Vraag & Antwoord

Beveiliging & privacy

graag even kijken naar hijack log (vervelende toolbar)

10 antwoorden
  • Beste mensen, Ik heb weer last van een vervelende toolbar die ik steeds terug krijg. Tevens duiken er steeds icoontjes op, op mijn bureaublad. Hieronder mijn hijack log. Logfile of HijackThis v1.98.2 Scan saved at 18:57:46, on 30-3-2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\HPConfig.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\MessengerPlus! 3\MsgPlus.exe C:\Program Files\Internet Explorer\iexplore.exe c:\progra~1\intern~1\iexplore.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOCUME~1\RIETVE~1\LOCALS~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dkbjvujkridchzfwhuozuu.com/eTaPn6z7v13RRMly8_VP7TX8g2uCGwTL_Bh02DT9vgg0D4KRBZUs0G34ay4zjVbF.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mavoqslifuaeve.com/eTaPn6z7v11ROCRswwFsTYzuisERW9XUi5W7FgJZQj8.php R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {592B009E-989A-8ED1-6B21-97B7EF8EFC43} - C:\DOCUME~1\RIETVE~1\APPLIC~1\MATHAM~1\Peak Beep.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [meal second blue slow] C:\Documents and Settings\All Users\Application Data\Funk Base Meal Second\bags sect.exe O4 - HKCU\..\Run: [DumbBuild] C:\DOCUME~1\RIETVE~1\APPLIC~1\IDLE2C~1\loud tool.exe O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
  • Je gebruikt een oudere versie van HijackThis. Best dat je eerst update naar de nieuwste versie. Start HijackThis, Ga naar Config - Misc tools - Check for update online. Download de nieuwste versie, unzip het en plaats het in een eigen map (vb c:\hijackthis). (De nieuwste versie van HijackThis kan je ook [url=http://www.downloads.subratam.org/hijackthis.zip]hier[/url] downloaden). Je hebt Messengerplus geïnstalleerd met Sponsors. Hierdoor is de computer geïnfecteerd met LOP. Ga naar Configuratiescherm - Software - Programma's wijzigen en verwijderen. Deïnstalleer Messenger plus. (Later kan je deze terug installeren, maar kies dan voor een installatie zonder sponsors.) Tijdens het deïnstallatieprocess wordt er gevraagd om een securitycode in te geven. Doe dit. Herstart de computer. Maak een nieuwe HijackThislog en post deze.
  • Installeer hijackthis.exe dan ook in bijv. C:\Program Files\Hijackthis Bij het fixen wordt een backup dir gemaakt met de gefixte items. Prtogramma staat nu in de Temp directory. Zo meteen gaat M@rc nog vertellen om je %temp% leeg te maken en dan ben je hijackthis met de backup directory ook kwijt. Sjaak
  • [quote:04f20400dd="M@rc"]Download de nieuwste versie, unzip het en plaats het in een eigen map (vb c:\hijackthis). [/quote:04f20400dd] :wink:
  • bedankt voor de snelle reactie's. hoe kan ik dit alles voorkomen? hier de nieuwe log. Logfile of HijackThis v1.99.1 Scan saved at 19:39:27, on 30-3-2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\HPConfig.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.zlxogsoticofi.us/eTaPn6z7v13RRMly8_VP7TX8g2uCGwTL_Bh02DT9vggf0KQZ9STo6n34ay4zjVbF.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.nl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: HP Configuration Service (HPConfig) - Hewlett-Packard - C:\WINNT\System32\HPConfig.exe O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Unknown owner - C:\Program Files\NavNT\rtvscan.exe (file missing)
  • Sluit alle open vensters, run HijackThis nog een keer en plaats een vinkje bij de volgende items: [b:b0356ef7d4]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.zlxogsoticofi.us/eTaPn6z7v13RRMly8_VP7TX8g2uCGwTL_Bh02DT9vggf0KQZ9STo6n34ay4zjVbF.htm[/b:b0356ef7d4] Klik daarna op "Fix checked" en sluit HijackThis af. Open een klablokbestand. Kopieer onderstaande code in dit kladblokbestand. Ga naar Bestand - Opslaan als. Bij "Opslaan in" kies je: Bureaublad Bij "Bestandsnaam" zet je: vindjob.bat Bij "Opslaan als type" selecteer je: Alle bestanden (*.*). Klik op de knop Opslaan. [code:1:b0356ef7d4]dir %Windir%\tasks /a h > files.txt notepad files.txt[/code:1:b0356ef7d4] Dubbelklik op vindjob.bat. Er opent een kladblokbestand. Post de inhoud van dit kladblokbestand.
  • Marc, Hier de log van vindjob. Volume in drive C is Local Disk Volume Serial Number is 6831-0216 Directory of C:\WINNT\tasks 30-03-2005 19:25 <DIR> . 30-03-2005 19:25 <DIR> .. 08-05-2001 04:00 65 desktop.ini 30-03-2005 19:28 6 SA.DAT 2 File(s) 71 bytes Directory of C:\Documents and Settings\rietveldr\Desktop
  • Ziet er goed uit. Oorzaak was Messengerplus. Je had deze geïnstalleerd met Sponsors. Kies volgende keer voor een installatie zonder sponsors. Maak je Temp-map leeg: Start - Uitvoeren tik in: %TEMP%. Selecteer alle bestanden in deze map en verwijder ze. Ledig de map met tijdelijke internetbestanden: Configuratiescherm - Internetopties - tabblad Algemeen - klik bij Tijdelijke internetbestanden op Bestanden Verwijderen. Maak je Prullenbak leeg. Schakel Systeemherstel uit. Herstart de computer. Schakel Systeemherstel weer in. [url=http://users.pandora.be/marcvn/spyware/1852808.htm]Systeemherstel uitschakelen[/url]. Bezoek regelmatig de [url=http://www.windowsupdate.com]Windows Update Site[/url]. Alleen zo ben je zeker dat je de nieuwste patches voor je besturingssysteem geïnstalleerd hebt. Als er nieuwe updates beschikbaar zijn, dan dowload en installeer je alle essentiële updates en service packs. Reboot je computer en controleer opnieuw. Herhaal deze procedure tot dat er geen essentiële updates meer zijn. Installeer ook [url=http://www.javacoolsoftware.com/spywareblaster.html]SpywareBlaster[/url] en [url=http://www.javacoolsoftware.com/spywareguard.html]Spywareguard[/url]. Gebruik je de laatste versie van Spybot Search & Destroy, en je maakt gebruik van de realtime protectie TeaTimer, dan moet je Spywareguard niet installeren. Meer info over hoe je een nieuwe infectie kan voorkomen vind je [url=http://users.pandora.be/marcvn/spyware/1564073.htm]hier[/url]. groeten, Marc
  • Marc, wederom vriendelijk bedankt voor de service. Ben alle ellende weer kwijt. Groet, Rob
  • Graag gedaan Rob. groeten,

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.