Vraag & Antwoord

Beveiliging & privacy

Hijack logfile, en vraag over keyloggers

15 antwoorden
  • Hallo allemaal ! Afgelopen maand zijn er via mijn (inmiddels oude en geblokkeerde) Visa kaart bedragen afgeschreven. Het waren aankopen via internet gedaan. OK, Visa geïnformeerd, nieuwe kaart gekregen, en over de bedragen hoef je je als consument niet druk te maken, die worden gecorrigeerd. So far, so good. Maar het blijft toch een akelig idee. Ik weet ook niet of er een logger actief is, ik heb begrepen dat er talloze manieren zijn om aan je kaartgegevens te komen. En ik weet ook niet of Visa aan de gang blijft als dit soort dingen vaker voorkomen. Dus eigenlijk heb ik twee vragen: - What to do met die loggers, hoe ontdek ik ze, ZIJN ze wel te ontdekken? Mijn pc is af en toe wel erg traag, de muis reageert dan amper meer. - Voor de zekerheid maar een logfile gemaakt van Hijack, misschien dat iemand wil kijken? Meer info nodig? Vraag maar, ik weet niet wat jullie belangrijk vinden, en alvast bedankt voor de moeite. -------- Logfile of HijackThis v1.99.1 Scan saved at 14:30:22, on 8-2-2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Common Files\Symantec Shared\ccProxy.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\crypserv.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe D:\Norton\Norton AntiVirus\navapsvc.exe C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe D:\Norton\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe D:\Alcohol 120procent\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\sstray.exe C:\WINDOWS\anvshell.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe C:\WINDOWS\system32\ctfmon.exe C:\3DEmbroidery\DesignerSECommuni.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE D:\FTD\FTDv3.7.3\FTDv3.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE D:\Hijack This\Installatiebestand\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www5.hccnet.nl/hcc/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SpyBot\Spybot - Search & Destroy\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - D:\Norton\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - D:\Norton\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [LiveNote] livenote.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [pdfm] C:\Program Files\Osirius\PDF Maker\pdfmload.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [PDUiP6600DMon] C:\Program Files\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DesignerSECommuni.exe] C:\3DEmbroidery\DesignerSECommuni.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Corel Family & Friends Reminders.LNK = D:\Corel Print House\cffrem.exe O4 - Global Startup: SATARaid.lnk = ? O8 - Extra context menu item: &Download with &DAP - D:\DAP\DAP\dapextie.htm O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Office\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1145640631875 O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - D:\Norton\ccPwdSvc.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: COM Host (comHost) - Symantec Corporation - D:\Norton\comHost.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - D:\Norton\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Planner voor Automatische LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - D:\Norton\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Alcohol 120procent\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities\WinStylerThemeSvc.exe
