Vraag & Antwoord

Beveiliging & privacy

Wie helpt mij deze HijackThis logfile te lezen?

59 antwoorden
  • Hallo blank, Reboot de computer. Download de nieuwste versie van [url=http://www.spywareinfo.com/~merijn/files/HijackThis.exe]HijackThis[/url]. Maak een nieuwe log en post deze. Download [url=http://users.pandora.be/marcvn/tools/appinit.zip]dit[/url] bestandje. Unzip het op je buroblad. Dubbelklik op appinit.bat. Er verschijnt een 'dos'box en dan wordt er een bestand aangemaakt dat windows.txt noemt. Open dit bestand en plak deze inhoud ook in je volgende post. Marc
  • [quote="M@rc"]Hallo blank, Download de nieuwste versie van : versie 1.98.0 Dubbelklik op appinit.bat. Er verschijnt een 'dos'box en dan wordt er een bestand aangemaakt dat windows.txt noemt. Marc, er verschijnt wel vliegensvlug een dosbox maar een bestandje wordt er niet aangemaakt. Logfile of HijackThis v1.98.0 Scan saved at 10:06:06, on 1-7-2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe C:\WINNT\System32\svchost.exe D:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe C:\WINNT\Explorer.EXE C:\WINNT\Mixer.exe C:\Program Files\QuickTime\qttask.exe D:\PROGRAM FILES\Real\RealPlay.exe C:\Program Files\CRW\shwicon.exe D:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe C:\Program Files\Winamp\winampa.exe D:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe C:\WINNT\System32\hpha2mon.exe D:\Program Files\WW\Weather Watcher\ww.exe C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\WINNT\system32\RUNDLL32.EXE D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\WINNT\System32\HPHipm08.exe D:\Program Files\WinZip\WZQKPICK.EXE D:\Program Files\Wereldomroep\News Clock\Wereldomroep_News_Clock.exe D:\Program Files\OpenOffice\program\soffice.exe C:\DOCUME~1\JANBLA~1\LOCALS~1\Temp\_Wereldomroep_News_Clock.exe C:\Program Files\Outlook Express\msimn.exe C:\Program Files\Internet Explorer\iexplore.exe D:\Program Files\GPSoftware\Directory Opus\DOpus.exe C:\DOCUME~1\JANBLA~1\LOCALS~1\Temp\dtemp-24cfc98496640-20.dop\HijackThis.exe C:\DOCUME~1\JANBLA~1\LOCALS~1\Temp\dtemp-24cfc98499281-20.dop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telegraaf.nl/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {33ED93D1-FECF-4991-9916-6A7EC91D12A0} - (no file) O2 - BHO: (no name) - {38BAD401-DE33-4025-A35A-03C02A0E824F} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RealTray] D:\PROGRAM FILES\Real\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ShowIcon_The Company_CRW Series Driver v1.16e058] "C:\Program Files\CRW\shwicon.exe" -t"The Company\CRW Series Driver v1.16e058" O4 - HKLM\..\Run: [MaxtorOneTouch] D:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HPHA2MON] C:\WINNT\System32\hpha2mon.exe O4 - HKLM\..\Run: [hpfsched] C:\WINNT\hpfsched.exe O4 - HKLM\..\Run: [MSKExe] c:\PROGRA~1\mcafee\SPAMKI~1\spamkiller.exe O4 - HKCU\..\Run: [WeatherWatcher] D:\Program Files\WW\Weather Watcher\ww.exe O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [SpySweeper] D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0 O4 - Startup: OpenOffice.org 1.0.3.lnk = D:\Program Files\OpenOffice\program\quickstart.exe O4 - Startup: OpenOffice.org 1.1.lnk = D:\Program Files\OpenOffice\program\quickstart.exe O4 - Startup: Wereldomroep News Clock.lnk = D:\Program Files\Wereldomroep\News Clock\Wereldomroep_News_Clock.exe O4 - Global Startup: Acrobat Assistant.lnk = D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/deleon/1.1.62-deleon/GoogleNav.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
  • Bestandje eerst unzippen. Verplaats eerst HijackThis... Sla HijackThis op in een eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maakt namelijk backups in de map waar het opgestart wordt. Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren: [b:03ec02351e] O2 - BHO: (no name) - {33ED93D1-FECF-4991-9916-6A7EC91D12A0} - (no file) O2 - BHO: (no name) - {38BAD401-DE33-4025-A35A-03C02A0E824F} - (no file)[/b:03ec02351e] Waar hoort dit bij: O4 - HKLM\..\Run: [ShowIcon_The Company_CRW Series Driver v1.16e058] "C:\Program Files\CRW\shwicon.exe" -t"The Company\CRW Series Driver v1.16e058"
  • Ik kom CWR tegen in drie files. Een met betrekking tot mijn HP-printer en 2 anderen in de subndir Internet Explorer/connection wizard icwres.dll en icwrmind
  • Die gaan we dus laten staan. Hoe is de situatie nu. Lukt het nu met appinit.bat? Ik zie eerlijk gezegd niets van about:blank. Je beschrijving in je eerste post hier geeft aan dat het toch wel zou kunnen. About:blank maakt gebruik van een verborgen DLL file. Die kan je opsporen met appinit.bat... Probeer nog eens een keertje: unzippen (niet runnen uit de zip) op je buroblad of in een eigen map, dubbelklikken op de bat-file en de inhoud van het betsand windows.txt posten. Lukt het nog niet, meld je dan terug.
