Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Graag hulp bij het lezen HijachThis

Anoniem
zabadak
5 antwoorden
  • Bij een collega gebeuren op de PC zaken als verkeerde startpagina en het steeds verbreken van de internetverbinding. Ik vind het er oiop lijken dat er na enige tijd een nieuwe inbelverbinding wordt gekozen, maar dat lukt niet omdat hij allerlei blokkades heeft voor 09 en 06 verkeer op zijn telefoon.

    Ik zie zaken als www.hand-book.com die er volgens mij niet thuishoren en vraag me af wat er zit in c:\windows\plugin~1.exe

    Wie kan mij helpen het juiste advies aan mijn collega door te geven

    Alvast bedankt,

    Zabbie

    Report HijackThis:

    Logfile of HijackThis v1.97.7
    Scan saved at 20:03:30, on 3-3-04
    Platform: Windows 98 Gold (Win9x 4.10.1998)
    MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
    C:\WINDOWS\WINREG.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSSTAT.EXE
    C:\OPLIMIT\OCRAWARE.EXE
    C:\OPLIMIT\OCRAWR32.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\SYSTEM\ATITASK.EXE
    C:\WINDOWS\SYSTEM\ATICWD32.EXE
    C:\WINDOWS\STARTER.EXE
    C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\AVCONSOL.EXE
    C:\PROGRAM FILES\MEDIASCAPE\TOUCH MANAGER\MEDIACTR.EXE
    C:\PROGRAM FILES\MOUSE\SYSTEM\EM_EXEC.EXE
    C:\TRAY.EXE
    C:\WINDOWS\PLUGIN~1.EXE
    C:\WINDOWS\SYSTEM\QTTASK.EXE
    C:\WINDOWS\WINUPDATE.EXE
    C:\PROGRAM FILES\ISTSVC\ISTSVC.EXE
    C:\PROGRAM FILES\180SOLUTIONS\MSBB.EXE
    C:\PROGRAM FILES\MEDIASCAPE\TOUCH MANAGER\TOUCHMGR.EXE
    C:\PROGRA~1\MEDIAS~1\ONSCRE~1\OSD.EXE
    C:\WINDOWS\RUNDLL32.EXE
    C:\WINDOWS\RUNDLL32.EXE
    D:\PROGRAM FILES\WINZIP\WINZIP32.EXE
    C:\WINDOWS\TEMP\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://itseasy.us/browser/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.hand-book.com/search/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hetnet.nl/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.hand-book.com/search/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hand-book.com/search/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.hand-book.com/search/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hand-book.com/hp/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hand-book.com/search/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.hand-book.com/search/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.hand-book.com/search/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.hand-book.com/search/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hand-book.com/search/
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.hand-book.com/search/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.hetnet.nl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.hand-book.com/search/
    F1 - win.ini: load=C:\OPLIMIT\ocraware.exe
    O1 - Hosts: 66.118.163.109 auto.search.msn.com
    O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
    O4 - HKLM\..\Run: [Taakcontrole] c:\windows\taskmon.exe
    O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [Atikey] Atitask.exe
    O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
    O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [AvconsoleEXE] C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize
    O4 - HKLM\..\Run: [Vshwin32EXE] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
    O4 - HKLM\..\Run: [VsStatEXE] C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING
    O4 - HKLM\..\Run: [KBD MediaCenter] C:\Program Files\Mediascape\Touch Manager\MediaCtr.exe
    O4 - HKLM\..\Run: [EM_EXEC] c:\progra~1\mouse\system\em_exec.exe
    O4 - HKLM\..\Run: [Shell] c:\tray.exe
    O4 - HKLM\..\Run: [SystemBoot] C:\WINDOWS\wer.exe
    O4 - HKLM\..\Run: [SystemReg] C:\WINDOWS\WINREG.EXE run
    O4 - HKLM\..\Run: [No Credit Card] c:\windows\plugin~1.exe /m
    O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE
    O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\WINUPDATE.EXE
    O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
    O4 - HKLM\..\Run: [msbb] C:\PROGRAM FILES\180SOLUTIONS\MSBB.EXE
    O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
    O4 - HKLM\..\Run: [FMGNR] C:\WINDOWS\FMGNR.exe
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [Vshwin32EXE] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
    O4 - HKLM\..\RunServices: [SystemReg] C:\WINDOWS\WINREG.EXE run
    O4 - HKCU\..\Run: [SystemReg] C:\WINDOWS\WINREG.EXE run
    O4 - HKCU\..\Run: [5-1-35-16] c:\windows\5-1-35-16.exe -m
    O4 - HKCU\..\Run: [60-1-1-50] c:\windows\60-1-1-50.exe -m
    O4 - HKCU\..\Run: [5-2-145-21] c:\program files\Webdialer\5-2-145-21.exe -m
    O4 - HKCU\..\Run: [od-teen9] c:\program files\Webdialer\od-teen9.exe -m
    O4 - HKCU\..\Run: [od-stnd192] c:\program files\Webdialer\od-stnd192.exe -m
    O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\ADDCLASS.EXE
    O4 - HKCU\..\Run: [sws.exe] c:\program files\GlobalDialer\wordi00051\3482342.EXE -remove
    O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\WINUPDATE.EXE
    O4 - Startup: Corel Family and Friends Reminders.LNK = D:\Program Files\Corel\Print House Magic\cffrem.exe
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O11 - Options group: [TOEGANKELIJKHEID] Toegankelijkheid
    O13 - DefaultPrefix: http://ehttp.cc/?
    O13 - WWW Prefix: http://ehttp.cc/?
    O13 - WWW. Prefix: http://ehttp.cc/?
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://connect.online-dialer.com/MaConnect.cab
    O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
    O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://www.oyunfabrikasi.com/nl/2/058746nl.exe
    O19 - User stylesheet: C:\WINDOWS\my.css
    O19 - User stylesheet: C:\WINDOWS\my.css (HKLM)
  • Er staat nogal wat troep op die pc. Hieronder de dingen die ik niet vertrouw. Heb je adaware en spybot al eens geprobeerd? Er staan ook een paar trojans tussen, wellicht is een virusscan ook een idee?

