Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

krijg bij opstarten linkpagina en een popup

M@rc
14 antwoorden
  • Hallo,

    Bij het opstarten van internet explorer krijg ik een verwijzingspagina en een popup dat scant of er spyware op mijn pc zit.
    Heb hijackthis laten kijken en alle R1 en RO aanduidingen verwijderd. Onder veilige modus uiteraard. Toch blijft de hele shit terugkomen. HJT haalt ook de twee O15 items er niet uit.

    Iemand nuttige suggesties?

    Bedankt CJ

    ps ook NAV onder veilige modus laten draaien evenals als spybot. Heeft echter niet geleidt tot het gewenste resultaat

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {0715F05A-E460-3423-2569-AEE5A0CB782D} - D:\WINDOWS\system32\ipcp32.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [LimeShop] javaw -cp "D:\Program Files\LimeShop\System\Code" Main lp: "D:\Program Files\LimeShop"
    O4 - HKLM\..\Run: [zBrowser Launcher] G:\Program Files\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [C-Media Echo Control] D:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe
    O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [CloneCDTray] "G:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
    O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [ntfg32.exe] D:\WINDOWS\system32
    tfg32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [RealPopup] "G:\Program Files\RealPopup\RealPopup.exe" BOOT
    O4 - Global Startup: Microsoft Office.lnk = G:\Program Files\Microsoft Office\Office10\OSA.EXE
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O15 - Trusted Zone: *.frame.crazywinnings.com
    O15 - Trusted Zone: *.static.topconverting.com
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  • Scannen met Hitman Pro ( www.hitmanpro.nl )
  • Plaats even een volledige hjt log.
  • Bij Intermute beweren ze dat ze 1 van die varianten hier aanwezig baas kunnen met de nieuwe CWShredder. Laat ze het even bewijzen….
    Download CWShredder.
    Start het programma, klik op de Fix-knop.

    Reboot en post een nieuwe hijackthislog.

    Download serviceFilter.zip.
    Unzip het naar je buroblad en klik op servicefilter.vbs.
    Er opent een bestandje dat post_this.txt noemt. Plaats de volledige inhoud van dit bestand ook in je volgende post.
  • Bij deze de volledige HJT:

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\Mixer.exe
    G:\Program Files\Logitech\iTouch\iTouch.exe
    D:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe
    g:\Program Files\Logitech\MouseWare\system\em_exec.exe
    D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    D:\Program Files\Common Files\Symantec Shared\ccApp.exe
    D:\WINDOWS\system32
    tfg32.exe
    D:\WINDOWS\System32\ctfmon.exe
    G:\Program Files\RealPopup\RealPopup.exe
    G:\Program Files\Nieuwe map\SpySub.exe
    G:\Program Files\Norton AntiVirus
    avapsvc.exe
    G:\Program Files\Microsoft Office\Office10\msoffice.exe
    G:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    G:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
    D:\WINDOWS\System32
    vsvc32.exe
    G:\PROGRA~1\NORTON~1\SPEEDD~1
    opdb.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    D:\WINDOWS
    tpp32.exe
    F:\test\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {0715F05A-E460-3423-2569-AEE5A0CB782D} - D:\WINDOWS\system32\ipcp32.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [LimeShop] javaw -cp "D:\Program Files\LimeShop\System\Code" Main lp: "D:\Program Files\LimeShop"
    O4 - HKLM\..\Run: [zBrowser Launcher] G:\Program Files\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [C-Media Echo Control] D:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe
    O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [CloneCDTray] "G:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
    O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [ntfg32.exe] D:\WINDOWS\system32
    tfg32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [RealPopup] "G:\Program Files\RealPopup\RealPopup.exe" BOOT
    O4 - Global Startup: Microsoft Office.lnk = G:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: SpySubtract.lnk = G:\Program Files\Nieuwe map\SpySub.exe
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O15 - Trusted Zone: *.frame.crazywinnings.com
    O15 - Trusted Zone: *.static.topconverting.com
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    de CWshredder gedownload maar zonder resultaat.

