Vraag & Antwoord

Beveiliging & privacy

Hijack This log

Anoniem
R-bin
14 antwoorden
  • Beste medeforummers,

    Hieronder de hijack this log van een pc die al langere tijd last heeft van kuren zoals een andere startpagina, ik heb er zelf niet veel aan kunnen doen omdat het mijn pc niet is en ze hadden zelf het idee dat deze pc maar een keer geformateerd moest worden. Maar dat idee is ondertussen al een heel tijd geleden en er is nog steeds niets gedaan.
    Aangezien er in de nieuwsbrief van planet over hijack this stond zijn ze dat gaan proberen.

    Logfile of HijackThis v1.97.7
    Scan saved at 21:56:26, on 22-6-2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\svchost.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINNT\System32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\sdkek.exe
    C:\WINNT\Explorer.EXE
    C:\PROGRA~1\NORTON~1\navapw32.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINNT\system32\d3zf.exe
    C:\Program Files\MSI\PC Alert III\alert.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Outlook Express\msimn.exe
    C:\Documents and Settings\Administrator\Bureaublad\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.windowws.cc/sp.htm?id=5
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.windowws.cc/sp.htm?id=5
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\xnaqy.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xnaqy.dll/index.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.windowws.cc/sp.htm?id=5
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xnaqy.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\xnaqy.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xnaqy.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\xnaqy.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://tooncomics.com/main/hp.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {2538A0A8-4D62-5432-EDCD-38BD824BD562} - C:\WINNT\crnu.dll
    O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Image] rundll32 C:\WINNT\sdkqh32.dll,Install
    O4 - HKLM\..\Run: [d3zf.exe] C:\WINNT\system32\d3zf.exe
    O4 - HKLM\..\RunServices: [RunAlert] C:\Program Files\MSI\PC Alert III\AService.exe
    O4 - HKCU\..\Run: [Verjaardagen] C:\Program Files\Verjaardagen\Verjaardagen.exe auto
    O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINNT\sdkqh32.dll,Install
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: PC Alert III.lnk = C:\Program Files\MSI\PC Alert III\alert.exe
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38008.3354050926
    O16 - DPF: {AEFD32B6-4815-11D2-98E4-00C04FCEFE77} (SnCAX Class) - http://www.pilmo.com/clients/dialer.cab
    O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    ik kan zelf wel al wat dingen er uit halen maar helemaal zeker van me zaak ben ik niet en ik vis ze er vast niet allemaal uit en jullie vast en zeker wel :D
  • Hallo R-bin,

    Dit is een mooie combinatie, en zal een hele klus worden…
    Voor ik hier aan begin heb ik eerst nog wat info nodig.

    Download appinit.zip
    Unzip het bestand. Klik op appinit.bat. (doe dit niet van uit de zip-file!)
    Er verschijnt even een 'dosscherm' en er wordt een nieuw bestand aangemaakt dat windows.txt noemt.

    Post de inhoud van dit bestand in je volgende bericht.

    groeten,
  • Kan natuurlijk alvast onderstaande aangeven, maar Marc zal ongetwijfeld iets anders hebben gezien.
    :-?

    [code:1:14d00f8c49]C:\WINNT\system32\sdkek.exe
    C:\WINNT\system32\d3zf.exe
    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.windowws.cc/sp.htm?id=5
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.windowws.cc/sp.htm?id=5
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\xnaqy.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xnaqy.dll/index.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.windowws.cc/sp.htm?id=5
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xnaqy.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\xnaqy.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xnaqy.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\xnaqy.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://tooncomics.com/main/hp.php
    O2 - BHO: (no name) - {2538A0A8-4D62-5432-EDCD-38BD824BD562} - C:\WINNT\crnu.dll
    O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll
    O4 - HKLM\..\Run: [Image] rundll32 C:\WINNT\sdkqh32.dll,Install
    O4 - HKLM\..\Run: [d3zf.exe] C:\WINNT\system32\d3zf.exe
    O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINNT\sdkqh32.dll,Install
    O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
    O16 - DPF: {AEFD32B6-4815-11D2-98E4-00C04FCEFE77} (SnCAX Class) - http://www.pilmo.com/clients/dialer.cab[/code:1:14d00f8c49]

