Vraag & Antwoord

Beveiliging & privacy

HijackThis log van rampencomputer.

11 antwoorden
  • Hallo Hijack experts. Hier een log van de PC van een kennis die er naar mijn weten (onbewust) een zooitje van gemaakt heeft. Zijn vraag was of ik eens wilde kijken want z'n mail werkte niet meer. Er bleek eigenlijk niets normaal te werken. Er zat NAV van 2002 op met de definities bijgewerkt tot 7-8-2003! Dus redelijk actueel. Ik had toevallig Ad-Aware en Spybot bij me en Stinger, dus ik heb al het één en ander kunnen verwijderen. Maar de 04 code lijkt mij niet helemaal pluis. Ter informatie: er staan eigenlijk bijna geen programma's op de PC, wordt hoofdzakelijk gebruikt voor internet en email. In de log kom ik iets over Sygate tegen die er overigens niet opstaat. Wil iemand hier het beste van proberen te maken? Bij voorbaat mijn dank. Logfile of HijackThis v1.98.2 Scan saved at 21:26:39, on 18-10-2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\crsrs.exe C:\WINDOWS\System32\winsvc.exe C:\WINDOWS\System32\msmsgs.exe C:\WINDOWS\System32\windowsupdate.exe C:\WINDOWS\System32\setver32.exe C:\WINDOWS\System32\host32.exe C:\WINDOWS\System32\timeupdate.exe C:\WINDOWS\System32\firewallsp2.exe C:\Program Files\Windows SyncroAd\SyncroAd.exe C:\Program Files\Web_Rebates\WebRebates0.exe C:\WINDOWS\System32\MSNMaSGRS.exe C:\Program Files\Windows SyncroAd\WinSync.exe C:\windows\system32\winusb32.exe C:\WINDOWS\System32\mstar2.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\msnmsng.exe C:\Program Files\Web_Rebates\WebRebates1.exe C:\WINDOWS\System32\Sygate.exe C:\WINDOWS\System32\winudp32.exe C:\totalcmd\TOTALCMD.EXE C:\Utilities\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/MStartEnter/Portal/portal.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.nl/redirect/startpage/dial_up/dut/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/MStartEnter/Portal/portal.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\UTILIT~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [E491C6DF] C:\WINDOWS\System32\pfizluzx.exe O4 - HKLM\..\Run: [Auto updat] crsrs.exe O4 - HKLM\..\Run: [Media Player] wmplayer.exe O4 - HKLM\..\Run: [Windows Registry Scan] timeupdate.exe O4 - HKLM\..\Run: [Windows Messenger] msmsgs.exe O4 - HKLM\..\Run: [MSN Messanger] msnmsng.exe O4 - HKLM\..\Run: [Microsoft Firewall] firewallsp2.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Microsoft Update UDP 32 Bit] winudp32.exe O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe O4 - HKLM\..\Run: [Windows secure] setver32.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [autoupdate] winsvc.exe O4 - HKLM\..\Run: [MSNMaSRR5] MSNMaSGRS.exe O4 - HKLM\..\Run: [REEGRUN] C:\windows\system32\winusb32.exe O4 - HKLM\..\Run: [Registry Crawler] C:\UTILIT~1\RCrawler\RCrawler.exe -TRAYONLY O4 - HKLM\..\Run: [Windows Update] host32.exe O4 - HKLM\..\Run: [Sygate Personal Firewall] Sygate.exe O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\mstar2.exe O4 - HKLM\..\RunServices: [08DCF889] C:\WINDOWS\System32\pfizluzx.exe O4 - HKLM\..\RunServices: [Micrsoft CFG 32] lrbzus32.exe O4 - HKLM\..\RunServices: [Auto updat] crsrs.exe O4 - HKLM\..\RunServices: [Media Player] wmplayer.exe O4 - HKLM\..\RunServices: [Windows Registry Scan] timeupdate.exe O4 - HKLM\..\RunServices: [Windows Update] host32.exe O4 - HKLM\..\RunServices: [Windows Messenger] msmsgs.exe O4 - HKLM\..\RunServices: [MSN Messanger] msnmsng.exe O4 - HKLM\..\RunServices: [Microsoft Firewall] firewallsp2.exe O4 - HKLM\..\RunServices: [Microsoft Update UDP 32 Bit] winudp32.exe O4 - HKLM\..\RunServices: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe O4 - HKLM\..\RunServices: [Windows secure] setver32.exe O4 - HKLM\..\RunServices: [autoupdate] winsvc.exe O4 - HKLM\..\RunServices: [MSNMaSRR5] MSNMaSGRS.exe O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe O4 - HKLM\..