Vraag & Antwoord

Beveiliging & privacy

Logfile HijackThis

15 antwoorden
  • Logfile of HijackThis v1.99.1 Scan saved at 19:22:38, on 19-3-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Program Files\Logitech\Video\LogiTray.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINDOWS\System32\spoolmgr.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\WINDOWS\System32\LVComS.exe C:\Program Files\Kazaa Lite Revolution\kazaalite.kpp C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\PROGRA~1\Logitech\Video\FxSvr2.exe C:\Program Files\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {00A236BB-4421-4260-AFF8-D8437C29B6D9} - C:\WINDOWS\System32\lplodaa.dll O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Error Nuker] C:\Program Files\Error Nuker\bin\ErrorNuker.exe autostart O4 - HKLM\..\Run: [spoolmgr] C:\WINDOWS\System32\spoolmgr.exe O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll,DllInstall O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite Revolution\kpp.exe" "C:\Program Files\Kazaa Lite Revolution\kazaalite.kpp" /SYSTRAY O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - HKCU\..\Run: [Taho] C:\Documents and Settings\maarten.MAARTEN-YO0PP2M\Application Data\aloc.exe O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O15 - Trusted Zone: *.iframedollars.biz (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted IP range: 213.159.117.202 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{37B37865-C7C6-4A93-A72F-6573D255BA33}: NameServer = 69.50.184.84,195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{6A0C5E32-0455-44B5-9683-3516DD8CB28F}: NameServer = 69.50.184.84,195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{B343FE84-42ED-4C95-96F4-7A2F4C18AED2}: NameServer = 69.50.184.84,195.225.176.37 O18 - Filter: text/html - {3AA9DA0D-ABA4-4BE1-934E-E96D2962DF7B} - C:\WINDOWS\System32\lplodaa.dll O18 - Filter: text/plain - {3AA9DA0D-ABA4-4BE1-934E-E96D2962DF7B} - C:\WINDOWS\System32\lplodaa.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe kan iemand dit even voor mij bekijken ik heb echt heel veel spy ware!!! spybot en al die programma's heb k mar k kom er maar niet vanaf. bedankt gr hugo
  • Download reglook.zip: http://www.bleepingcomputer.com/files/reglook.php Unzip het in een eigen map. Dubbelkik op runme.bat. Post de inhoud van reglook.log samen met een nieuwe hijackthislog.
  • A reg_look by IMM ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows (key has 0 subkeys and 7 value entries - last modified 22:06(UTC) 21/12/2004) [AppInit_DLLs] = "C:\WINDOWS\System32\sqlekph.dll" (REG_SZ) ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (key has 4 subkeys and 31 value entries - last modified 11:26(UTC) 19/03/2005) [Userinit] = "C:\WINDOWS\system32\userinit.exe," (REG_SZ) ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot (key has 0 subkeys and 5 value entries - last modified 14:05(UTC) 09/11/2004) [Shell] = "SYS:Microsoft\Windows NT\CurrentVersion\Winlogon" (REG_SZ) ---------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 19:39:58, on 19-3-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Program Files\Logitech\Video\LogiTray.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINDOWS\System32\spoolmgr.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\WINDOWS\System32\LVComS.exe C:\Program Files\Kazaa Lite Revolution\kazaalite.kpp C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\Program Files\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {00A236BB-4421-4260-AFF8-D8437C29B6D9} - C:\WINDOWS\System32\lplodaa.dll O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Error Nuker] C:\Program Files\Error Nuker\bin\ErrorNuker.exe autostart O4 - HKLM\..\Run: [spoolmgr] C:\WINDOWS\System32\spoolmgr.exe O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll,DllInstall O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite Revolution\kpp.exe" "C:\Program Files\Kazaa Lite Revolution\kazaalite.kpp" /SYSTRAY O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - HKCU\..\Run: [Taho] C:\Documents and Settings\maarten.MAARTEN-YO0PP2M\Application Data\aloc.exe O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O15 - Trusted Zone: *.iframedollars.biz (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted IP range: 213.159.117.202 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{37B37865-C7C6-4A93-A72F-6573D255BA33}: NameServer = 69.50.184.84,195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{6A0C5E32-0455-44B5-9683-3516DD8CB28F}: NameServer = 69.50.184.84,195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{B343FE84-42ED-4C95-96F4-7A2F4C18AED2}: NameServer = 69.50.184.84,195.225.176.37 O18 - Filter: text/html - {3AA9DA0D-ABA4-4BE1-934E-E96D2962DF7B} - C:\WINDOWS\System32\lplodaa.dll O18 - Filter: text/plain - {3AA9DA0D-ABA4-4BE1-934E-E96D2962DF7B} - C:\WINDOWS\System32\lplodaa.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe wat nou???
