Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Graag commentaar op deze hijack.

Anoniem
M@rc
7 antwoorden
  • Ik word vaak uit een website gegooid en beland dan weer op mijn homepage. Dat is al twee weken lang zo. Ik heb de MS-site er op nageplozen maar kan daar niets vinden.
    Ik gebruik Ad-Aware SE, Easy Cleaner en NOD32 die - net zoals Windows 98 - regelmatig worden geupdate.
    Alle hulp is meer dan welkom.

    PS
    Dit is mijn eerste quote hier.
    Als er iets niet goed zit met de tekst indeling
    dan graag op- en aanmerkingen. :)

    ===========================================

    Logfile of HijackThis v1.98.2
    Scan saved at 2:05:47 PM, on 10/25/04
    Platform: Windows 98 Gold (Win9x 4.10.1998)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\PROGRAM FILES\ESET\NOD32KRN.EXE
    C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\RPCSS.EXE
    C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\SYSTEM\SXGTKBAR.EXE
    C:\WINDOWS\SYSTEM\HPZTSB01.EXE
    C:\PROGRAM FILES\ESET\NOD32KUI.EXE
    C:\PROGRAM FILES\INKSAVER\INKSAVER.EXE
    C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZAPRO.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAM FILES\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
    C:\PROGRAM FILES\CYBERLINK\POWERDVD\PDVDSERV.EXE
    C:\WINDOWS\RunDLL.exe
    C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
    C:\WINDOWS\SYSTEM\INTERNAT.EXE
    C:\WINDOWS\SYSTEM\PSTORES.EXE
    C:\PROGRAM FILES\HIJACKTHIS 1.98\HIJACKTHIS.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.bbc.co.uk/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar1.dll
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
    od32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [InkSaver] C:\Program Files\InkSaver\InkSaver.exe hide
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
    O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
    O4 - HKLM\..\Run: [RemoteControl] C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Program Files\Eset
    od32krn.exe"
    O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
    O4 - HKCU\..\Run: [TClockEx] C:\PROGRAM FILES\TCLOCKEX\TCLOCKEX.EXE
    O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
    O4 - Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O4 - Startup: InkSaverCheck.lnk = C:\WINDOWS\InkSaverCheck.exe
    O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GOOGLETOOLBAR1.DLL/cmsearch.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://C:\WINDOWS\GOOGLETOOLBAR1.DLL/cmcache.html
    O8 - Extra context menu item: Similar Pages - res://C:\WINDOWS\GOOGLETOOLBAR1.DLL/cmsimilar.html
    O8 - Extra context menu item: Backward Links - res://C:\WINDOWS\GOOGLETOOLBAR1.DLL/cmbacklinks.html
    O8 - Extra context menu item: Translate into English - res://C:\WINDOWS\GOOGLETOOLBAR1.DLL/cmtrans.html
    O9 - Extra button: Short Message - {5DA5CC16-90A8-4c78-AB5E-596BAEDD1289} - http://sms.3721.com/ie/index.htm?pid=U_newhua_5424 (file missing)
    O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030530/qtinstall.info.apple.com/bonnie/us/win/QuickTimeInstaller.exe
    O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://i.a.cnn.net/cnn
    esources/cult3d/cult.cab
    O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.rtvwest.nl/activex/AxisCamControl.ocx
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/07c1310c2a5f0d892104/netzip/RdxIE601.cab
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/76808a0e7ae82f/housecall.antivirus.com/housecall/xscan53.cab
    O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
    O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
    O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/beta/vet_install_popup.pl?1&4&04.00.07.02&http://www.lexus.com/2004ls/demos_flash.html
    O16 - DPF: {5B461C2E-763A-4F47-9809-55827667E821} (MGDomConnector Class) - http://193.67.114.9/Magic9Utils/MGBCCOM9.cab
    O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://www.smgradio.com/core/player/abasetup144.cab
    O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://www.newsstand.com/downloads
    eader/live/Disk1/isetupml.cab
    O18 - Protocol: wavetop - (no CLSID) - (no file)



  • Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:4e5f2fa7d7]
    O9 - Extra button: Short Message - {5DA5CC16-90A8-4c78-AB5E-596BAEDD1289} - http://sms.3721.com/ie/index.htm?pid=U_newhua_5424 (file missing)

    O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.rtvwest.nl/activex/AxisCamControl.ocx
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/07c1310c2a5f0d892104/netzip/RdxIE601.cab
    O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/beta/vet_install_popup.pl?1&4&04.00.07.02&http://www.lexus.com/2004ls/demos_flash.html

    O18 - Protocol: wavetop - (no CLSID) - (no file)

    [/b:4e5f2fa7d7]
    Als je dit gedaan hebt start je de computer op in veilige modus.
    Zorg dat alle verborgen bestanden weergegeven worden, en verwijder de volgende bestanden of mappen indien aanwezig:
    C:\Program 20Files\QuickPage

    Reboot de computer.
  • M@rc,

    Instructies opgevolgd.
    PC daarna ge-reboot.
    IE 6 start zonder probleem en toont de homepage.
    Met speurprog "Find" naar de file "C:\Program 20 Files\QuickPage" gezocht. Is echter niet aanwezig.

    Heb als proef diverse websites bezocht en in de webpages gekeken.
    1. Ben één keer er weer uitgegooid en op de homepage terechtgekomen.
    2. Heb 2x het volgende scherm gekregen:
    - This program has performed an illegal operation and will be shut down.
    - If problem persists, contact program vendor.
    – IEXPLORE caused an invalid page fault in
    – module KERNEL32.DLL at 015f:bff9d709.
    —Registers:
    —EAX=c00300ec CS=015f EIP=bff9d709 EFLGS=00010216
    —EBX=0403ffbc SS=0167 ESP=03f3ff6c EBP=03f40208
    —ECX=00000000 DS=0167 ESI=00000000 FS=56d7
    —EDX=bff76859 ES=0167 EDI=bff79050 GS=0000
    —-Bytes at CS:EIP:
    —-53 8b 15 dc 9c fc bf 56 89 4d e4 57 89 4d dc 89
    —-Stack dump:
  • [quote:5088434f5b="grondeling"]
    Met speurprog "Find" naar de file "C:\Program 20 Files\QuickPage" gezocht. Is echter niet aanwezig.
    [/quote:5088434f5b]
    Dat is een foutje van mij grondeling, een restantje van een vorig logje…dat ik niet uit mijn fix gewist had. Sorry.
  • [quote:e3cb885d1d] Dat is een foutje van mij grondeling, een restantje van een vorig logje…dat ik niet uit mijn fix gewist had. Sorry.[/quote:e3cb885d1d]
    Ben je erkentelijk voor je hulp; verontschuldig je dus niet. ;)

    Wat me te denken geeft is, dat ik er nog steeds word uitgegooid, zodra ik een rubriek van een bepaald forum wil binnenkomen, terwijl ik zeker weet dat de betreffende webmaster mij geen banning heeft opgelegd.

    Kan er sprake zijn van bijv. script kiddy activiteiten?
  • Hallo grondeling,

    Kijk hier even rond: http://www.generation.net/~hleboeuf/erriexpl.htm#ERRKERNEL32.DLL

    groeten,
    Marc
  • [quote:1f4099327b] http://www.generation.net/~hleboeuf/erriexpl.htm#ERRKERNEL32.DLL
    [/quote:1f4099327b]


    Zelf heb ik deze URL niet kunnen vinden.
    Te gek voor woorden!
    Bedankt M@arc! :) :D

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.