  • Ik heb opnieuw appinit.bat in een subdir gezet en opnieuw gedraaid. De dosbox blijft wel even langer staan maar zet nergens een windows.txt file neer. Ik heb hiervoor wel 2 regels fixed in HijackThis. Die zijn nu verdwenen uit het log. JanB
  • about:blank is weer terug. Verder krijg ik de hele middag al meldingen dat getracht wordt: Browser Helper Object: key added. Key's kunnen wel met 'deny change' worden verwijderd. De generator die de dll creeert is nog steeds werkzaam, deze keer met oihi.dll. Machine rebooten en Ad-Aware verwijdert hem. Maar de volgen de staat er dan al aan te komen. Help!! Verder komt er een pop-up dat Spyware op mijn IP-adres is gevonden. "Download anti-spyware scanner for free" luidt de boodschap'. JanB
  • [quote:acd5282603="blank"]Verder komt er een pop-up dat Spyware op mijn IP-adres is gevonden. "Download anti-spyware scanner for free" luidt de boodschap'. JanB[/quote:acd5282603] moet eigenlijk zijn:"Download anti-spyware scanner including spyware for free" :wink: edit: probeer eens om zelf appinit.bat aan te maken? [gedachtekronkel]open kladblok en typ: [code:1:acd5282603]Reg save "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" windows1.hiv ren windows1.hiv windows.txt[/code:1:acd5282603] sla vervolgens op als alle bestanden en typ in als naam: *.bat (*mag je zelf verzinnen maar wel andere naam als appinit) misschien pakt hij hem dan?[/gedachtekronkel]
  • Hallo blank, Als de tip van pcguy niet werkt, probeer je dit: Download Reglite: http://www.resplendence.com/reglite Installeer en run het programma. In het scherm dat opent geef je bij Adress het volgende in: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs. Dubbelklik op AppInit_DLLs om de Data editor te openen. Onderaan dit venster zie je een veld ?Value?. Wat staat daar in gevuld?
  • M@rc, Reg_SZ, type 00000001, size 26 C:\WINNT\system32\d3d.dll Zegt dat iets? JanB
  • [quote:d5f5b81bb0="blank"] C:\WINNT\system32\d3d.dll [/quote:d5f5b81bb0] dat staat op die registerkey dat ik je doorgegeven heb?
