Vraag & Antwoord

Beveiliging & privacy

Hijackthis log. Gehackt?

10 antwoorden
  • Hallo best CT leden. Vanwege crash van mijn windows Vista, die niet meer opstarten wil heb ik een dualboot gedaan met xp. Vanwege mijn HD5770, die probleem kennen jullie vast wel. Na paar dagen geleden, krijg ik allemaal rare dingen. Als ik afsluit krijg ik error melding van svchost blabla, en dan met een kruisje.(gaat snel weg) Ik ging naar mijn C schijf, zie een map genaamd _scott_. Probeer hem te verwijderen, komt hij weer terug. Er zitten verborgen mappen in, zet het optie aan en zie ze nog niet. Map heeft een grootte van 1,44 mb. En als ik weer opstart, krijg ik een popup met, er is een toepassing die toegang tot een beveiligd item vraagt. En het naam bevat: Een A met een streepje erop. Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 14:26:03, on 24-1-2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\XP\System32\smss.exe C:\XP\system32\winlogon.exe C:\XP\system32\services.exe C:\XP\system32\lsass.exe C:\XP\system32\Ati2evxx.exe C:\XP\system32\svchost.exe C:\XP\System32\svchost.exe C:\XP\system32\Ati2evxx.exe C:\XP\system32\spoolsv.exe C:\XP\system32\svchost.exe C:\XP\Explorer.EXE C:\XP\system32\wscntfy.exe C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe C:\XP\system32\Rundll32.exe C:\Program Files\Microsoft IntelliType Pro\itype.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\XP\system32\ctfmon.exe D:\steam\steam.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Program Files\Windows Live\Contacts\wlcomm.exe C:\XP\system32\wpabaln.exe C:\XP\system32\msiexec.exe C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe C:\Program Files\Mozilla Firefox\firefox.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [UpdReg] C:\XP\UpdReg.EXE O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [_scott_HKLM] C:\_scott_\_scott_\_scott_svchost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\XP\system32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [_scott_HKCU] C:\_scott_\_scott_\_scott_svchost.exe O4 - HKLM\..\Policies\Explorer\Run: [_scott_Policies] C:\_scott_\_scott_\_scott_svchost.exe O4 - HKCU\..\Policies\Explorer\Run: [_scott_Policies] C:\_scott_\_scott_\_scott_svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\XP\system32\CTFMON.EXE (User 'Lokale service') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\XP\system32\CTFMON.EXE (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\XP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\XP\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: In weblog opnemen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &In weblog opnemen met Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1264205784375 O17 - HKLM\System\CCS\Services\Tcpip\..\{B404558B-9EA0-421D-860E-08BFC75C657C}: NameServer = 195.241.77.55,192.241.77.58 O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\XP\system32\browseui.dll O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\XP\system32\browseui.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\XP\system32\Ati2evxx.exe -- End of file - 4244 bytes Ik heb geprobeerd die scottjes te verwijderen, maar na nog een keer scan komen ze terug. :( Ik hoop dat ik duidelijk genoeg ben geweest. Alvast bedankt.
  • http://www.idealsoftware.nl/MBAM/ :roll: Ik zou eerst even scannen met MBAM.
  • Dankuwel. Maar waarom die :roll: Zeker door mn verhaal.
  • [quote:90bd8a88d6="TheOnlyWay"]Dankuwel. Maar waarom die :roll: Zeker door mn verhaal.[/quote:90bd8a88d6] :roll: Ben gewoon benieuwd wat MBAM vindt. ( is ook de beste ) Post je log maar eens.
  • Malwarebytes' Anti-Malware 1.44 Database versie: 3627 Windows 5.1.2600 Service Pack 2 Internet Explorer 8.0.6001.18702 24-1-2010 17:03:35 mbam-log-2010-01-24 (17-03-35).txt Scan type: Snelle Scan Objecten gescand: 102016 Verstreken tijd: 3 minute(s), 57 second(s) Geheugenprocessen geïnfecteerd: 0 Geheugenmodulen geïnfecteerd: 0 Registersleutels geïnfecteerd: 0 Registerwaarden geïnfecteerd: 2 Registerdata bestanden geïnfecteerd: 0 Mappen geïnfecteerd: 0 Bestanden geïnfecteerd: 4 Geheugenprocessen geïnfecteerd: (Geen kwaadaardige items gevonden) Geheugenmodulen geïnfecteerd: (Geen kwaadaardige items gevonden) Registersleutels geïnfecteerd: (Geen kwaadaardige items gevonden) Registerwaarden geïnfecteerd: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\_scott_hkcu (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\_scott_hklm (Trojan.Agent) -> Quarantined and deleted successfully. Registerdata bestanden geïnfecteerd: (Geen kwaadaardige items gevonden) Mappen geïnfecteerd: (Geen kwaadaardige items gevonden) Bestanden geïnfecteerd: C:\Documents and Settings\Sadik\Application Data\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully. C:\Documents and Settings\Sadik\Local Settings\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully. C:\Documents and Settings\Sadik\Local Settings\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot. C:\_scott_\_scott_\_scott_svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully. [b:21e8bdc234]Ik doe nu een volledige scan.[/b:21e8bdc234]
  • Log van de volledige scan ook posten met een nieuw Hijackthis-log. Een expert daarin kan je dan verder helpen. :roll:
