Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Logfile HijackThis

None
15 antwoorden
  • Logfile of HijackThis v1.99.1
    Scan saved at 19:22:38, on 19-3-2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\CTHELPER.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\WINDOWS\System32\spoolmgr.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
    C:\WINDOWS\System32\LVComS.exe
    C:\Program Files\Kazaa Lite Revolution\kazaalite.kpp
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\PROGRA~1\WINZIP\winzip32.exe
    C:\PROGRA~1\Logitech\Video\FxSvr2.exe
    C:\Program Files\Hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {00A236BB-4421-4260-AFF8-D8437C29B6D9} - C:\WINDOWS\System32\lplodaa.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
    O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Error Nuker] C:\Program Files\Error Nuker\bin\ErrorNuker.exe autostart
    O4 - HKLM\..\Run: [spoolmgr] C:\WINDOWS\System32\spoolmgr.exe
    O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll,DllInstall
    O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite Revolution\kpp.exe" "C:\Program Files\Kazaa Lite Revolution\kazaalite.kpp" /SYSTRAY
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - HKCU\..\Run: [Taho] C:\Documents and Settings\maarten.MAARTEN-YO0PP2M\Application Data\aloc.exe
    O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
    ppdf32.dll
    O15 - Trusted Zone: *.iframedollars.biz (HKLM)
    O15 - Trusted Zone: *.slotchbar.com (HKLM)
    O15 - Trusted IP range: 213.159.117.202
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{37B37865-C7C6-4A93-A72F-6573D255BA33}: NameServer = 69.50.184.84,195.225.176.37
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6A0C5E32-0455-44B5-9683-3516DD8CB28F}: NameServer = 69.50.184.84,195.225.176.37
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B343FE84-42ED-4C95-96F4-7A2F4C18AED2}: NameServer = 69.50.184.84,195.225.176.37
    O18 - Filter: text/html - {3AA9DA0D-ABA4-4BE1-934E-E96D2962DF7B} - C:\WINDOWS\System32\lplodaa.dll
    O18 - Filter: text/plain - {3AA9DA0D-ABA4-4BE1-934E-E96D2962DF7B} - C:\WINDOWS\System32\lplodaa.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe

    kan iemand dit even voor mij bekijken ik heb echt heel veel spy ware!!!
    spybot en al die programma's heb k mar k kom er maar niet vanaf.

    bedankt
    gr hugo
  • Download reglook.zip: http://www.bleepingcomputer.com/files
    eglook.php
    Unzip het in een eigen map. Dubbelkik op runme.bat. Post de inhoud van reglook.log samen met een nieuwe hijackthislog.
  • A reg_look by IMM
    —————————————-
    Handle OK.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    (key has 0 subkeys and 7 value entries - last modified 22:06(UTC) 21/12/2004)
    [AppInit_DLLs] = "C:\WINDOWS\System32\sqlekph.dll" (REG_SZ)
    —————————————-
    Handle OK.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    (key has 4 subkeys and 31 value entries - last modified 11:26(UTC) 19/03/2005)
    [Userinit] = "C:\WINDOWS\system32\userinit.exe," (REG_SZ)
    —————————————-
    Handle OK.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
    (key has 0 subkeys and 5 value entries - last modified 14:05(UTC) 09/11/2004)
    [Shell] = "SYS:Microsoft\Windows NT\CurrentVersion\Winlogon" (REG_SZ)
    —————————————-





