Vraag & Antwoord

Beveiliging & privacy

Hijack control

Anoniem
None
7 antwoorden
  • Hallo,
    Ik ben bezig met het verwijderen van een irritante Trojan virus. Gelijktijdig zijn er weer allerlei balken op mijn computer geinstalleerd die ik niet wil. Via HijackThis al e.e.a. kunnen verwijderen, maar hou er nog steeds een over.
    Hieronder een logfile van Hij. Wil iemand kijken wat ik nog moet fixen? Ik kom niet verder.
    Alvast Txs!

    Logfile of HijackThis v1.97.7
    Scan saved at 22:37:47, on 19-1-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\devldr32.exe
    C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
    C:\PROGRA~1\NORTON~1\navapw32.exe
    C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
    C:\Program Files\Real\RealPlayer\RealPlay.exe
    C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\System32\a.exe
    C:\DOCUME~1\Mart\LOCALS~1\Temp\msbb.exe
    C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\PROGRA~1\COMMON~2\ADDRES~1\comwiz.exe
    C:\Program Files\IncrediMail\bin\IncrediMail.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\Mart\Local Settings\Temp\Tijdelijke map 3 voor hijackthis1977.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~2\ADDRES~1\cnbabe.dll
    O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
    O2 - BHO: (no name) - {ABC6E7B5-9839-E1A7-3F27-B46EA0DAEBBF} - C:\WINDOWS\system32\kuydznif.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O2 - BHO: (no name) - {D8E25C53-9508-4f5c-9249-D98D438891D5} - C:\WINDOWS\System32\ssurf022.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncrediMail.exe /c
    O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
    O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [winactive] C:\Program Files\Window Active\winactive.exe
    O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
    O4 - HKLM\..\Run: [SafeSurfingUpdate] C:\WINDOWS\System32\SSUpdate.exe
    O4 - HKLM\..\Run: [CJMPS] C:\WINDOWS\CJMPS.exe
    O4 - HKLM\..\Run: [systray] C:\WINDOWS\System32\a.exe
    O4 - HKLM\..\Run: [] c:\WINDOWS\System32\
    O4 - HKLM\..\Run: [ADG] C:\WINDOWS\ADG.exe
    O4 - HKLM\..\Run: [msbb] C:\DOCUME~1\Mart\LOCALS~1\Temp\msbb.exe
    O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\WebMenuImg.htm
    O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
    O8 - Extra context menu item: Add A Page Note - C:\Program Files\CommonName\AddressBar\createnote.htm
    O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
    O8 - Extra context menu item: Bookmark This Page - C:\Program Files\CommonName\AddressBar\createbookmark.htm
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Email This Link - C:\Program Files\CommonName\AddressBar\emaillink.htm
    O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
    O11 - Options group: [CommonName] CommonName
    O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
    O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20031216/qtinstall.info.apple.com/mickey/us/win/QuickTimeInstaller.exe
    O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37862.2740277778
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash5r42.cab
  • Je hebt een aardige verzameling spyware en aanverwante rommel.

    Eerst maar een beetje opruimen:
    Download Spybot S&D, installeer, haal de laatste updates op. Sluit alle browservensters. Laat hem dan scannen en verwijder alles wat in rood is aangegeven:

    www.safer-networking.org/

    Plaats dan een nieuw log
  • Laat HT volgende items repareren. Zorg dat alle andere vensters (inclusief je browser) gesloten zijn.