    C:\TRAY.EXE
    C:\WINDOWS\PLUGIN~1.EXE
    C:\PROGRAM FILES\ISTSVC\ISTSVC.EXE
    C:\PROGRAM FILES\180SOLUTIONS\MSBB.EXE
    C:\WINDOWS\RUNDLL32.EXE
    C:\WINDOWS\RUNDLL32.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://itseasy.us/browser/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.hand-book.com/search/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hetnet.nl/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.hand-book.com/search/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hand-book.com/search/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.hand-book.com/search/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hand-book.com/hp/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hand-book.com/search/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.hand-book.com/search/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.hand-book.com/search/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.hand-book.com/search/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hand-book.com/search/
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.hand-book.com/search/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.hetnet.nl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.hand-book.com/search/
    O1 - Hosts: 66.118.163.109 auto.search.msn.com
    O4 - HKLM\..\Run: [Shell] c:\tray.exe
    O4 - HKLM\..\Run: [SystemBoot] C:\WINDOWS\wer.exe
    O4 - HKLM\..\Run: [SystemReg] C:\WINDOWS\WINREG.EXE run
    O4 - HKLM\..\Run: [No Credit Card] c:\windows\plugin~1.exe /m
    O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
    O4 - HKLM\..\Run: [msbb] C:\PROGRAM FILES\180SOLUTIONS\MSBB.EXE
    O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
    O4 - HKCU\..\Run: [5-1-35-16] c:\windows\5-1-35-16.exe -m
    O4 - HKCU\..\Run: [60-1-1-50] c:\windows\60-1-1-50.exe -m
    O4 - HKCU\..\Run: [5-2-145-21] c:\program files\Webdialer\5-2-145-21.exe -m
    O4 - HKCU\..\Run: [od-teen9] c:\program files\Webdialer\od-teen9.exe -m
    O4 - HKCU\..\Run: [od-stnd192] c:\program files\Webdialer\od-stnd192.exe -m
    O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\ADDCLASS.EXE
    O4 - HKCU\..\Run: [sws.exe] c:\program files\GlobalDialer\wordi00051\3482342.EXE -remove
    O13 - DefaultPrefix: http://ehttp.cc/?
    O13 - WWW Prefix: http://ehttp.cc/?
    O13 - WWW. Prefix: http://ehttp.cc/?
    O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://connect.online-dialer.com/MaConnect.cab
    O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
    O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://www.oyunfabrikasi.com/nl/2/058746nl.exe
    O19 - User stylesheet: C:\WINDOWS\my.css
    O19 - User stylesheet: C:\WINDOWS\my.css (HKLM)
  • Zabadak,

    Eerst scannen met up-to-date virusscanner of een online -scanner. (je hebt oa DEWIN a virus)
    Daarna download je Spybot Search & Destroy en Ad-Aware. Update beide programma's en scan . Laat alles verwijderen wat deze programma's vinden.
    Nadien run je HijackThis nog een keer en post je een nieuwe log.
  • Tja,
    Mijn collega is dus een van die honderden, die wij in de loop der tijd hier op dit forum tegenkwamen als de "instandhouders" van virussen en trojans, door niet te updaten…

    De reply over het DEWIN.a virus verklaart waarom hij de DATfile update, die ik hem op een CD-rommetje had toegestuurd, niet lukte…

    Ik laat hem eerst die rotzooi met HiJack opruimen, in de hoop dattie dan weer kan internetten en mailen zonder er steeds weer uitgegooid te worden door dialers…
    Daarna een on-line scan, dan weet ik wat er nog meer inzit, want DEWIN.a hoeft niet de enige te zijn

    Wordt vervolgd, maar alvast dank voor de eerste oplossingen en verwijdertips..

    Zabbie
  • pffffffffffff waar je aan gaat beginnen zeg …

    ik denk dat het je minder tijd en energie kost om er ff een nieuwe install op te pletteren ..

    en dan daarna gelijk een image maken … kan die virussen rapen wattie wil, je hebt toch je verse instal in 10 minuutjes weer terug …

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.