Vraag & Antwoord

Beveiliging & privacy

CWS Hijackthislog

5 antwoorden
  • Ik zit met het volgende probleem, en hoop dat jullie even tijd hebben om te helpen: Ik heb twee dagen een filesharing programma gebruikt (ccmule) toen de bestanden die ik wilde hebben binnen waren heb ik het weer gedeïnstalleerd. Ineens was m'n verbinding supertraag en had ik 'n steeds terugveranderende startpagina. Ik heb ondertussen Spybot S&D gedraait, en pc-cillin 2000 een stuk of 14 virussen waaronder "Java-Nocheat" en "ByteVerify" laten verwijderen. Ik had ook hijackthis uitgevoerd en al een paar dingen o.a. met "dialer" erin verwijderd. CWS-shredder vond niets. Ik heb al 'n backup gemaakt van al m'n documenten, fonts, savegames, etc, maar ik heb voorlopig geen tijd voor een schone install. In de lijst van geïnstalleerde software staan de programma's "search extender" en "shopping wizard" waarvan de optie deïnstalleren verwijst naar een url die niet werkt. [b:bd74f1c31d]Logfile of HijackThis v1.97.7[/b:bd74f1c31d]Scan saved at 16:37:10, on 25/06/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\CTsvcCDA.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Trend Micro\PC-cillin 2000\Tmntsrv.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\addcn32.exe C:\Program Files\Trend Micro\PC-cillin 2000\Pop3trap.exe C:\Program Files\Trend Micro\PC-cillin 2000\WebTrapNT.exe C:\Program Files\Creative\ShareDLL\CtNotify.exe C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\anvshell.exe C:\WINDOWS\creu32.exe C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe C:\WINDOWS\system32\mapiicon.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\Program Files\Creative\ShareDLL\MEDIADET.EXE C:\Program Files\Creative\SBAudigy\PlayCenter2\CTPlay2.exe C:\Program Files\Microsoft Office\Office\WINWORD.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Messenger\MSMSGS.EXE D:\utils\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rzwhx.dll/sp.html#27859 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://rzwhx.dll/index.html#27859 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://rzwhx.dll/index.html#27859 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rzwhx.dll/sp.html#27859 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://rzwhx.dll/index.html#27859 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rzwhx.dll/sp.html#27859 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.skynet.be:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {04E19B1B-1EAE-FFA4-6D31-B92152BEDCC9} - C:\WINDOWS\system32\apiib.dll O4 - HKLM\..\Run: [ADSL_A2] A2Installed O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\SBAudigy\Program\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2000\Pop3trap.exe" O4 - HKLM\..\Run: [WebTrapNT.exe] "C:\Program Files\Trend Micro\PC-cillin 2000\WebTrapNT.exe" O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [hpppta] C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hpppta.exe /ICON O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [creu32.exe] C:\WINDOWS\creu32.exe O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe /start O4 - Global Startup: ADSL Diagnostic Tools.LNK = C:\WINDOWS\system32\mapiicon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.kbc.be O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37690.4559837963 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by9fd.bay9.hotmail.msn.com/activex/HMAtchmt.ocx O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{961D3191-B763-4423-9421-E2B9DCF8CC25}: NameServer = 195.238.2.22 195.238.2.21 Dank bij voorbaat.
  • Hallo Larry Laffer, Zorg dat alle verborgen bestanden weergegeven worden: http://users.pandora.be/marcvn/spyware/1117602.htm Open Windows Taakbeheer door op CTRL+ALT+DEL te drukken. Ga naar het tabblad processen. Beëindig volgende processen door ze te selecteren en op de knop Proces beëindigen te klikken: [b:672802907b] addcn32.exe creu32.exe [/b:672802907b] Ga naar start - Uitvoeren en tik in: services.msc Zoek tussen de services naar [b:672802907b]Network Security Service[/b:672802907b]. Dubbelklik op deze service en in het venster dat verschijnt kies je bij Opstarttype voor Uitgeschakeld. Klik op [b:672802907b]Toepassen[/b:672802907b] en vervolgens op [b:672802907b]OK[/b:672802907b]. [b:672802907b]Sluit alle open vensters[/b:672802907b]. Run HijackThis en laat volgende items repareren: [b:672802907b] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rzwhx.dll/sp.html#27859 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://rzwhx.dll/index.html#27859 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://rzwhx.dll/index.html#27859 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rzwhx.dll/sp.html#27859 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://rzwhx.dll/index.html#27859 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rzwhx.dll/sp.html#27859 O2 - BHO: (no name) - {04E19B1B-1EAE-FFA4-6D31-B92152BEDCC9} - C:\WINDOWS\system32\apiib.dll O4 - HKLM\..