Vraag & Antwoord

Beveiliging & privacy

Spyware probleem

15 antwoorden
  • Hoi hoi Ik geloof dat mn computer vol zit met spyware ondanks ik Adaware en Spybot gebruik... Ik krijg bv mn startpagina niet meer terug, nu staat daar voor in de plaats een of andere site over viagra en ander spul.. Heb een log gemaakt. Mischien dat iemand daar naar kan kijken want ik begrijp er niet zoveel van. Alvast bedankt. Logfile of HijackThis v1.99.1 Scan saved at 14:57:50, on 05/08/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\explorer.exe C:\WINDOWS\System32\SMSSU.EXE C:\WINDOWS\System32\Tmntsrv32.EXE C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\SMSSU.EXE C:\WINDOWS\System32\Tmntsrv32.EXE C:\WINDOWS\System32\wuauclt.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Program Files\Real\RealPlayer\realplay.exe C:\Program Files\Outlook Express\msimn.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Documents and Settings\ATHV\Local Settings\Temp\Tijdelijke map 2 voor hijackthis-1.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file) O2 - BHO: XMLDP Class - {60371670-81B9-4d06-9C42-4DEC1AABE62B} - C:\WINDOWS\xmllib.dll O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZBzeb032YYNL O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/098bbd8607e7d41e7618/netzip/RdxIE601.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://zone.msn.com/binGame/ZAxRcMgr.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/player/Install3.0/Installer.exe O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v6.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
  • Ga naar Configuratiescherm - Software - Programma's wijzigen of verwijderen. Deïnstalleer indien aanwezig het volgende programma: [b:d34c348b7c]My Web Search Bar[/b:d34c348b7c] Download en installeer [url=http://www.ccleaner.com/]CCleaner[/url]. Gebruik het programma nog niet. Zorg ervoor dat alle verborgen bestanden en mappen weergegeven worden.[url=http://users.telenet.be/marcvn/spyware/1117602.htm]Hoe verborgen bestanden en mappen weergeven.[/url]. Start de computer in [url=http://users.pandora.be/marcvn/spyware/1378056.htm]veilige modus[/url]. Sluit alle open vensters, run HijackThis nog een keer en plaats een vinkje bij de volgende items: [b:d34c348b7c]R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file) O2 - BHO: XMLDP Class - {60371670-81B9-4d06-9C42-4DEC1AABE62B} - C:\WINDOWS\xmllib.dll O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZBzeb032YYNL O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/player/Install3.0/Installer.exe[/b:d34c348b7c] Klik daarna op "Fix checked" en sluit HijackThis af. Zoek via Windows verkenner naar volgende bestanden of mappen, en verwijder deze indien ze nog aanwezig zijn: C:\WINDOWS\xmllib.dll C:\WINDOWS\System32\SMSSU.EXE C:\WINDOWS\System32\Tmntsrv32.EXE C:\WINDOWS\System32\P2P Networking <-- deze map verwijderen C:\PROGRAM FILES\MYWEBSEARCH <-- deze map verwijderen Start Ccleaner en klik op de knop "Opschonen". Herstart de computer in normale modus. Doe daarna een online scan met [url=http://www.pandasoftware.com/activescan/]Panda[/url] Herstart de computer daarna opnieuw en post een nieuwe HijackThis log
  • Dit is de volgende log: Scan saved at 17:22:04, on 05/08/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\explorer.exe C:\WINDOWS\System32\SMSSU.EXE C:\WINDOWS\System32\Tmntsrv32.EXE C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\SMSSU.EXE C:\WINDOWS\System32\Tmntsrv32.EXE C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\wuauclt.exe c:\wp.exe C:\Documents and Settings\ATHV\Bureaublad\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file) O2 - BHO: XMLDP Class - {60371670-81B9-4d06-9C42-4DEC1AABE62B} - C:\WINDOWS\xmllib.dll O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZBzeb032YYNL O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/098bbd8607e7d41e7618/netzip/RdxIE601.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://zone.msn.com/binGame/ZAxRcMgr.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v6.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe Sommige items blijven gewoon staan zie ik.