  • Even kijken hoe ver we op deze manier geraken. Download dit tooltje: http://www.derbilk.de/SpSeHjfix_Beta9.zip Unzip het naar je bureaublad. Zorg dat alle [url=http://users.pandora.be/marcvn/spyware/1117602.htm]verborgen bestanden weergegeven worden[/url]. Start de computer in [url=http://users.pandora.be/marcvn/spyware/1378056.htm]veilige modus[/url]. Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren: [b:b24c318753] O4 - HKLM\..\Run: [spoolmgr] C:\WINDOWS\System32\spoolmgr.exe O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite Revolution\kpp.exe" "C:\Program Files\Kazaa Lite Revolution\kazaalite.kpp" /SYSTRAY O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan O4 - HKCU\..\Run: [Taho] C:\Documents and Settings\maarten.MAARTEN-YO0PP2M\Application Data\aloc.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O15 - Trusted Zone: *.iframedollars.biz (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted IP range: 213.159.117.202 O17 - HKLM\System\CCS\Services\Tcpip\..\{37B37865-C7C6-4A93-A72F-6573D255BA33}: NameServer = 69.50.184.84,195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{6A0C5E32-0455-44B5-9683-3516DD8CB28F}: NameServer = 69.50.184.84,195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{B343FE84-42ED-4C95-96F4-7A2F4C18AED2}: NameServer = 69.50.184.84,195.225.176.37 [/b:b24c318753] Verwijder de volgende bestanden indien aanwezig: C:\Documents and Settings\maarten.MAARTEN-YO0PP2M\Application Data\aloc.exe Verwijder de volgende mappen indien aanwezig: C:\spywarevanisher-free Dubbelklik nu op de SpSehjfix.exe Er wordt een logje aangemaakt. (staat op je bureablad of in de map van waar je het tooltje gerund hebt). Post de inhoud van dit logje samen met een nieuwe Hijackthislog (die je genomen hebt in normale modus.) Maak nadien een nieuw logje van reglook. Post dit ook.
  • Logfile of HijackThis v1.99.1 Scan saved at 20:35:24, on 19-3-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\PROGRA~1\Logitech\Video\FxSvr2.exe C:\Program Files\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O15 - Trusted IP range: 213.159.117.202 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe (3-19-05 20:31:38) SPSeHjFix started v1.09 (3-19-05 20:31:38) OS: WinXP (5.1.2600) (3-19-05 20:31:38) Language: nederlands (3-19-05 20:31:40) Disinfect started (3-19-05 20:31:40) Bad-Dll(IEP): se.dll (3-19-05 20:31:40) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\lplodaa.dll (3-19-05 20:31:40) Searchassistant Uninstaller - Keys Deleted (3-19-05 20:31:40) UBF: 6 (3-19-05 20:31:40) UBB: 0 (3-19-05 20:31:40) FilterKey: HKCR\text/html (deleted) (3-19-05 20:31:40) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting) (3-19-05 20:31:40) FilterKey: HKCR\CLSID\{39E6C054-22A4-4880-B8B2-B3586B24E484} (deleted) (3-19-05 20:31:40) FilterKey: HKCR\text/plain (deleted) (3-19-05 20:31:40) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting) (3-19-05 20:31:40) FilterKey: HKCR\CLSID\{39E6C054-22A4-4880-B8B2-B3586B24E484} (error while deleting) (3-19-05 20:31:40) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A68E9C5C-52E1-48FA-93C8-4E57C0A1041F} (deleted) (3-19-05 20:31:40) BHO-Key: HKCR\CLSID\{A68E9C5C-52E1-48FA-93C8-4E57C0A1041F} (deleted) (3-19-05 20:31:40) UBR: 4 (3-19-05 20:31:40) Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll,DllInstall (deleted) (3-19-05 20:31:40) Bad IE-pages: deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank (3-19-05 20:31:40) File added to delete: c:\windows\system32\lplodaa.dll (3-19-05 20:31:40) File added to delete: c:\windows\system32\lplodaa.dll (3-19-05 20:31:40) File added to delete: c:\docume~1\maarte~1.maa\locals~1\temp\se.dll (3-19-05 20:31:40) Reboot gr hugo
  • Hugo, Kan je een nieuw logje maken met reglook (runme.bat) en dit posten? Deze fixen met Hijackthis: [b:52f4030b68] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan [/b:52f4030b68] Verwijder C:\spywarevanisher-free <--deze map Download de Registry Search Tool [url=http://www.billsway.com/vbspage/]hier[/url]. Unzip en run het script. Krijg je een reactie van je antivirusprogramma dan moet je Script blocking uitschakelen in het anti-virusprogramma. In het Zoekveld geef je het volgende in: [b:52f4030b68]213.159.117.202[/b:52f4030b68] Post het resultaat.
