Vraag & Antwoord

Beveiliging & privacy

Een Hijack This Log

Anoniem
M@rc
10 antwoorden
 • Hallo,
  Onderstaande gegevens zijn voor mij wartaal! Wie kan mij hiermee helpen… wat moet er uit?

  Logfile of HijackThis v1.97.7
  Scan saved at 21:56:18, on 26-7-2004
  Platform: Windows XP (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 (6.00.2600.0000)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
  F:\Internet Security\NISUM.EXE
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\Explorer.EXE
  F:\Internet Security\ccPxySvc.exe
  C:\PROGRA~1\NORTON~3\NORTON~1\GHOSTS~2.EXE
  C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
  F:\Norton
  avapsvc.exe
  C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
  C:\WINDOWS\System32
  vsvc32.exe
  C:\PROGRA~1\NORTON~3\SPEEDD~1
  opdb.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
  C:\Program Files\QuickTime\qttask.exe
  C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  C:\Program Files\Logitech\iTouch\iTouch.exe
  C:\Program Files\Messenger Plus! 3\MsgPlus.exe
  C:\PROGRA~1\BLAHAX~1\Surfcast.exe
  C:\WINDOWS\vsnpstd.exe
  C:\Program Files\Common Files\Symantec Shared\ccApp.exe
  C:\WINDOWS\System32\ctfmon.exe
  C:\Program Files\Ares\Ares.exe
  C:\Program Files\Internet Explorer\iexplore.exe
  C:\Program Files\WinRAR\WinRAR.exe
  C:\DOCUME~1\JELTEW~1\LOCALS~1\Temp\Rar$EX00.077\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/index.html?http://about:blank
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Spybot\SDHelper.dll
  O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2k0.dll
  O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Norton\NavShExt.dll
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
  O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Norton\NavShExt.dll
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
  O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
  O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
  O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
  O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
  O4 - HKLM\..\Run: [cupdate] C:\DOCUME~1\JELTEW~1\LOCALS~1\Temp\SFX44.tmp\cupdate.exe
  O4 - HKLM\..\Run: [bcray] C:\DOCUME~1\JELTEW~1\LOCALS~1\Temp\SFX44.tmp\1002\bcray.exe
  O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
  O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
  O4 - HKLM\..\Run: [Microsoft Update Machine] iixriv.exe
  O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
  O4 - HKLM\..\RunServices: [Microsoft Update Machine] iixriv.exe
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
  O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
  O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
  O4 - HKCU\..\Run: [Microsoft Update Machine] iixriv.exe
  O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
  O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
  O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
  O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
  O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
  O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
  O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
  O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/072deb3220a2bd758f19/netzip/RdxIE601.cab
  O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
  O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
  O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
  O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.fastmp3.nl/test/nl.exe
  O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38187.6036574074
  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab


 • kijk wel even
 • jelte,

  ik ben toch ook maar een beginner en kan dat niet eens checken want ik snap er nix van
 • Druk op CTRL+ALT+DEL om Windows Taakbeheer te openen. Ga naar het tabblad processen en beeëindig de volgende processen:
  vsnpstd.exe

  Sla HijackThis op in een eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maakt namelijk backups in de map waar het opgestart wordt.
  Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
  [b:7fb959d7db]
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/index.html?http://about:blank

  O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
  O4 - HKLM\..\Run: [cupdate] C:\DOCUME~1\JELTEW~1\LOCALS~1\Temp\SFX44.tmp\cupdate.exe
  O4 - HKLM\..\Run: [bcray] C:\DOCUME~1\JELTEW~1\LOCALS~1\Temp\SFX44.tmp\1002\bcray.exe
  O4 - HKLM\..\Run: [Microsoft Update Machine] iixriv.exe
  O4 - HKLM\..\RunServices: [Microsoft Update Machine] iixriv.exe
  O4 - HKCU\..\Run: [Microsoft Update Machine] iixriv.exe

  O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
  O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/072deb3220a2bd758f19/netzip/RdxIE601.cab
  O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.fastmp3.nl/test/nl.exe

  [/b:7fb959d7db]
  Als je dit gedaan hebt start je de computer op in veilige modus.
  Zorg dat alle verborgen bestanden weergegeven worden, en verwijder de volgende bestanden of mappen indien aanwezig:
  iixriv.exe <–dit bestand

  Maak deze map leeg: C:\DOCUME~1\JELTEW~1\LOCALS~1\Temp
  REboot en doe een online-scan: http://housecall.trendmicro.com/housecall/start_corp.asp


  Laat C:\Program Files\Ares\Ares.exe <—dit bestand eens hier scannen: http://www.kaspersky.com
  emoteviruschk.html
  (kan een keylogger zijn of behoort ie bij een P2P netwerk??)

