Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

problemen in HiJackThis-log?

patrickda
5 antwoorden
  • In de lijst van de door mijn Firewall gecontroleerde programma's vind ik enkele zaken waarvan ik niet weet wat het is, b.v.: dll.host.exe (omschreven als "COM-surrogate"), DivX521XP2K.exe (zit in de map "DivXCodecs"), lsass.exe, iMeshV4.exe, ntlrpwt.exe, wrap32.exe, enzovoort…

    Moeten al deze programma's toegang hebben tot het Internet? Of erger: moeten deze programma's er wel zijn?

    Hier alvast een HiJackThis log:

    Logfile of HijackThis v1.99.1
    Scan saved at 19:56:02, on 18/10/2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\mgabg.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\system32\ZoneLabs\vsmon.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\mspmspsv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\system32\PDesk\PDesk.exe
    C:\WINNT\SOUNDMAN.EXE
    D:\Alcatel\Speedtouch USB\Dragdiag.exe
    C:\Program Files\Common Files\Symantec Shared\SymTray.exe
    D:\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    D:\QuickTime\qttask.exe
    C:\Program Files\SEC\MT3.7_Eng\GammaTray.exe
    D:\SEC\Natural Color\NaturalColorLoad.exe
    D:\Microsoft Office\Office\1043\msoffice.exe
    C:\Program Files\Outlook Express\msimn.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    H:\anti-spyware\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jesmb.de/indexie.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot - Search & Destroy\SDHelper.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Alcatel\Speedtouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\SymTray.exe "Norton SystemWorks"
    O4 - HKLM\..\Run: [Zone Labs Client] "D:\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [NPS Event Checker] D:\NORTON~1\NORTON~1
    pscheck.exe
    O4 - Global Startup: Color Calibration.lnk = C:\Program Files\SEC\MT3.7_Eng\GammaTray.exe
    O4 - Global Startup: MagicTune3.6.lnk = C:\Program Files\SEC\MT3.6_Eng\MagicTuneTray.exe
    O4 - Global Startup: MagicTune3.7.lnk = C:\Program Files\SEC\MT3.7_Eng\MagicTuneTray.exe
    O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: NaturalColorLoad.lnk = D:\SEC\Natural Color\NaturalColorLoad.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\bin
    pjpi150_02.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\bin
    pjpi150_02.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FAD52F2E-3BBB-41D0-B1F9-41DD74AD3404}: NameServer = 62.235.14.4 62.235.13.199
    O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
    O23 - Service: NAV Alert - Symantec Corporation - D:\NORTON~1\NORTON~1\alertsvc.exe
    O23 - Service: NAV Auto-Protect - Symantec Corporation - D:\NORTON~1\NORTON~1
    avapsvc.exe
    O23 - Service: Norton Program Scheduler - Symantec Corporation - D:\NORTON~1\NORTON~1
    pssvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe




  • …en nog iets: wat is "webphone" (glophone.exe)? Want dat lijkt me ook iets verdachts (ofwel zie ik spoken).

    En ook mshta.exe, omschreven als "Microsoft HTML application host"?

    Zou ik van al deze programma's niet beter de toegang tot het Internet blokkeren?

    Niet alleen wil ik geen spyware of virussen, ik wil ook gewoon enkel en alleen de verbinding gebruiken voor de zaken die nodig zijn.

    Wie weet meer?
  • Je log is schoon, desalniettemin zijn een aantal van die programma's die jij opnoemt niet helemaal zuivere koffie.

    Ik ga daar geen uitspraak over doen, heb je die namen overgetypt of gekopieerd? Eén tikfout en het kan wel een heel ander bestand zijn,
    voorbeeld: lssass.exe of Issass.exe, de één is legitiem de ander een trojan.

    Tip: Zoek met behulp van Google op bestandsnaam, indien resultaten aangeven dat het malware is toestemming weigeren.

    Kijk daarna of deze bestanden ook op je systeem aanwezig zijn.
    Mogelijk kan je ze niet vinden, dan moeten verborgen bestanden weergegeven worden, kijk hier hoe dat moet.

    Bij twijfel kan je zo'n bestand altijd nog even uploaden naar http://virusscan.jotti.org en daar checken of het malware is.

    Groeten smeenk :wink:
  • [quote:a931c24d1b="smeenk"]…Je log is schoon, desalniettemin zijn een aantal van die programma's die jij opnoemt niet helemaal zuivere koffie.

    Ik ga daar geen uitspraak over doen, heb je die namen overgetypt of gekopieerd? Eén tikfout en het kan wel een heel ander bestand zijn,
    voorbeeld: lssass.exe of Issass.exe, de één is legitiem de ander een trojan…

    …Kijk daarna of deze bestanden ook op je systeem aanwezig zijn…

    …Bij twijfel kan je zo'n bestand altijd nog even uploaden naar http://virusscan.jotti.org en daar checken of het malware is…
    [/quote:a931c24d1b]

    Die bestanden staan op mijn computer.

    Inmiddels heb ik al e.e.a. gelezen over die Lsass.exe, bij mij is het met kleine letter "l".

    Als ze op mijn computer staan en de HiJackThis-log is schoon, wil dit zeggen dat die programma's niet actief zijn over het Internet?

    Ondertussen zal ik die bestanden eens scannen zoals voorgesteld.

    Groeten,

    Patrick
  • Als je denkt dat er nog meer op je systeem staat dat er niet hoort doe dan het volgende eens:
    probeer dan een onlinescan uit met Kaspersky WebScanner.

    Klik "Launch Kaspersky Anti-Virus Web Scanner"
    Er wordt gevraagd of je de activeX wil installeren, klik op "ja".
    Het programma zal daarna beginnen met de database/definition files te downloaden.
    Wanneer dit voltooid is, klik je op "Next"

    * Klik op "Scan Settings"
    Selecteer het volgende: (zal normaal gesproken standaard al zo staan)

    °Scan using the following Anti-Virus database: Standard

    °Scan Options: Scan Archives
    Scan Mail Bases

    * Klik OK
    * Onder 'select a target to scan', kies je voor "My Computer"

    * Nu zal het scannen beginnen. Dit zal een tijdje duren, dus wees geduldig.
    Wanneer de volledige scan gedaan is zal er een lijst getoond worden van alle geïnfecteerde bestanden.

    * Klik op de "Save as Text"-knop:
    Bewaar die log op je bureaublad en kopieer en plak de inhoud in je volgende bericht.

    Groeten smeenk :wink:

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.