  • Het lijkt er ook op dat er inmiddels nieuwe infecties bijgekomen zijn: Ga via configuratiescherm naar software > programma's wijzigen/verwijderen en kijk of de volgende programma's aanwezig zijn en de-installeer deze: - Security IGuard - My Web Search Bar of My Web Speedbar Download [URL=http://cwshredder.net/bin/CWShredder.exe]CWShredder[/url] en klik op "Fix" (sluit wel eerst alle vensters) Download het volgende bestand [url=http://users.telenet.be/marcvn/regfiles/smitfraudfix.zip]Smitfraudfix.zip[/url] en installeer het bestand op je bureaublad. gebruik het nog niet. Download [url=http://www.atribune.org/downloads/KillBox.exe]Killbox[/url]. Klik op killbox.exe. Kies de optie: "Delete on reboot". [b:35c3bb7631]Kopieer[/b:35c3bb7631] het volgende vetgedrukte: [b:35c3bb7631]C:\wp.exe C:\wp.bmp C:\WINDOWS\System32\SMSSU.EXE C:\WINDOWS\System32\Tmntsrv32.EXE C:\WINDOWS\explorer32dbg.exe C:\WINDOWS\iexplore_dbg.exe[/b:35c3bb7631] Open [b:35c3bb7631]'file'[/b:35c3bb7631] in het killboxmenu bovenaan en kies: [b:35c3bb7631]Paste from clipboard[/b:35c3bb7631] Je zal zien, het bovenstaande vetgedrukte zal staan in het "Full Path of File to Delete"-veld. Er is een klein pijltje naast dat veld. Als je daarop klikt zal je al die bovenstaande lijntjes die je gekopieerd hebt zien staan (dit is alvast de bedoeling) Daarna klik je op de rode knop met het wit kruisje erin Killbox zal je vertellen dat die bestanden zullen verwijderd worden bij een volgende reboot.. Klik [b:35c3bb7631]YES[/b:35c3bb7631] Killbox zal vragen of je nu wilt rebooten, klik [b:35c3bb7631]YES[/b:35c3bb7631] Als je volgende boodschap krijgt: "PendingFileRenameOperations Registry Data has been Removed by External Process!" , dan zal je handmatig moeten rebooten. Je pc moet nu rebooten. Start de computer op in [b:35c3bb7631]veilige[/b:35c3bb7631] modus. (klik [url=http://users.telenet.be/marcvn/spyware/1378056.htm]hier[/url] voor hulp) Zorg dat de verborgen bestanden en systeembestanden worden weergegeven. (klik [url=http://users.telenet.be/marcvn/spyware/1117602.htm]hier[/url] voor hulp) Start Hijackthis op en kies voor 'Do a system scan only' Selecteer alleen de items die hieronder zijn genoemd: [b:35c3bb7631]R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file) O2 - BHO: XMLDP Class - {60371670-81B9-4d06-9C42-4DEC1AABE62B} - C:\WINDOWS\xmllib.dll O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZBzeb032YYNL[/b:35c3bb7631] Dubbelklik nu op het bestand smitfraud.reg Bij de vraag of je het wilt toevoegen aan het register, klik je op ja/ok. Ga naar Windows Verkenner (Rechtsklikken op Start - Verkennen). En verwijder het volgende: C:\WINDOWS\System32\SMSSU.EXE C:\WINDOWS\System32\Tmntsrv32.EXE C:\WINDOWS\explorer32dbg.exe C:\WINDOWS\iexplore_dbg.exe c:\wp.exe C:\wp.bmp C:\WINDOWS\xmllib.dll C:\Program Files\Security iGuard <-- deze map Herstart de PC nogmaals. Heb je die online scan met Panda al gedaan? Zo niet doe dat dan nu: [url=http://www.pandasoftware.com/activescan/]Panda[/url] Post het resultaat tesamen met een log van hijackthis. vr.gr.smeenk