    Wat is verjaardagen.exe btw?
  • Deze hijack is in ieder geval coolwebsearch.
    Even wachten op de inhoud van dat filetje.
  • Ja de inhoud van dat bestandje wordt even een probleem. Ik zit persoonlijk niet achter die pc nu maar ik heb de link gegeven, programmatje gedownload, uitgepakt en het bat bestandje gerunt, er verschijnt even een dos venster maar het windows.txt bestandje wordt daarna niet aangemaakt.
    Ze hebben ook nog een keer het bestand gedownload en op een andere plaats gerund maar het bestandje verschijnt niet.

    Ik weet niet hoe dit kan maar die pc is nu uit en morgen proberen we het in ieder geval nog een keer proberen en gaan we er mee verder. Maar misschien weet je waar dit aan ligt?
  • Waarschijnlijk wordt het vanuit de zip-file gestart en dan wordt geen windows.txt aangemaakt. Eerst unzippen (bv op het buroblad) en dan op appinit.bat klikken.
    Post aansluitend ook een nieuwe HijackThislog.
  • Okee er is weer wat gedaan op die pc, ik post hieronder ff een nieuwe hijack this log. (ad-aware heeft de pc ff gescand) Dat programmatje maakt echt geen bestandje aan en het bestandje is ook echt uitgepakt dus daar ligt het niet aan. Is die pc daarvoor al te ver verklooid ofzo?

    Logfile of HijackThis v1.97.7
    Scan saved at 20:42:24, on 24-6-2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\svchost.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINNT\System32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\PROGRA~1\NORTON~1\navapw32.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINNT\ipku32.exe
    C:\Program Files\MSI\PC Alert III\alert.exe
    C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe
    C:\Documents and Settings\Administrator\Bureaublad\register\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\gvwtp.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gvwtp.dll/index.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gvwtp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\gvwtp.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gvwtp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\gvwtp.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - (no file)
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O2 - BHO: (no name) - {F75CF0E1-2C1A-8EE5-1749-D28822CFD1E7} - C:\WINNT\system32\javaqo.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [d3zf.exe] C:\WINNT\system32\d3zf.exe
    O4 - HKLM\..\Run: [ipku32.exe] C:\WINNT\ipku32.exe
    O4 - HKLM\..\RunServices: [RunAlert] C:\Program Files\MSI\PC Alert III\AService.exe
    O4 - HKCU\..\Run: [Verjaardagen] C:\Program Files\Verjaardagen\Verjaardagen.exe auto
    O4 - HKLM\..\RunOnce: [addoe32.exe] C:\WINNT\system32\addoe32.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: PC Alert III.lnk = C:\Program Files\MSI\PC Alert III\alert.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38008.3354050926
    O16 - DPF: {AEFD32B6-4815-11D2-98E4-00C04FCEFE77} (SnCAX Class) - http://www.pilmo.com/clients/dialer.cab
    O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  • Hallo R-bin,

    Zorg dat alle verborgen bestanden weergegeven worden: http://users.pandora.be/marcvn/spyware/1117602.htm
    Open Windows Taakbeheer door op CTRL+ALT+DEL te drukken. Ga naar het tabblad processen. Beëindig volgende proces door het te selecteren en op de knop Proces beëindigen te klikken:
    [b:11491cac55]
    ipku32.exe
    [/b:11491cac55]

    Ga naar start - Uitvoeren en tik in: Services.msc
    Zoek tussen de services naar [b:11491cac55]Network Security Service[/b:11491cac55].
    Dubbelklik op deze service en in het venster dat verschijnt kies je bij Opstarttype voor Uitgeschakeld. Klik op [b:11491cac55]Toepassen[/b:11491cac55] en vervolgens op [b:11491cac55]OK[/b:11491cac55].
    [b:11491cac55]Sluit alle open vensters[/b:11491cac55].