  • @marc regSrch geeft aan: Search completed in 30 sec. 1 instances of "213.159.117.202"found. Click OK to open t in a wordpad: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "213.159.117.202" 19-3-2005 21:14:08 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_USERS\S-1-5-21-1409082233-1580436667-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1] ":Range"="213.159.117.202" reglook: A reg_look by IMM ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows (key has 0 subkeys and 7 value entries - last modified 22:06(UTC) 21/12/2004) [AppInit_DLLs] = "C:\WINDOWS\System32\sqlekph.dll" (REG_SZ) ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (key has 4 subkeys and 31 value entries - last modified 20:12(UTC) 19/03/2005) [Userinit] = "C:\WINDOWS\system32\userinit.exe," (REG_SZ) ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot (key has 0 subkeys and 5 value entries - last modified 14:05(UTC) 09/11/2004) [Shell] = "SYS:Microsoft\Windows NT\CurrentVersion\Winlogon" (REG_SZ) ---------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 21:18:40, on 19-3-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Hijackthis\HijackThis.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O15 - Trusted IP range: 213.159.117.202 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe gr hugo ps Verwijder C:\spywarevanisher-free <--deze map ??? die map is ontvindbaar??? :S:S:S
  • Volg exact de procedure zoals hieronder beschreven. Kijk goed uit wat je doet, is er iets niet duidelijk, meld je dan terug en wacht op feedback. Je gaat nu werken in het register van windows, dubbelcheck alles voor je wat doet. Zorg dat alle verborgen bestanden weergegeven worden: http://users.pandora.be/marcvn/spyware/1117602.htm Download [url=http://www.intermute.com/spysubtract/cwshredder_download.html]CWShredder[/url]. ( de stand alone versie.) Gebruik het programma nog niet. Download Reglite: http://www.resplendence.com/download/reglite.exe . Installeer en run het programma. In het scherm dat opent geef je bij Adress het volgende in: [code:1:0c7785a502]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs[/code:1:0c7785a502] Druk op Enter. Dubbelklik op AppInit_DLLs om de Data editor te openen. Onderaan dit venster zie je een veld “Value”. Dit veld zou de waarde [b:0c7785a502]C:\WINDOWS\System32\sqlekph.dll[/b:0c7785a502] moeten bevatten. Indien dit niet zo is, meld je dan terug. Maak op de c-schijf een nieuwe map aan met de naam registerbackup. (c:\registerbackup) Start Registrar Lite opnieuw. Bij Adress geef je het volgende in: [code:1:0c7785a502]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/code:1:0c7785a502] Druk op Enter. De map Windows in het linkerscherm van Registrar Lite is paars geselecteerd. Als dit het geval is, dan kies je in het menu File voor Export. Bij “Bestandsnaam” geef je in winkey.reg. Bij “Opslaan als type” kies je voor Regedit4 standard .reg files (*.reg) Sla het bestand winkey.reg op in de map c:\registerbackup. Zorg dat de map Windows in het linkerscherm van Registrar Lite nog steeds paars geselecteerd is. Kies in het menu File voor Export. Bij “Bestandsnaam” geef je in winkey.hiv. Bij “Opslaan als type” kies je voor Regedt32/WinApi hive files (*.hiv,*.dat, *.*) Sla het bestand winkey.hiv op in de map c:\registerbackup. In het linkerscherm van Registrar Lite is de map Windows nog steeds paars geselecteerd. Rechtsklik op deze map en kies voor Rename. Hernoem deze map naar NOTWindows. Klik op AppInit_DLLs. Selecteer in het veld Value de verwijzing naar het bestand [b:0c7785a502]C:\WINDOWS\System32\sqlekph.dll[/b:0c7785a502], en verwijder het. Hernoem de map NOTWindows naar zijn oorsponkelijke naam Windows. Nu zou het bestand C:\WINDOWS\System32\sqlekph.dll nu zichtbaar moeten zijn. Herstart de computer in veilige modus, en verwijder het bestand: C:\WINDOWS\System32\sqlekph.dll. Lukt dit niet dan hernoem je het bestand sqlekph.dll naar aaa.123. Herstart de computer in normale modus. Ga naar de map c:\registerbackup en dubbelklik op winkey.reg. Start Registrar Lite. Bij Adress geef je het volgende in: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Druk op enter. In het linkerscherm zou nu de map Windows paars geselecteerd moeten zijn. Als dit zo is ga je in het menu File naar Import. Navigeer naar de map c:\registerbackup en selecteer winkey.hiv. Klik op Openen. In het rechtse venster klik je op AppInit_DLLs en verwijder je in het veld value de waarde naar het .dll bestand. Sluit Registrar Lite. Scan met CWShredder. Herstart de computer en maak een nieuwe Hijackthislog en een log met reglook (runme.bat). Post beide logjes. Geef me even wat feedback. Succes. Durf je dit allemaal niet aan, meldt het dan even, dan proberen we wat anders.