  • Bedankt dat je me helpt. [b:247ab87871]Malwarebytes' Anti-Malware 1.44[/b:247ab87871] Database versie: 3627 Windows 5.1.2600 Service Pack 2 Internet Explorer 8.0.6001.18702 25-1-2010 0:01:47 mbam-log-2010-01-25 (00-01-47).txt Scan type: Volledige Scan (C:\|D:\|E:\|) Objecten gescand: 347924 Verstreken tijd: 1 hour(s), 28 minute(s), 9 second(s) Geheugenprocessen geïnfecteerd: 0 Geheugenmodulen geïnfecteerd: 0 Registersleutels geïnfecteerd: 0 Registerwaarden geïnfecteerd: 2 Registerdata bestanden geïnfecteerd: 0 Mappen geïnfecteerd: 0 Bestanden geïnfecteerd: 6 Geheugenprocessen geïnfecteerd: (Geen kwaadaardige items gevonden) Geheugenmodulen geïnfecteerd: (Geen kwaadaardige items gevonden) Registersleutels geïnfecteerd: (Geen kwaadaardige items gevonden) Registerwaarden geïnfecteerd: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\_scott_hkcu (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\_scott_hklm (Trojan.Agent) -> Quarantined and deleted successfully. Registerdata bestanden geïnfecteerd: (Geen kwaadaardige items gevonden) Mappen geïnfecteerd: (Geen kwaadaardige items gevonden) Bestanden geïnfecteerd: C:\System Volume Information\_restore{B8455F3E-24F7-462C-A31E-DDD1BC45BC55}\RP17\A0004749.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully. E:\super_pi_mod-1.5\super_pi_mod.exe (Malware.Packer.Krunchy) -> Not selected for removal. C:\Documents and Settings\Sadik\Application Data\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully. C:\Documents and Settings\Sadik\Local Settings\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully. C:\Documents and Settings\Sadik\Local Settings\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot. c:\_scott_\_scott_\_scott_svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully. [b:247ab87871]Logfile of Trend Micro HijackThis v2.0.3 (BETA)[/b:247ab87871] Scan saved at 0:08:43, on 25-1-2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\XP\System32\smss.exe C:\XP\system32\winlogon.exe C:\XP\system32\services.exe C:\XP\system32\lsass.exe C:\XP\system32\Ati2evxx.exe C:\XP\system32\svchost.exe C:\XP\System32\svchost.exe C:\XP\system32\Ati2evxx.exe C:\XP\system32\spoolsv.exe C:\XP\system32\svchost.exe C:\XP\system32\wuauclt.exe C:\XP\Explorer.EXE C:\XP\system32\wscntfy.exe C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe C:\XP\system32\Rundll32.exe C:\Program Files\Microsoft IntelliType Pro\itype.exe C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\XP\system32\ctfmon.exe D:\steam\steam.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\EslWire\wire.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Program Files\DAEMON Tools Pro\DTProShellHlp.exe C:\Program Files\Windows Live\Contacts\wlcomm.exe C:\XP\system32\wpabaln.exe C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [UpdReg] C:\XP\UpdReg.EXE O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\XP\system32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ESL Wire] "C:\Program Files\EslWire\wire.exe" --tray O4 - HKLM\..\Policies\Explorer\Run: [_scott_Policies] c:\_scott_\_scott_\_scott_svchost.exe O4 - HKCU\..\Policies\Explorer\Run: [_scott_Policies] c:\_scott_\_scott_\_scott_svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\XP\system32\CTFMON.EXE (User 'Lokale service') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\XP\system32\CTFMON.EXE (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\XP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\XP\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000 O9 - Extra button: In weblog opnemen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &In weblog opnemen met Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1264205784375 O17 - HKLM\System\CCS\Services\Tcpip\..\{B404558B-9EA0-421D-860E-08BFC75C657C}: NameServer = 195.241.77.55,192.241.77.58 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI1933~1\Office12\GR99D3~1.DLL O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\XP\system32\browseui.dll O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\XP\system32\browseui.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\XP\system32\Ati2evxx.exe -- End of file - 5167 bytes Alvast heel erg bedankt
  • Hallo TheOnlyWay, vertel mij eerst maar eens, waarom jij geen antivirusprogramma in jouw Windows XP SP2 hebt zitten en wat je er eventueel aan wil doen. Want in wezen ben je nu 100% onverantwoordelijk bezig!
  • Word mijn pc traag. Hele computer formatteren en weg ervan. Goed idee? Ben ik gehackt ofso :P Heb namelijk Avast! gedownload.
  • [quote:5ac412f1b7="TheOnlyWay"]Word mijn pc traag. Hele computer formatteren en weg ervan. Goed idee? Ben ik gehackt ofso :P Heb namelijk Avast! gedownload.[/quote:5ac412f1b7] Typische antwoorden van een computeraar die niet weet waarover hij sprreekt! De kans dat je gehackt wordt, is zonder antivirus in je Windows tig malen groter dan met antivirus. En dan de gedachte dat de PC er langzaam door wordt! Hoe oud is die machine van jou? Je hebt er du helemaal geen weet van, maar goede moderne AV's vertragen nauwelijks tot vrijwel helemaal niet! Het gratis AV-tool Avira Antivir is een prachtig voorbeeld van een AV, welke je vrijwel niet in Windows bemerkt - maar je wel optimaal beveiligd, want inclusief aktieve spywarescanner! Het is de nummer één onder de gratis AV's: http://download.cnet.com/Avira-AntiVir-Personal-Free-Antivirus/3000-2239_4-10322935.html?part=dl-10322935&subj=dl&tag=button&cdlPid=11012914 Post het eerste log van Avira!

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.