    Bij deze de Post_this txt

    ===> Begin Service Listing <===

    Unknown Service #1
    Service Name: navapsvc
    Display Name: Norton AntiVirus Auto-Protect-service
    Start Mode: Auto
    Start Name: LocalSystem
    Description: Behandelt gebeurtenissen van Norton AntiVirus …
    Service Type: Own Process
    Path: "g:\program files
    orton antivirus
    avapsvc.exe"
    State: Running
    Process ID: 144
    Started: Waar
    Exit Code: 0
    Accept Pause: Onwaar
    Accept Stop: Waar

    Unknown Service # 2
    Service Name: NPFMntor
    Display Name: Norton AntiVirus Firewall Monitor Service
    Start Mode: Auto
    Start Name: LocalSystem
    Description: Detects installation of Symantec Firewall …
    Service Type: Own Process
    Path: g:\program files
    orton antivirus\iwp
    pfmntor.exe
    State: Running
    Process ID: 360
    Started: Waar
    Exit Code: 0
    Accept Pause: Onwaar
    Accept Stop: Waar

    Unknown Service #3
    Service Name: NProtectService
    Display Name: Norton Unerase Protection
    Start Mode: Auto
    Start Name: LocalSystem
    Description: …
    Service Type: Own Process
    Path: g:\program files
    orton systemworks
    orton utilities
    protect.exe
    State: Running
    Process ID: 932
    Started: Waar
    Exit Code: 0
    Accept Pause: Onwaar
    Accept Stop: Waar

    Unknown Service #4
    Service Name: SAVScan
    Display Name: SAVScan
    Start Mode: Manual
    Start Name: LocalSystem
    Description: Handles Norton AntiVirus Auto-Protect Archive …
    Service Type: Own Process
    Path: g:\program files
    orton antivirus\savscan.exe
    State: Stopped
    Process ID: 0
    Started: Onwaar
    Exit Code: 1077
    Accept Pause: Onwaar
    Accept Stop: Onwaar

    Unknown Service # 5
    Service Name: SPBBCSvc
    Display Name: Symantec SPBBCSvc
    Start Mode: Auto
    Start Name: LocalSystem
    Description: Symantec …
    Service Type: Own Process
    Path: d:\program files\common files\symantec shared\spbbc\spbbcsvc.exe
    State: Running
    Process ID: 1056
    Started: Waar
    Exit Code: 0
    Accept Pause: Onwaar
    Accept Stop: Waar

    Unknown Service #6
    Service Name: Speed Disk service
    Display Name: Speed Disk service
    Start Mode: Auto
    Start Name: LocalSystem
    Description: …
    Service Type: Own Process
    Path: g:\progra~1
    orton~1\speedd~1
    opdb.exe
    State: Running
    Process ID: 1560
    Started: Waar
    Exit Code: 0
    Accept Pause: Onwaar
    Accept Stop: Waar

    Unknown Service #7
    Service Name: SwPrv
    Display Name: MS Software Shadow Copy Provider
    Start Mode: Manual
    Start Name: LocalSystem
    Description: Beheert schaduwkopieën op basis van software, die door de Volume Shadow Copy-service zijn gemaakt. …
    Service Type: Own Process
    Path: d:\windows\system32\dllhost.exe /processid:{d05b59a2-0922-4718-a28f-a486ef051bab}
    State: Stopped
    Process ID: 0
    Started: Onwaar
    Exit Code: 1077
    Accept Pause: Onwaar
    Accept Stop: Onwaar

    Unknown Service # 8
    Service Name: %AF夶À¨
    Display Name: Network Security Service (NSS)
    Start Mode: Auto
    Start Name: LocalSystem
    Description: …
    Service Type: Share Process
    Path: d:\windows
    tpp32.exe /s
    State: Running
    Process ID: 2072
    Started: Waar
    Exit Code: 0
    Accept Pause: Onwaar
    Accept Stop: Waar

    —> End Service Listing <—

    There are 92 Win32 services on this machine.
    8 were unrecognized.

    Script Execution Time: 2,570313 seconds.


    Ben benieuwd of jullie iets kunnen vinden

    alvast bedankt CJ
  • Hallo caco,

    Het was te verwachten dat CWShredder de klus niet zou klaren. Maar nu weten we het zeker.
    Na het uitvoeren van de ze instructies zou een deel van je probleem al opgelost moeten zijn. De rest volgt later wel.
    Print dit uit want je zal het nodig hebben.
    Volg de procedure nauwkeurig en voer ze in 1 keer uit. Onderbreek de procedure niet. Lukt een stap niet dan neem je de volgende. Eens je in veilige modus zit moet je doorgaan.

