Vraag & Antwoord

Beveiliging & privacy

Hijackthis log

12 antwoorden
  • Logfile of HijackThis v1.99.0 Scan saved at 16:51:04, on 19-3-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Norman\NVC\BIN\Zanda.exe C:\NORMAN\nvc\BIN\NJEEVES.EXE C:\NORMAN\nvc\BIN\NVCSCHED.EXE C:\WINDOWS\Explorer.EXE C:\NORMAN\nvc\BIN\nvcoas.exe C:\WINDOWS\System32\00THotkey.exe C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe C:\NORMAN\nvc\BIN\cclaw.exe C:\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\mho\LOCALS~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\mho\LOCALS~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {71FD951A-95B0-4723-9DD8-4289C9737FC0} - C:\WINDOWS\system32\oig.dll O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 10 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\mho\LOCALS~1\Temp\se.dll,DllInstall O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = PetrolSystems.nl O17 - HKLM\Software\..\Telephony: DomainName = PetrolSystems.nl O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = PetrolSystems.nl O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = PetrolSystems.nl O18 - Filter: text/html - {97F3FBA7-7F67-48D9-B4DC-14CDEE424BA5} - C:\WINDOWS\system32\oig.dll O18 - Filter: text/plain - {97F3FBA7-7F67-48D9-B4DC-14CDEE424BA5} - C:\WINDOWS\system32\oig.dll O23 - Service: Norman NJeeves - Unknown - C:\NORMAN\nvc\BIN\NJEEVES.EXE O23 - Service: Norman ZANDA - Unknown - C:\Norman\NVC\BIN\Zanda.exe O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\NORMAN\nvc\BIN\nvcoas.exe O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE Hallo jongen. Kunnen jullie even deze logfile checken want er zit hier zoveel zooi op en het is er niet af te krijgen! Alvast bedankt. gr.crazyme
  • Download reglook.zip: http://www.bleepingcomputer.com/files/reglook.php Unzip het in een eigen map. Dubbelkik op runme.bat. Post de inhoud van reglook.log samen met een nieuwe hijackthislog.
  • A reg_look by IMM ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows (key has 0 subkeys and 7 value entries - last modified 11:55(UTC) 08/06/2004) [AppInit_DLLs] = "C:\WINDOWS\System32\win.dll" (REG_SZ) ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (key has 5 subkeys and 34 value entries - last modified 11:05(UTC) 20/03/2005) [Userinit] = "C:\WINDOWS\system32\userinit.exe," (REG_SZ) ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot (key has 0 subkeys and 5 value entries - last modified 20:17(UTC) 12/03/2000) [Shell] = "SYS:Microsoft\Windows NT\CurrentVersion\Winlogon" (REG_SZ) ---------------------------------------- Hjackthis log. Logfile of HijackThis v1.99.0 Scan saved at 14:18:41, on 20-3-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\system32\wdfmgr.exe C:\NORMAN\nvc\BIN\NJEEVES.EXE C:\NORMAN\nvc\BIN\NVCSCHED.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\NORMAN\nvc\BIN\nvcoas.exe C:\WINDOWS\System32\00THotkey.exe C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe C:\NORMAN\nvc\BIN\cclaw.exe C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\notepad.exe C:\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\mho\LOCALS~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\mho\LOCALS~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {56AF9712-7A51-41F5-9254-4A374B1A9760} - C:\WINDOWS\system32\cjj.dll O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 10 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\mho\LOCALS~1\Temp\se.dll,DllInstall O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = PetrolSystems.nl O17 - HKLM\Software\..\Telephony: DomainName = PetrolSystems.nl O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = PetrolSystems.nl O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = PetrolSystems.nl O18 - Filter: text/html - {9D6C760F-0220-4EDD-A157-4B12D1B194D9} - C:\WINDOWS\system32\cjj.dll O18 - Filter: text/plain - {9D6C760F-0220-4EDD-A157-4B12D1B194D9} - C:\WINDOWS\system32\cjj.dll O23 - Service: Norman NJeeves - Unknown - C:\NORMAN\nvc\BIN\NJEEVES.EXE O23 - Service: Norman ZANDA - Unknown - C:\Norman\NVC\BIN\Zanda.exe O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\NORMAN\nvc\BIN\nvcoas.exe O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE
  • Download dit tooltje: http://www.derbilk.de/SpSeHjfix_Beta9.zip Unzip het naar je bureaublad. Start de computer in veilige modus en klik opSpSeHjfix_Beta9.exe. laat het progje zijn werk doen. Start vervolgens de computer in normale modus en run het tooltje nog een keer. Er wordt een logje aangemaakt (staat op je bureaublad). Post dit logje. Maak een nieuwe nieuwe log met reglook (runme.bat), en post deze ook. Maak een nieuwe hijackthislog en die mag je ook nog posten.