  • Download [url=http://download.bleepingcomputer.com/sUBs/combofix.exe][b:4a8a73ad66]Combofix[/b:4a8a73ad66][/url] naar je Bureaublad.[list:4a8a73ad66] Dubbelklik [b:4a8a73ad66]Combofix.exe[/b:4a8a73ad66] Volg de instructies, aanvaard de disclaimer door "y" of "Y" te typen. Tijdens het runnen van de fix, [b:4a8a73ad66]NIET[/b:4a8a73ad66] in het venster klikken, want dit zal je pc doen vasthangen.[/list:u:4a8a73ad66] Wanneer de fix voltooid is en na herstart, zal de log [b:4a8a73ad66]combofix.txt[/b:4a8a73ad66] openen. [i:4a8a73ad66]Plaats deze log in je volgende post samen met een nieuw HijackThis log.[/i:4a8a73ad66] NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, mag je dit negeren. Download [url=ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe][b:4a8a73ad66][color=blue:4a8a73ad66]Dr.Web CureIt[/color:4a8a73ad66][/b:4a8a73ad66][/url] naar je Bureaublad:[list:4a8a73ad66][*:4a8a73ad66]Dubbelklik [b:4a8a73ad66]drweb-cureit.exe[/b:4a8a73ad66] Klik op udate [*:4a8a73ad66]Na de update verschijnt er een nieuw icoontje op je buroblad "CureIt.exe" dubbelklik het en klik op Scan, sta het toe om de express scan te starten. [*:4a8a73ad66]Dit zal de bestanden scannen die momenteel in het geheugen geladen zijn en wanneer er iets gevonden wordt, klik de [b:4a8a73ad66]Yes to all[/b:4a8a73ad66] knop bij de vraag 'cure it?'. Dit is enkel een korte scan. [*:4a8a73ad66]Eenmaal de korte scan is beëindigd, kan je de drives selecteren die je wilt laten scannen. [*:4a8a73ad66]Selecteer hier [b:4a8a73ad66]alle drives[/b:4a8a73ad66]. Een rood bolletje zal dan tevoorschijn komen op de drives die je laat scannen. [*:4a8a73ad66]Klik daarna de [b:4a8a73ad66]groene pijl[/b:4a8a73ad66] rechts om de scan te starten. [*:4a8a73ad66]Klik [b:4a8a73ad66]Yes to all[/b:4a8a73ad66] wanneer er gevraagd wordt om cure of move uit te voeren. [*:4a8a73ad66]Wanneer de scan beëindigd is, kijk of je kunt op het icoontje naast de gevonden bestanden klikken: [img:4a8a73ad66]http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif[/img:4a8a73ad66] [*:4a8a73ad66]Indien ja,klik er op en klik vervolgens op het icoontje er juist onder en selecteer [b:4a8a73ad66]Move incurable[/b:4a8a73ad66] zoals je hier ziet: [img:4a8a73ad66]http://users.telenet.be/bluepatchy/miekiemoes/images/move.gif[/img:4a8a73ad66] Dit verplaatst gevonden bestanden naar de "%userprofile%\DoctorWeb\quarantaine-map" indien herstel niet mogelijk is. [*:4a8a73ad66]Nadat de scan gedaan is, in het menu bovenaan, klik [b:4a8a73ad66]File[/b:4a8a73ad66] en kies [b:4a8a73ad66]Save report List[/b:4a8a73ad66]. Bewaar het op je Bureaublad. [*:4a8a73ad66]Sluit daarna Dr.Web Cureit. [*:4a8a73ad66][b:4a8a73ad66]Herstart[/b:4a8a73ad66] je computer!! [i:4a8a73ad66]Belangrijke stap, want het kan zijn dat Dr.Web Cureit bestanden zal verplaatsen/verwijderen tijdens herstart[/i:4a8a73ad66]. [*:4a8a73ad66]Na het herstarten, [b:4a8a73ad66]kopieer en plak de inhoud van die log die je eerder hebt bewaard in je volgende post[/b:4a8a73ad66]. [/list:u:4a8a73ad66] Negeer popups over Buy of 50% korting J
  • Juisterr, Deze progjes had ik al gedownload, want ik was ze al eerder in antwoorden van jou tegengekomen. De scan met combo heb ik inmiddels gedaan en het logje opgeslagen. De virusscan zal ik later vandaag doen, want ik heb het vermoeden dat dit enige tijd in beslag zal nemen, en aangezien ik momenteel de pc dringend nodig heb, zal ik later dus volledig scannen. De korte scan heb ik overigens al wel gedaan, hij heeft niets gevonden. Je hoort nog van me! Tot zover alvast bedankt. O ja, toch even dit: kijken deze progjes ook naar keyloggers, of moet ik daarvoor andere maatregelen nemen?
  • Voor inloggen op internet-sites voor bijvoorbeeld Internetbankieren e.d. heb ik nog wel een leuk progje: Keyscrambler. Dat is een programmaatje die de invoer veranderd voordat het aankomt bij programmaas zoals keyloggers die diep in het systeem verborgen zitten. En nog beter nieuws: het is GRATIS!!! :D [url]http://www.qfxsoftware.com/[/url] verder zijn programma's zoals Spyware doctor en Spysweeper hele goeie om veel rotzooi te verwijderen.
