Vraag & Antwoord

Beveiliging & privacy

Search the Web

29 antwoorden
  • Bij mijn buurman kwam ik het volgende probleem tegen. Hij draait onder XP PRO en op de startpagina komt steeds de pagina Search The web. Ik probeer met Hijacker steeds die pagina te verwijderen maar hij komt toch steeds weer terug. Kan iemand mij helpen? Dit is zijn log file. Logfile of HijackThis v1.97.7 Scan saved at 16:08:48, on 25-6-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe C:\WINDOWS\System32\ctfmon.exe C:\Documents and Settings\Jos\Application Data\ssls.exe C:\WINDOWS\System32\wnstssv.exe C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE C:\WINDOWS\System32\NDrv.exe C:\Documents and Settings\Jos\Mijn documenten\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {0DD1C005-8670-4414-9B9D-6BA3D669644A} - C:\WINDOWS\System32\nlkh.dll O2 - BHO: Curl - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - C:\WINDOWS\System32\NDrv.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [WNSA] C:\WINDOWS\System32\wnstssv.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Create Mobile Favorite (HKLM) O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM) O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38132.3385185185 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Want ik zie niet wat er uit moet. Voor die reageert alvast bedankt. Jos
  • Hallo Jos, Je hebt last van oa een about:blank variant en PurityScan B... Download en installeer APM from: http://www.diamondcs.com.au/index.php?page=apm Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren: [b:2963ea266e]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {0DD1C005-8670-4414-9B9D-6BA3D669644A} - C:\WINDOWS\System32\nlkh.dll O2 - BHO: Curl - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - C:\WINDOWS\System32\NDrv.dll O4 - HKCU\..\Run: [WNSA] C:\WINDOWS\System32\wnstssv.exe O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab [/b:2963ea266e] Start het programma APM. In het bovenste venster selecteer je explorer.exe In het onderste venster zoek je C:\WINDOWS\System32\nlkh.dll C:\WINDOWS\System32\NDrv.dll Rechtsklik op deze DLL's en kies voor Unload. Klik op OK. Als je dit gedaan hebt [url=http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406]start je de computer op in veilige modus[/url]. Zorg dat alle [url=http://users.pandora.be/marcvn/spyware/1117602.htm]verborgen bestanden weergegeven worden[/url], en verwijder de volgende bestanden of mappen indien aanwezig: C:\WINDOWS\System32\wnstssv.exe <--hernoem dit bestand naar wnstssv.old C:\DOCUME~1\Jos\LOCALS~1\Temp <-deze map helemaal leeg maken Reboot en scan vervolgens met Ad-aware. Instructies over gebruik vind je [url=http://users.pandora.be/marcvn/spyware/]hier[/url]. Reboot, en meld je terug met een nieuwe HijackThislog. About:blank kan gebruik maken van een verborgen installer. Dit wil ik ook even controleren of dat bij je buurman het geval is: Download [url=http://users.pandora.be/marcvn/tools/appinit.zip]dit[/url] bestandje. Unzip het op je buroblad. Dubbelklik op appinit.bat. Er verschijnt een 'dos'box en dan wordt er een bestand aangemaakt dat windows.txt noemt. Open dit bestand en plak deze inhoud ook in je volgende post. Groeten, Marc
  • Ga even kijken of hij thuis is en zal het proberen uit te voeren alvast bedankt Marc. Jos
  • Goed ben ik weer Marc. ik heb gedaan wat je schreef maar het is niet weg. Hier is een nieuwe log en de windows.txt ziet er wel raar uit. Logfile of HijackThis v1.97.7 Scan saved at 18:09:26, on 2-7-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Jos\Bureaublad\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {08CC0F1D-1CB9-4677-9922-EEF470E7E7E7} - C:\WINDOWS\System32\cdch.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Create Mobile Favorite (HKLM) O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38132.3385185185 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Dit is de windows.txt raar he? regf Pugf hbin @ nk, Ç U @ x 0 > } x Windows sk x x ! ! # # ? ? ? vk > f AppInit_DLLs֍G C : \ W I N D O W S \ S y s t e m 3 2 \ h l p p d f . d l l YP vk X UDeviceNotSelectedTimeout 1 5 _ 9 0 vk ' zGDIProcessHandleQuota" vk ퟌ�Spooler2 y e s c{ ( x vk =pswapdisk vk h RTransmissionRetryTimeout ( x ` vk ' USERProcessHandleQuota p Oja mijn buurman heet toevallig ook jos Groetjes Jos
  • Hallo Jos, De verborgen installer is C:\WINDOWS\System32\hlppdf.dll Deze DLL is de oorzaak van deze hijacker. Nu moeten we dit bestandje zichtbaar maken en trachten te verwijderen. Download Winfile.zip: http://www10.brinkster.com/expl0iter/freeatlast/pvtool.htm Download CWShredder: http://computercops.biz/downloads-file-349.html Gebruik het programma nog NIET. Download Ad-aware: maak de instellingen zoals [url=http://users.pandora.be/marcvn/spyware/]hier[/url] beschreven (zie bij ad-aware). Ad-aware nog NIET laten scannen Download Reglite: http://www.resplendence.com/reglite Installeer en run het programma. In het scherm dat opent geef je bij Adress het volgende in: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs. Dubbelklik op AppInit_DLLs om de Data editor te openen. Onderaan dit venster zie je een veld 'Value'. Dit veld zou de waarde C:\WINDOWS\System32\hlppdf.dll moet bevatten. De map Windows