    Logfile of HijackThis v1.99.1
    Scan saved at 19:39:58, on 19-3-2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\CTHELPER.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\WINDOWS\System32\spoolmgr.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
    C:\WINDOWS\System32\LVComS.exe
    C:\Program Files\Kazaa Lite Revolution\kazaalite.kpp
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\PROGRA~1\WINZIP\winzip32.exe
    C:\Program Files\Hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {00A236BB-4421-4260-AFF8-D8437C29B6D9} - C:\WINDOWS\System32\lplodaa.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
    O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Error Nuker] C:\Program Files\Error Nuker\bin\ErrorNuker.exe autostart
    O4 - HKLM\..\Run: [spoolmgr] C:\WINDOWS\System32\spoolmgr.exe
    O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll,DllInstall
    O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite Revolution\kpp.exe" "C:\Program Files\Kazaa Lite Revolution\kazaalite.kpp" /SYSTRAY
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - HKCU\..\Run: [Taho] C:\Documents and Settings\maarten.MAARTEN-YO0PP2M\Application Data\aloc.exe
    O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
    ppdf32.dll
    O15 - Trusted Zone: *.iframedollars.biz (HKLM)
    O15 - Trusted Zone: *.slotchbar.com (HKLM)
    O15 - Trusted IP range: 213.159.117.202
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{37B37865-C7C6-4A93-A72F-6573D255BA33}: NameServer = 69.50.184.84,195.225.176.37
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6A0C5E32-0455-44B5-9683-3516DD8CB28F}: NameServer = 69.50.184.84,195.225.176.37
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B343FE84-42ED-4C95-96F4-7A2F4C18AED2}: NameServer = 69.50.184.84,195.225.176.37
    O18 - Filter: text/html - {3AA9DA0D-ABA4-4BE1-934E-E96D2962DF7B} - C:\WINDOWS\System32\lplodaa.dll
    O18 - Filter: text/plain - {3AA9DA0D-ABA4-4BE1-934E-E96D2962DF7B} - C:\WINDOWS\System32\lplodaa.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe

    wat nou???
  • Even kijken hoe ver we op deze manier geraken.

    Download dit tooltje: http://www.derbilk.de/SpSeHjfix_Beta9.zip
    Unzip het naar je bureaublad.

    Zorg dat alle verborgen bestanden weergegeven worden.

    Start de computer in veilige modus.

    Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:b24c318753]
    O4 - HKLM\..\Run: [spoolmgr] C:\WINDOWS\System32\spoolmgr.exe
    O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite Revolution\kpp.exe" "C:\Program Files\Kazaa Lite Revolution\kazaalite.kpp" /SYSTRAY

    O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
    O4 - HKCU\..\Run: [Taho] C:\Documents and Settings\maarten.MAARTEN-YO0PP2M\Application Data\aloc.exe

    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

    O15 - Trusted Zone: *.iframedollars.biz (HKLM)
    O15 - Trusted Zone: *.slotchbar.com (HKLM)
    O15 - Trusted IP range: 213.159.117.202

    O17 - HKLM\System\CCS\Services\Tcpip\..\{37B37865-C7C6-4A93-A72F-6573D255BA33}: NameServer = 69.50.184.84,195.225.176.37
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6A0C5E32-0455-44B5-9683-3516DD8CB28F}: NameServer = 69.50.184.84,195.225.176.37
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B343FE84-42ED-4C95-96F4-7A2F4C18AED2}: NameServer = 69.50.184.84,195.225.176.37
    [/b:b24c318753]

    Verwijder de volgende bestanden indien aanwezig:
    C:\Documents and Settings\maarten.MAARTEN-YO0PP2M\Application Data\aloc.exe

    Verwijder de volgende mappen indien aanwezig:
    C:\spywarevanisher-free

    Dubbelklik nu op de SpSehjfix.exe
    Er wordt een logje aangemaakt. (staat op je bureablad of in de map van waar je het tooltje gerund hebt). Post de inhoud van dit logje samen met een nieuwe Hijackthislog (die je genomen hebt in normale modus.)