  • --------------------------------------- Reglook - Log ____________________________ A reg_look by IMM ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows (key has 0 subkeys and 7 value entries - last modified 11:55(UTC) 08/06/2004) [AppInit_DLLs] = "C:\WINDOWS\System32\win.dll" (REG_SZ) ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (key has 5 subkeys and 34 value entries - last modified 15:10(UTC) 20/03/2005) [Userinit] = "C:\WINDOWS\system32\userinit.exe," (REG_SZ) ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot (key has 0 subkeys and 5 value entries - last modified 20:17(UTC) 12/03/2000) [Shell] = "SYS:Microsoft\Windows NT\CurrentVersion\Winlogon" (REG_SZ) ---------------------------------------- --------------------------------------- SPeHjFix - Log ____________________________ (3-20-05 16:09:22) SPSeHjFix started v1.09 (3-20-05 16:09:22) OS: WinXP Service Pack 2 (5.1.2600) (3-20-05 16:09:22) Language: nederlands (3-20-05 16:09:25) Disinfect started (3-20-05 16:09:25) Bad-Dll(IEP): se.dll (3-20-05 16:09:25) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\system32\cjj.dll --------------------------------------- HijackThis - Log ____________________________ Logfile of HijackThis v1.99.0 Scan saved at 16:17:44, on 20-3-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\system32\wdfmgr.exe C:\NORMAN\nvc\BIN\NVCSCHED.EXE C:\NORMAN\nvc\BIN\NJEEVES.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\NORMAN\nvc\BIN\nvcoas.exe C:\WINDOWS\System32\00THotkey.exe C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe C:\NORMAN\nvc\BIN\cclaw.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Windows NT\Bureau-accessoires\WORDPAD.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 10 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = PetrolSystems.nl O17 - HKLM\Software\..\Telephony: DomainName = PetrolSystems.nl O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = PetrolSystems.nl O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = PetrolSystems.nl O23 - Service: Norman NJeeves - Unknown - C:\NORMAN\nvc\BIN\NJEEVES.EXE O23 - Service: Norman ZANDA - Unknown - C:\Norman\NVC\BIN\Zanda.exe O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\NORMAN\nvc\BIN\nvcoas.exe O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE
  • De Hidden installer is nog steeds aanwezig. Ik vermoed dat de infectie zal terugkomen. We gaan dit anders aanpakken. Onderstaande manier is de properste manier om deze infectie te verwijderen, maar zeker niet de makkelijkste. Durf je het niet aan, meld je dan terug. Volg exact de procedure zoals hieronder beschreven. Kijk goed uit wat je doet, is er iets niet duidelijk, meld je dan terug en wacht op feedback. Je gaat nu werken in het register van windows, dubbelcheck alles voor je wat doet. Zorg dat alle verborgen bestanden weergegeven worden: http://users.pandora.be/marcvn/spyware/1117602.htm Download [url=http://www.intermute.com/spysubtract/cwshredder_download.html]CWShredder[/url]. (de stand alone versie.) Gebruik het programma nog niet. Download Reglite: http://www.resplendence.com/download/reglite.exe . Installeer en run het programma. In het scherm dat opent geef je bij Adress het volgende in: [code:1:56c9c3fa12]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs[/code:1:56c9c3fa12] Druk op Enter. Dubbelklik op AppInit_DLLs om de Data editor te openen. Onderaan dit venster zie je een veld 'Value'. Dit veld zou de waarde [b:56c9c3fa12]C:\WINDOWS\System32\win.dll[/b:56c9c3fa12] moeten bevatten. Indien dit niet zo is, meld je dan terug. Indien wel dan ga je verder met de volgende stap. Maak op de c-schijf een nieuwe map aan met de naam registerbackup. (c:\registerbackup) Start Registrar Lite opnieuw. Bij Adress geef je het volgende in: [code:1:56c9c3fa12]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/code:1:56c9c3fa12] Druk op Enter. De map Windows in het linkerscherm van Registrar Lite is paars geselecteerd. Als dit het geval is, dan kies je in het menu File voor Export. Bij 'Bestandsnaam' geef je in winkey.reg. Bij 'Opslaan als type' kies je voor Regedit4 standard .reg files (*.reg) Sla het bestand winkey.reg op in de map c:\registerbackup. Zorg dat de map Windows in het linkerscherm van Registrar Lite nog steeds paars geselecteerd is. Kies in het menu File voor Export. Bij 'Bestandsnaam' geef je in winkey.hiv. Bij 'Opslaan als type' kies je voor Regedt32/WinApi hive files (*.hiv,*.dat, *.*) Sla het bestand winkey.hiv op in de map c:\registerbackup. In het linkerscherm van Registrar Lite is de map Windows nog steeds paars geselecteerd. Rechtsklik op deze map en kies voor Rename. Hernoem deze map naar NOTWindows. Klik op AppInit_DLLs. Selecteer in het veld "Value" de verwijzing naar het bestand [b:56c9c3fa12]C:\WINDOWS\System32\win.dll[/b:56c9c3fa12], en verwijder het. Hernoem de map NOTWindows naar zijn oorsponkelijke naam Windows. Nu zou het bestand C:\WINDOWS\System32\win.dll nu zichtbaar moeten zijn via Windows Verkenner. Herstart de computer in veilige modus, en verwijder het bestand: C:\WINDOWS\System32\win.dll. Lukt dit niet dan hernoem je het bestand win.dll naar aaa.123 of zoiets en verplaats je het bestand naar een andere map. Herstart de computer in normale modus. Ga naar de map c:\registerbackup en dubbelklik op winkey.reg. Start Registrar Lite. Bij Adress geef je het volgende in: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Druk op enter. In het linkerscherm zou nu de map Windows paars geselecteerd moeten zijn. Als dit zo is ga je in het menu File naar Import. Navigeer naar de map c:\registerbackup en selecteer winkey.hiv. Klik op Openen. In het rechtse venster klik je op AppInit_DLLs en verwijder je in het veld value de waarde naar het .dll-bestand. Sluit Registrar Lite. Scan met CWShredder. (klik op de Fix-knop) Herstart de computer en maak een nieuwe Hijackthislog en een log met reglook (runme.bat). Post beide logjes. Geef me even wat feedback. Succes.
