Vraag & Antwoord

Beveiliging & privacy

Wil iemand dit logje even checken voor me?

6 antwoorden
  • Hehe, ben er te lang uit om hem zelf helemaal te checken, zit in ieder geval istbar in. Het gaat om de pc van iemand anders. (bij mezelf lukt het nog wel omdat ik weet wat daar thuis hoort :wink:) Gescanned met hitman pro en spysubtract (van intermute). Online scan niet aan toegekomen want ik moest weg. Logfile of HijackThis v1.99.1 Scan saved at 16:48:00, on 25-2-2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe C:\Program Files\Logitech\iTouch\iTouch.exe C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe C:\WINDOWS\vxvqu.exe C:\WINDOWS\shch.exe C:\WINDOWS\nvsvca32.exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\aalku\Web Window Killer\WebWindowKiller.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\Program Files\InterMute\SpySubtract\SpySub.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\System32\HPZipm12.exe C:\DOCUME~1\G2695~1.DEV\LOCALS~1\Temp\f6OBw5.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\ISTsvc\istsvc.exe C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\System32\wuauclt.exe C:\Documents and Settings\*****\Bureaublad\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://register.hp.com/servlet/WebReg.servlets.ProdReg1Servlet?appID=CATS2_Printer&application=303&prodOS=012&gwCountry=NL&product_full_name=psc%202175&modelID=Q3068A&PROD_SERIAL_ID=MY3AVF72Y873 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\nl\msntb.dll O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file) O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\nl\msntb.dll O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe" O4 - HKLM\..\Run: [Norton Personal Firewall] npfw32.exe O4 - HKLM\..\Run: [XZLFbt] C:\WINDOWS\vxvqu.exe O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\shch.exe /i O4 - HKLM\..\Run: [nvsvca32] C:\WINDOWS\nvsvca32.exe O4 - HKLM\..\Run: [¢‰¸u0–4C }ïÁzî[8C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\vxvqu.exe O4 - HKLM\..\Run: [¢‰¸u0–4C }ïÁzîžigÝC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\vxvqu.exe O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteckj32.exe O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁß]­ú"ü‰üžiC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\vxvqu.exe O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe O4 - HKLM\..\RunServices: [Norton Personal Firewall] npfw32.exe O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [Norton Personal Firewall] npfw32.exe O4 - HKCU\..\Run: [Web Window Killer] "C:\Program Files\aalku\Web Window Killer\WebWindowKiller.exe" hidden O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www5.incredimail.com/contents/setup/downloader_sp1/imloader.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe Alvast bedankt. :)
  • We zullen eens kijken hoever dit is op te schonen. Ga via configuratiescherm naar software > programma's wijzigen/verwijderen en kijk of volgende programma's aanwezig zijn en de-installeer die (zullen vermoedelijk niet meer aanwezig zijn): Elite Bar EliteBar EM Toolbar Enternet Media Toolbar EliteBar Internet Explorer Toolbar Plaats Hijackthis niet op het bureaublad maar in een folder C:\Program Files\Hijackthis Print dit advies eerst uit. Je kunt het in de veilige mode niet zien. Start je pc opnieuw op in [b:d85681a80a]veilige modus[/b:d85681a80a] en start dan hijackthis.exe. Vink in Hijackthis alleen die regels aan die hieronder staan genoemd (je kan altijd weer een backup terugzetten) Sluit de browser en andere vensters behalve hijackthis en klik op "fix checked". [b:d85681a80a]R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://register.hp.com/servlet/WebReg.servlets.ProdReg1Servlet?appID=CATS2_Print er&application=303&prodOS=012&gwCountry=NL&product_full_name=psc%202175&modelID= Q3068A&PROD_SERIAL_ID=MY3AVF72Y873 O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file) O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe" O4 - HKLM\..\Run: [XZLFbt] C:\WINDOWS\vxvqu.exe O4 - HKLM\..\Run: [nvsvca32] C:\WINDOWS\nvsvca32.exe O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteckj32.exe O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe [/b:d85681a80a] Verwijder nu de volgende bestanden/directories: C:\WINDOWS\vxvqu.exe C:\WINDOWS\nvsvca32.exe C:\windows\system32\eliteckj32.exe C:\Program Files\ISTsvc\ Leeg de Temp in veilige mode voor alle gebruikers die op dit systeem zijn aangemaakt: Start - Uitvoeren - %Temp% (enter) Alles selecteren en verwijderen. Reboot de PC, maak een nieuw log en post deze. Sjaak
