Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Wie helpt mij deze HijackThis logfile te lezen?

None
59 antwoorden
  • Ik heb aan de lopende band last van spyware. Ik krijg nu een request dat een belangrijke key is gedelete of ik dat maar wil 'allow'en. 'Deny' is niet mogelijk. Het bericht komt voort uit de browser helper object. Ik het 'about:blank'. Ik draai de laatste versies van Ad-aware, spybot en mcafee, Shredder. Mcafee haalt de trojaanse paarden eruit (meerdere per dag), spybot shedder melden niets en Ad-aware geeft ieder dagdeel weer aan dat hij weer een andere dll aantreft (die zich in eerste instantie niet laat verwijderen) van het type Webcoolsearch.

    Wie helpt me uit deze misere?

    Hoe repareer je in HijkackThis (door te fixen?)

    Logfile of HijackThis v1.97.7
    Scan saved at 19:26:58, on 30-6-2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\svchost.exe
    D:\Program Files\Ahead\InCD\InCDsrv.exe
    C:\WINNT\system32
    vsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\System32\mspmspsv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\Mixer.exe
    C:\Program Files\QuickTime\qttask.exe
    D:\PROGRAM FILES\Real\RealPlay.exe
    C:\Program Files\CRW\shwicon.exe
    D:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
    C:\Program Files\Winamp\winampa.exe
    D:\Program Files\Ahead\InCD\InCD.exe
    C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
    C:\WINNT\System32\hpha2mon.exe
    D:\Program Files\WW\Weather Watcher\ww.exe
    C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
    D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINNT\system32\RUNDLL32.EXE
    D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\WINNT\System32\HPHipm08.exe
    D:\Program Files\WinZip\WZQKPICK.EXE
    D:\Program Files\Wereldomroep\News Clock\Wereldomroep_News_Clock.exe
    D:\Program Files\GPSoftware\Directory Opus\DOpus.exe
    D:\Program Files\OpenOffice\program\soffice.exe
    C:\DOCUME~1\JANBLA~1\LOCALS~1\Temp\_Wereldomroep_News_Clock.exe
    C:\Program Files\McAfee\McAfee VirusScan\VsMain.exe
    C:\Program Files\McAfee\McAfee VirusScan\AlogServ.exe
    C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
    C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
    C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    E:\Downloads\Virus\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telegraaf.nl/
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {33ED93D1-FECF-4991-9916-6A7EC91D12A0} - (no file)
    O2 - BHO: (no name) - {38BAD401-DE33-4025-A35A-03C02A0E824F} - (no file)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [RealTray] D:\PROGRAM FILES\Real\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [ShowIcon_The Company_CRW Series Driver v1.16e058] "C:\Program Files\CRW\shwicon.exe" -t"The Company\CRW Series Driver v1.16e058"
    O4 - HKLM\..\Run: [MaxtorOneTouch] D:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [HPHA2MON] C:\WINNT\System32\hpha2mon.exe
    O4 - HKLM\..\Run: [hpfsched] C:\WINNT\hpfsched.exe
    O4 - HKLM\..\Run: [MSKExe] c:\PROGRA~1\mcafee\SPAMKI~1\spamkiller.exe
    O4 - HKCU\..\Run: [WeatherWatcher] D:\Program Files\WW\Weather Watcher\ww.exe
    O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [SpySweeper] D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
    O4 - Startup: OpenOffice.org 1.0.3.lnk = D:\Program Files\OpenOffice\program\quickstart.exe
    O4 - Startup: OpenOffice.org 1.1.lnk = D:\Program Files\OpenOffice\program\quickstart.exe
    O4 - Startup: Wereldomroep News Clock.lnk = D:\Program Files\Wereldomroep\News Clock\Wereldomroep_News_Clock.exe
    O4 - Global Startup: Acrobat Assistant.lnk = D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/deleon/1.1.62-deleon/GoogleNav.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37602.3098263889
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  • Hallo blank,

    Reboot de computer.
    Download de nieuwste versie van HijackThis.
    Maak een nieuwe log en post deze.
    Download dit bestandje. Unzip het op je buroblad. Dubbelklik op appinit.bat. Er verschijnt een 'dos'box en dan wordt er een bestand aangemaakt dat windows.txt noemt. Open dit bestand en plak deze inhoud ook in je volgende post.

    Marc
  • Hallo blank,

    Download de nieuwste versie van : versie 1.98.0
    Dubbelklik op appinit.bat. Er verschijnt een 'dos'box en dan wordt er een bestand aangemaakt dat windows.txt noemt.

    Marc,

    er verschijnt wel vliegensvlug een dosbox maar een bestandje wordt er niet aangemaakt.