  • --------------------------------------- Reglook - Log ____________________________ A reg_look by IMM ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows (key has 0 subkeys and 7 value entries - last modified 17:43(UTC) 20/03/2005) [AppInit_DLLs] = "" (REG_SZ) ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (key has 5 subkeys and 34 value entries - last modified 18:01(UTC) 20/03/2005) [Userinit] = "C:\WINDOWS\system32\userinit.exe," (REG_SZ) ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot (key has 0 subkeys and 5 value entries - last modified 20:17(UTC) 12/03/2000) [Shell] = "SYS:Microsoft\Windows NT\CurrentVersion\Winlogon" (REG_SZ) ---------------------------------------- --------------------------------------- HijackThis - Log ____________________________ Logfile of HijackThis v1.99.0 Scan saved at 19:03:57, on 20-3-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\system32\wdfmgr.exe C:\NORMAN\nvc\BIN\NJEEVES.EXE C:\NORMAN\nvc\BIN\NVCSCHED.EXE C:\WINDOWS\System32\alg.exe C:\NORMAN\nvc\BIN\nvcoas.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\00THotkey.exe C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe C:\WINDOWS\system32\wuauclt.exe C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 10 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = PetrolSystems.nl O17 - HKLM\Software\..\Telephony: DomainName = PetrolSystems.nl O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = PetrolSystems.nl O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = PetrolSystems.nl O23 - Service: Norman NJeeves - Unknown - C:\NORMAN\nvc\BIN\NJEEVES.EXE O23 - Service: Norman ZANDA - Unknown - C:\Norman\NVC\BIN\Zanda.exe O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\NORMAN\nvc\BIN\nvcoas.exe O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE Echt super bedankt dat je mij wil helpen. Zit hier bij een kennis en zijn computer was echt een zooi! Wat zouden we zonder zulke mensen als jou moeten? Gr. Crazyme
  • Ziet er goed uit Crazyme. Bestandje is uitgeschakeld. Blijft de vraag of je het hebt kunnen verwijderen of niet? Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:[b:c5d7997a06] O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present [/b:c5d7997a06] groeten, Marc
  • [quote:a0459dc408="M@rc"]Ziet er goed uit Crazyme. Bestandje is uitgeschakeld. Blijft de vraag of je het hebt kunnen verwijderen of niet? Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:[b:a0459dc408] O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present [/b:a0459dc408] groeten, Marc[/quote:a0459dc408] Ik hoop dat het nu er wel echt af is. Of is de kans groot dat het gewoon weer terug komt? Verder vraag ik me af hoe komt hij eraan. Komt dit door bv. Porno site's of download site's of kan het ook van 'gewone' site's afkomen? gr. crazyme En nogmaals bedankt!
  • Graag gedaan hoor. Bestandje (C:\WINDOWS\System32\win.dll) dat deze infectie veroorzaakt is uitgeschakeld. Terugkomen zal het niet meer doen nu, tenzij hij een nieuwe infectie oploopt :lol: Hoe je aan deze infectie komt? Bij een bezoekje aan pornosites of cracksites heb je de grootste kans om een infectie op te lopen. Zou me dus niks verbazen dat hij het daar opgelopen heeft. Heb je het bestand kunnen verwijderen of heb je het hernoemt/verplaatst? Verwijderen van deze installer zorgt vaak ook voor de nodige problemen,daarom mijn vraag. Best dat je nog wel even alle bestaande systeemherstelpunten verwijdert.
  • [quote:e4d5c39432="M@rc"]Graag gedaan hoor. Bestandje (C:\WINDOWS\System32\win.dll) dat deze infectie veroorzaakt is uitgeschakeld. Terugkomen zal het niet meer doen nu, tenzij hij een nieuwe infectie oploopt :lol: Hoe je aan deze infectie komt? Bij een bezoekje aan pornosites of cracksites heb je de grootste kans om een infectie op te lopen. Zou me dus niks verbazen dat hij het daar opgelopen heeft. Heb je het bestand kunnen verwijderen of heb je het hernoemt/verplaatst? Verwijderen van deze installer zorgt vaak ook voor de nodige problemen,daarom mijn vraag. Best dat je nog wel even alle bestaande systeemherstelpunten verwijdert.[/quote:e4d5c39432] Ik heb hem kunnen verwijderen!! gr. crazyme
  • Mooi zo.

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.