  • @ Bulletproof: Dank voor je info, ik zal het in m'n overwegingen meenemen! @ Juisterr: Het heeft even geduurd, maar dan heb je ook wat.... :wink: Voor ik de logjes hieronder plaats, even een korte samenvatting en een paar vragen hierover. Dr.Web heeft dus in de uitgebreide scan een aantal zaken gevonden. Een paar dingen had hij al halverwege de C-schijf (waar XP op staat) gevonden, en wilde niet verder voordat ik de opdracht "move" gaf. Nadat hij alle partities van m'n drie schijven doorlopen had, stonden er ong. vijftien verwijzingen op. Niet alles kon overigens gemoved worden. O ja, het Hijack log heb ik overigens pas gemaakt NA Dr. Weg had gemoved, en de pc opnieuw was opgestart, dus niet tussen Combo en Dr. Web in. De vragen: a) De bestanden zijn gemoved, verplaatst. Houdt dit concreet in dat ik ze dus weer kan herstellen indien er zich straks problemen optreden? Ik vraag dit, omdat er ook twee cracks zijn verplaatst voor programma's die ik en m'n vrouw veel gebruiken. En waar kan ik die verplaatste bestanden vinden? Ze staan niet in de Dr. Web-map. b) Die verplaatse bestanden, stel nu eens dat het idd akelige dingen waren, doen die nu niet meer mee ondanks dat ze dus nog wel op de schijf staan, maar dan in quarantaine? c) Een paar van de bestanden die niet verplaatst wilden worden, waren Volume System Information verwijzingen. Aan de omschrijving te zien, leken het wel registersleutels of zo, je kent ze wel, lange reeksen tekens met accolades. Ik heb ze ook niet in de verkenner gevonden merkwaardig genoeg. Het waren "paartjes", waarvan één deel een .exe toevoeging had en het ander deel weer niet. Die met de .exe toevoeging zijn niet verplaatst, die zonder juist wel. De status was adware.save now (met en zoder die .exe) Enig idee wat dit kan betekenen? En dan nog iets, wat ik net merk terwijl ik dit aan het typen ben: Norton komt met een melding dat een poging om mijn startpagina te veranderen geblokkeerd is. Normaal is HCCnet mijn startpagina, en iets wilde dit veranderen in www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome. Procesnaam is REGEDIT.com en de locatie is C:\sUBs\REGEDIT.com Dit is dus gekomen nadat ik Combo en Dr. Web heb gedraaid. Daar ben ik dus niet blij mee, dat er door die progjes schijnbaar iets mis is. En even voor de goede orde: ik gebruik geen msn, heb het voor zover ik dat kon ook uitgeschakeld, dat wil zeggen, het mag van mij niet opstarten. Nou ja, tot zover, en hieronder de gevraagde logs. Juisterr, alsvast bedankt voor je moeite en de tijd die je aan me kwijt bent. --------------------- "Peter en Trudy" - 07-02-11 13:08:18 Service Pack 2 ComboFix 07-02-11 - Running from: "D:\Combofix\installatiebestand" ((((((((((((((((((((((((((((((( Files Created from 2007-01-11 to 2007-02-11 )))))))))))))))))))))))))))))))))) 2007-02-08 13:49 <DIR> d-------- C:\DOCUME~1\PETERE~1\DoctorWeb 2007-02-08 13:38 <DIR> d-------- C:\!KillBox 2007-02-04 14:37 17,920 --a------ C:\WINDOWS\system32\mdimon.dll 2007-01-17 19:31 <DIR> d--h-c--- C:\WINDOWS\ie7 2007-01-17 19:31 <DIR> d-------- C:\WINDOWS\WBEM 2007-01-17 19:31 <DIR> d-------- C:\WINDOWS\system32\nl-nl 2007-01-17 19:30 121,856 --------- C:\WINDOWS\system32\xmllite.dll 2007-01-17 19:29 <DIR> d-------- C:\WINDOWS\network diagnostic 2007-01-12 19:10 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\Application Data\Adobe (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-02-08 00:42 -------- d-------- C:\DOCUME~1\PETERE~1\Application Data\limewire 2007-02-06 01:36 -------- d-------- C:\Program Files\Common Files\symantec shared 2007-02-04 15:00 -------- d---s---- C:\DOCUME~1\PETERE~1\Application Data\microsoft 2007-02-04 10:26 -------- d-------- C:\DOCUME~1\PETERE~1\Application Data\roxio 2007-01-31 20:06 128776 --a------ C:\DOCUME~1\PETERE~1\Application Data\gdipfontcachev1.dat 2006-12-31 18:59 665600 --a------ C:\WINDOWS\system32\drivers\hardlock.sys 2006-12-31 18:59 6656 --a------ C:\WINDOWS\system32\haspvdd.dll 2006-12-31 18:59 47616 --a------ C:\WINDOWS\system32\drivers\Haspnt.sys 2006-12-31 18:59 383 --a------ C:\WINDOWS\system32\haspdos.sys 2006-12-22 14:43 0 --a------ C:\WINDOWS\mfont.dat 2006-12-22 01:54 48776 --a------ C:\WINDOWS\system32\s32evnt1.dll 2006-12-22 01:54 115000 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS 2006-12-22 01:54 -------- d-------- C:\Program Files\symantec 2006-12-19 19:12 -------- d-------- C:\Program Files\windows media connect 2 2006-11-21 11:27 33280 --a------ C:\WINDOWS\system32\snmp.exe 2006-11-15 23:46 136192 --a------ C:\WINDOWS\system32\pushow77.