  • Deze regel: O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZBzeb032YYNL kan ik telkens maar niet vinden dus heb alle regels met O8 ervoor verwijderd.. Hoop dat dat niet erg is.. De comp werkt in ieder geval nog :) Logfile of HijackThis v1.99.1 Scan saved at 18:30:37, on 05/08/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\explorer.exe C:\WINDOWS\System32\SMSSU.EXE C:\WINDOWS\System32\Tmntsrv32.EXE C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\SMSSU.EXE C:\WINDOWS\System32\Tmntsrv32.EXE C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\System32\wuauclt.exe C:\Documents and Settings\ATHV\Bureaublad\HijackThis.exe O2 - BHO: XMLDP Class - {60371670-81B9-4d06-9C42-4DEC1AABE62B} - C:\WINDOWS\xmllib.dll O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/098bbd8607e7d41e7618/netzip/RdxIE601.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://zone.msn.com/binGame/ZAxRcMgr.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v6.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
  • Die 08 is waarschijnlijk verwijderd door CWShredder. De overige 08 regels waren van de googletoolbar (lijkt me niet zo erg, deze kun je altijd terug installeren) Er zitten nog enkele verborgen bestanden die zorgen dat de infectie terugkomt: Klik op killbox.exe. Kies de optie: "Delete on reboot". [b:5f8d2ccd88]Kopieer[/b:5f8d2ccd88] het volgende vetgedrukte: [b:5f8d2ccd88]C:\WINDOWS\System32\SMSSU.EXE C:\WINDOWS\System32\Tmntsrv32.EXE C:\WINDOWS\explorer32dbg.exe C:\WINDOWS\iexplore_dbg.exe[/b:5f8d2ccd88] Open [b:5f8d2ccd88]'file'[/b:5f8d2ccd88] in het killboxmenu bovenaan en kies: [b:5f8d2ccd88]Paste from clipboard[/b:5f8d2ccd88] Je zal zien, het bovenstaande vetgedrukte zal staan in het "Full Path of File to Delete"-veld. Er is een klein pijltje naast dat veld. Als je daarop klikt zal je al die bovenstaande lijntjes die je gekopieerd hebt zien staan (dit is alvast de bedoeling) Daarna klik je op de rode knop met het wit kruisje erin Killbox zal je vertellen dat die bestanden zullen verwijderd worden bij een volgende reboot.. Klik [b:5f8d2ccd88]YES[/b:5f8d2ccd88] Killbox zal vragen of je nu wilt rebooten, klik [b:5f8d2ccd88]YES[/b:5f8d2ccd88] Als je volgende boodschap krijgt: "PendingFileRenameOperations Registry Data has been Removed by External Process!" , dan zal je handmatig moeten rebooten. Je pc moet nu rebooten. Start de computer op in [b:5f8d2ccd88]veilige[/b:5f8d2ccd88] modus. (klik [url=http://users.telenet.be/marcvn/spyware/1378056.htm]hier[/url] voor hulp) Zorg dat de verborgen bestanden en systeembestanden worden weergegeven. (klik [url=http://users.telenet.be/marcvn/spyware/1117602.htm]hier[/url] voor hulp) Start Hijackthis op en kies voor 'Do a system scan only' Selecteer alleen de items die hieronder zijn genoemd: [b:5f8d2ccd88]O2 - BHO: XMLDP Class - {60371670-81B9-4d06-9C42-4DEC1AABE62B} - C:\WINDOWS\xmllib.dll O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART[/b:5f8d2ccd88] Klik daarna op "Fix selected items" Ga naar Windows Verkenner (Rechtsklikken op Start - Verkennen). En verwijder het volgende: C:\WINDOWS\System32\SMSSU.EXE C:\WINDOWS\System32\Tmntsrv32.EXE C:\WINDOWS\explorer32dbg.exe C:\WINDOWS\iexplore_dbg.exe C:\WINDOWS\xmllib.dll C:\Program Files\Security iGuard <-- deze map C:\WINDOWS\System32\P2P Networking <-- deze map Herstart de PC nogmaals in normale modus en plaats een nieuwe log
  • Hoi hoi. Logfile of HijackThis v1.99.1 Scan saved at 19:50:53, on 8-5-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Outlook Express\msimn.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Athv\Local Settings\Temp\Tijdelijke map 1 voor hijackthis[1].zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
