Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

HijackThis Log(je)

THE_GAME_MEN!
10 antwoorden
  • Ghallootjes,

    Hier is het hijackthis log van een pc waar ik nu mee bezig ben.
    Was erg besmet , weet niet hoe het nu zit.

    [b:506f1fe457]

    Logfile of HijackThis v1.99.1
    Scan saved at 23:32:20, on 08/03/2005
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
    C:\PROGRAM FILES\SAMSUNG\SMARTHRU\QS.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS\SYSTEM\PSTORES.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oemji.com/side_search.html
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    F1 - win.ini: load=C:\TNT2X\vi_grm.exe
    O1 - Hosts: 80.69.74.15 auto.search.msn.com
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
    O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
    O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1020.dll,InstantAccess
    O4 - Startup: SmarThru Engine.lnk = C:\Program Files\Samsung\SmarThru\QS.exe
    O4 - Startup: InControl Desktop Manager.lnk = C:\Program Files\Diamond\InControl Tools 99\DMHKEY.EXE
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = schoo1.lb.nl.home.com
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 213.51.129.68,213.51.129.67

    [/b:506f1fe457]

    BVD

    Freek
  • Download en installeer CCleaner.
    Gebruik het programma nog niet.

    Download rkfiles.
    Pak de bestanden uit naar de map c:\rkfiles.
    Gebruik het programma nog niet.

    Zorg ervoor dat alle verborgen bestanden en mappen weergegeven worden. Hoe verborgen bestanden en mappen weergeven..

    Scan eerst dit bestand met http://virusscan.jotti.org en post het resultaat:
    [b:d573577e29]C:\PROGRAM FILES\SAMSUNG\SMARTHRU\QS.EXE[/b:d573577e29]

    Start de computer in veilige modus.

    run HijackThis nog een keer en plaats een vinkje bij de volgende items:
    [b:d573577e29]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oemji.com/side_search.html
    O1 - Hosts: 80.69.74.15 auto.search.msn.com
    O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1020.dll,InstantAccess[/b:d573577e29]
    Sluit alle open vensters(behalve HijackThis), klik daarna op "Fix checked" en sluit HijackThis af.

    Zoek via Windows verkenner naar het volgende bestand en verwijder deze indien deze nog aanwezig is:
    [b:d573577e29]p2esocks_1020.dll[/b:d573577e29]

    Maak je Temp-map leeg: Start – Uitvoeren tik in: %TEMP%. Selecteer alle bestanden en verwijder ze.

    [b:d573577e29]Het gebruik van Ccleaner:[/b:d573577e29]
    Ccleaner verwijderd ook cookies. Cookies zijn meestal gewoon nutteloos,
    soms zelfs kwaadaardig, maar er zijn er ook enkele die nodig zijn voor het inloggen op bepaalde websites.

    Ccleaner biedt je de mogelijkheid om in te stellen welke cookies je behouden wilt.
    Kijk hiervoor bij "Opties"en dan Cookies, selecteer de cookies die je behouden wilt en plaats die in de "Te behouden cookies" ruimte.
    Klik daarna op de knop "Opschonen".

    Herstel daarna je webinstellingen: Ga naar Configuratiescherm –> Internetopties –> tabblad Programma's.
    Klik op de "Webinstellingen herstellen".

    Start de PC in normale modus. Start HijackThis opnieuw, maak een nieuwe log en post deze. Post ook de inhoud van de logfile gemaakt tijdens het scannen met rkfiles, zoek het bestand [b:d573577e29]C:\log.txt[/b:d573577e29](is de log van rkfiles)

    vr.gr.smeenk :wink:
  • Hoi

    Update 1 ; Thanks ga er zo mee beginnen , hier alvast het resultaat van virusscan.jotti.org van het qs file:

    File: QS.exe
    Status: OK
    MD5 9a79f0f8914e3e167cc539f5e337ed4a
    Packers detected: -
    Scanner results
    AntiVir Found nothing
    ArcaVir Found nothing
    Avast Found nothing
    AVG Antivirus Found nothing
    BitDefender Found nothing
    ClamAV Found nothing
    Dr.Web Found nothing
    F-Prot Antivirus Found nothing
    Fortinet Found nothing
    Kaspersky Anti-Virus Found nothing
    NOD32 Found nothing
    Norman Virus Control Found nothing
    UNA Found nothing
    VBA32 Found nothing

    Ga nu in veilige modus opstarten

    Freek
  • hmmm, ik was iets vergeten :roll:

    Dit ook in veilige modus uitvoeren:
    Ga via de verkenner naar de map c:\rkfiles en dubbelklik op rkfiles.bat.
    De computer wordt nu gescand.
    Als het scannen klaar is wordt het venster gesloten)