\RunOnce: [Auto updat] crsrs.exe O4 - HKLM\..\RunOnce: [autoupdate] winsvc.exe O4 - HKLM\..\RunOnce: [Windows Messenger] msmsgs.exe O4 - HKLM\..\RunOnce: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe O4 - HKLM\..\RunOnce: [Windows secure] setver32.exe O4 - HKLM\..\RunOnce: [VcCleanUp.exe] C:\DOCUME~1\Eigenaar\LOCALS~1\Temp\VcCleanUp.exe /F C:\PROGRA~1\COMMON~1\SYMANT~1\LiveReg\ /RemoveAll O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Utilities\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [System Soap Pro] C:\PROGRA~1\SYSTEM~1\soap.exe min O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Auto updat] crsrs.exe O4 - HKCU\..\Run: [autoupdate] winsvc.exe O4 - HKCU\..\Run: [Windows Messenger] msmsgs.exe O4 - HKCU\..\Run: [MSN Messanger] msnmsng.exe O4 - HKCU\..\Run: [Microsoft Update UDP 32 Bit] winudp32.exe O4 - HKCU\..\Run: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe O4 - HKCU\..\Run: [Windows secure] setver32.exe O4 - HKCU\..\RunServices: [MSN Messanger] msnmsng.exe O4 - HKCU\..\RunOnce: [autoupdate] winsvc.exe O4 - HKCU\..\RunOnce: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe O4 - HKCU\..\RunOnce: [Windows secure] setver32.exe O4 - HKCU\..\RunOnce: [Windows Messenger] msmsgs.exe O4 - HKCU\..\RunOnce: [Auto updat] crsrs.exe O4 - Global Startup: Reboot.exe O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.nl/redirect/startpage/dial_up/dut/ O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=87474b305d0a4a13fb2045f5089f98d0902140b003e801d3253463c0f8fc25fcdde7fcd8e656a3b7db399ac6ab5a7568bc31da07:20bd3955a42ba1a87a16f17897c4ded1
  • Druk op CTRL+ALT+DEL om Windows Taakbeheer te openen. Ga naar het tabblad processen en beëindig de volgende processen: msmsgs.exe crsrs.exe windowsupdate.exe setver32.exe host32.exe timeupdate.exe firewallsp2.exe SyncroAd.exe WebRebates0.exe MSNMaSGRS.exe WinSync.exe winusb32.exe mstar2.exe msnmsng.exe WebRebates1.exe winudp32.exe Sygate.exe Ga naar Configuratiescherm - Software - Programma's wijzigen of verwijderen. Deïnstalleer indien aanwezig de volgende programma's: Switch, Web_rebates Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren: [b:d507aea0e4] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/MStartEnter/Portal/portal.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/MStartEnter/Portal/portal.html O4 - HKLM\..\Run: [E491C6DF] C:\WINDOWS\System32\pfizluzx.exe O4 - HKLM\..\Run: [Auto updat] crsrs.exe O4 - HKLM\..\Run: [Media Player] wmplayer.exe O4 - HKLM\..\Run: [Windows Registry Scan] timeupdate.exe O4 - HKLM\..\Run: [Windows Messenger] msmsgs.exe O4 - HKLM\..\Run: [MSN Messanger] msnmsng.exe O4 - HKLM\..\Run: [Microsoft Firewall] firewallsp2.exe O4 - HKLM\..\Run: [Microsoft Update UDP 32 Bit] winudp32.exe O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe O4 - HKLM\..\Run: [Windows secure] setver32.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [autoupdate] winsvc.exe O4 - HKLM\..\Run: [MSNMaSRR5] MSNMaSGRS.exe O4 - HKLM\..\Run: [REEGRUN] C:\windows\system32\winusb32.exe O4 - HKLM\..\Run: [Windows Update] host32.exe O4 - HKLM\..\Run: [Sygate Personal Firewall] Sygate.exe O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\mstar2.exe O4 - HKLM\..\RunServices: [08DCF889] C:\WINDOWS\System32\pfizluzx.exe O4 - HKLM\..\RunServices: [Micrsoft CFG 32] lrbzus32.exe O4 - HKLM\..\RunServices: [Auto updat] crsrs.exe O4 - HKLM\..\RunServices: [Media Player] wmplayer.exe O4 - HKLM\..\RunServices: [Windows Registry Scan] timeupdate.exe O4 - HKLM\..\RunServices: [Windows Update] host32.exe O4 - HKLM\..\RunServices: [Windows Messenger] msmsgs.exe O4 - HKLM\..\RunServices: [MSN Messanger] msnmsng.exe O4 - HKLM\..\RunServices: [Microsoft Firewall] firewallsp2.exe O4 - HKLM\..\RunServices: [Microsoft Update UDP 32 Bit] winudp32.exe O4 - HKLM\..