    Logfile of HijackThis v1.98.0
    Scan saved at 10:06:06, on 1-7-2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
    C:\WINNT\System32\svchost.exe
    D:\Program Files\Ahead\InCD\InCDsrv.exe
    C:\WINNT\system32
    vsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\System32\mspmspsv.exe
    C:\WINNT\system32\svchost.exe
    C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
    C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\Mixer.exe
    C:\Program Files\QuickTime\qttask.exe
    D:\PROGRAM FILES\Real\RealPlay.exe
    C:\Program Files\CRW\shwicon.exe
    D:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
    C:\Program Files\Winamp\winampa.exe
    D:\Program Files\Ahead\InCD\InCD.exe
    C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
    C:\WINNT\System32\hpha2mon.exe
    D:\Program Files\WW\Weather Watcher\ww.exe
    C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
    D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINNT\system32\RUNDLL32.EXE
    D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\WINNT\System32\HPHipm08.exe
    D:\Program Files\WinZip\WZQKPICK.EXE
    D:\Program Files\Wereldomroep\News Clock\Wereldomroep_News_Clock.exe
    D:\Program Files\OpenOffice\program\soffice.exe
    C:\DOCUME~1\JANBLA~1\LOCALS~1\Temp\_Wereldomroep_News_Clock.exe
    C:\Program Files\Outlook Express\msimn.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    D:\Program Files\GPSoftware\Directory Opus\DOpus.exe
    C:\DOCUME~1\JANBLA~1\LOCALS~1\Temp\dtemp-24cfc98496640-20.dop\HijackThis.exe
    C:\DOCUME~1\JANBLA~1\LOCALS~1\Temp\dtemp-24cfc98499281-20.dop\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telegraaf.nl/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {33ED93D1-FECF-4991-9916-6A7EC91D12A0} - (no file)
    O2 - BHO: (no name) - {38BAD401-DE33-4025-A35A-03C02A0E824F} - (no file)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [RealTray] D:\PROGRAM FILES\Real\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [ShowIcon_The Company_CRW Series Driver v1.16e058] "C:\Program Files\CRW\shwicon.exe" -t"The Company\CRW Series Driver v1.16e058"
    O4 - HKLM\..\Run: [MaxtorOneTouch] D:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [HPHA2MON] C:\WINNT\System32\hpha2mon.exe
    O4 - HKLM\..\Run: [hpfsched] C:\WINNT\hpfsched.exe
    O4 - HKLM\..\Run: [MSKExe] c:\PROGRA~1\mcafee\SPAMKI~1\spamkiller.exe
    O4 - HKCU\..\Run: [WeatherWatcher] D:\Program Files\WW\Weather Watcher\ww.exe
    O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [SpySweeper] D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
    O4 - Startup: OpenOffice.org 1.0.3.lnk = D:\Program Files\OpenOffice\program\quickstart.exe
    O4 - Startup: OpenOffice.org 1.1.lnk = D:\Program Files\OpenOffice\program\quickstart.exe
    O4 - Startup: Wereldomroep News Clock.lnk = D:\Program Files\Wereldomroep\News Clock\Wereldomroep_News_Clock.exe
    O4 - Global Startup: Acrobat Assistant.lnk = D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/deleon/1.1.62-deleon/GoogleNav.cab
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
  • Bestandje eerst unzippen.

    Verplaats eerst HijackThis…
    Sla HijackThis op in een eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maakt namelijk backups in de map waar het opgestart wordt.
    Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:03ec02351e]
    O2 - BHO: (no name) - {33ED93D1-FECF-4991-9916-6A7EC91D12A0} - (no file)
    O2 - BHO: (no name) - {38BAD401-DE33-4025-A35A-03C02A0E824F} - (no file)[/b:03ec02351e]

    Waar hoort dit bij:
    O4 - HKLM\..\Run: [ShowIcon_The Company_CRW Series Driver v1.16e058] "C:\Program Files\CRW\shwicon.exe" -t"The Company\CRW Series Driver v1.16e058"
  • Ik kom CWR tegen in drie files. Een met betrekking tot mijn HP-printer en 2 anderen in de subndir Internet Explorer/connection wizard
    icwres.dll en icwrmind
  • Die gaan we dus laten staan.

    Hoe is de situatie nu. Lukt het nu met appinit.bat?
    Ik zie eerlijk gezegd niets van about:blank. Je beschrijving in je eerste post hier geeft aan dat het toch wel zou kunnen.
    About:blank maakt gebruik van een verborgen DLL file. Die kan je opsporen met appinit.bat…
    Probeer nog eens een keertje: unzippen (niet runnen uit de zip) op je buroblad of in een eigen map, dubbelklikken op de bat-file en de inhoud van het betsand windows.txt posten.
    Lukt het nog niet, meld je dan terug.
  • Ik heb opnieuw appinit.bat in een subdir gezet en opnieuw gedraaid. De dosbox blijft wel even langer staan maar zet nergens een windows.txt file neer.