    Maak nadien een nieuw logje van reglook. Post dit ook.
  • Logfile of HijackThis v1.99.1
    Scan saved at 20:35:24, on 19-3-2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\PROGRA~1\Logitech\Video\FxSvr2.exe
    C:\Program Files\Hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
    O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
    ppdf32.dll
    O15 - Trusted IP range: 213.159.117.202
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe






    (3-19-05 20:31:38) SPSeHjFix started v1.09
    (3-19-05 20:31:38) OS: WinXP (5.1.2600)
    (3-19-05 20:31:38) Language: nederlands
    (3-19-05 20:31:40) Disinfect started
    (3-19-05 20:31:40) Bad-Dll(IEP): se.dll
    (3-19-05 20:31:40) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\lplodaa.dll
    (3-19-05 20:31:40) Searchassistant Uninstaller - Keys Deleted
    (3-19-05 20:31:40) UBF: 6
    (3-19-05 20:31:40) UBB: 0
    (3-19-05 20:31:40) FilterKey: HKCR\text/html (deleted)
    (3-19-05 20:31:40) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting)
    (3-19-05 20:31:40) FilterKey: HKCR\CLSID\{39E6C054-22A4-4880-B8B2-B3586B24E484} (deleted)
    (3-19-05 20:31:40) FilterKey: HKCR\text/plain (deleted)
    (3-19-05 20:31:40) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting)
    (3-19-05 20:31:40) FilterKey: HKCR\CLSID\{39E6C054-22A4-4880-B8B2-B3586B24E484} (error while deleting)
    (3-19-05 20:31:40) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A68E9C5C-52E1-48FA-93C8-4E57C0A1041F} (deleted)
    (3-19-05 20:31:40) BHO-Key: HKCR\CLSID\{A68E9C5C-52E1-48FA-93C8-4E57C0A1041F} (deleted)
    (3-19-05 20:31:40) UBR: 4
    (3-19-05 20:31:40) Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll,DllInstall (deleted)
    (3-19-05 20:31:40) Bad IE-pages:
    deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html
    deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
    deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
    deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
    deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
    deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html
    deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
    deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
    deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
    deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
    (3-19-05 20:31:40) File added to delete: c:\windows\system32\lplodaa.dll
    (3-19-05 20:31:40) File added to delete: c:\windows\system32\lplodaa.dll
    (3-19-05 20:31:40) File added to delete: c:\docume~1\maarte~1.maa\locals~1\temp\se.dll
    (3-19-05 20:31:40) Reboot

    gr hugo
  • Hugo,

    Kan je een nieuw logje maken met reglook (runme.bat) en dit posten?

    Deze fixen met Hijackthis:
    [b:52f4030b68]
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

    O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
    [/b:52f4030b68]

    Verwijder C:\spywarevanisher-free <–deze map

    Download de Registry Search Tool hier. Unzip en run het script. Krijg je een reactie van je antivirusprogramma dan moet je Script blocking uitschakelen in het anti-virusprogramma. In het Zoekveld geef je het volgende in:
    [b:52f4030b68]213.159.117.202[/b:52f4030b68]
    Post het resultaat.
  • @marc

    regSrch geeft aan:
    Search completed in 30 sec.
    1 instances of "213.159.117.202"found.
    Click OK to open t in a wordpad:

    REGEDIT4
    ; RegSrch.vbs © Bill James

    ; Registry search results for string "213.159.117.202" 19-3-2005 21:14:08

    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


    [HKEY_USERS\S-1-5-21-1409082233-1580436667-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1]
    ":Range"="213.159.117.202"


    reglook:
    A reg_look by IMM
    —————————————-
    Handle OK.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    (key has 0 subkeys and 7 value entries - last modified 22:06(UTC) 21/12/2004)
    [AppInit_DLLs] = "C:\WINDOWS\System32\sqlekph.dll" (REG_SZ)
    —————————————-
    Handle OK.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    (key has 4 subkeys and 31 value entries - last modified 20:12(UTC) 19/03/2005)
    [Userinit] = "C:\WINDOWS\system32\userinit.exe," (REG_SZ)
    —————————————-
    Handle OK.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
    (key has 0 subkeys and 5 value entries - last modified 14:05(UTC) 09/11/2004)
    [Shell] = "SYS:Microsoft\Windows NT\CurrentVersion\Winlogon" (REG_SZ)
    —————————————-