\RunServices: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe O4 - HKLM\..\RunServices: [Windows secure] setver32.exe O4 - HKLM\..\RunServices: [autoupdate] winsvc.exe O4 - HKLM\..\RunServices: [MSNMaSRR5] MSNMaSGRS.exe O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe O4 - HKLM\..\RunOnce: [Auto updat] crsrs.exe O4 - HKLM\..\RunOnce: [autoupdate] winsvc.exe O4 - HKLM\..\RunOnce: [Windows Messenger] msmsgs.exe O4 - HKLM\..\RunOnce: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe O4 - HKLM\..\RunOnce: [Windows secure] setver32.exe O4 - HKLM\..\RunOnce: [VcCleanUp.exe] C:\DOCUME~1\Eigenaar\LOCALS~1\Temp\VcCleanUp.exe /F C:\PROGRA~1\COMMON~1\SYMANT~1\LiveReg\ /RemoveAll O4 - HKCU\..\Run: [System Soap Pro] C:\PROGRA~1\SYSTEM~1\soap.exe min O4 - HKCU\..\Run: [Auto updat] crsrs.exe O4 - HKCU\..\Run: [autoupdate] winsvc.exe O4 - HKCU\..\Run: [Windows Messenger] msmsgs.exe O4 - HKCU\..\Run: [MSN Messanger] msnmsng.exe O4 - HKCU\..\Run: [Microsoft Update UDP 32 Bit] winudp32.exe O4 - HKCU\..\Run: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe O4 - HKCU\..\Run: [Windows secure] setver32.exe O4 - HKCU\..\RunServices: [MSN Messanger] msnmsng.exe O4 - HKCU\..\RunOnce: [autoupdate] winsvc.exe O4 - HKCU\..\RunOnce: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] windowsupdate.exe O4 - HKCU\..\RunOnce: [Windows secure] setver32.exe O4 - HKCU\..\RunOnce: [Windows Messenger] msmsgs.exe O4 - HKCU\..\RunOnce: [Auto updat] crsrs.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=87474b305d0a4a13fb2045f5089f98d0902140b003e801d3253463c0f8fc25fcdde7fcd8e656a3b7db399ac6ab5a7568bc31da07:20bd3955a42ba1a87a16f17897c4ded [/b:d507aea0e4] Als je dit gedaan hebt [url=http://users.pandora.be/marcvn/spyware/1378056.htm]start je de computer op in veilige modus[/url]. Zorg dat alle [url=http://users.pandora.be/marcvn/spyware/1117602.htm]verborgen bestanden weergegeven worden[/url], en verwijder de volgende bestanden of mappen indien aanwezig: C:\Program Files\Windows SyncroAd <--deze map C:\Program Files\Web_Rebates <--deze map C:\WINDOWS\System32\Sygate.exe C:\WINDOWS\System32\winudp32.exe C:\WINDOWS\System32\msmsgs.exe C:\WINDOWS\System32\windowsupdate.exe C:\WINDOWS\System32\setver32.exe C:\WINDOWS\System32\host32.exe C:\WINDOWS\System32\timeupdate.exe C:\WINDOWS\System32\firewallsp2.exe C:\WINDOWS\System32\MSNMaSGRS.exe C:\WINDOWS\System32\mstar2.exe C:\WINDOWS\System32\msnmsng.exe Maak je Temp-map leeg: Start - Uitvoeren tik in: %TEMP% Ledig de map met tijdelijke internetbestanden: Configuratiescherm - Internetopties - tabblad Algemeen - klik bij Tijdelijke internetbestanden op Bestanden Verwijderen. Reboot de computer en voer een onlin'scan uit. Liefst beiden: http://www.pandasoftware.com/activescan/com/activescan_principal.htm http://housecall.trendmicro.com/housecall/start_corp.asp Reboot de computer. Bezoek de [url=http://www.windowsupdate.com]Windows Update Site[/url]. Alleen zo ben je zeker dat je de nieuwste patches voor je besturingssysteem geïnstalleerd hebt. Als er nieuwe updates beschikbaar zijn (en die zijn er), dan dowload en installeer je alle essentiële updates en service packs. Reboot je computer en controleer opnieuw. Herhaal deze procedure tot dat er geen essentiële updates meer zijn. Reboot de computer, run HijackThis opnieuw en post een nieuwe log. Ik zou zeggen succes Gerard. Marc
  • Bedankt voor je antwoord Marc, het klopte dus inderdaad dat het een puinzooi was. Zoals gezegd is de betreffende PC van een kennis. Ik probeer zo snel mogelijk naar hm toe te gaan. Mocht het nog niet lukken dan plaats ik (morgen of overmorgen) wel een nieuwe log en haal dit topic wel naar boven. Ik heb trouwens nog een vraagje: zowel op zijn als op mijn eiegen PC krijg ik na het draaien van Spybot de melding: DSO Exploit ( 5 entries) die ik laat repareren, maar bij een nieuwe scan is tie weer present. Enig idee?
