Vraag & Antwoord

Beveiliging & privacy

problemen in HiJackThis-log?

5 antwoorden
  • In de lijst van de door mijn Firewall gecontroleerde programma's vind ik enkele zaken waarvan ik niet weet wat het is, b.v.: dll.host.exe (omschreven als "COM-surrogate"), DivX521XP2K.exe (zit in de map "DivXCodecs"), lsass.exe, iMeshV4.exe, ntlrpwt.exe, wrap32.exe, enzovoort... Moeten al deze programma's toegang hebben tot het Internet? Of erger: moeten deze programma's er wel zijn? Hier alvast een HiJackThis log: Logfile of HijackThis v1.99.1 Scan saved at 19:56:02, on 18/10/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\mgabg.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\PDesk\PDesk.exe C:\WINNT\SOUNDMAN.EXE D:\Alcatel\Speedtouch USB\Dragdiag.exe C:\Program Files\Common Files\Symantec Shared\SymTray.exe D:\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe D:\QuickTime\qttask.exe C:\Program Files\SEC\MT3.7_Eng\GammaTray.exe D:\SEC\Natural Color\NaturalColorLoad.exe D:\Microsoft Office\Office\1043\msoffice.exe C:\Program Files\Outlook Express\msimn.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE H:\anti-spyware\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jesmb.de/indexie.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Alcatel\Speedtouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\SymTray.exe "Norton SystemWorks" O4 - HKLM\..\Run: [Zone Labs Client] "D:\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NPS Event Checker] D:\NORTON~1\NORTON~1\npscheck.exe O4 - Global Startup: Color Calibration.lnk = C:\Program Files\SEC\MT3.7_Eng\GammaTray.exe O4 - Global Startup: MagicTune3.6.lnk = C:\Program Files\SEC\MT3.6_Eng\MagicTuneTray.exe O4 - Global Startup: MagicTune3.7.lnk = C:\Program Files\SEC\MT3.7_Eng\MagicTuneTray.exe O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NaturalColorLoad.lnk = D:\SEC\Natural Color\NaturalColorLoad.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\bin\npjpi150_02.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{FAD52F2E-3BBB-41D0-B1F9-41DD74AD3404}: NameServer = 62.235.14.4 62.235.13.199 O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe O23 - Service: NAV Alert - Symantec Corporation - D:\NORTON~1\NORTON~1\alertsvc.exe O23 - Service: NAV Auto-Protect - Symantec Corporation - D:\NORTON~1\NORTON~1\navapsvc.exe O23 - Service: Norton Program Scheduler - Symantec Corporation - D:\NORTON~1\NORTON~1\npssvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
  • ...en nog iets: wat is "webphone" (glophone.exe)? Want dat lijkt me ook iets verdachts (ofwel zie ik spoken). En ook mshta.exe, omschreven als "Microsoft HTML application host"? Zou ik van al deze programma's niet beter de toegang tot het Internet blokkeren? Niet alleen wil ik geen spyware of virussen, ik wil ook gewoon enkel en alleen de verbinding gebruiken voor de zaken die nodig zijn. Wie weet meer?
  • Je log is schoon, desalniettemin zijn een aantal van die programma's die jij opnoemt niet helemaal zuivere koffie. Ik ga daar geen uitspraak over doen, heb je die namen overgetypt of gekopieerd? Eén tikfout en het kan wel een heel ander bestand zijn, voorbeeld: lssass.exe of Issass.exe, de één is legitiem de ander een trojan. Tip: Zoek met behulp van Google op bestandsnaam, indien resultaten aangeven dat het malware is toestemming weigeren. Kijk daarna of deze bestanden ook op je systeem aanwezig zijn. Mogelijk kan je ze niet vinden, dan moeten verborgen bestanden weergegeven worden, [url=http://users.telenet.be/marcvn/spyware/1117602.htm]kijk hier hoe dat moet[/url]. Bij twijfel kan je zo'n bestand altijd nog even uploaden naar http://virusscan.jotti.org en daar checken of het malware is. Groeten smeenk :wink:
  • [quote:a931c24d1b="smeenk"]...Je log is schoon, desalniettemin zijn een aantal van die programma's die jij opnoemt niet helemaal zuivere koffie. Ik ga daar geen uitspraak over doen, heb je die namen overgetypt of gekopieerd? Eén tikfout en het kan wel een heel ander bestand zijn, voorbeeld: lssass.exe of Issass.exe, de één is legitiem de ander een trojan... ...Kijk daarna of deze bestanden ook op je systeem aanwezig zijn... ...Bij twijfel kan je zo'n bestand altijd nog even uploaden naar http://virusscan.jotti.org en daar checken of het malware is... [/quote:a931c24d1b] Die bestanden staan op mijn computer. Inmiddels heb ik al e.e.a. gelezen over die Lsass.exe, bij mij is het met kleine letter "l". Als ze op mijn computer staan en de HiJackThis-log is schoon, wil dit zeggen dat die programma's niet actief zijn over het Internet? Ondertussen zal ik die bestanden eens scannen zoals voorgesteld. Groeten, Patrick
  • Als je denkt dat er nog meer op je systeem staat dat er niet hoort doe dan het volgende eens: probeer dan een onlinescan uit met [url=http://www.kaspersky.com/downloads/kws/kavwebscan.html]Kaspersky WebScanner[/url]. Klik "Launch Kaspersky Anti-Virus Web Scanner" Er wordt gevraagd of je de activeX wil installeren, klik op "ja". Het programma zal daarna beginnen met de database/definition files te downloaden. Wanneer dit voltooid is, klik je op "Next" * Klik op "Scan Settings" Selecteer het volgende: (zal normaal gesproken standaard al zo staan) °Scan using the following Anti-Virus database: Standard °Scan Options: Scan Archives Scan Mail Bases * Klik OK * Onder 'select a target to scan', kies je voor "My Computer" * Nu zal het scannen beginnen. Dit zal een tijdje duren, dus wees geduldig. Wanneer de volledige scan gedaan is zal er een lijst getoond worden van alle geïnfecteerde bestanden. * Klik op de "Save as Text"-knop: Bewaar die log op je bureaublad en kopieer en plak de inhoud in je volgende bericht. Groeten smeenk :wink:

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.