    O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~2\ADDRES~1\cnbabe.dll
    O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
    O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
    O2 - BHO: (no name) - {ABC6E7B5-9839-E1A7-3F27-B46EA0DAEBBF} - C:\WINDOWS\system32\kuydznif.dll
    O2 - BHO: (no name) - {D8E25C53-9508-4f5c-9249-D98D438891D5} - C:\WINDOWS\System32\ssurf022.dll
    O4 - HKLM\..\Run: [winactive] C:\Program Files\Window Active\winactive.exe
    O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
    O4 - HKLM\..\Run: [SafeSurfingUpdate] C:\WINDOWS\System32\SSUpdate.exe
    O4 - HKLM\..\Run: [CJMPS] C:\WINDOWS\CJMPS.exe
    O4 - HKLM\..\Run: [systray] C:\WINDOWS\System32\a.exe
    O4 - HKLM\..\Run: [msbb] C:\DOCUME~1\Mart\LOCALS~1\Temp\msbb.exe
    O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe
    O4 - HKLM\..\Run: [ADG] C:\WINDOWS\ADG.exe
    O8 - Extra context menu item: Add A Page Note - C:\Program Files\CommonName\AddressBar\createnote.htm
    O8 - Extra context menu item: Bookmark This Page - C:\Program Files\CommonName\AddressBar\createbookmark.htm
    O8 - Extra context menu item: Email This Link - C:\Program Files\CommonName\AddressBar\emaillink.htm
    O11 - Options group: [CommonName] CommonName


    Reboot je pc en verwijder in veilge modus deze bestanden:

    het bestand bi.dll in de map C:\WINDOWS\
    het bestand kuydznif.dll in de map C:\WINDOWS\system32\
    het bestand ssurf022.dll in de map C:\WINDOWS\System32\
    de map Window Active in de map C:\Program Files\
    het bestand bridge.dll in de map C:\WINDOWS\Downloaded Program Files\
    het bestand SSUpdate.exe in de map C:\WINDOWS\System32\
    het bestand a.exe in de map C:\WINDOWS\System32\
    het bestand msbb.exe in de map C:\DOCUME~1\Mart\LOCALS~1\Temp\
    het bestand winnet.exe in de map C:\PROGRA~1\COMMON~2\ADDRES~1\
    het bestand adg.exe in de map C:\WINDOWS\

    over dit twijfel ik wel een beetje:
    O4 - HKLM\..\Run: [ADG] C:\WINDOWS\ADG.exe
    verwijder het bestand adg.exe in de map C:\WINDOWS\
    ???
  • Ok, zo kan het natuurlijk ook :lol:

    Voeg aan het lijstje van M@rc deze ook nog even toe:

    O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
    O4 - HKLM\..\Run: [] c:\WINDOWS\System32\
    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

    En verwijder
    C:\WINDOWS\System32\P2P Networking <= deze map


    Quote:
    over dit twijfel ik wel een beetje:
    O4 - HKLM\..\Run: [ADG] C:\WINDOWS\ADG.exe
    verwijder het bestand adg.exe in de map C:\WINDOWS\

    Zou ik maar niet aanvinken en laten staan . Volgens sysinfo.org SoundBlaster Audigy related
  • Fijn boys! Ik kon enkele door jullie opgegeven bestanden niet vinden, maar het lijkt weer brandschoon.
    Rest me nog een vraag: Kan ik deze info ook zelf ergens vandaan halen, of zijn jullie gewoon zwaar opgeleid? :lol:
  • Verwijder na de herstart deze (eventueel nog) aanwezige bestanden of mappen (let: op sommige kunnen verborgen staan dus eerst even dit uitvoeren: Start> instellingen> configuratiescherm > Mapopties > tabblad Weergave > klik verborgen bestanden en mappen weergeven >OK)

    Veel lezen, googlen enz leidt tot inzicht en kennis.. :lol:

    Leesvoer

    home01.wxs.nl/~kleyn080/Spywareinfonl.html
  • Dank voor je hulp (aanvulling) quasi3, ik had idd wat vergeten….

    Wat die adg.exe betreft: op sys.org staat inderdaad SoundBlaster Audigy related. Met een vraagteken achter. Wordt ook niet vermeldt of ie goed of slecht is….
    Sommigen laten hem staan, anderen verwijderen hem. Blijft een twijfelgevalletje als je het mij vraagt.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.