  • Zorg dat je Windows volledig geupdate is. Die melding is een bug in spybot. (Spybot geupdate?) Tipje: Misschien toch eens denken aan virusscanner en een firewall op die computer...
  • Op 'die' computer OK, maar op de mijne draai ik NOD32 met ZoneAlarm en zowel de Windows, als de Ad-Aware en Spybot zijn altijd up to date. Dus daar zou het niet aan kunnen liggen denk ik.
  • Hier de nieuwe log in (behoorljk) afgeslankte vorm. Ik geloof dat alles nu een beetje normaal werkt. Alleen het opstarten gaat vrij traag, en het afsluiten duurt wel erg lang. Wil iemand eens kijken of dit log clean is? PS. Omdat de kennis internet via de gewone telefoonlijn heb ik SP 2 er maar opgezet. De PC is twee jaar oud en nog nooit Windows Update gedraaid, dus dan weet je het wel via de telefoonlijn. Logfile of HijackThis v1.98.2 Scan saved at 21:01:11, on 19-10-2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\UTILIT~1\RCrawler\RCrawler.exe C:\Program Files\Eset\nod32kui.exe C:\totalcmd\TOTALCMD.EXE C:\Utilities\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.nl/redirect/startpage/dial_up/dut/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\UTILIT~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Registry Crawler] C:\UTILIT~1\RCrawler\RCrawler.exe -TRAYONLY O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: Reboot.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.nl/redirect/startpage/dial_up/dut/
  • Hallo Gerard, Dat heb je mooi opgeruimd. De computer al eens gescand op virussen? (het kan zijn dat er nog wat restanten aanwezig zijn...) Maak ook de prullenbak leeg en verwijder alle systeemherstelpunten. Info hoe je dat doet vind je [url=http://users.pandora.be/marcvn/spyware/1852808.htm]hier[/url]. Maak vervolgens deze map eens leeg: c:\windows\prefetch groeten, Marc
  • Hoi Marc, Kale boel geworden hé? Ik heb systeemherstel uitgeschakeld, Prefetch geleegd, tijdelijke internet bestanden weg, prullenbak leeg enz. Eerst had ik met Stinger gescand, die vond al een behoorlijk aantal wormen, trojans enz. Toen ik NOD geïnstalleerd had vond die nog een keer 16 virussen, wormen enz. Ook de (geupdate) Ad-Aware en Spybot vonden het nodige. Het was een ongelooflijke zooi, maar ja... wat wil je. De persoon in kwestie is 70 jaar, heeft de PC twee jaar, na één jaar virusscanner verlopen, firewall niet ingeschakeld cq. geïnstalleerd, dan moet het wel een zooitje worden. Ik neem aan dat de log clean is zodat hij weer een poosje vooruit kan. Nog bedankt voor je hulp en tot een volgende keer. gr. Gerard.
  • Graag gedaan Gerard. Log is clean. groeten, Marc
  • Heerlijk gelachen om dit draadje. :lol:
  • Het doet mij genoegen dat je heerlijk hebt kunnen lachen Diana. Tenslotte is een dag niet gelachen een dag niet geleefd... Wil je mij ook verklappen wat je zo aan het lachen heeft gemaakt?

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.