  • M@rc, Ik installeer bijna nooit progjes op de C: schijf. Toch staat daar CRW met daarin naast een aantal ico's drie exe's psrm.exe, schwicon.exe en psinst.exe. Geen idee wat het is. JanB
  • C:\WINNT\system32\d3d.dll Marc, Dit is de registerkey. JanB
  • Hallo Jan, Dat zou dan de verborgen installer moeten zijn. Here we go: Run reglite. In het scherm dat opent geef je bij Adress het volgende in: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs. Daar staat bij waarde: C:\WINNT\system32\d3d.dll De map Windows in het linkerscherm van Reglite is paars geselecteerd. Rechtsklik op deze map en kies voor Rename. Hernoem deze map naar NOTWindows. Klik opnieuw op AppInit_DLLs. Selecteer in het veld Value de verwijzing naar de C:\WINNT\system32\d3d.dll, en verwijder het. Hernoem de map NOTWindows naar zijn oorsponkelijke naam Windows. De verborgen DLL zou nu zichtbaar moeten zijn. Kijk of dit het geval is. Nu moet de verborgen dll file verwijderd worden. Download TheKillbox hier: http://www.downloads.subratam.org/KillBox.zip Unzip de bestanden naar een aparte map. Run Killbox door te dubbelklikken op Killbox.exe. In de "Paste Full Path of File to Delete" box, kopieer en plak je het volgende: C:\WINNT\system32\d3d.dll Ga naar het menu ?Action? en kies voor ?Delete on reboot?. In het volgende scherm ga je in het menu ?File? naar ?Add file?. Het bestand dat je wil verwijderen wordt nu toegevoegd aan de lijst, en komt in het scherm te staan. Als dit gebeurd is, ga je in dit zelfde venster naar het menu ?Action?, en kies je voor ?Process and Reboot?. De computer moet nu opnieuw gestart worden. Controleer in verkenner en met reglite of de DLL weg is. Na de reboot run je de nieuwste versie van CWShredder, en Ad-aware. Voor gebruik en download van beide programma's: check [url=http://users.pandora.be/marcvn/spyware/]hier[/url]. Rebooten daarna en een nieuwe HijackThslog posten. Meldt ook even of het bestand weg is. succes Marc
  • PCGuy, Ook een eigen bat geeft geen enkel resultaat op. Hij maakt niets aan. JanB
  • BLank ben je zeker dat C:\WINNT\system32\d3d.dll die dll is? Hij moet op deze plaats staan: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs. Check nog even als je wil.
  • Logfile of HijackThis v1.98.0 Scan saved at 18:50:09, on 1-7-2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe C:\WINNT\System32\svchost.exe D:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe C:\WINNT\Explorer.EXE C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe C:\WINNT\Mixer.exe C:\Program Files\QuickTime\qttask.exe D:\PROGRAM FILES\Real\RealPlay.exe C:\Program Files\CRW\shwicon.exe D:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe C:\Program Files\Winamp\winampa.exe D:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe C:\WINNT\System32\hpha2mon.exe D:\Program Files\WW\Weather Watcher\ww.exe C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\WINNT\system32\RUNDLL32.EXE C:\WINNT\System32\HPHipm08.exe D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe D:\Program Files\WinZip\WZQKPICK.EXE D:\Program Files\BHODemon 2.0\BHODemon.exe D:\Program Files\OpenOffice\program\soffice.exe D:\Program Files\Wereldomroep\News Clock\Wereldomroep_News_Clock.exe C:\DOCUME~1\JANBLA~1\LOCALS~1\Temp\_Wereldomroep_News_Clock.exe D:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Outlook Express\msimn.exe D:\Program Files\GPSoftware\Directory Opus\DOpus.exe D:\Program Files\Registrar Lite\rl.exe C:\DOCUME~1\JANBLA~1\LOCALS~1\Temp\dtemp-228fc98599828-20.dop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telegraaf.nl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RealTray] D:\PROGRAM FILES\Real\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ShowIcon_The Company_CRW Series Driver v1.16e058] "C:\Program Files\CRW\shwicon.exe" -t"The Company\CRW Series Driver v1.16e058" O4 - HKLM\..\Run: [MaxtorOneTouch] D:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HPHA2MON] C:\WINNT\System32\hpha2mon.exe O4 - HKLM\..\Run: [hpfsched] C:\WINNT\hpfsched.exe O4 - HKLM\..\Run: [MSKExe] c:\PROGRA~1\mcafee\SPAMKI~1\spamkiller.exe O4 - HKCU\..\Run: [WeatherWatcher] D:\Program Files\WW\Weather Watcher\ww.exe O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [SpySweeper] D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0 O4 - Startup: BHODemon 2.0.lnk = D:\Program Files\BHODemon 2.0\BHODemon.exe O4 - Startup: OpenOffice.org 1.0.3.lnk = D:\Program Files\OpenOffice\program\quickstart.exe O4 - Startup: OpenOffice.org 1.1.lnk = D:\Program Files\OpenOffice\program\quickstart.exe O4 - Startup: Wereldomroep News Clock.lnk = D:\Program Files\Wereldomroep\News Clock\Wereldomroep_News_Clock.exe O4 - Global Startup: Acrobat Assistant.lnk = D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/deleon/1.1.62-deleon/GoogleNav.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab M@arc, Operatie uitgevoerd. AdAware en Shredder geven geen uitslag meer, maar .......... ik zie in het log nog altijd 'about:blank"staan!! En ..... d3d.dll en dsound3d.dll staan nog steeds in C:/winNT/system32 Beginnen we nu weer van voren af aan? JanB