in het linkerscherm van Reglite is paars geselecteerd. Rechtsklik op deze map en kies voor Rename. Hernoem deze map naar NOTWindows. Klik opnieuw op AppInit_DLLs. Selecteer in het veld Value de verwijzing naar de dll file, en verwijder het. Hernoem de map NOTWindows naar zijn oorsponkelijke naam Windows. Sluit Reglite. De verborgen DLL zou nu zichtbaar moeten zijn. Kijk of dit het geval is. (kan via de Windows verkennner) Vervolgens reset je de permissies voor de key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows. Ga naar Start - Uitvoeren en tik in regedit. Navigeer naar de key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows. Rechtsklik op Windows en kies voor Machtigingen. Klik onderaan op de knop Geavanceerd. Haal het vinkje weg bij Overneembare machtingen van bovenliggend object aan dit object doorgeven. In het venster dat nu verschijnt klik je op Kopiëren, vervolgens op Toepassen en op OK. Sluit het register. Herstart de computer. Maak een nieuwe map aan op de c-schijf en noem die map Junk. Je krijgt dan C:\Junk. Unzip Winfile en start het programma. Navigeer naar de map c:\windows\system32 en vouw deze map open zodat alle files zichtbaar zijn. In het menu File kies je voor Select Files. Bij files vul je hlppdf.dll. Ga in het menu File naar Move. Bij From moet nu de naam van hlppdf.dll zichtbaar zijn. Bij To vul je in c:/Junk. Klik op OK om te bevestigen Controleer of de file effectief in de Junk-folder zit. Start CWShredder en klik op de fix-knop. Start Ad-Aware. Klik op de knop scannen. Ad-Aware zal nu een aantal 'slechte' bestanden en registersleutels vinden. Rechtsklik in dit venster en kies voor 'Selecteer alles'. Klik op de knop Volgende. Het programma zal je vragen om alle geselecteerde items te verwijderen. Bevestig dit met OK. Sluit Ad-Aware en start de computer opnieuw. Verwijder de map c:/Junk. Run HijackThis en post een nieuwe log. Meldt even als er iets niet gelukt is. groeten, Marc
  • Bedankt voor je bericht. Ik ga het vanmiddag weer proberen. het begint wel al beroeder te worden. Ik snap niet dat er mensen zijn die dit een ander flikken. Groeten jos
  • Hallo Marc, Ik heb gedaan wat er in het bericht stond maar ik krijg de verborgen bestand [b:1453930496]hlppdf.dll[/b:1453930496] niet te zien. Hoe kan dat?? Want zo kan ik hem met winfile niet verplaatsen. Groeten Jos
  • Zie je de DLL met Reglite? Heb je deze map HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows <--die map in Reglite hernoemd naar Not Windows? Nadien terug hernoemen naar Windows..
  • Bij het herstarten zag ik hem wel. Stom he
  • Hier een nieuwe log. Logfile of HijackThis v1.97.7 Scan saved at 13:57:10, on 3-7-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE C:\Documents and Settings\Jos\Bureaublad\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Create Mobile Favorite (HKLM) O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38132.3385185185 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab groeten Jos
  • Hallo Jos, Sla HijackThis op in een eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maakt namelijk backups in de map waar het opgestart wordt.Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren: [b:353d30fbb8] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank [/b:353d30fbb8] Maak deze map leeg: C:\DOCUME~1\Jos\LOCALS~1\Temp <--deze map Reboot de computer. Run hijackThis nog een keer en post een nieuwe log. groeten, Marc
  • Weer een nieuwe log. Logfile of HijackThis v1.97.7 Scan saved at 14:12:36, on 3-7-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE C:\Documents and Settings\Jos\Bureaublad\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Create Mobile Favorite (HKLM) O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38132.3385185185 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Groeten Jos
  • [img:dd5117ec71]http://users.pandora.be/marcvn/Iconen/icon_thumb.gif[/img:dd5117ec71] Mooi werk Jos. Dit ziet er goed uit. Even controleren. Plaats appinit.bat in en andere map bv c:\appinit\. Run het bestand appinit.bat vanuit die map en post het windows.txt bestandje dat aangemaakt wordt. groeten, Marc
  • Het nieuwe windows.txt regf Pugf hbin nk, d ` x 0 ( 0 Windows sk x x ퟁ� ̜ ? ! # $ ? ;+ {  ? ? ;+ {  ;+ {  vk ( teAppInit_DLLsecte C : \ W I N D O W S \ S y s t e m 3 2 ndle x vk y DeviceNotSelectedTimeout 1 5 _ 9 0 uota vk ' | GDIProcessHandleQuota vk x | Spooler y e s Retr x ( X vk swapdisk vk A TransmissionRetryTimeout x ( X ퟌ� vk ' f USERProcessHandleQuota Ziet er goed uit of niet? Groeten Jos
  • Volgens mij niet. Dit is niet echt duidelijk Check even met Reglite die bewuste key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs Blijft de hijacker weg?
  • Daar staat bij de value C:\WINDOWS\System
  • Ergens is er toch iets misgelopen... Hoe is de situatie nu? Blijft de hijacker weg?
  • Ja hij blijft nu nog weg. Meestal komt de pagina de volgede dag terug. Groeten Jos
  • Volgens mij is de hijacker weg. Ergens zit er wel iets mis. Misschien heeft dit te maken met het resetten van de permissies. Kijk even aan hoe het gaat.
  • Beste Marc. Tot zover alles goed en harstikke bedankt. Morgen zien w wel weer. Groeten Jos en Jos

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.