Vraag & Antwoord

Beveiliging & privacy

Hijack

23 antwoorden
  • Wederom heb ik weer problemen. Wie wil er zo vriendelijk zijn om er even naar te kijken? Tnx! Logfile of HijackThis v1.98.2 Scan saved at 13:28:08, on 21-9-2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\windows\system\hpsysdrv.exe C:\HP\KBD\KBD.EXE C:\WINDOWS\system32\dla\tfswctrl.exe C:\WINDOWS\System32\atiptaxx.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\WINDOWS\loadclean.exe C:\WINDOWS\System32\ir.exe C:\WINDOWS\System32\intronet.exe C:\Program Files\SpywareGuard\sgmain.exe C:\Program Files\SpywareGuard\sgbhp.exe C:\WINDOWS\System32\usb.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Eigenaar\Bureaublad\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [POINTER] C:\Program Files\Microsoft Hardware\Mouse\point32.exe O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [golumm] C:\WINDOWS\System32\golumm\services.exe O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Program Files\Microsoft Works\WkDetect.exe O4 - HKCU\..\Run: [sysinit] C:\WINDOWS\System32\golumm\services.exe O4 - Startup: Monitor.lnk = C:\Program Files\Registry Clean Pro\Monitor.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing) O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{7CD3F51D-EAE4-430B-8CD9-D447B2D83A38}: NameServer = 194.109.6.66 194.109.104.104
  • ben bezig
  • Sluit alle vensters en laat deze repareren: [list:eb99cff307][b:eb99cff307]R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O4 - HKLM\..\Run: [golumm] C:\WINDOWS\System32\golumm\services.exe O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile O4 - HKCU\..\Run: [sysinit] C:\WINDOWS\System32\golumm\services.exe[/b:eb99cff307][/list:u:eb99cff307] Herstart in de veilige modus en laat alle bestanden weergeven, verwijder deze items: [list:eb99cff307][b:eb99cff307] O4 - HKLM\..\Run: [golumm] C:\WINDOWS\System32\golumm <---map O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\internat.dll <--- file[/b:eb99cff307][/list:u:eb99cff307] Herstart in normale modus, en post een nieuwe log, Wat waren je problemen trouwens? Coolwebsearch?
  • Logfile of HijackThis v1.98.2 Scan saved at 16:20:18, on 21-9-2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\windows\system\hpsysdrv.exe C:\HP\KBD\KBD.EXE C:\WINDOWS\system32\dla\tfswctrl.exe C:\WINDOWS\System32\atiptaxx.exe C:\Program Files\Microsoft Hardware\Mouse\point32.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Registry Clean Pro\Monitor.exe C:\Documents and Settings\Eigenaar\Bureaublad\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [POINTER] C:\Program Files\Microsoft Hardware\Mouse\point32.exe O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Program Files\Microsoft Works\WkDetect.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Startup: Monitor.lnk = C:\Program Files\Registry Clean Pro\Monitor.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing) O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll Die internat.dll kon ik niet vinden. De problemen waren twee dailers en idd CWS.. Maar die heb ik kunnen verwijderen met CWShredder. Een probleem was verder een pop-up (ook zonder verbinding met inet) dat "een proces still running" was. Khoop dat mijn log er nu beter uitziet. Is al de tweede keer in 2 maanden dat ik op dit gedeelte van het forum zit. :cry:
  • De volgende items ook nog in veilige mode verwijderen: C:\WINDOWS\System32\twink64.exe (C:\WINDOWS\loadclean.exe) van deze ben ik niet zeker, maar heb er een slecht zicht op, maar anderen zullen dat hier wel bevestigen..) C:\WINDOWS\System32\ir.exe C:\WINDOWS\System32\intronet.exe C:\WINDOWS\System32\usb.exe Edit.. blijkbaar hebben we mekaar net gekruist en was ik nog met je vorige log bezig. :D
  • :oops: Zo zie je maar weer dat het niet handig is om de proceslijst te vergeten met checken :oops: (en dat doe ik vaak wel) :oops:
  • ach ja, gebeurt bij mij ook wel eens.. :wink: Enne, Topicstarter.. je log ziet er schoon uit nu.. houden zo. ;-)
  • miekiemoes >> ok dan, thnx! Ik verwijder nu de overige files, dan wacht ik met die loadclean nog wel even op bevestiging voor de zekerheid. :wink:
  • ik ben even aan het kijken voor loadclean, momentje
  • Gaan we oplossen, Schakel systeemherstel uit (Rechtsklik op deze computer ---> eigenschappen ---> tabje systeemherstel ---> vinkje zetten voor "systeemherstel op alle stations uitschakelen") Update je virusscanner Herstart in veilige modus en run een volledige systeemscan, Herstart in gewone modus en run een online scan van bitdefender ([url=http://www.bitdefender.com/scan/licence.php]http://www.bitdefender.com/scan/licence.php[/url]) Herstart en post een nieuw hijackthislogje voor de laatste controle. (meld ook de results van de AV scans)
