Deze website maakt gebruik van cookies. Waarom? Klik hier voor ons privacy- en cookiebeleid. Door op akkoord te klikken of door gebruik te blijven maken van deze website geeft u aan akkoord te zijn met het gebruik van cookies.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

About:Blank - Hijackthis log

None
17 antwoorden
  • Onderstaand log komt van de PC van een kennis. Een aantal dingen kan ik wel herkennen, maar about:blank krijg ik niet weg.
    Kan iemand mij adviseren ?

    Logfile of HijackThis v1.97.7
    Scan saved at 12:44:17, on 10-10-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\apigx.exe
    C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\apvxdwin.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\RunDll32.exe
    C:\Program Files\Windows SyncroAd\SyncroAd.exe
    C:\WINDOWS\system32\sdkkx.exe
    C:\Documents and Settings\Ton\Application Data\tsbn.exe
    C:\Program Files\Windows SyncroAd\WinSync.exe
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
    C:\Program Files\Web_Rebates\WebRebates1.exe
    C:\Program Files\Web_Rebates\WebRebates0.exe
    E:\hijac\HijackThis.exe
    C:\Program Files\Outlook Express\msimn.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxwba.dll/sp.html#29126
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxwba.dll/sp.html#29126
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxwba.dll/sp.html#29126
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxwba.dll/sp.html#29126
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxwba.dll/sp.html#29126
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jxwba.dll/sp.html#29126
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxwba.dll/sp.html#29126
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {D1F54785-3008-D469-EAF6-3608BE22CDCC} - C:\WINDOWS\system32\winam.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
    O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
    O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
    O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
    O4 - HKLM\..\Run: [sdkkx.exe] C:\WINDOWS\system32\sdkkx.exe
    O4 - HKCU\..\Run: [Teau] C:\Documents and Settings\Ton\Application Data\tsbn.exe
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
    O9 - Extra button: Onderzoek (HKLM)
    O9 - Extra button: Corel Network monitor worker (HKLM)
    O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O9 - Extra button: Corel Network monitor worker (HKCU)
    O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKCU)
    O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.superweb.nl
    O15 - Trusted Zone: *.05p.com
    O15 - Trusted Zone: *.blazefind.com
    O15 - Trusted Zone: *.clickspring.net
    O15 - Trusted Zone: *.flingstone.com
    O15 - Trusted Zone: *.mt-download.com
    O15 - Trusted Zone: *.my-internet.info
    O15 - Trusted Zone: *.scoobidoo.com
    O15 - Trusted Zone: *.searchbarcash.com
    O15 - Trusted Zone: *.searchmiracle.com
    O15 - Trusted Zone: *.slotch.com
    O15 - Trusted Zone: *.xxxtoolbar.com
    O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093035265700
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38181.4400925926
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
  • Kijk heel even,
  • Je hebt last van homesearch,

    Download: http://users.pandora.be/marcvn/tools/get_active_services.zip

    Pak hem uit op je c: schijf, run hem en je krijgt active.txt, post die in je volgende post samen met een nieuwe hijackthislog, daarna moet je de computer niet meer opnieuw opstarten.

    Mail me ook een exemplaar van active.txt door naar:
    pino_roelt_gewoon at lycos punt nl

    (gewoon even een normaal adres van maken)

    Greetz D,
  • Succes Guy met deze lastige. ;)
  • Hier onder het resultaat. Ik kreeg er wel een Windows Scripting Host foutmelding voor.

    These are the Current Active Services:

    NETWORK SECURITY SERVICE (NSS): O?’ŽrtñåȲ$Ó
    C:\WINDOWS\apigx.exe /s

    APPLICATION LAYER GATEWAY-SERVICE: ALG
    C:\WINDOWS\System32\alg.exe

    WINDOWS AUDIO: AudioSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COMPUTER BROWSER: Browser
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICES VOOR CRYPTOGRAFIE: CryptSvc
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    DHCP CLIENT: Dhcp
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICE VOOR HET RAPPORTEREN VAN FOUTEN: ERSvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COM+-GEBEURTENISSYSTEEM: EventSystem
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COMPATIBILITEIT VOOR SNELLE GEBRUIKERSWISSELING: FastUserSwitchingCompatibility
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    HELP EN ONDERSTEUNING: helpsvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVER: lanmanserver
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WORKSTATION: lanmanworkstation
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    MESSENGER: Messenger
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NETWORK CONNECTIONS: Netman
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NETWORK LOCATION AWARENESS (NLA): Nla
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    VERBINDINGSBEHEER VOOR RAS: RasMan
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TASK SCHEDULER: Schedule
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SECONDARY LOGON: seclogon
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SYSTEM EVENT NOTIFICATION: SENS
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    INTERNET CONNECTION FIREWALL (ICF) / INTERNET CONNECTION SHARING (ICS): SharedAccess
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SHELL HARDWARE DETECTION: ShellHWDetection
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SYSTEM RESTORE-SERVICE: srservice
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TELEPHONY: TapiSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TERMINAL SERVICES: TermService
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    THEMA'S: Themes
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    DISTRIBUTED LINK TRACKING CLIENT: TrkWks
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    UPLOADBEHEER: uploadmgr
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WINDOWS TIME: W32Time
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WINDOWS MANAGEMENT INSTRUMENTATION: winmgmt
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    AUTOMATISCHE UPDATES: wuauserv
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    WIRELESS ZERO CONFIGURATION-SERVICE: WZCSVC
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    DNS CLIENT: Dnscache
    C:\WINDOWS\System32\svchost.exe -k NetworkService

    EVENT LOG: Eventlog
    C:\WINDOWS\system32\services.exe

    PLUG AND PLAY: PlugPlay
    C:\WINDOWS\system32\services.exe

    TCP/IP NETBIOS HELPER: LmHosts
    C:\WINDOWS\System32\svchost.exe -k LocalService

    SSDP DISCOVERY-SERVICE: SSDPSRV
    C:\WINDOWS\System32\svchost.exe -k LocalService

    WEBCLIENT: WebClient
    C:\WINDOWS\System32\svchost.exe -k LocalService

    MACHINE DEBUG MANAGER: MDM
    "C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE"

    PANDA PROCESS PROTECTION SERVICE: PavPrSrv
    "C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe"

    PANDA ANTI-VIRUS SERVICE: PAVSRV
    "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe"

    IPSEC-SERVICES: PolicyAgent
    C:\WINDOWS\System32\lsass.exe

    PROTECTED STORAGE: ProtectedStorage
    C:\WINDOWS\system32\lsass.exe

    SECURITY ACCOUNTS MANAGER: SamSs
    C:\WINDOWS\system32\lsass.exe

    PANDA IMANAGER SERVICE: PSIMSVC
    "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe"

    REMOTE PROCEDURE CALL (RPC): RpcSs
    C:\WINDOWS\system32\svchost -k rpcss

    PRINT SPOOLER: Spooler
    C:\WINDOWS\system32\spoolsv.exe

    WINDOWS IMAGE ACQUISITION (WIA): stisvc
    C:\WINDOWS\System32\svchost.exe -k imgsvc
  • [quote:b8debaf8d2="miekiemoes"]Succes Guy met deze lastige. ;)[/quote:b8debaf8d2]

    Weet dat hij lastig is, ik wil straks eigenlijk zelf een fix procedure in elkaar zetten maar voordat de ts dat uitvoert wil ik eigenlijk dat Marc of Andre even groen licht geeft. :wink:

    edit: ik ga bezig
  • Print dit even uit en lees het door, als je vragen hebt stel je die. Voer de hele procedure in een keer uit.

    1) Download cwshredder: http://www.computercops.biz/downloads-cat-14.html
    gebruik hem nog niet.

    2) Download about:buster, http://tools.zerosrealm.com/AboutBuster.zip
    unzip hem naar c:\about:buster
    controleer of je hem kan updaten. (als je kan updaten update je hem ook)

    3) Laat alle verborgen files weergeven: http://users.pandora.be/marcvn/spyware/1117602.htm

    4) Download dit regfiletje, save hem op je bureaublad: http://i.1asphost.com/pcguy/Peter%20Vooges.reg

    5) Herstart in veilige modus: http://users.pandora.be/marcvn/spyware/1378056.htm

    6) Ga naar taakbeheer, tabje processen en kill deze:
    [list:bc99322067][b:bc99322067]
    SyncroAd.exe
    WebRebates0.exe"
    sdkkx.exe
    tsbn.exe
    apigx.exe[/b:bc99322067][/list:u:bc99322067]

    7) ga naar configuratiescherm –> software en deinstaleer indien mogelijk:
    [list:bc99322067][b:bc99322067]syncroad
    windows syncroad
    webrates[/b:bc99322067][/list:u:bc99322067]

    8 ) Ga naar start –> uitvoeren, tik in: "services.msc" zoek deze service op: [b:bc99322067]NETWORK SECURITY SERVICE (NSS)[/b:bc99322067] dubbelklik erop, er verschijnt een venster daarin bij opstarttype
    stel je in: uitgeschakeld, klik op toepassen en daarna op ok
    (let op dat je de goede neemt, schakel alleen deze uit)

