restart] C:\WINDOWS\slchost.exe O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\exploit.exe O4 - HKLM\..\RunServices: [SystemSAS] system32.exe O4 - HKCU\..\Run: [WCPS] C:\WINDOWS\System32\wintsu.exe O4 - HKCU\..\Run: [rundll32] C:\windows\rundll32.exe O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\exploit.exe [/b:a8b937886d] Als je dit gedaan hebt [url=http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406]start je de computer op in veilige modus[/url]. Zorg dat alle [url=http://users.pandora.be/marcvn/spyware/1117602.htm]verborgen bestanden weergegeven worden[/url], en verwijder de volgende bestanden of mappen indien aanwezig: C:\WINDOWS\System32\services\exploit.exe <--dit bestand C:\WINDOWS\winupd.exe <--dit bestand C:\WINDOWS\System32\svchosd.exe <--dit bestand C:\WINDOWS\cxgruv.exe <--dit bestand C:\WINDOWS\slchost.exe <--dit bestand C:\WINDOWS\System32\wintsu.exe <--dit bestand C:\windows\rundll32.exe <--dit bestand (let op! niet die in de system32 map) system32.exe <--dit bestand. Maak de temp-files leeg en ook de map met tijdelijke internetbestanden. Scan online: http://housecall.trendmicro.com/housecall/start_corp.asp Update je virusscanner. Reboot wanneer dit alles gedaan is, run HijackThis nog een keertje en post een nieuwe log. edit: zeker een nieuwe log posten want er moet nog uit... eerst die virussen eruit... Succes Marc
  • Zo nette lijst :) ik heb die coolbiz ed, wat het blote oog niet kan missen kwa spyware al gedelete, hij moet zn virusscanner ook eens updaten dan :) maar ik ga er van de week mee aan de slag, of misschien nog beter, een format C:\ als opschonen niet helemaal helpt :wink: bedankt voor het uitzoeken
  • heb mijn vorige post geëdit: Post zeker een nieuwe log want er moet nog uit..

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.