Vraag & Antwoord

Beveiliging & privacy

Anti-Spyware: beetgenomen? HiJackThis-log - dringend!

11 antwoorden
  • Nadat ik enkele dagen geleden op aanraden van iemand op een ander forum de trial-versie van "Owido Security Suite" heb geïnstalleerd krijg ik nu plots een andere bureaublad-achtergrond met de melding "your computer is infected" , extra icoontjes op mijn taakbalk onderaan met o.a. eveneens de melding "your computer is infected", snelkoppelingen op mijn bureablad naar sites met "Anti-Spyware" en word ik automatisch naar een website geleid vanwaar je de programma's "PS Guard" en "Spy Trooper" kunt (of beter gezegd "zou moeten") installeren. Mijn firewall meldt ook dat o.a. winlogon.exe en Id2E54.tmp toegang proberen te verkrijgen tot het Internet, waarschuwingen die ik normaal gezien niet krijg. Het lijkt mij dat al die fenomenen eerder het gevolg zijn van spyware dan dat ze een bescherming ertegen zouden zijn. Alleszins, ik heb ze niet gevraagd en wil ze ook niet. Kan dit het gevolg zijn van de installatie van "Owido Security Suite"? Want voor de installatie ervan was mijn computer "schoon" ( op een paar "tracking cookies" na), en ik zou bijGod niet weten welke sites ik ondertussen zou bezocht hebben waar ik dat zou kunnen "geattrappeerd" hebben. Kunnen jullie me helpen om mijn computer opnieuw schoon te krijgen? Hier alvast een HiJackThis-logfile met al zeker een aantal zaken in de System32-map die volgens mij daar niet moeten zijn: Logfile of HijackThis v1.99.1 Scan saved at 10:36:37, on 25/10/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\svchost.exe D:\ewido\security suite\ewidoctrl.exe C:\WINNT\system32\mgabg.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\PDesk\PDesk.exe C:\WINNT\SOUNDMAN.EXE D:\Alcatel\Speedtouch USB\Dragdiag.exe D:\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe D:\QuickTime\qttask.exe D:\SEC\Natural Color\NaturalColorLoad.exe D:\Microsoft Office\Office\1043\msoffice.exe C:\Program Files\Outlook Express\msimn.exe D:\RealPlayer\RealPlay.exe C:\WINNT\system32\nvctrl.exe C:\WINNT\system32\mssearchnet.exe C:\WINNT\system32\1024\ld2E54.tmp C:\WINNT\system32\intell32.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE H:\anti-spyware\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jesmb.de/indexie.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINNT\system32\hpFDA0.tmp O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Program Files\Security Toolbar\Security Toolbar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Alcatel\Speedtouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [Zone Labs Client] "D:\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NPS Event Checker] D:\NORTON~1\NORTON~1\npscheck.exe O4 - HKLM\..\Run: [intell32.exe] C:\WINNT\system32\intell32.exe O4 - HKLM\..\Run: [P.S.Guard] C:\Program Files\P.S.Guard\PSGuard.exe O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NaturalColorLoad.lnk = D:\SEC\Natural Color\NaturalColorLoad.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\bin\npjpi150_02.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FAD52F2E-3BBB-41D0-B1F9-41DD74AD3404}: NameServer = 62.235.14.4 62.235.13.199 O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: ewido security suite control - ewido networks - D:\ewido\security suite\ewidoctrl.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe O23 - Service: NAV Alert - Symantec Corporation - D:\NORTON~1\NORTON~1\alertsvc.exe O23 - Service: NAV Auto-Protect - Symantec Corporation - D:\NORTON~1\NORTON~1\navapsvc.exe O23 - Service: Norton Program Scheduler - Symantec Corporation - D:\NORTON~1\NORTON~1\npssvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
  • Als je de software pas geinstalleerd hebt en je hebt Windows XP, dan kun je misschien beter voor een systeem-herstel kiezen. Dan ben je waarschijnlijk helemaal "clean". Anders haal je misschien wel de verwijzingen weg, maar niet alle software (spyware) zelf.