  • Met heel mijn vorige uitleg was ik die O15 nog even uit het oog verloren. Om die te fixen doe je dit: Open een klablokbestand. Kopieer onderstaande code in dit kladblokbestand. Ga naar Bestand - Opslaan als. Bij "Opslaan in" kies je: Bureaublad Bij "Bestandsnaam" zet je: fix.reg Bij "Opslaan als type" selecteer je: Alle bestanden (*.*). Klik op de knop Opslaan. [code:1:d25099f5f7]REGEDIT4 [-HKEY_USERS\S-1-5-21-1409082233-1580436667-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1] [HKEY_USERS\S-1-5-21-1409082233-1580436667-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1] "*"=dword:00000004 ":Range"="213.159.117.202"[/code:1:d25099f5f7] Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen.
  • @marc alvat heel erg bedankt maar k kom er niet helemaal aan uit:s als k die map notwindows maak en dan verwijder k dat C:/........dll als valuew en dan maak k hem weer windows zoals u zei en dan staat er bij valuew inderdaad niets meer maar op mijn pc kan k het bestand dan toch niet vinden. dus k heb alles weer gewoon terug gedaan hoe het was. waarom zie k dat bestand dan niet of wat doe k fout? gr hugo
  • Hugo, Alle verborgen bestanden worden weergegeven? http://users.telenet.be/marcvn/spyware/1117602.htm Doe de rest van deze procedure. Je bent goed bezig en het bestand dat deze infectie veroorzaakt heb je uitgeschakeld. Later gaan we deze proberen op te sporen en eventueel verwijderen.
  • marc... srry maar het bestand sqlekph.dll staat echt niet op mijn pc. verbogenbestanden laat ik altijd weergeven. en heb voor de ckrheid het ook nog even aan en uit gezet maar niets?? heb ook gezocht en dan met zoeken naar verborgenbestanden maar ook niets gevonden??? gr hugo
  • Kan je een nieuw logje maken met reglook (runme.bat) Toen je met reglite aan de slag ging, stond er toen een verwijzing naar de sqlekph.dll ingevuld in het veld Value?
  • A reg_look by IMM ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows (key has 0 subkeys and 7 value entries - last modified 18:51(UTC) 21/03/2005) [AppInit_DLLs] = "C:\WINDOWS\System32\sqlekph.dll" (REG_SZ) ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (key has 4 subkeys and 33 value entries - last modified 15:52(UTC) 21/03/2005) [Userinit] = "C:\WINDOWS\system32\userinit.exe," (REG_SZ) ---------------------------------------- Handle OK. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot (key has 0 subkeys and 5 value entries - last modified 14:05(UTC) 09/11/2004) [Shell] = "SYS:Microsoft\Windows NT\CurrentVersion\Winlogon" (REG_SZ) ---------------------------------------- bij Value stond wat jij zei dat dll
  • Bestand is nog steeds aanwezig. De hierboven beschreven procedure moet werken Hugo. Het kan zijn datje het bestand pas zult zien in veilige modus. Ik zou zeggen probeer opnieuw, en meld je terug met de gevraagde logjes en wat feedback. Lukt het je niet, dan kunnen we wat anders proberen. Laat maar weten.

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.