    Logfile of HijackThis v1.99.1
    Scan saved at 21:18:40, on 19-3-2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Hijackthis\HijackThis.exe

    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
    ppdf32.dll
    O15 - Trusted IP range: 213.159.117.202
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe


    gr hugo

    ps Verwijder C:\spywarevanisher-free <–deze map ??? die map is ontvindbaar??? :S:S:S
  • Volg exact de procedure zoals hieronder beschreven. Kijk goed uit wat je doet, is er iets niet duidelijk, meld je dan terug en wacht op feedback. Je gaat nu werken in het register van windows, dubbelcheck alles voor je wat doet.

    Zorg dat alle verborgen bestanden weergegeven worden: http://users.pandora.be/marcvn/spyware/1117602.htm

    Download CWShredder. ( de stand alone versie.) Gebruik het programma nog niet.

    Download Reglite: http://www.resplendence.com/download
    eglite.exe .
    Installeer en run het programma. In het scherm dat opent geef je bij Adress het volgende in:
    [code:1:0c7785a502]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs[/code:1:0c7785a502]
    Druk op Enter. Dubbelklik op AppInit_DLLs om de Data editor te openen. Onderaan dit venster zie je een veld “Value”.
    Dit veld zou de waarde [b:0c7785a502]C:\WINDOWS\System32\sqlekph.dll[/b:0c7785a502] moeten bevatten. Indien dit niet zo is, meld je dan terug.

    Maak op de c-schijf een nieuwe map aan met de naam registerbackup. (c:\registerbackup)

    Start Registrar Lite opnieuw. Bij Adress geef je het volgende in:
    [code:1:0c7785a502]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/code:1:0c7785a502]
    Druk op Enter. De map Windows in het linkerscherm van Registrar Lite is paars geselecteerd. Als dit het geval is, dan kies je in het menu File voor Export.
    Bij “Bestandsnaam” geef je in winkey.reg.
    Bij “Opslaan als type” kies je voor Regedit4 standard .reg files (*.reg)
    Sla het bestand winkey.reg op in de map c:\registerbackup.

    Zorg dat de map Windows in het linkerscherm van Registrar Lite nog steeds paars geselecteerd is. Kies in het menu File voor Export.
    Bij “Bestandsnaam” geef je in winkey.hiv.
    Bij “Opslaan als type” kies je voor Regedt32/WinApi hive files (*.hiv,*.dat, *.*)
    Sla het bestand winkey.hiv op in de map c:\registerbackup.

    In het linkerscherm van Registrar Lite is de map Windows nog steeds paars geselecteerd. Rechtsklik op deze map en kies voor Rename. Hernoem deze map naar NOTWindows.
    Klik op AppInit_DLLs. Selecteer in het veld Value de verwijzing naar het bestand [b:0c7785a502]C:\WINDOWS\System32\sqlekph.dll[/b:0c7785a502], en verwijder het.
    Hernoem de map NOTWindows naar zijn oorsponkelijke naam Windows.
    Nu zou het bestand C:\WINDOWS\System32\sqlekph.dll nu zichtbaar moeten zijn.

    Herstart de computer in veilige modus, en verwijder het bestand: C:\WINDOWS\System32\sqlekph.dll. Lukt dit niet dan hernoem je het bestand sqlekph.dll naar aaa.123.

    Herstart de computer in normale modus. Ga naar de map c:\registerbackup en dubbelklik op winkey.reg.
    Start Registrar Lite. Bij Adress geef je het volgende in:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    Druk op enter.
    In het linkerscherm zou nu de map Windows paars geselecteerd moeten zijn. Als dit zo is ga je in het menu File naar Import. Navigeer naar de map c:\registerbackup en selecteer winkey.hiv. Klik op Openen.
    In het rechtse venster klik je op AppInit_DLLs en verwijder je in het veld value de waarde naar het .dll bestand.
    Sluit Registrar Lite.