    Run HijackThis en laat volgende items repareren:
    [b:11491cac55]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\gvwtp.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gvwtp.dll/index.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gvwtp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\gvwtp.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gvwtp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\gvwtp.dll/sp.html#37049

    O2 - BHO: (no name) - {F75CF0E1-2C1A-8EE5-1749-D28822CFD1E7} - C:\WINNT\system32\javaqo.dll

    O4 - HKLM\..\Run: [d3zf.exe] C:\WINNT\system32\d3zf.exe
    O4 - HKLM\..\Run: [ipku32.exe] C:\WINNT\ipku32.exe
    O4 - HKLM\..\RunOnce: [addoe32.exe] C:\WINNT\system32\addoe32.exe


    [/b:11491cac55]
    Start de computer in veilige modus door tijdens het opstarten op F8 te drukken, en verwijder de volgende bestanden:
    C:\WINNT\system32\d3zf.exe
    C:\WINNT\ipku32.exe
    C:\WINNT\system32\addoe32.exe
    C:\WINNT\system32\javaqo.dll
    C:\WINNT\gvwtp.dll

    Plak onderstaande quote in een kladblokbestand, sla het op als cwsuninst.reg
    [quote:11491cac55]
    REGEDIT4

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\__NS_Service_3]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
    "Shopping Wizard"=-
    "Search Extender"=-
    "Home Search Assistant"=-
    [/quote:11491cac55]
    Dubbelklik op cwsuninst.reg om de wijzingen aan het register toe te voegen.
    Reboot run HijackThis nog een keer en post een nieuwe log.
    Meldt even wat lukte en wat niet, wat je kon verwijderen en wat niet….
  • Okee tis alweer ff geleden maar ik heb er nu weer pas wat aan kunnen doen.

    Logfile of HijackThis v1.97.7
    Scan saved at 19:46:33, on 6-7-2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\svchost.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINNT\System32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\winze.exe
    C:\WINNT\Explorer.EXE
    C:\PROGRA~1\NORTON~1\navapw32.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\MSI\PC Alert III\alert.exe
    C:\WINNT\ipku32.exe
    C:\Documents and Settings\Administrator\Bureaublad\register\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\lhtpu.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhtpu.dll/index.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhtpu.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\lhtpu.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://lhtpu.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\lhtpu.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - (no file)
    O2 - BHO: (no name) - {A38B8E56-2335-9D4B-21D1-0634AD320C37} - C:\WINNT\system32\atlyt32.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ipku32.exe] C:\WINNT\ipku32.exe
    O4 - HKLM\..\RunServices: [RunAlert] C:\Program Files\MSI\PC Alert III\AService.exe
    O4 - HKCU\..\Run: [Verjaardagen] C:\Program Files\Verjaardagen\Verjaardagen.exe auto
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: PC Alert III.lnk = C:\Program Files\MSI\PC Alert III\alert.exe
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38008.3354050926
    O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    ik heb alles kunnen weghalen wat je had gezegd. wat me overigens opvalt is dat voordat ik de browser had opgestart en hijackthis had laten scannen er minder dingen gevonden als toen ik ff de browser had opgestart en hem had laten scannen.
    (die bovenste paar regels zijn dus weer terug gekomen)
  • Noem ik nou niet ècht schoon…

    [code:1:7bb902ccac]C:\WINNT\winze.exe
    C:\WINNT\ipku32.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\lhtpu.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhtpu.dll/index.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhtpu.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\lhtpu.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://lhtpu.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\lhtpu.dll/sp.html#37049
    O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - (no file)
    O2 - BHO: (no name) - {A38B8E56-2335-9D4B-21D1-0634AD320C37} - C:\WINNT\system32\atlyt32.dll
    O4 - HKLM\..\Run: [ipku32.exe] C:\WINNT\ipku32.exe[/code:1:7bb902ccac]

    Bovenste twee dienen in safe mode verwijderd te worden.
    De rest laten fixen en
  • Volgens mij heb je er eentje vergeten R-Bin.
    Volg nauwkeurig de instructies die ik je geef.