  • Systeemherstel is niet nodig, er is een goed werkend tooltje om de smitfraud infectie op te ruimen :wink: 1. Download [url=http://noahdfear.geekstogo.com/click%20counter/click.php?id=1]smitRem.exe[/url]. Pak alle bestanden uit op je bureaublad. 2. Start je computer op in veilige modus. [url=http://users.pandora.be/marcvn/spyware/1378056.htm]Kijk hier hoe dat moet[/url]. 3. Start HijackThis en kies voor "Do a system scan only" en plaats een vinkje voor de volgende regels: [b:774b61f137]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINNT\system32\hpFDA0.tmp O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Program Files\Security Toolbar\Security Toolbar.dll O4 - HKLM\..\Run: [intell32.exe] C:\WINNT\system32\intell32.exe O4 - HKLM\..\Run: [P.S.Guard] C:\Program Files\P.S.Guard\PSGuard.exe[/b:774b61f137] 4. Open de smitrem-map op je bureaublad, en dubbelklik op RunThis.bat. Volg de aanwijzigingen op het scherm. Je bureaublad en ikoontjes zullen even verdwijnen en daarna terug verschijnen, dit is normaal. Wacht tot het tooltje zijn werk heeft gedaan en Disk Cleanup afgelopen is. Dit kan enige tijd duren, dus wees geduldig. Nadien zal je Windows uiterlijk waarschijnlijk veranderd zijn in de zogenaamde "Klassieke stijl". Dit kan je zelf weer terug veranderen naar de "XP-stijl". 5. Ga naar Start - Configuratiescherm - Beeldscherm - tabblad Bureaublad - klik op de knop "Bureaublad aanpassen" - tabblad Website. Haal indien nog aanwezig het vinkje weg bij "Security Info". 6. Herstel je webinstellingen: Ga naar Configuratiescherm --> Internetopties --> tabblad Programma's. Klik op de "Webinstellingen herstellen". 7. Maak je Temp-map leeg: Start – Uitvoeren tik in: %TEMP% Selecteer alles wat daar staat en verwijder deze. 8. Maak daarna je prullenbak leeg. 9. Ledig de map met Tijdelijke internetbestanden: Ga naar Configuratiescherm – Internetopties – tabblad Algemeen – klik bij Tijdelijke internetbestanden op Bestanden Verwijderen. 10. Ewido is een goed programma, laat het maar eens scannen en sla het log op, post straks dat log ook maar. 11. Herstart daarna je computer in normale modus. Post het rapport (logje) van smitrem (Zoek naar [b:774b61f137]c:\smitfiles.txt[/b:774b61f137] en post een nieuw HijackThislog. Vertel even hoe de situatie nu is. Groeten smeenk :wink:
  • Installatie is van enkele dagen geleden en ik werk met Windows 2000. Kan er niemand iets doen met de HijackThis-log? Wel een schrijffout: het betreft "Ewido Security Suite" i.p.v. "Owido...". Wie kent er dit programma?
  • Ewido is een prima anti-trojan- antivirus en antispywarescanner. Ik heb al een fix voor je gepost(mocht je die gemist hebben) Groeten smeenk :)
  • Mijn computer is nog niet helemaal schoon! Ik krijg nog steeds knipperende icoontjes in de taakbalk onderaan. Ik heb wel niets kunnen doen in veilige modus, als ik opstart in veilige modus loopt mijn computer vast. Hieronder alle logfiles: Ewido rapport: --------------------------------------------------------- ewido security suite - Scan rapport --------------------------------------------------------- + Gemaakt op: 12:02:27, 25/10/2005 + Rapport samenvatting: FCEDCC72 + Scan resultaten: HKLM\SOFTWARE\Classes\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Schoongemaakt met een backup C:\Documents and Settings\Administrator\Cookies\administrator@stat.onestat[2].txt -> Spyware.Cookie.Onestat : Schoongemaakt met een backup D:\Norton SystemWorks\Norton CleanSweep\Backup\newd0825.BUD/Program Files/NewDotNet/newdotnet4_85.dll -> Spyware.NewDotNet : Fout gedurende het schoonmaken ::Einde rapport HijackThis-log: Logfile of HijackThis v1.99.1 Scan saved at 12:04:07, on 25/10/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\svchost.exe D:\ewido\security suite\ewidoctrl.exe C:\WINNT\system32\mgabg.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\nvctrl.exe C:\WINNT\system32\mssearchnet.exe C:\WINNT\system32\PDesk\PDesk.exe C:\WINNT\SOUNDMAN.EXE D:\Alcatel\Speedtouch USB\Dragdiag.exe D:\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe D:\QuickTime\qttask.exe D:\SEC\Natural Color\NaturalColorLoad.exe D:\Microsoft Office\Office\1043\msoffice.exe C:\WINNT\uninstIU.exe C:\WINNT\uninstIU.exe C:\WINNT\uninstIU.exe C:\WINNT\uninstIU.exe C:\WINNT\uninstIU.exe C:\WINNT\uninstIU.exe C:\WINNT\explorer.exe C:\WINNT\uninstIU.exe C:\WINNT\uninstIU.exe C:\WINNT\uninstIU.exe C:\WINNT\uninstIU.exe C:\WINNT\uninstIU.exe C:\WINNT\uninstIU.exe D:\ewido\security suite\SecuritySuite.exe C:\WINNT\system32\NOTEPAD.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINNT\uninstIU.exe H:\anti-spyware\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jesmb.de/indexie.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINNT\system32\hpDD6F.tmp O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Alcatel\Speedtouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [Zone Labs Client] "D:\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NPS Event Checker] D:\NORTON~1\NORTON~1\npscheck.exe O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NaturalColorLoad.lnk = D:\SEC\Natural Color\NaturalColorLoad.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{FAD52F2E-3BBB-41D0-B1F9-41DD74AD3404}: NameServer = 62.235.14.4 62.235.13.199 O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: ewido security suite control - ewido networks - D:\ewido\security suite\ewidoctrl.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe O23 - Service: NAV Alert - Symantec Corporation - D:\NORTON~1\NORTON~1\alertsvc.exe O23 - Service: NAV Auto-Protect - Symantec Corporation - D:\NORTON~1\NORTON~1\navapsvc.exe O23 - Service: Norton Program Scheduler - Symantec Corporation - D:\NORTON~1\NORTON~1\npssvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe Smitfiles: smitRem log file version 2.7 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key present! Running LTDFix/PSGuard.com fix! PSGuard.com key was successfully removed! :) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ P.S.Guard ~~~ Shortcuts ~~~ PSGuard.com ~~~ Favorites ~~~ ~~~ system32 folder ~~~ msvol.tlb ld****.tmp mssearchnet.exe ncompat.tlb nvctrl.exe mscornet.exe oleext.dll hp***.tmp ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ uninstIU.exe ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ msvol.tlb ld****.tmp mssearchnet.exe ncompat.tlb nvctrl.exe mscornet.exe oleext.dll hp***.tmp ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ uninstIU.exe ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ wininet.dll is missing!!