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" "DesignerSECommuni.exe"="C:\\3DEmbroidery\\DesignerSECommuni.exe" "MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "nForce Tray Options"="sstray.exe /r" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" "anvshell"="anvshell.exe" "LiveNote"="livenote.exe" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit" "pdfm"="C:\\Program Files\\Osirius\\PDF Maker\\pdfmload.exe" "ccApp"="\"C:\\Program Files\\Common Files\\Symantec Shared\\ccApp.exe\"" "PDUiP6600DMon"="C:\\Program Files\\Canon\\Memory Card Utility\\iP6600D\\PDUiP6600DMon.exe" "Easy-PrintToolBox"="C:\\Program Files\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "RealPlayer"="\"D:\\Real Player\\realplay.exe\" /RunUPGToolCommandReBoot" "MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_05\\bin\\jusched.exe" "TkBellExe"="\"C:\\Program Files\\Common Files\\Real\\Update_OB\\realsched.exe\" -osboot" "RoxioAudioCentral"="\"D:\\Roxio ECDC 6\\AudioCentral\\RxMon.exe\"" "RoxioEngineUtility"="\"C:\\Program Files\\Common Files\\Roxio Shared\\System\\EngUtil.exe\"" "REGSHAVE"="C:\\Program Files\\REGSHAVE\\REGSHAVE.EXE /AUTORUN" "nwiz"="nwiz.exe /install" "ElbyCheckElbyCDFL"="d:\\clonecd\\ElbyCheck.exe /L ElbyCDFL" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "CloneCDTray"="d:\\clonecd\\CloneCDTray.exe" "QuickTime Task"="\"D:\\quick time\\qttask.exe\" -atboottime" "Share-to-Web Namespace Daemon"="D:\\HP Scanner\\HP Share-to-Web\\hpgs2wnd.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RunDLL] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="bridge" "hkey"="HKLM" "command"="rundll32.exe \"C:\\WINDOWS\\System32\\bridge.dll\",Load" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" "WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0 *newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_COMHOST Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\Norton AntiVirus - Volledige systeemscan uitvoeren - Peter en Trudy.job ******************************************************************** catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-02-11 13:10:20 C:\ComboFix2.txt ... 07-02-11 09:36 -------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 3:26:03, on 12-2-2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Common Files\Symantec Shared\ccProxy.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\crypserv.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe D:\Norton\Norton AntiVirus\navapsvc.exe C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe D:\Norton\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe D:\Alcohol 120procent\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\sstray.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\anvshell.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe C:\WINDOWS\system32\ctfmon.exe C:\3DEmbroidery\DesignerSECommuni.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE D:\Hijack This\Installatiebestand\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www5.hccnet.nl/hcc/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SpyBot\Spybot - Search & Destroy\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - D:\Norton\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - D:\Norton\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [LiveNote] livenote.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [pdfm] C:\Program Files\Osirius\PDF Maker\pdfmload.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [PDUiP6600DMon] C:\Program Files\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DesignerSECommuni.exe] C:\3DEmbroidery\DesignerSECommuni.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Corel Family & Friends Reminders.LNK = D:\Corel Print House\cffrem.exe O4 - Global Startup: SATARaid.lnk = ? O8 - Extra context menu item: &Download with &DAP - D:\DAP\DAP\dapextie.htm O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Office\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1145640631875 O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - D:\Norton\ccPwdSvc.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: COM Host (comHost) - Symantec Corporation - D:\Norton\comHost.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - D:\Norton\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Planner voor Automatische LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - D:\Norton\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Alcohol 120procent\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities\WinStylerThemeSvc.exe
  • dubbel, sorry.
  • Dit verplaatst gevonden bestanden naar de [b:d30d131676]"%userprofile%\DoctorWeb\quarantaine-map"[/b:d30d131676] indien herstel niet mogelijk is. cracks zei je?????? als in gekraakte programma's????