    Ik heb hiervoor wel 2 regels fixed in HijackThis. Die zijn nu verdwenen uit het log.

    JanB
  • about:blank is weer terug. Verder krijg ik de hele middag al meldingen dat getracht wordt: Browser Helper Object: key added. Key's kunnen wel met 'deny change' worden verwijderd. De generator die de dll creeert is nog steeds werkzaam, deze keer met oihi.dll. Machine rebooten en Ad-Aware verwijdert hem. Maar de volgen de staat er dan al aan te komen.

    Help!!

    Verder komt er een pop-up dat Spyware op mijn IP-adres is gevonden. "Download anti-spyware scanner for free" luidt de boodschap'.

    JanB
  • [quote:acd5282603="blank"]Verder komt er een pop-up dat Spyware op mijn IP-adres is gevonden. "Download anti-spyware scanner for free" luidt de boodschap'.
    JanB[/quote:acd5282603]

    moet eigenlijk zijn:"Download anti-spyware scanner including spyware for free" :wink:

    edit: probeer eens om zelf appinit.bat aan te maken?

    [gedachtekronkel]open kladblok en typ: [code:1:acd5282603]Reg save "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" windows1.hiv
    ren windows1.hiv windows.txt[/code:1:acd5282603] sla vervolgens op als alle bestanden en typ in als naam: *.bat (*mag je zelf verzinnen maar wel andere naam als appinit) misschien pakt hij hem dan?[/gedachtekronkel]
  • Hallo blank,

    Als de tip van pcguy niet werkt, probeer je dit:
    Download Reglite: http://www.resplendence.com
    eglite
    Installeer en run het programma. In het scherm dat opent geef je bij Adress het volgende in:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs.
    Dubbelklik op AppInit_DLLs om de Data editor te openen. Onderaan dit venster zie je een veld ?Value?.
    Wat staat daar in gevuld?
  • M@rc,

    Reg_SZ, type 00000001, size 26
    C:\WINNT\system32\d3d.dll

    Zegt dat iets?
    JanB
  • [quote:d5f5b81bb0="blank"]
    C:\WINNT\system32\d3d.dll
    [/quote:d5f5b81bb0]
    dat staat op die registerkey dat ik je doorgegeven heb?
  • M@rc,

    Ik installeer bijna nooit progjes op de C: schijf. Toch staat daar CRW met daarin naast een aantal ico's drie exe's psrm.exe, schwicon.exe en psinst.exe.

    Geen idee wat het is.

    JanB
  • C:\WINNT\system32\d3d.dll

    Marc,

    Dit is de registerkey.

    JanB
  • Hallo Jan,

    Dat zou dan de verborgen installer moeten zijn.
    Here we go:
    Run reglite. In het scherm dat opent geef je bij Adress het volgende in:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs.

    Daar staat bij waarde: C:\WINNT\system32\d3d.dll

    De map Windows in het linkerscherm van Reglite is paars geselecteerd. Rechtsklik op deze map en kies

    voor Rename. Hernoem deze map naar NOTWindows.
    Klik opnieuw op AppInit_DLLs. Selecteer in het veld Value de verwijzing naar de

    C:\WINNT\system32\d3d.dll, en verwijder het.
    Hernoem de map NOTWindows naar zijn oorsponkelijke naam Windows.
    De verborgen DLL zou nu zichtbaar moeten zijn. Kijk of dit het geval is.
    Nu moet de verborgen dll file verwijderd worden.

    Download TheKillbox hier: http://www.downloads.subratam.org/KillBox.zip

    Unzip de bestanden naar een aparte map. Run Killbox door te dubbelklikken op Killbox.exe.
    In de "Paste Full Path of File to Delete" box, kopieer en plak je het volgende:

    C:\WINNT\system32\d3d.dll
    Ga naar het menu ?Action? en kies voor ?Delete on reboot?.
    In het volgende scherm ga je in het menu ?File? naar ?Add file?. Het bestand dat je wil verwijderen

    wordt nu toegevoegd aan de lijst, en komt in het scherm te staan.
    Als dit gebeurd is, ga je in dit zelfde venster naar het menu ?Action?, en kies je voor ?Process and

    Reboot?.
    De computer moet nu opnieuw gestart worden.
    Controleer in verkenner en met reglite of de DLL weg is.

    Na de reboot run je de nieuwste versie van CWShredder, en Ad-aware.

    Voor gebruik en download van beide programma's: check

    hier.