  • [quote:fe9da03e39="patrickda"]Mijn computer is nog niet helemaal schoon! Ik krijg nog steeds knipperende icoontjes in de taakbalk onderaan.[/quote:fe9da03e39] En mijn startpagina is nog steeds http://www.warningmessage.com/ met de melding: "Warning, spyware detected, your private info is collected by W32.Sinnaka.A@mm", hoewel hij anders staat ingesteld in het configuratiescherm (te zien in de HijackThis-log). Behalve deze twee zaken die ik op het eerste zicht nog zie lijkt het toch al wat opgeschoond. Kunnen jullie me nog verder helpen?
  • In de system32-map heb ik ldD13A.tmp en hpD5CE.tmp staan die ik niet kan verwijderen. Als ik het probeer krijg ik de melding dat die bestanden mogelijks in gebruik zijn, zelfs al ben ik niet verbonden en is Internet Explorer niet in gebruik. Volgens mij zitten die bestanden er wel voor iets tussen. Hoe verwijder ik ze?
  • Probeer anders even dit: Start HijackThis en vink de volgende regel aan: [b:61664e077a]O2 - BHO: (no name) - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINNT\system32\hpDD6F.tmp[/b:61664e077a] Verwijder deze door op "Fix checked" te klikken. Download [url=http://www.bleepingcomputer.com/files/spyware/KillBox.zip]Pocket KillBox[/url]. Unzip het programma naar je bureaublad. Klik op killbox.exe. Selecteer de optie “Delete on reboot”. In het veld “Full path of file to delete" Kopieer en plak je het volgende: [code:1:61664e077a]C:\WINNT\system32\hpDD6F.tmp C:\WINNT\system32\msvol.tlb C:\WINNT\system32\mssearchnet.exe C:\WINNT\system32\ncompat.tlb C:\WINNT\system32\nvctrl.exe C:\WINNT\system32\mscornet.exe C:\WINNT\system32\oleext.dll C:\WINNT\uninstIU.exe[/code:1:61664e077a] Klik op de knop met de rode cirkel en het witte kruis. Wanneer het programma vraagt om nu te rebooten, geef je hier toestemming voor. Klik op de knop "YES". Als deze niet wil rebooten herstart dan zelf je computer. Open nu de smitrem-map op je bureaublad, en dubbelklik op RunThis.bat. Volg de aanwijzigingen op het scherm. Je bureaublad en ikoontjes zullen even verdwijnen en daarna terug verschijnen, dit is normaal. Wacht tot het tooltje zijn werk heeft gedaan en Disk Cleanup afgelopen is. Dit kan enige tijd duren, dus wees geduldig. Nadien zal je Windows uiterlijk waarschijnlijk veranderd zijn in de zogenaamde "Klassieke stijl". Dit kan je zelf weer terug veranderen naar de "XP-stijl". Ga naar Start - Configuratiescherm - Beeldscherm - tabblad Bureaublad - klik op de knop "Bureaublad aanpassen" - tabblad Website. Haal indien nog aanwezig het vinkje weg bij "Security Info". Herstart de computer nogmaals en post het nieuwe logje van smitrem en ook een nieuw log van HijackThis Groeten smeenk :wink:
  • http://www.bluemedicine.be/forum/viewtopic.php?t=1219 Dat vind ik persoonlijk dan weer niet zo netjes :-? Zowel Miekiemoes als ik, bieden HijackThis hulp aan op meerdere fora. Als je ons op deze wijze 2x hetzelfde laat doen, gaat dat gewoon ten koste van de (toch al) schaarse tijd die we hier aan kunnen besteden. Dan had 1 van ons beiden op dat moment iemand anders kunnen helpen. Hier bij forum.computertotaal.nl valt het nog wel mee, maar er zijn fora waar we de stroom logjes amper aankunnen. Gaarne hier rekening mee houden in de toekomst :wink: Groeten smeenk
  • Sorry Smeenk, Ik wist eigenlijk niet dat het ook "not done" is om dubbel te posten in verschillende fora. Ik had het enkel gedaan met de bedoeling om zo snel mogelijk hulp te krijgen. Mijn computer lijkt wel weer in orde nu. Mijn welgemeende excuses en ook heel erg bedankt voor de hulp! Groeten, Patrick

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.