    9) Sluit alle vensters en laat hijackthis deze repareren:
    [list:bc99322067][b:bc99322067]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxwba.dll/sp.html#29126
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxwba.dll/sp.html#29126
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxwba.dll/sp.html#29126
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxwba.dll/sp.html#29126
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxwba.dll/sp.html#29126
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jxwba.dll/sp.html#29126
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxwba.dll/sp.html#29126
    O2 - BHO: (no name) - {D1F54785-3008-D469-EAF6-3608BE22CDCC} - C:\WINDOWS\system32\winam.dll
    O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
    O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
    O4 - HKLM\..\Run: [sdkkx.exe] C:\WINDOWS\system32\sdkkx.exe
    O4 - HKCU\..\Run: [Teau] C:\Documents and Settings\Ton\Application Data\tsbn.exe
    O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
    O14 - IERESET.INF: START_PAGE_URL=http://www.superweb.nl
    O15 - Trusted Zone: *.05p.com
    O15 - Trusted Zone: *.blazefind.com
    O15 - Trusted Zone: *.clickspring.net
    O15 - Trusted Zone: *.flingstone.com
    O15 - Trusted Zone: *.mt-download.com
    O15 - Trusted Zone: *.my-internet.info
    O15 - Trusted Zone: *.scoobidoo.com
    O15 - Trusted Zone: *.searchbarcash.com
    O15 - Trusted Zone: *.searchmiracle.com
    O15 - Trusted Zone: *.slotch.com
    O15 - Trusted Zone: *.xxxtoolbar.com
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6
    O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab [/b:bc99322067][/list:u:bc99322067]

    10) Dubbelklik op Peter Vooges.reg en bevestig met ja op de gegevens aan het register toe te voegen,

    11) Verwijder onderstaande items indien aanwezig:
    [list:bc99322067][b:bc99322067]
    C:\WINDOWS\apigx.exe <— deze file
    C:\WINDOWS\jxwba.dll <— deze file
    C:\WINDOWS\system32\winam.dll <— deze file
    C:\Program Files\Windows SyncroAd <— deze map
    C:\Program Files\Web_Rebates <— deze map
    C:\WINDOWS\system32\sdkkx.exe <— deze file
    C:\Documents and Settings\Ton\Application Data\tsbn.exe <— dit bestand[/b:bc99322067][/list:u:bc99322067]

    12) Ga naar start –> uitvoeren, tik in: "[b:bc99322067]%temp%[/b:bc99322067]"
    Leeg de map die je krijgt

    13) Ga naar start –> configuratiescherm –> internet opties –> tabje algemeen –> bij tijdelijke internet bestanden klik je op: "bestanden verwijderen"

    14) bij die opties op het tabje programma's klik je op "webinstellingen herstellen"

    15) Draai coolwebshredder (runnen, dan fix knop)

    16) Run 2 scans met about:buster, sla de logjes die je krijgt op

    17) Herstart in gewone modus

    18 ) Draai een online virusscan: http://www.bitdefender.com/scan/licence.php

    19) Plaats een nieuwe hijackthislog en een nieuwe get_active_services log.

    Wacht even met deze procedure, aangezien dit mijn 1e homesearch is die ik helemaal zelf doe wil ik graag eerst groen licht hebben van Marc of Andre. (Rieske en Mieke ook goed hoor als jullie het ook weten :wink:)
  • Dit proces moet je zeker beëindigen indien actief:
    apigx.exe
    Die hangt immers samen met de service.

    Gebruik dit regfiltje: http://users.pandora.be/marcvn/tools/hsfix.reg
    Jouw servicenaam lijkt me niet te kloppen pcguy. (controleer even)

    Deze moet je ook laten fixen:
    [b:0fdf87037b]
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab[/b:0fdf87037b]

    Wacht even met de online-scan tot na de nieuwe log.
    Als online-scan pak je best ook trendmicro. Daar ben ik zeker van dat hij de geïnfecteerde bestanden vindt.

    De rest ziet er goed uit.
  • [quote:c447b5c448="M@rc"]Dit proces moet je zeker beëindigen indien actief:
    apigx.exe
    Die hangt immers samen met de service.