  • [quote:6cf934c804="steggel"]We zullen eens kijken hoever dit is op te schonen. Ga via configuratiescherm naar software > programma's wijzigen/verwijderen en kijk of volgende programma's aanwezig zijn en de-installeer die (zullen vermoedelijk niet meer aanwezig zijn): Elite Bar EliteBar EM Toolbar Enternet Media Toolbar EliteBar Internet Explorer Toolbar[/quote:6cf934c804] Niet aanwezig daar, heb ik al naar gekeken. Niks raars te zien in de software lijst [quote:6cf934c804][b:6cf934c804]R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://register.hp.com/servlet/WebReg.servlets.ProdReg1Servlet?appID=CATS2_Print er&application=303&prodOS=012&gwCountry=NL&product_full_name=psc%202175&modelID= Q3068A&PROD_SERIAL_ID=MY3AVF72Y873 [quote:6cf934c804]O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll[/quote:6cf934c804] O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file) [quote:6cf934c804]O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe[/quote:6cf934c804][/b:6cf934c804] [/quote:6cf934c804]De sleutels in de quote's kan ik me nog goed herrineren van toen ik zelf nog logs controleerde, ook ik heb hier een keer een uitgleider mee gemaakt maar het zijn legale sleutels. Ik klink een beetje eigenwijs maar je kan het checken in de lijsten op castlecops.[quote:6cf934c804] [b:6cf934c804]O4 - HKLM\..\Run: [XZLFbt] C:\WINDOWS\vxvqu.exe O4 - HKLM\..\Run: [nvsvca32] C:\WINDOWS\nvsvca32.exe O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteckj32.exe O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe [/b:6cf934c804] Verwijder nu de volgende bestanden/directories: C:\WINDOWS\vxvqu.exe C:\WINDOWS\nvsvca32.exe C:\windows\system32\eliteckj32.exe C:\Program Files\ISTsvc\ Leeg de Temp in veilige mode voor alle gebruikers die op dit systeem zijn aangemaakt: Start - Uitvoeren - %Temp% (enter) Alles selecteren en verwijderen. Reboot de PC, maak een nieuw log en post deze. Sjaak[/quote:6cf934c804] Het ging me vooral om het stukje in de laatste quote, maar was het echter niet de bedoeling dat er ook iets met deze sleutel gedaan werd? [list:6cf934c804][b:6cf934c804]O4 - HKLM\..\Run: [¢‰¸u0–4C }ïÁzî[8C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\vxvqu.exe[/b:6cf934c804][/list:u:6cf934c804] Harstikke bedankt, Groeten Dion.
  • Die 2 items die volgens jou niet kwaad zijn kan wel kloppen, maar ze zijn niet nodig. Het zijn programma's die controleren voor updates. ISTsvc wordt ook in v1.99.1 niet goed weergegeven. Alternatief als het niet met Hijackthis lukt is: http://securityresponse.symantec.com/avcenter/FxIstbar.exe of De code die in onderstaande venster staat copieren en in notepad plakken. Opslaan als: fixme.reg Opslaan als type: "alle bestanden" [code:1:b9da278f00] REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IST Service"=-[/code:1:b9da278f00] Sjaak
  • [quote:8ed43cfffa="steggel"]Die 2 items die volgens jou niet kwaad zijn kan wel kloppen, maar ze zijn niet nodig. Het zijn programma's die controleren voor updates. ISTsvc wordt ook in v1.99.1 niet goed weergegeven. Alternatief als het niet met Hijackthis lukt is: http://securityresponse.symantec.com/avcenter/FxIstbar.exe of De code die in onderstaande venster staat copieren en in notepad plakken. Opslaan als: fixme.reg Opslaan als type: "alle bestanden" [code:1:8ed43cfffa] REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IST Service"=-[/code:1:8ed43cfffa] Sjaak[/quote:8ed43cfffa] Oke, bedankt he. Ik ga morgen naar die man toe en laat dan van me horen. (of een schoon logje, of een melding dat het clean is als ik zeker weet dat het nieuwe logje schoon is) Bovendien baal ik er nu wel van dat ik er zo lang uit geweest ben. Ik ga denk ik maar weer eens serieus beginnen met hijackthis...
  • Dion, Er moeten nog 3 items worden gefixed: [b:2089d8a48c]O4 - HKLM\..\Run: [Norton Personal Firewall] npfw32.exe O4 - HKLM\..\RunServices: [Norton Personal Firewall] npfw32.exe O4 - HKCU\..\Run: [Norton Personal Firewall] npfw32.exe [/b:2089d8a48c] Daarna C:\Windows\System32\npfw32.exe verwijderen. Kijk ook nog in het register of je een sleutel vind met de volgende waarde: f6OBw5.exe Bestand staat in Temp en moet verwijderd worden. /EDIT: "Norton Personal Firewall" npfw32.exe is W32.RBot-UQ dat zich nesteld in HKLM\..\Run HKLM\..\RunServices HKCU\..\Run Sjaak

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.