    Rebooten daarna en een nieuwe HijackThslog posten.
    Meldt ook even of het bestand weg is.

    succes
    Marc
  • PCGuy,

    Ook een eigen bat geeft geen enkel resultaat op. Hij maakt niets aan.

    JanB
  • BLank ben je zeker dat C:\WINNT\system32\d3d.dll die dll is?


    Hij moet op deze plaats staan: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs.

    Check nog even als je wil.
  • Logfile of HijackThis v1.98.0
    Scan saved at 18:50:09, on 1-7-2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
    C:\WINNT\System32\svchost.exe
    D:\Program Files\Ahead\InCD\InCDsrv.exe
    C:\WINNT\system32
    vsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\System32\mspmspsv.exe
    C:\WINNT\system32\svchost.exe
    C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
    C:\WINNT\Mixer.exe
    C:\Program Files\QuickTime\qttask.exe
    D:\PROGRAM FILES\Real\RealPlay.exe
    C:\Program Files\CRW\shwicon.exe
    D:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
    C:\Program Files\Winamp\winampa.exe
    D:\Program Files\Ahead\InCD\InCD.exe
    C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
    C:\WINNT\System32\hpha2mon.exe
    D:\Program Files\WW\Weather Watcher\ww.exe
    C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
    D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINNT\system32\RUNDLL32.EXE
    C:\WINNT\System32\HPHipm08.exe
    D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    D:\Program Files\WinZip\WZQKPICK.EXE
    D:\Program Files\BHODemon 2.0\BHODemon.exe
    D:\Program Files\OpenOffice\program\soffice.exe
    D:\Program Files\Wereldomroep\News Clock\Wereldomroep_News_Clock.exe
    C:\DOCUME~1\JANBLA~1\LOCALS~1\Temp\_Wereldomroep_News_Clock.exe
    D:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Outlook Express\msimn.exe
    D:\Program Files\GPSoftware\Directory Opus\DOpus.exe
    D:\Program Files\Registrar Lite\rl.exe
    C:\DOCUME~1\JANBLA~1\LOCALS~1\Temp\dtemp-228fc98599828-20.dop\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telegraaf.nl/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [RealTray] D:\PROGRAM FILES\Real\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [ShowIcon_The Company_CRW Series Driver v1.16e058] "C:\Program Files\CRW\shwicon.exe" -t"The Company\CRW Series Driver v1.16e058"
    O4 - HKLM\..\Run: [MaxtorOneTouch] D:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [HPHA2MON] C:\WINNT\System32\hpha2mon.exe
    O4 - HKLM\..\Run: [hpfsched] C:\WINNT\hpfsched.exe
    O4 - HKLM\..\Run: [MSKExe] c:\PROGRA~1\mcafee\SPAMKI~1\spamkiller.exe
    O4 - HKCU\..\Run: [WeatherWatcher] D:\Program Files\WW\Weather Watcher\ww.exe
    O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [SpySweeper] D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
    O4 - Startup: BHODemon 2.0.lnk = D:\Program Files\BHODemon 2.0\BHODemon.exe
    O4 - Startup: OpenOffice.org 1.0.3.lnk = D:\Program Files\OpenOffice\program\quickstart.exe
    O4 - Startup: OpenOffice.org 1.1.lnk = D:\Program Files\OpenOffice\program\quickstart.exe
    O4 - Startup: Wereldomroep News Clock.lnk = D:\Program Files\Wereldomroep\News Clock\Wereldomroep_News_Clock.exe
    O4 - Global Startup: Acrobat Assistant.lnk = D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/deleon/1.1.62-deleon/GoogleNav.cab
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

    M@arc,

    Operatie uitgevoerd. AdAware en Shredder geven geen uitslag meer, maar ………. ik zie in het log nog altijd 'about:blank"staan!! En ….. d3d.dll en dsound3d.dll staan nog steeds in C:/winNT/system32

    Beginnen we nu weer van voren af aan?

    JanB
  • M@rc,

    Ik zie in WINNT/system wel 11 dll's staan die allemaal met d3d beginnen. Overigens d3d.dll is 56 k groot en het laatst gemodificeerd op 23-6-04.

    Wat nu?
    JanB
  • Hallo Jan,

    Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:3301f9e18f]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    [/b:3301f9e18f]

    Dit wijst inderdaad op de about:blank hijacker.

    Laten we dit nog eens even controleren: Start Reglite. In het scherm dat opent geef je bij Adress het volgende in:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs. (doet dit met kopiëren en plakken)
    Dubbelklik op AppInit_DLLs om de Data editor te openen. Onderaan dit venster zie je een veld 'Value'.
    Wat staat daar in gevuld?

    Marc

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.