  • Wat heb je gedaan :roll: Is dit een grap of heb je alles gefixt met HijackThis? [quote:efe09ddb6b]C:\Documents and Settings\Athv\Local Settings\Temp\Tijdelijke map 1 voor hijackthis[1].zip\HijackThis.exe[/quote:efe09ddb6b] HijackThis staat nu ook ineens in je temp-map, je hebt nu een groot risico dat je de backups van HijackThis ook kwijt raakt
  • Nou nee , was niet als grap bedoeld. Ik heb mijn computer helemaal opnieuw moeten installeren aangezien hij windows niet meer kon opstarten.. Zodoende... Ik zal mischien iets verkeerds hebben gedaan. Wie weet.. Maar in ieder geval bedankt voor je hulp! :D Greetzz
  • Vreemd, ik zal mijn fix nog eens aandachtig bestuderen of daar een fout in stond :roll: Hier nog enkele tips om je systeem schoon te houden: Zorg dat je een goedwerkende antivirus en firewall hebt, houd deze progamma's up to date. Bezoek regelmatig de [url=http://www.windowsupdate.com]Windows Update Site[/url]. Alleen zo ben je zeker dat je de nieuwste patches voor je besturingssysteem geïnstalleerd hebt. Als er nieuwe updates beschikbaar zijn, dan dowload en installeer je alle essentiële updates en service packs. Reboot je computer en controleer opnieuw. Herhaal deze procedure tot dat er geen essentiële updates meer zijn. Installeer ook [url=http://www.javacoolsoftware.com/spywareblaster.html]SpywareBlaster[/url] en [url=http://www.javacoolsoftware.com/spywareguard.html]Spywareguard[/url]. Gebruik je de laatste versie van Spybot Search & Destroy, en je maakt gebruik van de realtime protectie TeaTimer, dan moet je Spywareguard niet installeren. Houd ook deze progs up to date! Via een reg-file kun je je tegen kwaadaardige activeX-codes wapenen. [url=http://www.spywareguide.com/blockfile.php]Klik hier voor meer info[/url] Meer info over hoe je een nieuwe infectie kan voorkomen vind je [url=http://users.pandora.be/marcvn/spyware/1564073.htm]hier[/url]. vr.gr.smeenk
  • In windows zit ook een firewall, is deze goed genoeg? Zo niet, zijn er dan goeie te downloaden op internet? En wat betreft Spywareguard en SpywareBlaster, zijn die samen te gebruiken?? Groet
  • Spywareguard en spywareblaster zijn prima naast elkaar te gebruiken. De Firewall van Microsoft vindt ik minder goed omdat die je alleen tegen het verkeer vanaf het internet naar jouw PC beschermt. Zelf gebruik ik de freewareversie van zonealarm, daar moet je alle programma's die internet nodig hebben toestemming geven, maar dat wijst zich vanzelf :wink: vr.gr.smeenk
  • Nou dan ga ik die maar eens downloaden. :D Thanks voor de tip!! :D
  • en misschien is het handig om bij spybot search and destroy aan te vinken tea timer bij de installatie
  • [quote:9e938fd5f9="meepo"]en misschien is het handig om bij spybot search and destroy aan te vinken tea timer bij de installatie[/quote:9e938fd5f9]Dat is alleen aan te raden als je Spywareguard niet gebruikt, de werking van Tea Timer van Spybot Search & Destroy komt behoorlijk overeen en hoeven dus niet naast elkaar te draaien. Je hoeft ook geen 2 virusscanners naast elkaar te laten draaien, je loopt daarbij risico's met conflicterende software :wink:

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.