Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

HJT Log

meneer_ed
9 antwoorden
  • Ik probeer al drie uur erachter te komen wat er precies fout gaat op de server van mijn schoonvader.
    Kan iemand mij misschien helpen door naar deze log te kijken? Wat ik wel kan vertellen, is dat in de system32 directory een bestand explorer.exe staat, die ook via HKLM\MS\Windows\CurrentVersion\Run\ wordt gestart.
    Verder ben ik ook isass.exe tegengekomen, met dezelfde grootte als het explorer.exe bestandje. Deze kan ik wel verwijderen.

    In ieder geval alvast bedankt voor de moeite.

    —-
    Logfile of HijackThis v1.99.1
    Scan saved at 02:23:26 am, on 17.06.05
    Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINNT.SBS\System32\smss.exe
    C:\WINNT.SBS\system32\winlogon.exe
    C:\WINNT.SBS\system32\services.exe
    C:\WINNT.SBS\system32\lsass.exe
    C:\WINNT.SBS\system32\spoolss.exe
    C:\WINNT.SBS\system32\RpcSs.exe
    C:\WINNT.SBS\System32\msdtc.exe
    C:\WINNT.SBS\System32
    ddeagnt.exe
    C:\WINNT.SBS\System32\cisvc.exe
    D:\PROGRA~1\DateTime\DTService.exe
    C:\WINNT.SBS\System32\tcpsvcs.exe
    C:\WINNT.SBS\System32\esserver.exe
    C:\WINNT.SBS\System32\llssrv.exe
    C:\MSP\mspadmin.exe
    C:\Program Files\Common Files\System\MSSearch\bin\mssearch.exe
    C:\MSSQL7\binn\sqlservr.exe
    C:\WINNT.SBS\System32\pstores.exe
    C:\WINNT.SBS\System32\LOCATOR.EXE
    C:\WINNT.SBS\system32\MSTask.exe
    C:\WINNT.SBS\System32\SENS.EXE
    C:\WINNT.SBS\system32\tapisrv.exe
    C:\WINNT.SBS\System32\wins.exe
    C:\MSP\wspsrv.exe
    C:\WINNT.SBS\system32\faxsvc.exe
    C:\WINNT.SBS\System32\inetsrv\inetinfo.exe
    C:\MSP\mailalrt.exe
    C:\WINNT.SBS\System32\modemshr.exe
    D:\ExchSrvr\bin\mad.exe
    C:\WINNT.SBS\system32\rasman.exe
    C:\WINNT.SBS\system32\rassrv.exe
    D:\ExchSrvr\bin\events.exe
    D:\ExchSrvr\connect\msexcimc\bin\msexcimc.exe
    C:\WINNT.SBS\System32\taskmgr.exe
    D:\Program Files\POP3\VMIMB.EXE
    C:\WINNT.SBS\system32\MAPISP32.EXE
    C:\WINNT.SBS\System32\cidaemon.exe
    C:\WINNT.SBS\EXPLORER.EXE
    C:\WINNT.SBS\System32\loadwc.exe
    C:\WINNT.SBS\System32\PROMon.exe
    C:\WINNT.SBS\System32\wfxsnt40.exe
    C:\WINNT.SBS\System32\HPJETDSC.EXE
    C:\WINNT.SBS\system32\rasmon.exe
    C:\WINNT.SBS\system32\rundll32.exe
    C:\WINNT.SBS\system32\rundll32.exe
    C:\Program Files\RealVNC\VNC4\WinVNC4.exe
    G:\Resources\Software\HijackThis.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    F2 - REG:system.ini: Shell=
    F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT.SBS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
    O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
    O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
    O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
    O4 - HKCU\..\Run: [HP JetDiscovery] HPJETDSC.EXE
    O4 - Global Startup: SBSFIX.EXE
    O13 - WWW. Prefix: http://
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.xxx
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.xxx
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxx.xxx
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = xxx.xxx
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
    O23 - Service: Auto HangUp (AutoHangUp) - MENNER - EDV-Beratung - C:\Program Files\AutoHangUp\AutoHangUp.exe
    O23 - Service: DateTime NT service - Unknown owner - D:\PROGRA~1\DateTime\DTService.exe
    O23 - Service: Microsoft Exchange Connector for POP3 Mailboxes (MSPOP3Connector) - Unknown owner - D:\Program Files\POP3\VMIMB.EXE" /SERVICE (file missing)
    O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
    —-
  • Hoe staat het er inmiddels mee?

    Verdachte bestanden zou je kunnen uploaden naar http://virusscan.jotti.org,

    Ik zie wel enkele zaken die ik niet herken, je zou meerdere bestanden die onder [b:9009c41f0c]Running processes[/b:9009c41f0c] staan eens kunnen scannen met jotti :wink:

    daarnaast zou je eens een online virusscan kunnen doen.

    vr.gr.smeenk
  • Voor zover ik weet is het probleem opgelost. Gisteren stuurde mijn schoonvader mij een mail met daarin alle verdachte zooi in een zipje. Mijn scanner (clamav) gaf mij toen keurig aan dat hij de Trojan.Poebot-3 had gevonden in de zip.
    Van daaruit heb ik gezocht op virusalert.nl, en hem aangegeven wat te doen.
    Nu maar even kijken of zijn systeem schoon blijft…
  • OK ik zag je post staan en er had nog niemand op gereageerd, blij te horen dat de problemen waarschijnlijk opgelost zijn :wink:
  • Ja, ik vond mezelf al een beetje zielig :lol:
  • Vast wel :lol:
  • De reden dat er niet op gereageerd werd is waarschijnlijk omdat een aantal zaken gewijzigd werden in de log (O17 sleutels).
  • [quote:72598bbd29="M@rc"]De reden dat er niet op gereageerd werd is waarschijnlijk omdat een aantal zaken gewijzigd werden in de log (O17 sleutels).[/quote:72598bbd29]
    Uhm, dat begrijp ik niet helemaal. Ik heb daar inderdaad wat gewijzigd in mijn post, op verzoek van mijn schoonvader..
  • Het zijn sleutels die ook door malware kunnen aangepast worden. Dit kan een verkeerd beeld scheppen en soms ook de infectie wat maskeren.
    Dat maakt het moeilijker om de log te beoordelen.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.