  • Wat misschien ook nuttig is.. is [url=http://virusscan.jotti.dhs.org/]deze[/url] link. Daar kan je de die loadclean laten checken door verschillende virusscanners tegelijk. :wink:
  • Die file is een trojan, volgens symantec moet je hem verwijderen door in safe mode te scannen, nou gezien ervaringen met norton laat ik er voor de zekerheid nog een bitdefender scan achteraan lopen. Maar die site is wel handig, stop hem in m'n favorieten.
  • Mischien toch maar naar windows update om je windows beetje updaten en download meteen mozilla via www.mozilla.org ben je meteen up to date Internet explorer 6 is sinds 1998 niet echt vernieuwd
  • Ik heb loadclean laten scannen middels de link die miekiemoes had aangeraden. Volgens F-secure en Kaspersky is het een Trojandownloader die weer automatisch .exe files aanmaakt in mijn system. :-? Ga maar eens aan de slag volgens de stappen van pcguy! Meld me weer terug met een nieuwe log! :D taco78 >> maandje of twee geleden is me precies hetelfde aangeraden, maar aangezien ik prehistorisch internet (telefoonlijntje) en er ongeveer 50 updates beschikbaar zijn voor mijn systeem is dit onbegonnen werk. :wink:
  • Zo, dat weten we dus ook alweer. Thx om het even te melden. :wink: Kben benieuwd naar je volgende log. :D
  • Volgende log ben ik ook benieuwd naar, Oke, maar probeer dan tenminste ergens anders updates binnen te halen en dan mbv een cd even op jou pc te instaleren, moet ergens kunnen
  • Hallo! Ik meld me weer even terug met een nieuwe log. :D Logfile of HijackThis v1.98.2 Scan saved at 21:39:01, on 21-9-2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\windows\system\hpsysdrv.exe C:\HP\KBD\KBD.EXE C:\WINDOWS\system32\dla\tfswctrl.exe C:\WINDOWS\System32\atiptaxx.exe C:\Program Files\Microsoft Hardware\Mouse\point32.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Registry Clean Pro\Monitor.exe C:\Documents and Settings\Eigenaar\Bureaublad\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [POINTER] C:\Program Files\Microsoft Hardware\Mouse\point32.exe O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Program Files\Microsoft Works\WkDetect.exe O4 - Startup: Monitor.lnk = C:\Program Files\Registry Clean Pro\Monitor.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing) O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab Alles gedaan zoals is geadviseerd. De online av-scan (BitDefender) haalde een virus uit een backup weg die op mijn bureablad stond (? :-? ?) en een TrojanDailer. Ik heb ze allebei maar laten verwijderen. Tijdens mijn eerdere zoektocht in system32 om bestanden te verwijderen en ik bestanden bekeek die aangemaakt waren op het tijdstip vandaag waarna de problemen ontstonden kwam ik ook deze tegen: lpt.exe mfgndl.dll Wat doen deze zaken eigenlijk of is dat moeilijk te zeggen zo op afstand? In elk geval wederom bedankt mensen voor de tijd en moeite die jullie nemen, top! 8) pcguy >> ik zal eens kijken of ik bij mij op school updates kan downloaden om vervolgens te installeren. :wink: Btw, systeemherstel moet dat weer aangezet worden?
  • Je log ziet er alvast weer gezond uit. Tja, trojans.. wie zijn ze, wat doen ze.. :) er zitten daar heel veel variaties tussen, maar over het algemeen bestaat een trojan dus uit 2 programma’s. Een client en een server. De server wordt op de pc geïnstalleerd wanneer je op het geïnfecteerd bestand klikt, waarbij de client door de aanvaller wordt gebruikt om de PC binnen te dringen met als gevolg dat de harde schijf beschikbaar is voor de aanvaller en er vanalles kan op uitvoeren, maw hacken. Hij gebruikt daarbij je IPadres en een simpel programma om de PC binnen te dringen. Hoe je aan zo'n trojan geraakt.. wel, 'roekeloos surfgedrag'.. vanalles downloaden die er leuk uit ziet, mails openen van personen die je niet kent;. etc... Dus, beter om dat niet op je pc te hebben. :D
  • Ok dan, maar ik bedoelde eigenlijk die twee bestanden die ik opnoemde, moet ik die ook nog verwijderen? Omdat ze zijn aangemaakt op het moment dan de problemen ontstonden. :wink: Of zal ik ze scannen met de link die jij gaf?
  • ah.. hahaha.. zit ik hier zo'n uitleg te geven.. :D Ja, idd, je MOET die bestanden verwijderen...doe dit beter in veilige mode ook ;-)

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.