Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

HijackThisLogje - ciscvv.exe

FTI
8 antwoorden
  • Hallo,
    Dit is 'm, nummer 04 weghalen?

    [code:1:77d401540b]Logfile of HijackThis v1.99.1
    Scan saved at 16:54:59, on 18-8-2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\CTsvcCDA.EXE
    C:\WINDOWS\System32\oodag.exe
    C:\WINDOWS\System32\UAService7.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\System32\CISVCC.EXE
    C:\UTILITY\FRAPS\FRAPS.EXE
    C:\utility\Creative Software\MediaSource\Detector\CtDetect.exe
    C:\Documents and Settings\Administrator\Bureaublad\HijackThis1991.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.games-fusion.net/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    [b]04 - HKLM\..\Run: [wincfg driver] CISVCC.EXE[/b]
    O4 - HKCU\..\Run: [Fraps] C:\UTILITY\FRAPS\FRAPS.EXE
    O4 - HKCU\..\Run: [Creative Detector] C:\utility\Creative Software\MediaSource\Detector\CTDetect.exe /R
    [b]04 - HKCU\..\RunOnce: [wincfg driver] CISVCC.EXE[/b]
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
    [/code:1:77d401540b]

    :-?

    BVD!
    Hier nog het cisvcc topic:
    http://forum.computertotaal.nl/phpBB2/viewtopic.php?p=1014585#1014585 :wink:

    EDIT: verder staat er in mijn taakbeheer geen civc oid, dus weet niet of dat kwaad kan?
  • Sluit alle open vensters, run HijackThis nog een keer en plaats een vinkje bij de volgende items:

    Start de computer op in veilige modus. Hoe je dit doet kan je hier lezen.

    [b:c28e327046]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    04 - HKLM\..\Run: [wincfg driver] CISVCC.EXE
    O4 - HKCU\..\RunOnce: [wincfg driver] CISVCC.EXE[/b:c28e327046]

    Klik daarna op "Fix checked" en sluit HijackThis af.

    Start HijackThis opnieuw, maak een nieuwe log en post deze.

    Laat volgend bestand scannen op Jotti: C:\WINDOWS\System32\CISVCC.EXE

    Meldt het resultaat.
  • 1. mijn pc heeft geen internet, maar zal het bestand proberen te laten scannen (hoop dat het niet te groot is voor 'n flop :lol: ).
    2. veilige modus gaat niet, zie linkje , denk door dat bestand :roll: (methode 1 op jou linkje durf ik niet te proberen: wat als het nog niet lukt? Methode 2 werkt niet :roll: )
    3. proberen te fixen zonder in veilige modus te zijn –> verantwoord??
  • ha heb m (kon m eerst niet vinden want zoekfunctie kijkt niet in verborgen bestanden, maar manual vond ik m)
    Heeft 'n andere datum dan de rest van c:\windows\system32 :roll:
    Ga nu laten scannen…

    EDIT: niets scannen, zodra ik het flopje aanklikte om te uploaden, verplaatste norton het bestand naar quarantaine directory met de melding van 1 of andere worm :o Lijkt me duidelijk dus. Nu alleen nog ff weten hoe ik er vanaf kom (zou gewoon deleten helpen?)
  • Je kan in gewone modus proberen. In principe wordt het actieve proces eerst beëindigd en kunnen de opstartsleutels probleemloos verwijderd worden.
    Maar malware durft nogal eens koppig zijn, daar om dat ik naar veilige modus verwijs.

    Lukt het niet meld je dan even terug, dan proberen we het anders.
  • Rechtsklikken en deleten.
    Maar als norton hem in quarantaine heeft geplaatst is hij reeds weg.

    Post ook even een nieuwe Hijackthislog
  • [code:1:bd11e8142f]Logfile of HijackThis v1.99.1
    Scan saved at 17:20:53, on 18-8-2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\CTsvcCDA.EXE
    C:\WINDOWS\System32\oodag.exe
    C:\WINDOWS\System32\UAService7.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\UTILITY\FRAPS\FRAPS.EXE
    C:\utility\Creative Software\MediaSource\Detector\CTDetect.exe
    C:\Documents and Settings\Administrator\Bureaublad\HijackThis1991.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.games-fusion.net/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [Fraps] C:\UTILITY\FRAPS\FRAPS.EXE
    O4 - HKCU\..\Run: [Creative Detector] C:\utility\Creative Software\MediaSource\Detector\CTDetect.exe /R
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
    [/code:1:bd11e8142f]

    Lijkt me goed?
    Nog 2 vragen: wat is die securom (beveiliging weet ik maar), kan die ook weg?
    Wat moet ik hiermee doen? (vooral het 'om de wijzigingen ongedaan te maken' deel):

    [img:bd11e8142f]http://img294.imageshack.us/img294/8193/naamloos2xl.jpg[/img:bd11e8142f]
  • Wat die O23-sleutel betreft: http://www.spywareaid.com/023l.php?action=search2&name=SecuROM%20User%20Access%20Service%20(V7

    Je andere vraag: vinkje plaatsen bij 'dit bericht niet meer wegen'.

    Logje ziet er goed uit.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.