Vraag & Antwoord

Beveiliging & privacy

Hijack control

Anoniem
None
7 antwoorden
 • Hallo,
  Ik ben bezig met het verwijderen van een irritante Trojan virus. Gelijktijdig zijn er weer allerlei balken op mijn computer geinstalleerd die ik niet wil. Via HijackThis al e.e.a. kunnen verwijderen, maar hou er nog steeds een over.
  Hieronder een logfile van Hij. Wil iemand kijken wat ik nog moet fixen? Ik kom niet verder.
  Alvast Txs!

  Logfile of HijackThis v1.97.7
  Scan saved at 22:37:47, on 19-1-2004
  Platform: Windows XP SP1 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\Norton AntiVirus\navapsvc.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\System32\devldr32.exe
  C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
  C:\PROGRA~1\NORTON~1\navapw32.exe
  C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
  C:\Program Files\Real\RealPlayer\RealPlay.exe
  C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
  C:\Program Files\QuickTime\qttask.exe
  C:\WINDOWS\System32\a.exe
  C:\DOCUME~1\Mart\LOCALS~1\Temp\msbb.exe
  C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe
  C:\WINDOWS\System32\ctfmon.exe
  C:\Program Files\MSN Messenger\MsnMsgr.Exe
  C:\PROGRA~1\COMMON~2\ADDRES~1\comwiz.exe
  C:\Program Files\IncrediMail\bin\IncrediMail.exe
  C:\Program Files\Internet Explorer\IEXPLORE.EXE
  C:\Documents and Settings\Mart\Local Settings\Temp\Tijdelijke map 3 voor hijackthis1977.zip\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~2\ADDRES~1\cnbabe.dll
  O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
  O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
  O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
  O2 - BHO: (no name) - {ABC6E7B5-9839-E1A7-3F27-B46EA0DAEBBF} - C:\WINDOWS\system32\kuydznif.dll
  O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
  O2 - BHO: (no name) - {D8E25C53-9508-4f5c-9249-D98D438891D5} - C:\WINDOWS\System32\ssurf022.dll
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
  O4 - HKLM\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncrediMail.exe /c
  O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
  O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
  O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
  O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
  O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
  O4 - HKLM\..\Run: [winactive] C:\Program Files\Window Active\winactive.exe
  O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
  O4 - HKLM\..\Run: [SafeSurfingUpdate] C:\WINDOWS\System32\SSUpdate.exe
  O4 - HKLM\..\Run: [CJMPS] C:\WINDOWS\CJMPS.exe
  O4 - HKLM\..\Run: [systray] C:\WINDOWS\System32\a.exe
  O4 - HKLM\..\Run: [] c:\WINDOWS\System32\
  O4 - HKLM\..\Run: [ADG] C:\WINDOWS\ADG.exe
  O4 - HKLM\..\Run: [msbb] C:\DOCUME~1\Mart\LOCALS~1\Temp\msbb.exe
  O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
  O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
  O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
  O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\WebMenuImg.htm
  O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
  O8 - Extra context menu item: Add A Page Note - C:\Program Files\CommonName\AddressBar\createnote.htm
  O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
  O8 - Extra context menu item: Bookmark This Page - C:\Program Files\CommonName\AddressBar\createbookmark.htm
  O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
  O8 - Extra context menu item: Email This Link - C:\Program Files\CommonName\AddressBar\emaillink.htm
  O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
  O9 - Extra button: Related (HKLM)
  O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
  O9 - Extra button: Messenger (HKLM)
  O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
  O11 - Options group: [CommonName] CommonName
  O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
  O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
  O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20031216/qtinstall.info.apple.com/mickey/us/win/QuickTimeInstaller.exe
  O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
  O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
  O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
  O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37862.2740277778
  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash5r42.cab
 • Je hebt een aardige verzameling spyware en aanverwante rommel.

  Eerst maar een beetje opruimen:
  Download Spybot S&D, installeer, haal de laatste updates op. Sluit alle browservensters. Laat hem dan scannen en verwijder alles wat in rood is aangegeven:

  www.safer-networking.org/

  Plaats dan een nieuw log
 • Laat HT volgende items repareren. Zorg dat alle andere vensters (inclusief je browser) gesloten zijn.