    Gebruik dit regfiltje: http://users.pandora.be/marcvn/tools/hsfix.reg
    Jouw servicenaam lijkt me niet te kloppen pcguy. (controleer even)

    Deze moet je ook laten fixen:
    [b:c447b5c448]
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab[/b:c447b5c448]

    Wacht even met de online-scan tot na de nieuwe log.
    Als online-scan pak je best ook trendmicro. Daar ben ik zeker van dat hij de geïnfecteerde bestanden vindt.

    De rest ziet er goed uit.[/quote:c447b5c448]

    Ik edit het even,

    Als ik die servicenaam vergelijk lijkt hij me hetzelfde? (Ik heb trouwens die uit de mail gepakt, die uit het mailtje is deze:

    [quote:c447b5c448]NETWORK SECURITY SERVICE (NSS): O? ’ŽrtñåȲ$ Ó
    C:\WINDOWS\apigx.exe /s[/quote:c447b5c448]

    en die 016, shame on me :oops: Had er overheen gekeken, evenals dat proces wat ik was vergeten te laten beeindigen, ik d8 dat ik hem erbij had geplakt. :oops:
  • Ik heb het uitgeprint en ga er mee langs de patient. Jullie lezen het resultaat…..
  • Het Hijackthis-log:

    Logfile of HijackThis v1.97.7
    Scan saved at 16:52:07, on 10-10-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\apvxdwin.exe
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
    C:\WINDOWS\System32\RunDll32.exe
    D:\DOWNLOADS\ABOUT\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
    O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
    O4 - HKLM\..\Run: [sdkkx.exe] C:\WINDOWS\system32\sdkkx.exe
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
    O9 - Extra button: Onderzoek (HKLM)
    O9 - Extra button: Corel Network monitor worker (HKLM)
    O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O9 - Extra button: Corel Network monitor worker (HKCU)
    O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKCU)
    O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
    O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093035265700
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38181.4400925926
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab


    EN HET ACTIVE SERVICE LOG:


    These are the Current Active Services:

    APPLICATION LAYER GATEWAY-SERVICE: ALG
    C:\WINDOWS\System32\alg.exe

    WINDOWS AUDIO: AudioSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COMPUTER BROWSER: Browser
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICES VOOR CRYPTOGRAFIE: CryptSvc
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    DHCP CLIENT: Dhcp
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICE VOOR HET RAPPORTEREN VAN FOUTEN: ERSvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COM+-GEBEURTENISSYSTEEM: EventSystem
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COMPATIBILITEIT VOOR SNELLE GEBRUIKERSWISSELING: FastUserSwitchingCompatibility
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    HELP EN ONDERSTEUNING: helpsvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVER: lanmanserver
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WORKSTATION: lanmanworkstation
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    MESSENGER: Messenger
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NETWORK CONNECTIONS: Netman
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NETWORK LOCATION AWARENESS (NLA): Nla
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    VERBINDINGSBEHEER VOOR RAS: RasMan
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TASK SCHEDULER: Schedule
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SECONDARY LOGON: seclogon
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SYSTEM EVENT NOTIFICATION: SENS
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    INTERNET CONNECTION FIREWALL (ICF) / INTERNET CONNECTION SHARING (ICS): SharedAccess
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SHELL HARDWARE DETECTION: ShellHWDetection
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SYSTEM RESTORE-SERVICE: srservice
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TELEPHONY: TapiSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TERMINAL SERVICES: TermService
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    THEMA'S: Themes
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    DISTRIBUTED LINK TRACKING CLIENT: TrkWks
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    UPLOADBEHEER: uploadmgr
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WINDOWS TIME: W32Time
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WINDOWS MANAGEMENT INSTRUMENTATION: winmgmt
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    AUTOMATISCHE UPDATES: wuauserv
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    WIRELESS ZERO CONFIGURATION-SERVICE: WZCSVC
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    DNS CLIENT: Dnscache
    C:\WINDOWS\System32\svchost.exe -k NetworkService

    EVENT LOG: Eventlog
    C:\WINDOWS\system32\services.exe

    PLUG AND PLAY: PlugPlay
    C:\WINDOWS\system32\services.exe

    TCP/IP NETBIOS HELPER: LmHosts
    C:\WINDOWS\System32\svchost.exe -k LocalService

    SSDP DISCOVERY-SERVICE: SSDPSRV
    C:\WINDOWS\System32\svchost.exe -k LocalService

    WEBCLIENT: WebClient
    C:\WINDOWS\System32\svchost.exe -k LocalService

    MACHINE DEBUG MANAGER: MDM
    "C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE"

    PANDA PROCESS PROTECTION SERVICE: PavPrSrv
    "C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe"