    Zorg dat alle verborgen bestanden weergegeven worden: http://users.pandora.be/marcvn/spyware/1117602.htm
    Open Windows Taakbeheer door op CTRL+ALT+DEL te drukken. Ga naar het tabblad processen. Beëindig volgende processen door ze te selecteren en op de knop Proces beëindigen te klikken:
    [b:4cbab2c67b]
    winze.exe
    ipku32.exe
    [/b:4cbab2c67b]

    Ga naar start - Uitvoeren en tik in: Services.msc
    Zoek tussen de services naar [b:4cbab2c67b]Network Security Service[/b:4cbab2c67b].
    Dubbelklik op deze service en in het venster dat verschijnt kies je bij Opstarttype voor Uitgeschakeld. Klik op [b:4cbab2c67b]Toepassen[/b:4cbab2c67b] en vervolgens op [b:4cbab2c67b]OK[/b:4cbab2c67b].
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\lhtpu.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhtpu.dll/index.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhtpu.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\lhtpu.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://lhtpu.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\lhtpu.dll/sp.html#37049

    O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - (no file)
    O2 - BHO: (no name) - {A38B8E56-2335-9D4B-21D1-0634AD320C37} - C:\WINNT\system32\atlyt32.dll

    O4 - HKLM\..\Run: [ipku32.exe] C:\WINNT\ipku32.exe
    [b:4cbab2c67b]Sluit alle open vensters[/b:4cbab2c67b].

    Run HijackThis en laat volgende items repareren:
    [b:4cbab2c67b]
    [/b:4cbab2c67b]
    Start de computer in veilige modus. Dit doe je door tijdens het opstarten op F8 knop te drukken. In veilige modus verwijder je de volgende bestanden:
    C:\WINNT\winze.exe
    C:\WINNT\ipku32.exe
    C:\WINNT\system32\lhtpu.dll



    Plak onderstaande quote in een kladblokbestand, sla het op als cwsuninst.reg op je buroblad
    [quote:4cbab2c67b]
    REGEDIT4

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\__NS_Service_3]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
    "Shopping Wizard"=-
    "Search Extender"=-
    "Home Search Assistant"=-
    [/quote:4cbab2c67b]
    Dubbelklik op cwsuninst.reg om de wijzingen aan het register toe te voegen.
    Reboot run HijackThis nog een keer en post een nieuwe log.
    Meldt even wat lukte en wat niet, wat je kon verwijderen en wat niet..

    groeten,
  • Ter info:
    Een van de exe -files wordt uitgevoerd als een service __NS_SERVICE_3.
    In het services-venster staat deze als Network Security Service. De service installeert de DLL van de Browser Helper Object, die op zijn beurt bij het openen van Internet Explorer, de R0 en R1 items toevoegt die in de log voorkomen.
    Die service moet gestopt worden.
    Regfiletje dient om oa de entries van die service in het register te verwijderen.
  • Ten overvloede: IE is [b:61f83d70bb]niet[/b:61f83d70bb] veilig…gister niet, vandaag niet en morgen niet. Stop het browsen met IE!!!
  • [quote:aee050bee6="=Rieske="]Ten overvloede: IE is [b:aee050bee6]niet[/b:aee050bee6] veilig…gister niet, vandaag niet en morgen niet. Stop het browsen met IE!!![/quote:aee050bee6]
    Dat verhaal is gekend, en daar zijn al meer topics over geweest. Jij en ik zijn hier misschien van overtuigd en gebruiken een alternatief. Maar veel mensen zijn echter verknocht aan Internet Explorer.
    Schreeuwen dat IE niet veilig is lost de problemen niet op. Zolang IE mee geïnstalleerd wordt bij een Windowsinstallatie zal de meerderheid naar deze browser grijpen.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.