  O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~2\ADDRES~1\cnbabe.dll
  O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
  O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
  O2 - BHO: (no name) - {ABC6E7B5-9839-E1A7-3F27-B46EA0DAEBBF} - C:\WINDOWS\system32\kuydznif.dll
  O2 - BHO: (no name) - {D8E25C53-9508-4f5c-9249-D98D438891D5} - C:\WINDOWS\System32\ssurf022.dll
  O4 - HKLM\..\Run: [winactive] C:\Program Files\Window Active\winactive.exe
  O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
  O4 - HKLM\..\Run: [SafeSurfingUpdate] C:\WINDOWS\System32\SSUpdate.exe
  O4 - HKLM\..\Run: [CJMPS] C:\WINDOWS\CJMPS.exe
  O4 - HKLM\..\Run: [systray] C:\WINDOWS\System32\a.exe
  O4 - HKLM\..\Run: [msbb] C:\DOCUME~1\Mart\LOCALS~1\Temp\msbb.exe
  O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe
  O4 - HKLM\..\Run: [ADG] C:\WINDOWS\ADG.exe
  O8 - Extra context menu item: Add A Page Note - C:\Program Files\CommonName\AddressBar\createnote.htm
  O8 - Extra context menu item: Bookmark This Page - C:\Program Files\CommonName\AddressBar\createbookmark.htm
  O8 - Extra context menu item: Email This Link - C:\Program Files\CommonName\AddressBar\emaillink.htm
  O11 - Options group: [CommonName] CommonName


  Reboot je pc en verwijder in veilge modus deze bestanden:

  het bestand bi.dll in de map C:\WINDOWS\
  het bestand kuydznif.dll in de map C:\WINDOWS\system32\
  het bestand ssurf022.dll in de map C:\WINDOWS\System32\
  de map Window Active in de map C:\Program Files\
  het bestand bridge.dll in de map C:\WINDOWS\Downloaded Program Files\
  het bestand SSUpdate.exe in de map C:\WINDOWS\System32\
  het bestand a.exe in de map C:\WINDOWS\System32\
  het bestand msbb.exe in de map C:\DOCUME~1\Mart\LOCALS~1\Temp\
  het bestand winnet.exe in de map C:\PROGRA~1\COMMON~2\ADDRES~1\
  het bestand adg.exe in de map C:\WINDOWS\

  over dit twijfel ik wel een beetje:
  O4 - HKLM\..\Run: [ADG] C:\WINDOWS\ADG.exe
  verwijder het bestand adg.exe in de map C:\WINDOWS\
  ???
 • Ok, zo kan het natuurlijk ook :lol:

  Voeg aan het lijstje van M@rc deze ook nog even toe:

  O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
  O4 - HKLM\..\Run: [] c:\WINDOWS\System32\
  O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

  En verwijder
  C:\WINDOWS\System32\P2P Networking <= deze map


  Quote:
  over dit twijfel ik wel een beetje:
  O4 - HKLM\..\Run: [ADG] C:\WINDOWS\ADG.exe
  verwijder het bestand adg.exe in de map C:\WINDOWS\

  Zou ik maar niet aanvinken en laten staan . Volgens sysinfo.org SoundBlaster Audigy related
 • Fijn boys! Ik kon enkele door jullie opgegeven bestanden niet vinden, maar het lijkt weer brandschoon.
  Rest me nog een vraag: Kan ik deze info ook zelf ergens vandaan halen, of zijn jullie gewoon zwaar opgeleid? :lol:
 • Verwijder na de herstart deze (eventueel nog) aanwezige bestanden of mappen (let: op sommige kunnen verborgen staan dus eerst even dit uitvoeren: Start> instellingen> configuratiescherm > Mapopties > tabblad Weergave > klik verborgen bestanden en mappen weergeven >OK)

  Veel lezen, googlen enz leidt tot inzicht en kennis.. :lol:

  Leesvoer

  home01.wxs.nl/~kleyn080/Spywareinfonl.html
 • Dank voor je hulp (aanvulling) quasi3, ik had idd wat vergeten….

  Wat die adg.exe betreft: op sys.org staat inderdaad SoundBlaster Audigy related. Met een vraagteken achter. Wordt ook niet vermeldt of ie goed of slecht is….
  Sommigen laten hem staan, anderen verwijderen hem. Blijft een twijfelgevalletje als je het mij vraagt.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.