    PANDA ANTI-VIRUS SERVICE: PAVSRV
    "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe"

    IPSEC-SERVICES: PolicyAgent
    C:\WINDOWS\System32\lsass.exe

    PROTECTED STORAGE: ProtectedStorage
    C:\WINDOWS\system32\lsass.exe

    SECURITY ACCOUNTS MANAGER: SamSs
    C:\WINDOWS\system32\lsass.exe

    PANDA IMANAGER SERVICE: PSIMSVC
    "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe"

    REMOTE PROCEDURE CALL (RPC): RpcSs
    C:\WINDOWS\system32\svchost -k rpcss

    PRINT SPOOLER: Spooler
    C:\WINDOWS\system32\spoolsv.exe

    WINDOWS IMAGE ACQUISITION (WIA): stisvc
    C:\WINDOWS\System32\svchost.exe -k imgsvc


    De start pagina blijft nu goed, maar ik heb van Panda al twee meldingen gehad over een trojan die geneutraliseerd werd. Ik ga nu de online scan draaien.
  • Kijk hem door,
  • Na die online scan doe je dit:

    Webrates had je verwijdert? Zo nee, probeer dat eerst.

    Kill dit proces:
    [list:26ae3dcaa9][b:26ae3dcaa9]sdkkx.exe[/b:26ae3dcaa9][/list:u:26ae3dcaa9]

    Sluit alle vensters, run hijackthis opnieuw en fix deze items:
    [list:26ae3dcaa9][b:26ae3dcaa9]O4 - HKLM\..\Run: [sdkkx.exe] C:\WINDOWS\system32\sdkkx.exe
    O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
    O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab[/b:26ae3dcaa9][/list:u:26ae3dcaa9]

    Herstart in veilige modus en laat alle bestanden weergeven, verwijder deze items indien aanwezig:
    [list:26ae3dcaa9][b:26ae3dcaa9]C:\WINDOWS\system32\sdkkx.exe <— deze file
    C:\Program Files\Web_Rebates <— deze map
    c:\counter.cab <— deze file[/b:26ae3dcaa9][/list:u:26ae3dcaa9]

    Daarna herstart je in gewone modus en post je een nieuwe hijackthislog.
  • Dit is de laatste log:

    Logfile of HijackThis v1.97.7
    Scan saved at 18:05:09, on 10-10-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\apvxdwin.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
    C:\WINDOWS\System32\wuauclt.exe
    D:\DOWNLOADS\ABOUT\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ajax.nl/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
    O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Onderzoek (HKLM)
    O9 - Extra button: Corel Network monitor worker (HKLM)
    O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O9 - Extra button: Corel Network monitor worker (HKCU)
    O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKCU)
    O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
  • The finishing touch….

    Deze hijacker kan een aantal bestanden op je computer verwijderd hebben. Controleer of volgende bestanden nog aanwezig zijn:
    - Control.exe: Ga naar http://www.spywareinfo.com/~merijn/winfiles.html#control en download indien nodig de control.exe die bij je besturingssysteem hoort. Control.exe moet zich in de map c:\windows\system32 bevinden.
    - Hosts (zonder extensie): Hosts bevindt zich in \system32\drivers\etc\. Indien niet aanwezig, download je the Hoster: http://members.aol.com/toadbee/hoster.zip . Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.
    - SDHelper.dll: Als je Spybot Search & Destroy gebruikt kan deze hijacker ook het bestand SDHelper.dll verwijderen. Download SDHelper.dll: http://www.spywareinfo.com/~merijn/winfiles.html#sdhelper. Plaats de file in de installatiemap van Spybot Search & Destroy. Meestal is dit C:\Program Files\Spybot - Search & Destroy.
    - Shell.dll: Controleer even via de verkenner of shell.dll in de system32-map staat. Indien het bestand ontbreekt, ga je naar System32\dllcache. Zoek Shell.dll, rechtsklik er op en kies voor kopiëren. Plaats het kopie in de system32-map.

    Als je dit alles gedaan hebt maak je de prullenbak leeg.
    Verwijder ook alle bestaande systeemherstelpunten: Schakel systeemherstel uit, reboot de computer en schakel systeemherstel weer in. (info: Systeemherstel uitschakelen)

    en dat moet je kennis er weer tegen kunnen…

    groeten,
  • Ik ga dit laatste nog even in orde maken. Je leest nog van me. :)
  • Systeem helemaal schoon. De laatste troep (dialers) zat nog in de internet cache maar nadat ook die was opgeruimd, was het weer een schoon systeem.
    Bedankt voor de adviezen.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.