    Scan met CWShredder.

    Herstart de computer en maak een nieuwe Hijackthislog en een log met reglook (runme.bat). Post beide logjes.
    Geef me even wat feedback.

    Succes.

    Durf je dit allemaal niet aan, meldt het dan even, dan proberen we wat anders.
  • Met heel mijn vorige uitleg was ik die O15 nog even uit het oog verloren. Om die te fixen doe je dit:
    Open een klablokbestand.
    Kopieer onderstaande code in dit kladblokbestand.
    Ga naar Bestand - Opslaan als.
    Bij "Opslaan in" kies je: Bureaublad
    Bij "Bestandsnaam" zet je: fix.reg
    Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
    Klik op de knop Opslaan.
    [code:1:d25099f5f7]REGEDIT4

    [-HKEY_USERS\S-1-5-21-1409082233-1580436667-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1]

    [HKEY_USERS\S-1-5-21-1409082233-1580436667-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1]
    "*"=dword:00000004
    ":Range"="213.159.117.202"[/code:1:d25099f5f7]
    Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen.
  • @marc
    alvat heel erg bedankt maar k kom er niet helemaal aan uit:s
    als k die map notwindows maak en dan verwijder k dat C:/……..dll als valuew en dan maak k hem weer windows zoals u zei en dan staat er bij valuew inderdaad niets meer maar op mijn pc kan k het bestand dan toch niet vinden.

    dus k heb alles weer gewoon terug gedaan hoe het was.
    waarom zie k dat bestand dan niet of wat doe k fout?

    gr hugo
  • Hugo,

    Alle verborgen bestanden worden weergegeven? http://users.telenet.be/marcvn/spyware/1117602.htm

    Doe de rest van deze procedure. Je bent goed bezig en het bestand dat deze infectie veroorzaakt heb je uitgeschakeld. Later gaan we deze proberen op te sporen en eventueel verwijderen.
  • marc…

    srry maar het bestand sqlekph.dll staat echt niet op mijn pc. verbogenbestanden laat ik altijd weergeven. en heb voor de ckrheid het ook nog even aan en uit gezet maar niets??
    heb ook gezocht en dan met zoeken naar verborgenbestanden maar ook niets gevonden???

    gr hugo
  • Kan je een nieuw logje maken met reglook (runme.bat)

    Toen je met reglite aan de slag ging, stond er toen een verwijzing naar de sqlekph.dll ingevuld in het veld Value?
  • A reg_look by IMM
    —————————————-
    Handle OK.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    (key has 0 subkeys and 7 value entries - last modified 18:51(UTC) 21/03/2005)
    [AppInit_DLLs] = "C:\WINDOWS\System32\sqlekph.dll" (REG_SZ)
    —————————————-
    Handle OK.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    (key has 4 subkeys and 33 value entries - last modified 15:52(UTC) 21/03/2005)
    [Userinit] = "C:\WINDOWS\system32\userinit.exe," (REG_SZ)
    —————————————-
    Handle OK.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
    (key has 0 subkeys and 5 value entries - last modified 14:05(UTC) 09/11/2004)
    [Shell] = "SYS:Microsoft\Windows NT\CurrentVersion\Winlogon" (REG_SZ)
    —————————————-


    bij Value stond wat jij zei dat dll
  • Bestand is nog steeds aanwezig. De hierboven beschreven procedure moet werken Hugo.
    Het kan zijn datje het bestand pas zult zien in veilige modus. Ik zou zeggen probeer opnieuw, en meld je terug met de gevraagde logjes en wat feedback.

    Lukt het je niet, dan kunnen we wat anders proberen.
    Laat maar weten.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.