Vraag & Antwoord

Beveiliging & privacy

log-file hijackthis

Anoniem
roy_startpag
5 antwoorden
  • De computer van mijn vader heeft last van spyware.
    Heb gescand met Ad-ware, Spybot en CW Shredder. En alles verwijderd.
    Ik merk dat er toch nog spyware achter is gebleven, bv omdat de startpagina niet in te stellen is. Deze blijft op about:blank staan. En is niet te veranderen. Ik heb ff Hijackthis gedaan, en mijn log gepost. Zouden jullie voor mij ff kunnen kijken wat er niet in thuis hoort. Dus niet alleen wat betreft probleem about:blank, maar verder ook de rest wat er niet in thuis hoort.



    Logfile of HijackThis v1.97.7
    Scan saved at 14:27:15, on 17-6-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
    C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
    C:\WINDOWS\mstasks2.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\HPZipm12.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\J\Bureaublad\HijackThis.exe
    C:\Program Files\Internet Explorer\iexplore.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = c:\searchpage.html#1503
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = c:\searchpage.html#1503
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = c:\searchpage.html#1503
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = c:\searchpage.html#1503
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = c:\searchpage.html#1503
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/NowOnline/Portal/portal.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = c:\searchpage.html#1503
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R1 - HKCU\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html#1503
    R1 - HKLM\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html#1503
    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
    O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [ist service uninstall] C:\WINDOWS\mstasks2.exe /u
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Startup: Registration-PCTV.lnk = C:\Program Files\Pinnacle\Pinnacle PCTV\ERegister\RegTool.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Pinnacle Scheduler.lnk = ?
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
    O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/136eb494d98d7686cb19/netzip/RdxIE601.cab
    O16 - DPF: {C2326BDF-43B0-431F-940A-52D042621188} (Dial.getdial) - http://www.mediaswitch.nl/eromedia/mediaswitch.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
    O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_EN_XP.cab
  • Ik denk zelf dat de volgende er niet in thuis horen:

    searchpage
    secure
    portal
    akaimai
    mediaswitch

    Of zijn er meer?
  • Download CWShredder.
    Reboot in veilige modus en scan met Ad-aware en Spybot Search & Destroy.
    instructies vind je hier.
    nog niet scannen met de programma's, enkel updaten en de instellingen aanbrengen!
    Start de computer in veilige modus en zorg dat alle verborgen bestanden weergegeven worden.

    Sla HijackThis op in een eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maakt namelijk backups in de map waar het opgestart wordt.
    Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:dd20d4dd6b]
    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = c:\searchpage.html#1503
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = c:\searchpage.html#1503
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = c:\searchpage.html#1503
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = c:\searchpage.html#1503
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = c:\searchpage.html#1503
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/NowOnline/Portal/portal.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = c:\searchpage.html#1503

    R1 - HKCU\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html#1503
    R1 - HKLM\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html#1503

    R3 - Default URLSearchHook is missing

    O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)

    O4 - HKLM\..\Run: [ist service uninstall] C:\WINDOWS\mstasks2.exe /u

    O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/136eb494d98d7686cb19/netzip/RdxIE601.cab
    O16 - DPF: {C2326BDF-43B0-431F-940A-52D042621188} (Dial.getdial) - http://www.mediaswitch.nl/eromedia/mediaswitch.cab
    O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_EN_XP.cab
    [/b:dd20d4dd6b]
    verwijder de volgende bestanden of mappen indien aanwezig:
    C:\WINDOWS\mstasks2.exe <–dit bestand
    c:\searchpage.html <–dit bestand
    C:\WINDOWS\secure.html <–dit bestand

    Maak je temp-files leeg en de mlap met tijdelijke internetbestanden.

    Run CWShredder, klik op de fix-knop.

    Reboot, scan met Ad-aware en spybot Search & destroy.

    Reboot run HijackThis nog een keer en post een nieuwe log.
  • Ik heb Ad-ware, Spybot en CW Shredder al gedaan. Zie mijn vorige bericht. En Hjiackthis ook, alleen weet ik niet precies wat ik moet verwijderen.

    Of is de volgorde van het uitvoeren van de spyware tools fout? Dat moet toch niks uitmaken lijkt me?

    gr. Roy
  • [quote:6ea9c6034e="roy_startpag"]Ik heb Ad-ware, Spybot en CW Shredder al gedaan. Zie mijn vorige bericht. En Hjiackthis ook, alleen weet ik niet precies wat ik moet verwijderen.

    Of is de volgorde van het uitvoeren van de spyware tools fout? Dat moet toch niks uitmaken lijkt me?

    gr. Roy[/quote:6ea9c6034e]

    Roy volg het advies van M@rc even op, er staat vrij veel in wat door Adaware en Spybot gewoon gepakt wordt.
    Ook die searchpage is weg te halen met CWShredder, je ziet staan in M@rc zijn post [b:6ea9c6034e] veilige modus [/b:6ea9c6034e]
    Dat wordt ook gezegd voor een reden, Adaware en Spybot vindt en verwijdert in veilige modus spyware, die ze in gewone modus niet kunnen vinden en/of weghalen.
    Zorg wel dat alle programma's geupdate zijn en kwa instellingen goed staan, want standaart staan ze NIET goed.
    Meer info vind je hier
    Zoals gevraagd post na het weggooien van de sleutels en scannen met de programma's een nieuw hijacklog.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.