    Daarna het logje hier weer posten :wink:
  • Yup allemaal gedaan :)

    [b:1a6cf89bed]

    Logfile of HijackThis v1.99.1
    Scan saved at 22:17:36, on 08/03/2005
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
    C:\PROGRAM FILES\SAMSUNG\SMARTHRU\QS.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS\SYSTEM\PSTORES.EXE
    C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    F1 - win.ini: load=C:\TNT2X\vi_grm.exe
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
    O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
    O4 - Startup: SmarThru Engine.lnk = C:\Program Files\Samsung\SmarThru\QS.exe
    O4 - Startup: InControl Desktop Manager.lnk = C:\Program Files\Diamond\InControl Tools 99\DMHKEY.EXE
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = schoo1.lb.nl.home.com
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 213.51.129.68,213.51.129.67

    ————————————————————————————–

    ECHO is ingesteld op uit.

    Houd er rekening mee dat alles dat via deze methode gevonden wordt niet perse malware hoeft te zijn, u dient dit eerst te checken, bijvoorbeeld door de bestanden te uploaden naar http://virusscan.jotti.org Bij twijfel niets doen!!.
    Bestanden gevonden in uw System map…………
    ————————
    C:\WINDOWS\SYSTEM\EGAUTH.dll: UPX!
    C:\WINDOWS\SYSTEM\dtc32.dll: UPX!
    C:\WINDOWS\SYSTEM
    etia32.dll: UPX!
    C:\WINDOWS\SYSTEM\EGCOMLIB_1035.dll: UPX!
    C:\WINDOWS\SYSTEM
    etpe32.dll: UPX!
    C:\WINDOWS\SYSTEM
    ethv32.dll: UPX!

    Bestanden gevonden in uw WINDOWS map…………
    ————————
    Programma beeindigd
    Tot ziens

    [/b:1a6cf89bed]

    Thanks

    Freekieboy


  • Het log is schoon :D
    Wil je onderstaande bestanden eens checken door de bestanden te uploaden naar http://virusscan.jotti.org
    [b:bd6bb7919f]C:\WINDOWS\SYSTEM\EGAUTH.dll
    C:\WINDOWS\SYSTEM\dtc32.dll
    C:\WINDOWS\SYSTEM
    etia32.dll
    C:\WINDOWS\SYSTEM\EGCOMLIB_1035.dll
    C:\WINDOWS\SYSTEM
    etpe32.dll
    C:\WINDOWS\SYSTEM
    ethv32.dll[/b:bd6bb7919f]

    Je mag het resultaat van de scans hier wel posten(doe maar alleen van de bestanden die geïnfecteerd zijn)
    Als het geïnfecteerde bestanden zijn mag je deze wel verwijderen, eventueel in veilige modus.

    vr.gr.smeenk :wink:


  • File: EGAUTH.dll
    Status: INFECTED/MALWARE
    MD5 45d626f2f39c649b26cbb640e0cff078
    Packers detected: -
    Scanner results
    AntiVir Found TR/P2E.al.3
    ArcaVir Found Trojan.P2e.Ag
    Avast Found nothing
    AVG Antivirus Found P2E.AP
    BitDefender Found nothing
    ClamAV Found Dialer-324
    Dr.Web Found not a virus Dialer.Egroup
    F-Prot Antivirus Found nothing
    Fortinet Found nothing
    Kaspersky Anti-Virus Found Trojan.Win32.P2E.ag
    NOD32 Found nothing
    Norman Virus Control Found nothing
    UNA Found Trojan.Win32.P2E
    VBA32 Found Trojan.Win32.P2E.ag


    File: dtc32.dll
    Status: INFECTED/MALWARE
    MD5 60e583f1a899aeb6bad8e62aa69d7cbb
    Packers detected: UPX
    Scanner results
    AntiVir Found TR/Dldr.Wintr.AH
    ArcaVir Found Trojan.Downloader.Wintrim.Ah
    Avast Found Win32:Wintrim-014
    AVG Antivirus Found Downloader.Wintrim.AW
    BitDefender Found Trojan.Downloader.Wintrim.AH
    ClamAV Found Trojan.Downloader.Wintrim.AH
    Dr.Web Found Trojan.Wintrim
    F-Prot Antivirus Found W32/Wintrim.G@dl
    Fortinet Found nothing
    Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Wintrim.ah
    NOD32 Found Win32/TrojanDownloader.Wintrim.AH
    Norman Virus Control Found W32/Wintrim.DA
    UNA Found TrojanDownloader.Win32.Wintrim
    VBA32 Found TrojanDownloader.Win32.Wintrim.ah


