Vraag & Antwoord

Beveiliging & privacy

krijg bij opstarten linkpagina en een popup

14 antwoorden
  • Hallo, Bij het opstarten van internet explorer krijg ik een verwijzingspagina en een popup dat scant of er spyware op mijn pc zit. Heb hijackthis laten kijken en alle R1 en RO aanduidingen verwijderd. Onder veilige modus uiteraard. Toch blijft de hele shit terugkomen. HJT haalt ook de twee O15 items er niet uit. Iemand nuttige suggesties? Bedankt CJ ps ook NAV onder veilige modus laten draaien evenals als spybot. Heeft echter niet geleidt tot het gewenste resultaat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0715F05A-E460-3423-2569-AEE5A0CB782D} - D:\WINDOWS\system32\ipcp32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [LimeShop] javaw -cp "D:\Program Files\LimeShop\System\Code" Main lp: "D:\Program Files\LimeShop" O4 - HKLM\..\Run: [zBrowser Launcher] G:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [C-Media Echo Control] D:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CloneCDTray] "G:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [ntfg32.exe] D:\WINDOWS\system32\ntfg32.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [RealPopup] "G:\Program Files\RealPopup\RealPopup.exe" BOOT O4 - Global Startup: Microsoft Office.lnk = G:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  • Scannen met Hitman Pro ( www.hitmanpro.nl )
  • Plaats even een volledige hjt log.
  • Bij Intermute beweren ze dat ze 1 van die varianten hier aanwezig baas kunnen met de nieuwe CWShredder. Laat ze het even bewijzen.... Download [url=http://www.intermute.com/spysubtract/cwshredder_download.html]CWShredder[/url]. Start het programma, klik op de Fix-knop. Reboot en post een nieuwe hijackthislog. Download [url=http://users.telenet.be/marcvn/tools/ServiceFilter.zip]serviceFilter.zip[/url]. Unzip het naar je buroblad en klik op servicefilter.vbs. Er opent een bestandje dat post_this.txt noemt. Plaats de volledige inhoud van dit bestand ook in je volgende post.
  • Bij deze de volledige HJT: Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Mixer.exe G:\Program Files\Logitech\iTouch\iTouch.exe D:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe g:\Program Files\Logitech\MouseWare\system\em_exec.exe D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe D:\Program Files\Common Files\Symantec Shared\ccApp.exe D:\WINDOWS\system32\ntfg32.exe D:\WINDOWS\System32\ctfmon.exe G:\Program Files\RealPopup\RealPopup.exe G:\Program Files\Nieuwe map\SpySub.exe G:\Program Files\Norton AntiVirus\navapsvc.exe G:\Program Files\Microsoft Office\Office10\msoffice.exe G:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe G:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE D:\WINDOWS\System32\nvsvc32.exe G:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe D:\WINDOWS\ntpp32.exe F:\test\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0715F05A-E460-3423-2569-AEE5A0CB782D} - D:\WINDOWS\system32\ipcp32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [LimeShop] javaw -cp "D:\Program Files\LimeShop\System\Code" Main lp: "D:\Program Files\LimeShop" O4 - HKLM\..\Run: [zBrowser Launcher] G:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [C-Media Echo Control] D:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CloneCDTray] "G:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [ntfg32.exe] D:\WINDOWS\system32\ntfg32.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [RealPopup] "G:\Program Files\RealPopup\RealPopup.exe" BOOT O4 - Global Startup: Microsoft Office.lnk = G:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SpySubtract.lnk = G:\Program Files\Nieuwe map\SpySub.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab de CWshredder gedownload maar zonder resultaat. Bij deze de Post_this txt ===> Begin Service Listing <=== Unknown Service #1 Service Name: navapsvc Display Name: Norton AntiVirus Auto-Protect-service Start Mode: Auto Start Name: LocalSystem Description: Behandelt gebeurtenissen van Norton AntiVirus ... Service Type: Own Process Path: "g:\program files\norton antivirus\navapsvc.exe" State: Running Process ID: 144 Started: Waar Exit Code: 0 Accept Pause: Onwaar Accept Stop: Waar Unknown Service # 2 Service Name: NPFMntor Display Name: Norton AntiVirus Firewall Monitor Service Start Mode: Auto Start Name: LocalSystem Description: Detects installation of Symantec Firewall ... Service Type: Own Process Path: g:\program files\norton antivirus\iwp\npfmntor.exe State: Running Process ID: 360 Started: Waar Exit Code: 0 Accept Pause: Onwaar Accept Stop: Waar Unknown Service #3 Service Name: NProtectService Display Name: Norton Unerase Protection Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: g:\program files\norton systemworks\norton utilities\nprotect.exe State: Running Process ID: 932 Started: Waar Exit Code: 0 Accept Pause: Onwaar Accept Stop: Waar Unknown Service #4 Service Name: SAVScan Display Name: SAVScan Start Mode: Manual Start Name: LocalSystem Description: Handles Norton AntiVirus Auto-Protect Archive ... Service Type: Own Process Path: g:\program files\norton antivirus\savscan.exe State: Stopped Process ID: 0 Started: Onwaar Exit Code: 1077 Accept Pause: Onwaar Accept Stop: Onwaar Unknown Service # 5 Service Name: SPBBCSvc Display Name: Symantec SPBBCSvc Start Mode: Auto Start Name: LocalSystem Description: Symantec ... Service Type: Own Process Path: d:\program files\common files\symantec shared\spbbc\spbbcsvc.exe State: Running Process ID: 1056 Started: Waar Exit Code: 0 Accept Pause: Onwaar Accept Stop: Waar Unknown Service #6 Service Name: Speed Disk service Display Name: Speed Disk service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: g:\progra~1\norton~1\speedd~1\nopdb.exe State: Running Process ID: 1560 Started: Waar Exit Code: 0 Accept Pause: Onwaar Accept Stop: Waar Unknown Service #7 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Beheert schaduwkopieën op basis van software, die door de Volume Shadow Copy-service zijn gemaakt. ... Service Type: Own Process Path: d:\windows\system32\dllhost.exe /processid:{d05b59a2-0922-4718-a28f-a486ef051bab} State: Stopped Process ID: 0 Started: Onwaar Exit Code: 1077 Accept Pause: Onwaar Accept Stop: Onwaar Unknown Service # 8 Service Name: %AF夶À¨ Display Name: Network Security Service (NSS) Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Share Process Path: d:\windows\ntpp32.exe /s State: Running Process ID: 2072 Started: Waar Exit Code: 0 Accept Pause: Onwaar Accept Stop: Waar ---> End Service Listing <--- There are 92 Win32 services on this machine. 8 were unrecognized. Script Execution Time: 2,570313 seconds. Ben benieuwd of jullie iets kunnen vinden alvast bedankt CJ
  • Hallo caco, Het was te verwachten dat CWShredder de klus niet zou klaren. Maar nu weten we het zeker. Na het uitvoeren van de ze instructies zou een deel van je probleem al opgelost moeten zijn. De rest volgt later wel. Print dit uit want je zal het nodig hebben. Volg de procedure nauwkeurig en voer ze in 1 keer uit. Onderbreek de procedure niet. Lukt een stap niet dan neem je de volgende. Eens je in veilige modus zit moet je doorgaan. 1. Download dit regfiletje: [url=http://users.pandora.be/marcvn/tools/HSfix.zip]HSfix.zip[/url]. Unzip het en plaats het op je buroblad, zodat je dit later makkelijk kan terug vinden wanneer je het nodig hebt. 2. Download [url=http://www.intermute.com/spysubtract/cwshredder_download.html]CWShredder[/url]. Unzip het maar gebruik het programma nog niet. 3. Download [url=http://tools.zerosrealm.com/AboutBuster.zip]About:buster[/url]. Unzip het naar c:\aboutbuster en controleer of er updates beschikbaar. Installeer deze. Gebruik het programma nog niet. 4. Zorg dat [url=http://users.pandora.be/marcvn/spyware/1117602.htm]alle verborgen bestanden weergegeven worden[/url]. 5. Start de computer in [url=http://users.pandora.be/marcvn/spyware/1378056.htm]veilige modus[/url]. 6. Ga naar start - Uitvoeren en tik in: services.msc. Zoek naar deze service: [b:aeaa39b34a]Network Security Service[/b:aeaa39b34a] Dubbelklik op deze service en in het venster dat verschijnt kies je bij Opstarttype voor Uitgeschakeld. Klik op Toepassen en vervolgens op OK. 7. Sluit alle vensters, run HijackThis nog een keer en laat volgende items repareren: [b:aeaa39b34a] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\system32\nlbsm.dll/sp.html#28129 O2 - BHO: (no name) - {0715F05A-E460-3423-2569-AEE5A0CB782D} - D:\WINDOWS\system32\ipcp32.dll O4 - HKLM\..\Run: [LimeShop] javaw -cp "D:\Program Files\LimeShop\System\Code" Main lp: "D:\Program Files\LimeShop" O4 - HKLM\..\Run: [ntfg32.exe] D:\WINDOWS\system32\ntfg32.exe O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com [/b:aeaa39b34a] 8. Dubbelklik op HSfix.reg om de wijzigingen aan het register toe te voegen. 9. Verwijder de volgende bestanden: D:\WINDOWS\system32\ntfg32.exe <--dit bestand D:\WINDOWS\system32\nlbsm.dll <--dit bestand D:\WINDOWS\system32\ipcp32.dll <--dit bestand d:\windows\ntpp32.exe <--dit bestand 10. Maak je Temp-map leeg: Start – Uitvoeren tik in: %TEMP%. Selecteer alle bestanden en verwijder ze. 11.Ledig de map met Tijdelijke internetbestanden: Ga naar Configuratiescherm – Internetopties – tabblad Algemeen – klik bij Tijdelijke internetbestanden op Bestanden Verwijderen. 12. Herstel je webinstellingen: ga naar Configuratiescherm – Internetopties – tabblad Programma’s. Klik op de knop Webinstellingen herstellen. 13. Start CWShredder en klik op de fix-knop. 14. Start About:buster. Wanneer het programma vraagt om een tweede keer te scannen doe je dit. 15. Reboot de computer nu in normale modus. Run Hijackthis opnieuw en post een nieuwe log. Maak ook een nieuwe log met Servifilter.vbs. Post ook de inhoud van dat tekstbestandje. Succes. Marc
  • @ M@rc, Bedankt, morgen ga ik er mee bezig. groet, CJ
  • [quote:1e50cf1002="caco"]Bedankt, morgen ga ik er mee bezig. [/quote:1e50cf1002] Ik hoop voor jou dat de namen van de bestanden niet te veel veranderen dan.
  • Het zaakje loopt weer naar behoren. Bedankt CJ
  • Plaats een nieuwe logje.
  • [quote:aeca3a415a="caco"]Het zaakje loopt weer naar behoren. Bedankt CJ[/quote:aeca3a415a] CJ, je probleem is nog niet helemaal opgelost. Deze hijacker heeft nog wel wat meer schade aangericht. Best dat we de rest van de fix nog verder uitvoeren. Hoogstwaarschijnlijk heb je ook nog een tweede infectie te pakken. Indien dit zo is vraagt dit ook een speciale behandeling. Maak even de nieuwe logjes. Aan jou de keuze....
  • nieuw logfile van hjt Logfile of HijackThis v1.97.7 Scan saved at 22:57:26, on 14-12-2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Mixer.exe G:\Program Files\Logitech\iTouch\iTouch.exe D:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe D:\Program Files\Common Files\Symantec Shared\ccApp.exe D:\WINDOWS\System32\ctfmon.exe G:\Program Files\RealPopup\RealPopup.exe g:\Program Files\Logitech\MouseWare\system\em_exec.exe G:\Program Files\Nieuwe map\SpySub.exe G:\Program Files\Microsoft Office\Office10\msoffice.exe G:\Program Files\Norton AntiVirus\navapsvc.exe G:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe G:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE D:\WINDOWS\System32\nvsvc32.exe G:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe F:\test\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [zBrowser Launcher] G:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [C-Media Echo Control] D:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CloneCDTray] "G:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [RealPopup] "G:\Program Files\RealPopup\RealPopup.exe" BOOT O4 - Global Startup: Microsoft Office.lnk = G:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SpySubtract.lnk = G:\Program Files\Nieuwe map\SpySub.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Die twee O15 items blijven erin zitten. Ook kon ik de volgende bestanden niet vinden. (uiteraard stond verborgen bestanden weergeven aangevinkt) D:\WINDOWS\system32\ntfg32.exe <--dit bestand D:\WINDOWS\system32\nlbsm.dll <--dit bestand D:\WINDOWS\system32\ipcp32.dll <--dit bestand d:\windows\ntpp32.exe <--dit bestand servicefilter log: The script did not recognize the services listed below. This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Professional Version: 5.1.2600 dec 14, 2004 23:01:53 ===> Begin Service Listing <=== Unknown Service #1 Service Name: navapsvc Display Name: Norton AntiVirus Auto-Protect-service Start Mode: Auto Start Name: LocalSystem Description: Behandelt gebeurtenissen van Norton AntiVirus ... Service Type: Own Process Path: "g:\program files\norton antivirus\navapsvc.exe" State: Running Process ID: 220 Started: Waar Exit Code: 0 Accept Pause: Onwaar Accept Stop: Waar Unknown Service # 2 Service Name: NPFMntor Display Name: Norton AntiVirus Firewall Monitor Service Start Mode: Auto Start Name: LocalSystem Description: Detects installation of Symantec Firewall ... Service Type: Own Process Path: g:\program files\norton antivirus\iwp\npfmntor.exe State: Running Process ID: 388 Started: Waar Exit Code: 0 Accept Pause: Onwaar Accept Stop: Waar Unknown Service #3 Service Name: NProtectService Display Name: Norton Unerase Protection Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: g:\program files\norton systemworks\norton utilities\nprotect.exe State: Running Process ID: 484 Started: Waar Exit Code: 0 Accept Pause: Onwaar Accept Stop: Waar Unknown Service #4 Service Name: SAVScan Display Name: SAVScan Start Mode: Manual Start Name: LocalSystem Description: Handles Norton AntiVirus Auto-Protect Archive ... Service Type: Own Process Path: g:\program files\norton antivirus\savscan.exe State: Stopped Process ID: 0 Started: Onwaar Exit Code: 1077 Accept Pause: Onwaar Accept Stop: Onwaar Unknown Service # 5 Service Name: SPBBCSvc Display Name: Symantec SPBBCSvc Start Mode: Auto Start Name: LocalSystem Description: Symantec ... Service Type: Own Process Path: d:\program files\common files\symantec shared\spbbc\spbbcsvc.exe State: Running Process ID: 1160 Started: Waar Exit Code: 0 Accept Pause: Onwaar Accept Stop: Waar Unknown Service #6 Service Name: Speed Disk service Display Name: Speed Disk service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: g:\progra~1\norton~1\speedd~1\nopdb.exe State: Running Process ID: 1668 Started: Waar Exit Code: 0 Accept Pause: Onwaar Accept Stop: Waar Unknown Service #7 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Beheert schaduwkopieën op basis van software, die door de Volume Shadow Copy-service zijn gemaakt. ... Service Type: Own Process Path: d:\windows\system32\dllhost.exe /processid:{d05b59a2-0922-4718-a28f-a486ef051bab} State: Stopped Process ID: 0 Started: Onwaar Exit Code: 1077 Accept Pause: Onwaar Accept Stop: Onwaar ---> End Service Listing <--- There are 91 Win32 services on this machine. 7 were unrecognized. Script Execution Time: 1,546875 seconds. groet CJ
  • Doe een [url=http://housecall.trendmicro.com/housecall/start_corp.asp]online-virusscan[/url]. Deze hijacker kan een aantal bestanden op je computer verwijderd hebben. Controleer of volgende bestanden nog aanwezig zijn: - Control.exe: Ga naar http://www.spywareinfo.com/~merijn/winfiles.html#control en download indien nodig de control.exe die bij je besturingssysteem hoort. Control.exe moet zich in de map c:\windows\system32 bevinden. - Hosts (zonder extensie): Hosts bevindt zich in \system32\drivers\etc\. Indien niet aanwezig, download je the Hoster: http://members.aol.com/toadbee/hoster.zip . Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af. - SDHelper.dll: Als je Spybot Search & Destroy gebruikt kan deze hijacker ook het bestand SDHelper.dll verwijderen. Download SDHelper.dll: http://www.spywareinfo.com/~merijn/winfiles.html#sdhelper. Plaats de file in de installatiemap van Spybot Search & Destroy. Meestal is dit C:\Program Files\Spybot - Search & Destroy. - Shell.dll: Controleer even via de verkenner of shell.dll in de system32-map staat. Indien het bestand ontbreekt, ga je naar System32\dllcache. Zoek Shell.dll, rechtsklik er op en kies voor kopiëren. Plaats het kopie in de system32-map. Reboot de computer. Download en installeer Ad-Aware SE. Instructies vind je [url=http://users.telenet.be/marcvn/spyware/1414188.htm]hier[/url]. Laat Ad-Aware fixen wat het vindt. Reboot de computer en maak je een nieuwe Hijackthislog. Post deze.
  • Alles zoals je beschreef uitgevoerd. Heet heft even geduurd ivm ziekte. Hier is de laatste HJT log: groet CJ Logfile of HijackThis v1.97.7 Scan saved at 14:40:22, on 18-12-2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Mixer.exe G:\Program Files\Logitech\iTouch\iTouch.exe D:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe g:\Program Files\Logitech\MouseWare\system\em_exec.exe D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe D:\Program Files\Common Files\Symantec Shared\ccApp.exe D:\WINDOWS\System32\ctfmon.exe G:\Program Files\RealPopup\RealPopup.exe G:\Program Files\Nieuwe map\SpySub.exe G:\Program Files\Microsoft Office\Office10\msoffice.exe G:\Program Files\Norton AntiVirus\navapsvc.exe G:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe G:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE D:\WINDOWS\System32\nvsvc32.exe G:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe F:\test\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [zBrowser Launcher] G:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [C-Media Echo Control] D:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CloneCDTray] "G:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [RealPopup] "G:\Program Files\RealPopup\RealPopup.exe" BOOT O4 - Global Startup: Microsoft Office.lnk = G:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SpySubtract.lnk = G:\Program Files\Nieuwe map\SpySub.exe O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.