Vraag & Antwoord

Beveiliging & privacy

Hijack?

16 antwoorden
  • Ik heb het volgende probleem: Mijn startpagine in IE6 is plots veranderd naar Symantec. Ik kan hem n iet meer op planet.nl teryg krijgen. Ik heb een hijeckthis gemaakt en vraag vriendelijk of u/jullie ddar eens naar willen kijken. Ik heb wel een keylogger verwijderd in de safe opstart van windows xp sp2. Hartelijk dank alvast. Rob. Logfile of HijackThis v1.99.1 Scan saved at 21:06:33, on 25-11-2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe C:\WINDOWS\Dit.exe C:\WINDOWS\zHotkey.exe C:\WINDOWS\system32\RunDll32.exe C:\Program Files\Home Cinema\PowerCinema\PCMService.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe C:\WINDOWS\system32\Rundll32.exe C:\Program Files\DAP\DAP.EXE C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\DU Meter\DUMeter.exe C:\Program Files\CookieWall\cookie.exe C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE C:\Program Files\Keylogger Hunter\KeyloggerHunter.exe C:\Program Files\Webroot\Spy Sweeper\SSU.EXE C:\Program Files\Messenger\msmsgs.exe C:\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.nl/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] zHotkey.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DU Meter] "C:\Program Files\DU Meter\DUMeter.exe" O4 - HKLM\..\Run: [CookieWall] "C:\Program Files\CookieWall\cookie.exe" O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] "C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe" /nosplash O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Program Files\Norton SystemWorks\Norton Cleanup\WCQuick.lnk O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Program Files\Norton SystemWorks\Norton Cleanup\WCQuick.lnk O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file) O14 - IERESET.INF: START_PAGE_URL=http://www.msn.nl/ O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0846d3b71faefaf41a15/netzip/RdxIE601.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: MpService - Canon Inc - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: Planner voor Automatische LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
  • start hjt opnieuw en doe een systemscan only, vink onderstaande regel aan sluit alle vensters behalve HJT en klik op fix checked. [b:3059c52e4d]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage[/b:3059c52e4d] probeer nu eens je pagina te veranderen.
  • Bedankt juisterr voor het idee. Het werkt niet. Ik heb zelfs geprobeert om in de registry de main page te verwijderen. Het adres lukt wel en dan zet ik daat weer planet neer. Als ik dan bij de eigenschappen van IE kijk is Symantec weer terug. Ik begin een beetje genoeg te krijgen van deze club. http://securityresponse.symantec.com/avcenter/fix_homepage/ Zie bovenstaande url die steeds weer terug komt. Er staat op deze pagina dat ik mijn startpage kan veranderen maar weer gebeurt er niets. Nog meer ideeen, aub??? Groetjes uit Valkenburg aan Zee, Rob.
  • kijk ook hier eens: http://support.microsoft.com/kb/320159/nl
  • En je kan bij opties niet je pagina veranderen??? Merkwaardig. Ik zie geen malware oid, misschien dat Gerben een oplossing weet.
  • Heren mijn dank voor het meedenken, maar het is (nog) niet gelukt. :( Ik heb alle voorstellen geprobeert maar de url van Symantic blijft terug komen. Heb drie maal Norton virusscanner laten lopen, geen resultaat. Niets gevonden. Mischien moet ik hier mee leven. Oh ja, wat er ook gebeurt is: Ik kan geen herstelpunt oproepen. Doet het gewoon niet. En ik heb geprobeert om IE7 te installeren. Gaat prachtig door de installatie heen en op het einde krijg ik te zien: installatie niet gelukt. Ik moet er wel bij zeggen dat dit een computer van de Media Markt is......... Een Microstar met Pentium 4 3.2mhz 2GB geheugen en nog een heleboel andere leuke dingen. Groeten, Rob.
  • probeer onderstaande eens. ga naar start > uitvoeren en typ: [b:3c7dc4c289]regsvr32 urlmon.dll regsvr32 jscript.dll regsvr32 wshom.ocx[/b:3c7dc4c289] (enter na iedere regel) of. Nog een tip voor systeemherstel: http://www.antispywareoffensief.nl/forum/showthread.php?t=19077 Als je XP Pro hebt kan je het volgende proberen: Start >> Uitvoeren >> gpedit.msc >> OK Onder Beleid voor Lokale computer >> Beheersjablonen >> Systeem >> Systeemherstel. Als je 'systeemherstel uitschakelen' uitschakelt, werkt systeemherstel weer
  • Hi juisterr, Daar ben ik weer, er moet ook nog gewerkt worden......... Heb je eerste drie ideeen geprobeert en de eerste twee komen terug met "geslaagd". De derde is niet te vinden. Heb geen XP pro dus dat idee werkt niet. Ga je url eens doorlezen want dat is een heel verhaal. Mischien dat daar iets staat wat ik nodig heb. O ja. symantec kwam terug met de opmerking dat het probleem in C;\Windows\system32\rundll32.exe zit. Maar ik kan dit niet verwisselen. Heb een andere gedownload maar wordt niet geaccepteerd omdat de "oude" dl32.exe niet verdwijnen wil. Groetjes, Rob.
  • Misschien de startpaginabeveiliging van Norton: Om de instellingen van startpagina te wijzigen ga je naar: Norton Protection Center --> Browsen op het web --> Spyware Beveiliging --> Opties voor spyware configureren --> Beveiliging van startpagina (linkerkolom) --> Beveiliging van startpagina inschakelen (kun je aan- of uitvinken).
  • Bedankt Smeenk voor het idee. Werkt niet. De pagina van symantec blijft terug komen. Rob.
  • En toen werd het stil aan het front. Jammer........ Rob.
  • Heb je een gekochte versie van SpySweeper? Deïnstalleer dit programma eens, probeer de startpagina te wijzigen en installeer SpySweeper opnieuw. Groeten smeenk ;)
  • Ja, ik heb een "echte" versie van Spy Sweeper. Ga ik proberen, je hoort nog van me. Bedankt! Rob.
  • Smeenk, schot in de roos!!! Spy Sweeper was de boosdoener. Heb hem in msconfig -->opstart uitgezet en dat was voldoende. Blijkt dus eenvoudig op te lossen als je maar weet waar! Nogmaals bedankt voor de inspanning, Rob.
  • Met msconfig uitzetten is volgens mij niet voldoende, zodra je SpySweeper opstart wordt die startpagina dan weer terug gewijzigd. Maar dit moet je maar even uitproberen :wink:
  • Al 5 maal uitgeprobeert en het blijft werken "as advertised". Rob

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.