    1. Download dit regfiletje: HSfix.zip.
    Unzip het en plaats het op je buroblad, zodat je dit later makkelijk kan terug vinden wanneer je het nodig hebt.

    2. Download CWShredder.
    Unzip het maar gebruik het programma nog niet.

    3. Download About:buster. Unzip het naar c:\aboutbuster en controleer of er updates beschikbaar. Installeer deze.
    Gebruik het programma nog niet.

    4. Zorg dat alle verborgen bestanden weergegeven worden.

    5. Start de computer in veilige modus.

    6. Ga naar start - Uitvoeren en tik in: services.msc. Zoek naar deze service: [b:aeaa39b34a]Network Security Service[/b:aeaa39b34a]
    Dubbelklik op deze service en in het venster dat verschijnt kies je bij Opstarttype voor Uitgeschakeld. Klik op Toepassen en vervolgens op OK.

    7. Sluit alle vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:aeaa39b34a]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\system32
    lbsm.dll/sp.html#28129

    O2 - BHO: (no name) - {0715F05A-E460-3423-2569-AEE5A0CB782D} - D:\WINDOWS\system32\ipcp32.dll

    O4 - HKLM\..\Run: [LimeShop] javaw -cp "D:\Program Files\LimeShop\System\Code" Main lp: "D:\Program Files\LimeShop"
    O4 - HKLM\..\Run: [ntfg32.exe] D:\WINDOWS\system32
    tfg32.exe

    O15 - Trusted Zone: *.frame.crazywinnings.com
    O15 - Trusted Zone: *.static.topconverting.com
    [/b:aeaa39b34a]

    8. Dubbelklik op HSfix.reg om de wijzigingen aan het register toe te voegen.

    9. Verwijder de volgende bestanden:
    D:\WINDOWS\system32
    tfg32.exe <–dit bestand
    D:\WINDOWS\system32
    lbsm.dll <–dit bestand
    D:\WINDOWS\system32\ipcp32.dll <–dit bestand
    d:\windows
    tpp32.exe <–dit bestand

    10. Maak je Temp-map leeg: Start – Uitvoeren tik in: %TEMP%. Selecteer alle bestanden en verwijder ze.

    11.Ledig de map met Tijdelijke internetbestanden: Ga naar Configuratiescherm – Internetopties – tabblad Algemeen – klik bij Tijdelijke internetbestanden op Bestanden Verwijderen.

    12. Herstel je webinstellingen: ga naar Configuratiescherm – Internetopties – tabblad Programma’s. Klik op de knop Webinstellingen herstellen.

    13. Start CWShredder en klik op de fix-knop.

    14. Start About:buster. Wanneer het programma vraagt om een tweede keer te scannen doe je dit.

    15. Reboot de computer nu in normale modus. Run Hijackthis opnieuw en post een nieuwe log. Maak ook een nieuwe log met Servifilter.vbs. Post ook de inhoud van dat tekstbestandje.

    Succes.
    Marc
  • @ M@rc,

    Bedankt, morgen ga ik er mee bezig.
    groet,
    CJ
  • [quote:1e50cf1002="caco"]Bedankt, morgen ga ik er mee bezig.
    [/quote:1e50cf1002]
    Ik hoop voor jou dat de namen van de bestanden niet te veel veranderen dan.
  • Het zaakje loopt weer naar behoren.

    Bedankt
    CJ
  • Plaats een nieuwe logje.
  • [quote:aeca3a415a="caco"]Het zaakje loopt weer naar behoren.

    Bedankt
    CJ[/quote:aeca3a415a]
    CJ, je probleem is nog niet helemaal opgelost. Deze hijacker heeft nog wel wat meer schade aangericht. Best dat we de rest van de fix nog verder uitvoeren.
    Hoogstwaarschijnlijk heb je ook nog een tweede infectie te pakken. Indien dit zo is vraagt dit ook een speciale behandeling.
    Maak even de nieuwe logjes.
    Aan jou de keuze….
  • nieuw logfile van hjt

