Vraag & Antwoord

Beveiliging & privacy

Wie wil er mijn HijackThis-log nakijken?

9 antwoorden
  • Ikzelf ken er niet veel van maar vind o.a. volgende zaken verdacht: O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [nplrtwp] C:\WINNT\system32\nplrtwp.exe O15 - Trusted Zone: http://www.neededware.com Deze verwijderen? Nog andere verwijderen? (Voor het ogenblik zijn er via msconfig enkele zaken uitgeschakeld die normaal gezien samen met de computer opstarten, misschien heeft er hier en daar wat mee te maken?) Dit is de volledige logfile: Logfile of HijackThis v1.97.7 Scan saved at 20:22:34, on 23/05/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\mgabg.exe D:\NORTON~1\NORTON~1\npssvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\PDesk\PDesk.exe C:\WINNT\SOUNDMAN.EXE D:\Alcatel\Speedtouch USB\Dragdiag.exe C:\Program Files\Common Files\Symantec Shared\SymTray.exe D:\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe D:\Microsoft Office\Office\1043\msoffice.exe C:\Program Files\Outlook Express\msimn.exe D:\RealPlayer\RealPlay.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE H:\anti-spyware\HijackThis.exe C:\Program Files\Internet Explorer\iexplore.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jesmb.de/indexie.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Alcatel\Speedtouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [NPS Event Checker] D:\NORTON~1\NORTON~1\npscheck.exe O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\SymTray.exe "Norton SystemWorks" O4 - HKLM\..\Run: [Zone Labs Client] "D:\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [nplrtwp] C:\WINNT\system32\nplrtwp.exe O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O15 - Trusted Zone: http://www.neededware.com O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://www.extrafilm.be/import/ImageUploader3.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FAD52F2E-3BBB-41D0-B1F9-41DD74AD3404}: NameServer = 62.235.14.4 62.235.13.199 Alvast bedankt voor de hulp!
  • ...ondertussen krijg ik ook de melding van mijn Firewall dat "nplrtwp.exe is trying to access the Internet".
  • Download en installeer [url=http://www.ccleaner.com/]CCleaner[/url]. Gebruik het programma nog niet. Je gebruikt een oudere versie van HijackThis. Best dat je eerst update naar de nieuwste versie. Start HijackThis, Ga naar Config - Misc tools - Check for update online. Download de nieuwste versie, unzip het en plaats het in een eigen map (vb c:\hijackthis). (De nieuwste versie van HijackThis kan je ook [url=http://www.downloads.subratam.org/hijackthis.zip]hier[/url] downloaden). Start de computer op in veilige modus. Hoe je dit doet kan je [url=http://users.telenet.be/marcvn/spyware/1378056.htm]hier[/url] lezen. Sluit alle open vensters, run HijackThis nog een keer en plaats een vinkje bij de volgende items: [b:b447a14f9e]O4 - HKLM\..\Run: [nplrtwp] C:\WINNT\system32\nplrtwp.exe O15 - Trusted Zone: http://www.neededware.com[/b:b447a14f9e] Klik daarna op "Fix checked" en sluit HijackThis af. Verwijder C:\WINNT\system32\nplrtwp.exe Herstart de computer. Start HijackThis opnieuw, maak een nieuwe log en post deze.
  • Nu blijkt mijn computer plots niet meer te reageren op F8 tijdens het opstarten (en ja, ik doe dat terwijl de voortgangsindicator meldt dat het moment is aangebroken om dit te doen), ook F5 heb ik al geprobeerd maar zonder resultaat. Dat bestand deleten gaat alleszins ook niet, het is in gebruik. Als ik het taakoverzicht oproep staat hij echter niet tussen de actieve processen. Ondertussen krijg ik wel weer die melding dat die nplrtwp probeert een verbinding te maken. Dan nog een vraagje m.b.t. CCleaner: kan ik ervoor kiezen de cookies niet te verwijderen, want dat zorgt achteraf voor inlogproblemen en dergelijke? Graag hulp. Avast bedankt.
  • [quote:708221cb62="patrickda"] Dan nog een vraagje m.b.t. CCleaner: kan ik ervoor kiezen de cookies niet te verwijderen, want dat zorgt achteraf voor inlogproblemen en dergelijke? Graag hulp. Avast bedankt.[/quote:708221cb62]Ccleaner biedt je ook de mogelijkheid om in te stellen welke cookies je behouden wilt. Kijk hiervoor bij "Opties"en dan Cookies, selecteer de cookies die je behouden wilt en plaats die in de "Te behouden cookies" ruimte :wink:
  • Download [url=http://www.bleepingcomputer.com/files/spyware/KillBox.zip]Pocket KillBox[/url]. Unzip het programma naar je bureaublad. Klik op killbox.exe. Selecteer de optie “Delete on reboot”. In het veld “Full path of file to delete" Kopieer en plak je het volgende: [code:1:6855a56ca2] C:\WINNT\system32\nplrtwp.exe [/code:1:6855a56ca2] Klik op de knop met de rode cirkel en het witte kruis. Wanneer het programma vraagt om nu te rebooten, geef je hier toestemming voor. Klik op de knop "YES". Na dat de computer opnieuw opgestart is fix je de hierboven genoemde sleutels met Hijackthis.
  • OK, het ziet ernaar uit dat alles is gelukt...hoewel...ik vind dat er nog een verdachte dll in de system32-map staat: nplrtwpndw30103lib.dll. Die eerste letters zijn namelijk exact dezelfde als dat nplrtwp.exe-bestand, en het is wel een heel ongebruikelijke bestandsnaam (alleen al de lengte...). Wat moet ik ermee?
  • Verwijderen.
  • OK. Alvast heel erg bedankt voor de moeite! (vorige "besmetting" was al bijna een jaar geleden) Patrick

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.