  • [quote:8dbfaf888b="juisterr"]Dit verplaatst gevonden bestanden naar de [b:8dbfaf888b]"%userprofile%\DoctorWeb\quarantaine-map"[/b:8dbfaf888b] indien herstel niet mogelijk is. cracks zei je?????? als in gekraakte programma's????[/quote:8dbfaf888b] Ja, dat bedoel ik. Zo omschrijft Dr.Web het ook, : crack voor dat-en-dat programma. Ik zal straks even proberen of het programma nog werkt, het is eigenlijk van m'n vrouw, vandaar. En ik heb de quarantainemap gevonden, die had zich merkwaardig genoeg op de C-schijf geïnstalleerd. Overigens sorry dat mijn voorgaande post er twee keer op staat, dat was een foutje van mij, waar ik te laat achter kwam. En nu brand ik van nieuwsgierigheid: Ben je er al aan toe gekomen om die logs te beoordelen?
  • Kopiëer en plak dit bestand :[list:ea3589f7fa] [b:ea3589f7fa] C:\WINDOWS\system32\pushow77.dll [/b:ea3589f7fa][/list:u:ea3589f7fa][list:ea3589f7fa] in het zoekvenster van [url=http://virusscan.jotti.org/][b:ea3589f7fa][color=blue:ea3589f7fa]Jotti[/color:ea3589f7fa][/b:ea3589f7fa][/url], vervolgens op [b:ea3589f7fa]Submit[/b:ea3589f7fa] klikken, en het VOLLEDIGE resultaat kopiëren en plakken in je volgende post. (Indien Jotti overbelast is, mag je ook [url=http://www.virustotal.com/flash/index_en.html]Virustotal[/url] gebruiken.)[/list:u:ea3589f7fa] ik zie dat je C:\!KillBox gebruikt hebt, dus dit zal niet je eerste logje zijn, is er niet gezegd killbox te verwijderen??
  • Hoi Juisterr! Even over Killbox: Heb ik inmiddels verwijderd. Nee, dit is niet mijn eerste logje, alhoewel de vorige alweer enige tijd geleden is. Overigens is Killbox mij door niemand aangeraden, ik ben het zelf tegengekomen in een aantal posts hier op het forum, en ik heb het gewoon eens geprobeerd met een paar bestandjes die ik weg wilde hebben (wat niet gelukt is). Enne, de reden dat ik nu weer met logjes kom, die ken je. Nou, hoe zit het nu met pushow77.dll ? Wel, die is op het genoemde adres C:\WINDOWS\system32\ niet meer te vinden, omdat Dr. Web die al in quarantaine heeft gezet. Maar ik heb wel Jotti laten zoeken door het bestand in de quarantainemap van Dr. Web aan te wijzen. En toen kwam Jotti met de volgende meldingen: File: pushow77.dll Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) MD5: b3560d5ec47aaebe51c2f60a155dda5b Packers detected: - Scan taken on 12 Feb 2007 20:36:34 (GMT) AntiVir Found ADSPY/AdvertMen.A.19 adware ArcaVir Found Adware.Surfaccuracy.Aa Avast Found Win32:Agent-CHS AVG Antivirus Found Generic.NPM BitDefender Found Trojan.Clicker.GG ClamAV Found nothing Dr.Web Found Adware.Advert F-Prot Antivirus Found W32/Adclicker.RD F-Secure Anti-Virus Found not-a-virus:AdWare.Win32.AdvertMen.a (4, 1, 400) Fortinet Found AdClicker.O!tr Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.AdvertMen.a NOD32 Found Win32/Adware.AdvertMen application Norman Virus Control Found W32/Advertmen.A VirusBuster Found Adware.AdvertMen.A VBA32 Found AdWare.Win32.AdvertMen.a
  • Ja dat zat erin, maak de quarantinebox van dr.web maar leeg start opnieuw op en scan opnieuw met dr.web, verwijder nu alles wat het vind.