  Reboot en post een nieuwe hijackThislog.


  groeten,
  Marc
 • foudje
 • beeindig in taakbeheer (ctrl + alt + del) onder processen: ares.exe indien aanwezig.
  daarna sluit je alle vensters en run je hijackthis opnieuw, laat hem onderstaande items fixen: [list:a294e6181e][b:a294e6181e]
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/index.html?http://about:blank
  O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
  O4 - HKLM\..\Run: [cupdate] C:\DOCUME~1\JELTEW~1\LOCALS~1\Temp\SFX44.tmp\cupdate.exe
  O4 - HKLM\..\Run: [bcray] C:\DOCUME~1\JELTEW~1\LOCALS~1\Temp\SFX44.tmp\1002\bcray.exe
  O4 - HKCU\..\Run: [Microsoft Update Machine] iixriv.exe
  O4 - HKCU\..\Run: [Microsoft Update Machine] iixriv.exe
  O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
  O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.fastmp3.nl/test/nl.exe
  O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/072deb3220a2bd758f19/netzip/RdxIE601.cab [/b:a294e6181e][/list:u:a294e6181e]

  reboot in safe mode: http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406
  laat alle verborgen bestanden weergeven: http://users.pandora.be/marcvn/spyware/1117602.htm

  verwijder daarna deze items indien aanwezig:
  [list:a294e6181e][b:a294e6181e]
  iixriv.exe <— deze file (even opzoeken)
  C:\DOCUME~1\JELTEW~1\LOCALS~1\Temp <— deze map legen
  [/b:a294e6181e][/list:u:a294e6181e]

  reboot en maak een nieuwe log

  Greetz d.

  edit: Marc was me voor :cry: Duurde beetje lang want ik vertrouwde ares.exe niet en daar moest ik even na kijken :wink:
 • MSIE: Internet Explorer v6.00 (6.00.2600.0000)

  hij mist ook nog enkele belangrijke updates van ie en windows
 • [quote:393600572f="sjouwer"]MSIE: Internet Explorer v6.00 (6.00.2600.0000)

  hij mist ook nog enkele belangrijke updates van ie en windows[/quote:393600572f]
  Klopt. Eerst nog een bezoekje aan de Windows Update site brengen. (bedankt Sjouwer)

  De nieuwe log van HijackThis kan je best maken met de nieuwste versie van het programma: http://www.spywareinfo.com/~merijn/files/hijackthis.zip
 • Hallo! bedankt voor jullie steun! ik heb jullie opdrachten uitgevoerd en daarbij een nieuwe log laten aanmaken. Volgens mij moet hij dan zo goed zijn:

  Logfile of HijackThis v1.97.7
  Scan saved at 17:53:45, on 29-7-2004
  Platform: Windows XP (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 (6.00.2600.0000)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
  F:\Internet Security\NISUM.EXE
  C:\WINDOWS\system32\spoolsv.exe
  F:\Internet Security\ccPxySvc.exe
  C:\PROGRA~1\NORTON~3\NORTON~1\GHOSTS~2.EXE
  C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
  F:\Norton
  avapsvc.exe
  C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
  C:\WINDOWS\System32
  vsvc32.exe
  C:\PROGRA~1\NORTON~3\SPEEDD~1
  opdb.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
  C:\Program Files\QuickTime\qttask.exe
  C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  C:\Program Files\Logitech\iTouch\iTouch.exe
  C:\Program Files\Messenger Plus! 3\MsgPlus.exe
  C:\Program Files\Common Files\Symantec Shared\ccApp.exe
  C:\WINDOWS\System32\sm56hlpr.exe
  C:\WINDOWS\System32\ctfmon.exe
  C:\Program Files\MSN Messenger\msnmsgr.exe
  C:\Program Files\Ares\Ares.exe
  C:\WINDOWS\System32\RUNDLL32.EXE
  F:\SpywareGuard\sgmain.exe
  F:\SpywareGuard\sgbhp.exe
  F:\Hijackthis\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - F:\SpywareGuard\dlprotect.dll
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Spybot\SDHelper.dll
  O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2k0.dll
  O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Norton\NavShExt.dll
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
  O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Norton\NavShExt.dll
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
  O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
  O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
  O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
  O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
  O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
  O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
  O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
  O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
  O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
  O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
  O4 - Startup: SpywareGuard.lnk = F:\SpywareGuard\sgmain.exe
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
  O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
  O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
  O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
  O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
  O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
  O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
  O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
  O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38187.6036574074
  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab


 • Ik zie MSN Messenger Plus 3 staan, ff een vraagje heb je toevallig MET sponsor geinstalleerd? Dat kan ook voor een hoop problemen zorgen :)

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.

Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord