Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Wil iemand dit logje even checken voor me?

pcguy
6 antwoorden
  • Hehe, ben er te lang uit om hem zelf helemaal te checken, zit in ieder geval istbar in. Het gaat om de pc van iemand anders. (bij mezelf lukt het nog wel omdat ik weet wat daar thuis hoort :wink:)

    Gescanned met hitman pro en spysubtract (van intermute). Online scan niet aan toegekomen want ik moest weg.

    Logfile of HijackThis v1.99.1
    Scan saved at 16:48:00, on 25-2-2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    C:\Program Files\Logitech\iTouch\iTouch.exe
    C:\Program Files\MSN Apps\Updater\01.02.3000.1001
    l\msnappau.exe
    C:\WINDOWS\vxvqu.exe
    C:\WINDOWS\shch.exe
    C:\WINDOWS
    vsvca32.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\aalku\Web Window Killer\WebWindowKiller.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
    C:\Program Files\Logitech\MouseWare\system\em_exec.exe
    C:\Program Files\InterMute\SpySubtract\SpySub.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\Norton AntiVirus
    avapsvc.exe
    C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\System32\HPZipm12.exe
    C:\DOCUME~1\G2695~1.DEV\LOCALS~1\Temp\f6OBw5.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\ISTsvc\istsvc.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\*****\Bureaublad\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http:/
    egister.hp.com/servlet/WebReg.servlets.ProdReg1Servlet?appID=CATS2_Printer&application=303&prodOS=012&gwCountry=NL&product_full_name=psc%202175&modelID=Q3068A&PROD_SERIAL_ID=MY3AVF72Y873
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001
    l\msntb.dll
    O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001
    l\msntb.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001
    l\msnappau.exe"
    O4 - HKLM\..\Run: [Norton Personal Firewall] npfw32.exe
    O4 - HKLM\..\Run: [XZLFbt] C:\WINDOWS\vxvqu.exe
    O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\shch.exe /i
    O4 - HKLM\..\Run: [nvsvca32] C:\WINDOWS
    vsvca32.exe
    O4 - HKLM\..\Run: [¢‰¸u0–4C
    }ïÁzî[8C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\vxvqu.exe
    O4 - HKLM\..\Run: [¢‰¸u0–4C
    }ïÁzîžigÝC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\vxvqu.exe
    O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteckj32.exe
    O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁß]­ú"ü‰üžiC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\vxvqu.exe
    O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
    O4 - HKLM\..\RunServices: [Norton Personal Firewall] npfw32.exe
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\Run: [Norton Personal Firewall] npfw32.exe
    O4 - HKCU\..\Run: [Web Window Killer] "C:\Program Files\aalku\Web Window Killer\WebWindowKiller.exe" hidden
    O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
    O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www5.incredimail.com/contents/setup/downloader_sp1/imloader.cab
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
    avapsvc.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

    Alvast bedankt. :)








  • We zullen eens kijken hoever dit is op te schonen.

    Ga via configuratiescherm naar software > programma's wijzigen/verwijderen en kijk of volgende programma's aanwezig zijn en de-installeer die (zullen vermoedelijk niet meer aanwezig zijn):
    Elite Bar
    EliteBar
    EM Toolbar
    Enternet Media Toolbar
    EliteBar Internet Explorer Toolbar

    Plaats Hijackthis niet op het bureaublad maar in een folder C:\Program Files\Hijackthis

    Print dit advies eerst uit.
    Je kunt het in de veilige mode niet zien.

    Start je pc opnieuw op in [b:d85681a80a]veilige modus[/b:d85681a80a] en start dan hijackthis.exe.
    Vink in Hijackthis alleen die regels aan die hieronder staan genoemd (je kan altijd weer een backup terugzetten) Sluit de browser en andere vensters behalve hijackthis en klik op "fix checked".

    [b:d85681a80a]R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http:/
    egister.hp.com/servlet/WebReg.servlets.ProdReg1Servlet?appID=CATS2_Print er&application=303&prodOS=012&gwCountry=NL&product_full_name=psc%202175&modelID= Q3068A&PROD_SERIAL_ID=MY3AVF72Y873
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
    O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
    O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001
    l\msnappau.exe"
    O4 - HKLM\..\Run: [XZLFbt] C:\WINDOWS\vxvqu.exe
    O4 - HKLM\..\Run: [nvsvca32] C:\WINDOWS
    vsvca32.exe
    O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteckj32.exe
    O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    [/b:d85681a80a]

    Verwijder nu de volgende bestanden/directories:
    C:\WINDOWS\vxvqu.exe
    C:\WINDOWS
    vsvca32.exe
    C:\windows\system32\eliteckj32.exe
    C:\Program Files\ISTsvc\

    Leeg de Temp in veilige mode voor alle gebruikers die op dit systeem zijn aangemaakt:
    Start - Uitvoeren - %Temp% (enter)
    Alles selecteren en verwijderen.

    Reboot de PC, maak een nieuw log en post deze.

    Sjaak



  • [quote:6cf934c804="steggel"]We zullen eens kijken hoever dit is op te schonen.

    Ga via configuratiescherm naar software > programma's wijzigen/verwijderen en kijk of volgende programma's aanwezig zijn en de-installeer die (zullen vermoedelijk niet meer aanwezig zijn):
    Elite Bar
    EliteBar
    EM Toolbar
    Enternet Media Toolbar
    EliteBar Internet Explorer Toolbar[/quote:6cf934c804]
    Niet aanwezig daar, heb ik al naar gekeken. Niks raars te zien in de software lijst

    [quote:6cf934c804][b:6cf934c804]R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http:/
    egister.hp.com/servlet/WebReg.servlets.ProdReg1Servlet?appID=CATS2_Print er&application=303&prodOS=012&gwCountry=NL&product_full_name=psc%202175&modelID= Q3068A&PROD_SERIAL_ID=MY3AVF72Y873
    [quote:6cf934c804]O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll[/quote:6cf934c804]
    O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
    [quote:6cf934c804]O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001
    l\msnappau.exe[/quote:6cf934c804][/b:6cf934c804]
    [/quote:6cf934c804]De sleutels in de quote's kan ik me nog goed herrineren van toen ik zelf nog logs controleerde, ook ik heb hier een keer een uitgleider mee gemaakt maar het zijn legale sleutels. Ik klink een beetje eigenwijs maar je kan het checken in de lijsten op castlecops.[quote:6cf934c804]

    [b:6cf934c804]O4 - HKLM\..\Run: [XZLFbt] C:\WINDOWS\vxvqu.exe
    O4 - HKLM\..\Run: [nvsvca32] C:\WINDOWS
    vsvca32.exe
    O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteckj32.exe
    O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    [/b:6cf934c804]

    Verwijder nu de volgende bestanden/directories:
    C:\WINDOWS\vxvqu.exe
    C:\WINDOWS
    vsvca32.exe
    C:\windows\system32\eliteckj32.exe
    C:\Program Files\ISTsvc\

    Leeg de Temp in veilige mode voor alle gebruikers die op dit systeem zijn aangemaakt:
    Start - Uitvoeren - %Temp% (enter)
    Alles selecteren en verwijderen.

    Reboot de PC, maak een nieuw log en post deze.

    Sjaak[/quote:6cf934c804]
    Het ging me vooral om het stukje in de laatste quote, maar was het echter niet de bedoeling dat er ook iets met deze sleutel gedaan werd?
    [list:6cf934c804][b:6cf934c804]O4 - HKLM\..\Run: [¢‰¸u0–4C
    }ïÁzî[8C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\vxvqu.exe[/b:6cf934c804][/list:u:6cf934c804]

    Harstikke bedankt,
    Groeten Dion.



  • Die 2 items die volgens jou niet kwaad zijn kan wel kloppen, maar ze zijn niet nodig. Het zijn programma's die controleren voor updates.

    ISTsvc wordt ook in v1.99.1 niet goed weergegeven.

    Alternatief als het niet met Hijackthis lukt is:

    http://securityresponse.symantec.com/avcenter/FxIstbar.exe

    of

    De code die in onderstaande venster staat copieren en in notepad plakken. Opslaan als: fixme.reg
    Opslaan als type: "alle bestanden"
    [code:1:b9da278f00]
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IST Service"=-[/code:1:b9da278f00]
    Sjaak
  • [quote:8ed43cfffa="steggel"]Die 2 items die volgens jou niet kwaad zijn kan wel kloppen, maar ze zijn niet nodig. Het zijn programma's die controleren voor updates.

    ISTsvc wordt ook in v1.99.1 niet goed weergegeven.

    Alternatief als het niet met Hijackthis lukt is:

    http://securityresponse.symantec.com/avcenter/FxIstbar.exe

    of

    De code die in onderstaande venster staat copieren en in notepad plakken. Opslaan als: fixme.reg
    Opslaan als type: "alle bestanden"
    [code:1:8ed43cfffa]
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IST Service"=-[/code:1:8ed43cfffa]
    Sjaak[/quote:8ed43cfffa]
    Oke, bedankt he. Ik ga morgen naar die man toe en laat dan van me horen. (of een schoon logje, of een melding dat het clean is als ik zeker weet dat het nieuwe logje schoon is)

    Bovendien baal ik er nu wel van dat ik er zo lang uit geweest ben. Ik ga denk ik maar weer eens serieus beginnen met hijackthis…
  • Dion,

    Er moeten nog 3 items worden gefixed:

    [b:2089d8a48c]O4 - HKLM\..\Run: [Norton Personal Firewall] npfw32.exe
    O4 - HKLM\..\RunServices: [Norton Personal Firewall] npfw32.exe
    O4 - HKCU\..\Run: [Norton Personal Firewall] npfw32.exe [/b:2089d8a48c]

    Daarna C:\Windows\System32
    pfw32.exe verwijderen.
    Kijk ook nog in het register of je een sleutel vind met de volgende waarde:
    f6OBw5.exe

    Bestand staat in Temp en moet verwijderd worden.

    /EDIT:
    "Norton Personal Firewall" npfw32.exe is W32.RBot-UQ dat zich nesteld in
    HKLM\..\Run
    HKLM\..\RunServices
    HKCU\..\Run

    Sjaak

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.