  • M@rc, Ik zie in WINNT/system wel 11 dll's staan die allemaal met d3d beginnen. Overigens d3d.dll is 56 k groot en het laatst gemodificeerd op 23-6-04. Wat nu? JanB
  • Hallo Jan, Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren: [b:3301f9e18f] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank [/b:3301f9e18f] Dit wijst inderdaad op de about:blank hijacker. Laten we dit nog eens even controleren: Start Reglite. In het scherm dat opent geef je bij Adress het volgende in: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs. (doet dit met kopiëren en plakken) Dubbelklik op AppInit_DLLs om de Data editor te openen. Onderaan dit venster zie je een veld 'Value'. Wat staat daar in gevuld? Marc
  • Ik heb aan de lopende band last van spyware. Ik krijg nu een request dat een belangrijke key is gedelete of ik dat maar wil 'allow'en. 'Deny' is niet mogelijk. Het bericht komt voort uit de browser helper object. Ik het 'about:blank'. Ik draai de laatste versies van Ad-aware, spybot en mcafee, Shredder. Mcafee haalt de trojaanse paarden eruit (meerdere per dag), spybot shedder melden niets en Ad-aware geeft ieder dagdeel weer aan dat hij weer een andere dll aantreft (die zich in eerste instantie niet laat verwijderen) van het type Webcoolsearch. Wie helpt me uit deze misere? Hoe repareer je in HijkackThis (door te fixen?) Logfile of HijackThis v1.97.7 Scan saved at 19:26:58, on 30-6-2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe D:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\Mixer.exe C:\Program Files\QuickTime\qttask.exe D:\PROGRAM FILES\Real\RealPlay.exe C:\Program Files\CRW\shwicon.exe D:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe C:\Program Files\Winamp\winampa.exe D:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe C:\WINNT\System32\hpha2mon.exe D:\Program Files\WW\Weather Watcher\ww.exe C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\WINNT\system32\RUNDLL32.EXE D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\WINNT\System32\HPHipm08.exe D:\Program Files\WinZip\WZQKPICK.EXE D:\Program Files\Wereldomroep\News Clock\Wereldomroep_News_Clock.exe D:\Program Files\GPSoftware\Directory Opus\DOpus.exe D:\Program Files\OpenOffice\program\soffice.exe C:\DOCUME~1\JANBLA~1\LOCALS~1\Temp\_Wereldomroep_News_Clock.exe C:\Program Files\McAfee\McAfee VirusScan\VsMain.exe C:\Program Files\McAfee\McAfee VirusScan\AlogServ.exe C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe C:\Program Files\Internet Explorer\iexplore.exe E:\Downloads\Virus\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telegraaf.nl/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {33ED93D1-FECF-4991-9916-6A7EC91D12A0} - (no file) O2 - BHO: (no name) - {38BAD401-DE33-4025-A35A-03C02A0E824F} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RealTray] D:\PROGRAM FILES\Real\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ShowIcon_The Company_CRW Series Driver v1.16e058] "C:\Program Files\CRW\shwicon.exe" -t"The Company\CRW Series Driver v1.16e058" O4 - HKLM\..\Run: [MaxtorOneTouch] D:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HPHA2MON] C:\WINNT\System32\hpha2mon.exe O4 - HKLM\..\Run: [hpfsched] C:\WINNT\hpfsched.exe O4 - HKLM\..\Run: [MSKExe] c:\PROGRA~1\mcafee\SPAMKI~1\spamkiller.exe O4 - HKCU\..\Run: [WeatherWatcher] D:\Program Files\WW\Weather Watcher\ww.exe O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [SpySweeper] D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0 O4 - Startup: OpenOffice.org 1.0.3.lnk = D:\Program Files\OpenOffice\program\quickstart.exe O4 - Startup: OpenOffice.org 1.1.lnk = D:\Program Files\OpenOffice\program\quickstart.exe O4 - Startup: Wereldomroep News Clock.lnk = D:\Program Files\Wereldomroep\News Clock\Wereldomroep_News_Clock.exe O4 - Global Startup: Acrobat Assistant.lnk = D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/deleon/1.1.62-deleon/GoogleNav.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37602.3098263889 O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.