    File: netia32.dll
    Status: INFECTED/MALWARE
    MD5 63c848794883f8aae5ef1c0e77aa02b0
    Packers detected: UPX
    Scanner results
    AntiVir Found TR/Dldr.Wintrim.CR
    ArcaVir Found Trojan.Downloader.Wintrim.Am
    Avast Found Win32:Wintrim-015
    AVG Antivirus Found Downloader.Wintrim.AZ
    BitDefender Found Trojan.Downloader.Wintrim.AM
    ClamAV Found Dialer.gen-7
    Dr.Web Found not a virus Dialer.Egroup
    F-Prot Antivirus Found W32/Wintrim.DC@dl
    Fortinet Found nothing
    Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Wintrim.cr
    NOD32 Found Win32/TrojanDownloader.Wintrim.AM
    Norman Virus Control Found W32/Wintrim.EJ
    UNA Found TrojanDownloader.Win32.Wintrim
    VBA32 Found TrojanDownloader.Win32.Wintrim.am

    File: EGCOMLIB_1035.dll
    Status: INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain -, results will not be stored in the database.)
    MD5 9ad0d8d1275ede0b0d61c65704e4311e
    Packers detected: UPX
    Scanner results
    AntiVir Found DIAL/72192.A dialer
    ArcaVir Found nothing
    Avast Found nothing
    AVG Antivirus Found Dialer.20.AP
    BitDefender Found nothing
    ClamAV Found Dialer-324
    Dr.Web Found not a virus Dialer.Disco
    F-Prot Antivirus Found W32/Qdialer.CW
    Fortinet Found nothing
    Kaspersky Anti-Virus Found not-a-virus:Porn-Dialer.Win32.InstantAccess
    NOD32 Found Win32/Dialer.InstantAccess.A application
    Norman Virus Control Found nothing
    UNA Found nothing
    VBA32 Found PornWare.Dialer.InstantAccess

    File: netpe32.dll
    Status: INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain -, results will not be stored in the database.)
    MD5 f5e7163ab7f57b0e6041dfa425e0d1a9
    Packers detected: UPX
    Scanner results
    AntiVir Found DIAL/7168.A dialer
    ArcaVir Found nothing
    Avast Found Win32:Trojan-gen. {Other}
    AVG Antivirus Found Downloader.Wintrim.2.AS
    BitDefender Found Application.Dialer.185
    ClamAV Found Dialer-324
    Dr.Web Found not a virus Dialer.Egroup
    F-Prot Antivirus Found W32/Wintrim.DB@dl
    Fortinet Found nothing
    Kaspersky Anti-Virus Found not-a-virus:Dialer.Win32.E-Group.a
    NOD32 Found Win32/TrojanDownloader.Wintrim.AU
    Norman Virus Control Found W32/Wintrim.EF
    UNA Found nothing
    VBA32 Found RiskWare.Dialer.E-Group.a

    File: nethv32.dll
    Status: INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain -, results will not be stored in the database.)
    MD5 b02a844e1593de435142358134ff5f22
    Packers detected: UPX
    Scanner results
    AntiVir Found W32/WinTrim.V.DLL
    ArcaVir Found Trojan.Downloader.Wintrim.V
    Avast Found Win32:Dialer-AI
    AVG Antivirus Found Dialer.20.W
    BitDefender Found Trojan.Wintrim.V.DLL
    ClamAV Found Dialer-324
    Dr.Web Found not a virus Dialer.Egroup
    F-Prot Antivirus Found W32/Wintrim.CZ@dl
    Fortinet Found nothing
    Kaspersky Anti-Virus Found not-a-virus:Dialer.Win32.E-Group.j
    NOD32 Found Win32/Dialer.Egroup.J application
    Norman Virus Control Found nothing
    UNA Found Dialer.EG
    VBA32 Found RiskWare.Dialer.E-Group.j

    Alles was dus geinfecteerd

    Freek
  • Mooi zo Freek, ook nog bedankt voor de feedback :wink:

    Je kan je antispyware en virusscanner nog eens in veilige modus laten scannen.
    Een extra online scan kan overigens nooit kwaad(als je die PC aan het snelle internet hebt hangen)
    met Bitdefender scan of Panda.

    vr.gr.smeenk :wink:
  • Jammer heb ik dit niet meer kunnen doen omdat de pc door de klant werd opgehaald.
    Heb wel met norton en adaware nog eens gescand
    Bedankt voor je moeite

    Freek
  • Maakt niet uit, veel zou er waarschijnlijk toch niet meer gevonden worden en die tips voer je dan maar gewoon een keer op een ander systeem uit :wink:

    Groeten smeenk

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.