    Logfile of HijackThis v1.97.7
    Scan saved at 22:57:26, on 14-12-2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\Mixer.exe
    G:\Program Files\Logitech\iTouch\iTouch.exe
    D:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe
    D:\Program Files\Common Files\Symantec Shared\ccApp.exe
    D:\WINDOWS\System32\ctfmon.exe
    G:\Program Files\RealPopup\RealPopup.exe
    g:\Program Files\Logitech\MouseWare\system\em_exec.exe
    G:\Program Files\Nieuwe map\SpySub.exe
    G:\Program Files\Microsoft Office\Office10\msoffice.exe
    G:\Program Files\Norton AntiVirus
    avapsvc.exe
    G:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    G:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
    D:\WINDOWS\System32
    vsvc32.exe
    G:\PROGRA~1\NORTON~1\SPEEDD~1
    opdb.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    F:\test\HijackThis.exe

    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [zBrowser Launcher] G:\Program Files\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [C-Media Echo Control] D:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe
    O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [CloneCDTray] "G:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
    O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [RealPopup] "G:\Program Files\RealPopup\RealPopup.exe" BOOT
    O4 - Global Startup: Microsoft Office.lnk = G:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: SpySubtract.lnk = G:\Program Files\Nieuwe map\SpySub.exe
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O15 - Trusted Zone: *.frame.crazywinnings.com
    O15 - Trusted Zone: *.static.topconverting.com
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


    Die twee O15 items blijven erin zitten. Ook kon ik de volgende bestanden niet vinden. (uiteraard stond verborgen bestanden weergeven aangevinkt)


    D:\WINDOWS\system32
    tfg32.exe <–dit bestand
    D:\WINDOWS\system32
    lbsm.dll <–dit bestand
    D:\WINDOWS\system32\ipcp32.dll <–dit bestand
    d:\windows
    tpp32.exe <–dit bestand

    servicefilter log:

    The script did not recognize the services listed below.
    This does not mean that they are a problem.

    To copy the entire contents of this document for posting:
    At the top of this window click "Edit" then "Select All"
    Next click "Edit" again then "Copy"
    Now right click in the forum post box then click "Paste"

    ########################################

    ServiceFilter 1.1
    by rand1038

    Microsoft Windows XP Professional
    Version: 5.1.2600
    dec 14, 2004 23:01:53


    ===> Begin Service Listing <===

    Unknown Service #1
    Service Name: navapsvc
    Display Name: Norton AntiVirus Auto-Protect-service
    Start Mode: Auto
    Start Name: LocalSystem
    Description: Behandelt gebeurtenissen van Norton AntiVirus …
    Service Type: Own Process
    Path: "g:\program files
    orton antivirus
    avapsvc.exe"
    State: Running
    Process ID: 220
    Started: Waar
    Exit Code: 0
    Accept Pause: Onwaar
    Accept Stop: Waar

    Unknown Service # 2
    Service Name: NPFMntor
    Display Name: Norton AntiVirus Firewall Monitor Service
    Start Mode: Auto
    Start Name: LocalSystem
    Description: Detects installation of Symantec Firewall …
    Service Type: Own Process
    Path: g:\program files
    orton antivirus\iwp
    pfmntor.exe
    State: Running
    Process ID: 388
    Started: Waar
    Exit Code: 0
    Accept Pause: Onwaar
    Accept Stop: Waar

    Unknown Service #3
    Service Name: NProtectService
    Display Name: Norton Unerase Protection
    Start Mode: Auto
    Start Name: LocalSystem
    Description: …
    Service Type: Own Process
    Path: g:\program files
    orton systemworks
    orton utilities
    protect.exe
    State: Running
    Process ID: 484
    Started: Waar
    Exit Code: 0
    Accept Pause: Onwaar
    Accept Stop: Waar

    Unknown Service #4
    Service Name: SAVScan
    Display Name: SAVScan
    Start Mode: Manual
    Start Name: LocalSystem
    Description: Handles Norton AntiVirus Auto-Protect Archive …
    Service Type: Own Process
    Path: g:\program files
    orton antivirus\savscan.exe
    State: Stopped
    Process ID: 0
    Started: Onwaar
    Exit Code: 1077
    Accept Pause: Onwaar
    Accept Stop: Onwaar

    Unknown Service # 5
    Service Name: SPBBCSvc
    Display Name: Symantec SPBBCSvc
    Start Mode: Auto
    Start Name: LocalSystem
    Description: Symantec …
    Service Type: Own Process
    Path: d:\program files\common files\symantec shared\spbbc\spbbcsvc.exe
    State: Running
    Process ID: 1160
    Started: Waar
    Exit Code: 0
    Accept Pause: Onwaar
    Accept Stop: Waar

    Unknown Service #6
    Service Name: Speed Disk service
    Display Name: Speed Disk service
    Start Mode: Auto
    Start Name: LocalSystem
    Description: …
    Service Type: Own Process
    Path: g:\progra~1
    orton~1\speedd~1
    opdb.exe
    State: Running
    Process ID: 1668
    Started: Waar
    Exit Code: 0
    Accept Pause: Onwaar
    Accept Stop: Waar

    Unknown Service #7
    Service Name: SwPrv
    Display Name: MS Software Shadow Copy Provider
    Start Mode: Manual
    Start Name: LocalSystem
    Description: Beheert schaduwkopieën op basis van software, die door de Volume Shadow Copy-service zijn gemaakt. …
    Service Type: Own Process
    Path: d:\windows\system32\dllhost.exe /processid:{d05b59a2-0922-4718-a28f-a486ef051bab}
    State: Stopped
    Process ID: 0
    Started: Onwaar
    Exit Code: 1077
    Accept Pause: Onwaar
    Accept Stop: Onwaar

    —> End Service Listing <—

    There are 91 Win32 services on this machine.
    7 were unrecognized.

    Script Execution Time: 1,546875 seconds.

    groet
    CJ
  • Doe een online-virusscan.

    Deze hijacker kan een aantal bestanden op je computer verwijderd hebben. Controleer of volgende bestanden nog aanwezig zijn:
    - Control.exe: Ga naar http://www.spywareinfo.com/~merijn/winfiles.html#control en download indien nodig de control.exe die bij je besturingssysteem hoort. Control.exe moet zich in de map c:\windows\system32 bevinden.
    - Hosts (zonder extensie): Hosts bevindt zich in \system32\drivers\etc\. Indien niet aanwezig, download je the Hoster: http://members.aol.com/toadbee/hoster.zip . Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.
    - SDHelper.dll: Als je Spybot Search & Destroy gebruikt kan deze hijacker ook het bestand SDHelper.dll verwijderen. Download SDHelper.dll: http://www.spywareinfo.com/~merijn/winfiles.html#sdhelper. Plaats de file in de installatiemap van Spybot Search & Destroy. Meestal is dit C:\Program Files\Spybot - Search & Destroy.
    - Shell.dll: Controleer even via de verkenner of shell.dll in de system32-map staat. Indien het bestand ontbreekt, ga je naar System32\dllcache. Zoek Shell.dll, rechtsklik er op en kies voor kopiëren. Plaats het kopie in de system32-map.

    Reboot de computer. Download en installeer Ad-Aware SE. Instructies vind je hier.
    Laat Ad-Aware fixen wat het vindt.
    Reboot de computer en maak je een nieuwe Hijackthislog. Post deze.
  • Alles zoals je beschreef uitgevoerd. Heet heft even geduurd ivm ziekte. Hier is de laatste HJT log:

    groet
    CJ

    Logfile of HijackThis v1.97.7
    Scan saved at 14:40:22, on 18-12-2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\Mixer.exe
    G:\Program Files\Logitech\iTouch\iTouch.exe
    D:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe
    g:\Program Files\Logitech\MouseWare\system\em_exec.exe
    D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    D:\Program Files\Common Files\Symantec Shared\ccApp.exe
    D:\WINDOWS\System32\ctfmon.exe
    G:\Program Files\RealPopup\RealPopup.exe
    G:\Program Files\Nieuwe map\SpySub.exe
    G:\Program Files\Microsoft Office\Office10\msoffice.exe
    G:\Program Files\Norton AntiVirus
    avapsvc.exe
    G:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    G:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
    D:\WINDOWS\System32
    vsvc32.exe
    G:\PROGRA~1\NORTON~1\SPEEDD~1
    opdb.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    F:\test\HijackThis.exe

    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [zBrowser Launcher] G:\Program Files\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [C-Media Echo Control] D:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe
    O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [CloneCDTray] "G:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
    O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [RealPopup] "G:\Program Files\RealPopup\RealPopup.exe" BOOT
    O4 - Global Startup: Microsoft Office.lnk = G:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: SpySubtract.lnk = G:\Program Files\Nieuwe map\SpySub.exe
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.