\Run: [creu32.exe] C:\WINDOWS\creu32.exe [/b:672802907b] Start de computer in veilige modus door tijdens het opstarten op F8 te drukken, en verwijder de volgende bestanden: C:\WINDOWS\system32\addcn32.exe <--dit bestand hernoem je naar addcn32.bak en verplaats je naar een andere map) C:\WINDOWS\creu32.exe <--dit bestand C:\WINDOWS\system32\rzwhx.dll <--dit bestand Plak onderstaande quote in een kladblokbestand, sla het op als cwsuninst.reg [quote:672802907b] REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\__NS_Service_3] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Shopping Wizard"=- "Search Extender"=- "Home Search Assistant"=- [/quote:672802907b] Dubbelklik op cwsuninst.reg om de wijzingen aan het register toe te voegen. Reboot run HijackThis nog een keer en post een nieuwe log.
  • Bedankt voor de snelle reactie, ik heb je instructies opgevolgt en bij deze de nieuwe log: Logfile of HijackThis v1.97.7 Scan saved at 18:15:52, on 25/06/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE D:\utils\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.skynet.be:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O4 - HKLM\..\Run: [ADSL_A2] A2Installed O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\SBAudigy\Program\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2000\Pop3trap.exe" O4 - HKLM\..\Run: [WebTrapNT.exe] "C:\Program Files\Trend Micro\PC-cillin 2000\WebTrapNT.exe" O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [hpppta] C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hpppta.exe /ICON O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe [b:1b3ca7feb1]O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE [/b:1b3ca7feb1]C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe /start O4 - Global Startup: ADSL Diagnostic Tools.LNK = C:\WINDOWS\system32\mapiicon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.kbc.be O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37690.4559837963 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by9fd.bay9.hotmail.msn.com/activex/HMAtchmt.ocx O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab Extra vraagje: Het vetgedrukte item, heeft dat betrekking op Daemon Tools? Ik heb dat programma namelijk verwijdert voor ik Farcry installeerde. O ja, internet explorer werkt weer als vanouds en de snelheid is ook weer prima, hartelijk bedankt.
  • [quote:e9b531cee9="Larry Laffer"] Extra vraagje: Het vetgedrukte item, heeft dat betrekking op Daemon Tools? [/quote:e9b531cee9] Neen, hoort bij je grafische kaart. [quote:e9b531cee9="Larry Laffer"]O ja, internet explorer werkt weer als vanouds en de snelheid is ook weer prima, hartelijk bedankt.[/quote:e9b531cee9] Mooi gewerkt, maar we zijn er nog niet. Ga in de verkenner en kijk of volgende bestanden aanwezig zijn: c:\windows\system32\control.exe c:\windows\system32\drivers\etc\hosts Als je gebruik maakt van SPybot search & Destroy download je [url=http://www.spywareinfo.com/~merijn/winfiles.html#sdhelper]hier[/url] SDhelper.dll. plaats de file in de installatiemap van spybot. (Meestal is dit C:\Program Files\Spybot - Search & Destroy) Deze hijacker kan deze bestanden verwijderd hebben. groeten,
  • c:\windows\system32\control.exe was nog aanwezig, c:\windows\system32\drivers\etc\hosts niet, wel een file genaamd lmhosts.sam Kan ik dat hosts bestand ergens downloaden, of moet ik dat van m'n windows CD afhalen? SDhelper.dll was ook nog aanwezig, maar heb ik toch vervangen door de gedownloade versie. (Ik had spybot pas geïnstalleerd nadat de problemen begonnen, ik gebruikte hiervoor alleen adaware) Overigens, hulde voor je site ik herinner me nu dat ik vannacht via te googlen met de termen "search extender" en "shopping wizard" al op het nieuwe varianten deel terechtgekomen was, maar ik begreep het verhaal toen nog niet goed (zal wel aan de vermoeidheid gelegen hebben)

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.