  • Juisterr, Ik ben er voor een deel uit, denk ik. Ik heb vanavond Dr. Web weer laten draaien nadat ik alles uit de quarantainemap had verwijderd. Helaas kwam hij weer met een hele waslijst aan meldingen, waarvan de meeste dezelfde waren als op afgelopen zondag. Alleen die pushow77.dll was er nu niet meer, en nog een paar geïnfecteerde bestandjes. Nu op jouw aanraden meteen alles vanuit het programma verwijderd, maar een paar lieten zich niet verwijderen, die werden alleen verplaatst naar quarantaine. Die heb ik toen wederom uit die map verwijderd. Maar ja, hoe kon dat nou toch, dat bijna alles weer terug was.. Ik heb vervolgens Spybot gedraaid, een register cleaning gedaan, register gedefragmenteerd, een discclean gedaan, en de pc afgesloten en weer opgestart. Toen heb ik eerst het logje erbij genomen wat Dr. Web had gemaakt. Daar was iedere keer maar sprake van C:\ System Volume Information, waar die besmette bestanden inzaten. En ik zag in de verkenner die hele stomme map niet. Toen gegoogled, en dat bleek een verborgen systeemmap te zijn, die pas tevoorschijn komt als je een aantal dingen had aan- en uitgevinkt in mapopties. En in die map daar zitten o.a. je herstelpunten in van systeemherstel. Toen was het verder vrij simpel en duidelijk, die besmette bestanden zaten dus nog in het systeemherstel. Enfin, systeemherstel uitgeschakeld, daardoor verdwenen alle herstelpunten, en daarmee ook de besmette bestanden. Toen Dr. Web nog een keer laten draaien, en: Schoon!! :D Maar goed, nu weet ik nog steeds niet hoe het nu zit met een eventuele keylogger in verband met die Visakaart. Ik durf eerlijk gezegd niet zo goed meer m'n nieuwe kaart te gebruiken. Je krijgt oneerlijke transacties wel vergoed, maar toch.... Ik heb het door Bulletproof genoemde KeyScrambler inmiddels gedownload. Maar er wordt toch ook hier en daar wel getwijfeld of het progje wel zo goed werkt, of liever gezegd, of dat progje ook niet te kraken is door keyloggers. Ik heb in ieder geval nu toch maar een nieuwe Hijacklog gemaakt, ik ben benieuwd wat jij en andere experts hier ervan zeggen, of er iets in is te ontdekken van een keylogger of dergelijke. En wederom bedankt voor je tijd en inzet! -------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 23:01:59, on 13-2-2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Common Files\Symantec Shared\ccProxy.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\crypserv.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe D:\Norton\Norton AntiVirus\navapsvc.exe C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe D:\Norton\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe D:\Alcohol 120procent\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\sstray.exe C:\WINDOWS\anvshell.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\3DEmbroidery\DesignerSECommuni.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE D:\Norton\ccEmFlSv.exe D:\Hijack This\Installatiebestand\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www5.hccnet.nl/hcc/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SpyBot\Spybot - Search & Destroy\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - D:\Norton\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - D:\Norton\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [LiveNote] livenote.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [pdfm] C:\Program Files\Osirius\PDF Maker\pdfmload.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [PDUiP6600DMon] C:\Program Files\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DesignerSECommuni.exe] C:\3DEmbroidery\DesignerSECommuni.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Corel Family & Friends Reminders.LNK = D:\Corel Print House\cffrem.exe O4 - Global Startup: SATARaid.lnk = ? O8 - Extra context menu item: &Download with &DAP - D:\DAP\DAP\dapextie.htm O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Office\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1145640631875 O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - D:\Norton\ccPwdSvc.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: COM Host (comHost) - Symantec Corporation - D:\Norton\comHost.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - D:\Norton\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Planner voor Automatische LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - D:\Norton\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Alcohol 120procent\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities\WinStylerThemeSvc.exe
  • Logje ziet er nu schoon uit, geen spoor van een keylogger. Hoe komt dat terug, waarschijnlijk een verborgen installer die iedere keer dat bestandje terug plaatst. Die is nu ook weg dus bestandje komt niet meer terug.
  • [quote:947e881cd5="juisterr"]Logje ziet er nu schoon uit, geen spoor van een keylogger. Hoe komt dat terug, waarschijnlijk een verborgen installer die iedere keer dat bestandje terug plaatst. Die is nu ook weg dus bestandje komt niet meer terug.[/quote:947e881cd5] Mooi, daar ben ik blij mee! En dan denk ik dat dit draadje tot een eind komt, en wil ik je heel hartelijk bedanken voor de hulp die je me gegeven hebt!
  • Maar natuurlijk, succes verder. Hier nog wat tips. [url=http://www.jawwi.nl/tips/beveiligen.html]tips[/url]

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.