Vraag & Antwoord

Beveiliging & privacy

help ! ik krijg spyware niet weg.

Anoniem
M@rc
42 antwoorden
  • [quote:1a823b1e1d="M@rc"]Hallo paulII,

    Logje ziet er inderdaad anders uit maar zeker nog niet goed.
    Bestandsnamen zijn gewijzigd.

    Wat me vooral opvalt is het bestand system[1].exe. Had je de file hernoemd zoals ik gevraagd had?
    Kan je me een nieuwe logje geven van get_active_services?

    Wat betreft de regfile: gewoon op dubbelklikken en bevestigen met ja om de wijzigingen in het register door te voeren. (nu niet meer doen - heeft geen nut)
    Ben je een beetje vertrouwd met werken in je register?


    groeten,
    Marc[/quote:1a823b1e1d]

    System[1].exe heb ik inderdaad hernoemd,
    "werken in register": ik weet dat er zoiets als een "register" bestaat, maar daar houdt het ook mee op….
    (als ik dat allemaal kon, had ik misschien wel geen beroep moeten doen op de specialisten van dit forum ;))

    En hier dan de recente "active service":

    These are the Current Active Services:

    REMOTE PROCEDURE CALL (RPC) HELPER: O?’ŽrtñåȲ$Ó
    C:\WINDOWS\ntko.exe /s

    WINDOWS AUDIO: AudioSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COMPUTER BROWSER: Browser
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICES VOOR CRYPTOGRAFIE: CryptSvc
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    DHCP CLIENT: Dhcp
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    LOGICAL DISK MANAGER: dmserver
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICE VOOR HET RAPPORTEREN VAN FOUTEN: ERSvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COM+-GEBEURTENISSYSTEEM: EventSystem
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COMPATIBILITEIT VOOR SNELLE GEBRUIKERSWISSELING: FastUserSwitchingCompatibility
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    HELP EN ONDERSTEUNING: helpsvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVER: lanmanserver
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WORKSTATION: lanmanworkstation
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    MESSENGER: Messenger
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NETWORK CONNECTIONS: Netman
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NETWORK LOCATION AWARENESS (NLA): Nla
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    VERBINDINGSBEHEER VOOR RAS: RasMan
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TASK SCHEDULER: Schedule
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SECONDARY LOGON: seclogon
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SYSTEM EVENT NOTIFICATION: SENS
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    SHELL HARDWARE DETECTION: ShellHWDetection
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SYSTEM RESTORE-SERVICE: srservice
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TELEPHONY: TapiSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TERMINAL SERVICES: TermService
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    THEMA'S: Themes
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    DISTRIBUTED LINK TRACKING CLIENT: TrkWks
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    UPLOADBEHEER: uploadmgr
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WINDOWS TIME: W32Time
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WINDOWS MANAGEMENT INSTRUMENTATION: winmgmt
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    AUTOMATISCHE UPDATES: wuauserv
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    WIRELESS ZERO CONFIGURATION-SERVICE: WZCSVC
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    DEFWATCH: DefWatch
    C:\Program Files\NavNT\defwatch.exe

    DNS CLIENT: Dnscache
    C:\WINDOWS\System32\svchost.exe -k NetworkService

    EVENT LOG: Eventlog
    C:\WINDOWS\system32\services.exe

    PLUG AND PLAY: PlugPlay
    C:\WINDOWS\system32\services.exe

    TCP/IP NETBIOS HELPER: LmHosts
    C:\WINDOWS\System32\svchost.exe -k LocalService

    REMOTE REGISTRY: RemoteRegistry
    C:\WINDOWS\system32\svchost.exe -k LocalService

    SSDP DISCOVERY-SERVICE: SSDPSRV
    C:\WINDOWS\System32\svchost.exe -k LocalService

    WEBCLIENT: WebClient
    C:\WINDOWS\System32\svchost.exe -k LocalService

    NORTON ANTIVIRUS CLIENT: Norton AntiVirus Server
    C:\Program Files\NavNT\rtvscan.exe

    NVIDIA DISPLAY DRIVER SERVICE: NVSvc
    C:\WINDOWS\System32\nvsvc32.exe

    IPSEC-SERVICES: PolicyAgent
    C:\WINDOWS\System32\lsass.exe

    PROTECTED STORAGE: ProtectedStorage
    C:\WINDOWS\system32\lsass.exe

    SECURITY ACCOUNTS MANAGER: SamSs
    C:\WINDOWS\system32\lsass.exe

    REMOTE PROCEDURE CALL (RPC): RpcSs
    C:\WINDOWS\system32\svchost -k rpcss

    PRINT SPOOLER: Spooler
    C:\WINDOWS\system32\spoolsv.exe

    WINDOWS IMAGE ACQUISITION (WIA): stisvc
    C:\WINDOWS\System32\svchost.exe -k imgsvc

    TRUEVECTOR INTERNET MONITOR: vsmon
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service
  • nog even een Hijjacklog:

    Logfile of HijackThis v1.98.2
    Scan saved at 19:30:27, on 10/09/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\NavNT\defwatch.exe
    C:\Program Files\NavNT\rtvscan.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\ntko.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\System32\MsgSys.EXE
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\NavNT\vptray.exe
    C:\WINDOWS\system32\atlpq32.exe
    C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Outlook Express\msimn.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\paul\Bureaublad\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\cpmyf.dll/sp.html#29836
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cpmyf.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cpmyf.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\cpmyf.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cpmyf.dll/sp.html#29836
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\cpmyf.dll/sp.html#29836
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {3A16A2C9-B41F-EAEA-ADF8-C728F4E05679} - C:\WINDOWS\javaqz.dll
    O2 - BHO: (no name) - {5C08210D-7F1B-7570-3DFD-9D61E8993802} - C:\WINDOWS\system32\iejf32.dll
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [atlpq32.exe] C:\WINDOWS\system32\atlpq32.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\RunOnce: [ntko.exe] C:\WINDOWS\ntko.exe
    O4 - HKLM\..\RunOnce: [baznh] C:\WINDOWS\KB824105.log:baznh
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O15 - Trusted Zone: *.05p.com
    O15 - Trusted Zone: *.blazefind.com
    O15 - Trusted Zone: *.clickspring.net
    O15 - Trusted Zone: *.flingstone.com
    O15 - Trusted Zone: *.mt-download.com
    O15 - Trusted Zone: *.my-internet.info
    O15 - Trusted Zone: *.scoobidoo.com
    O15 - Trusted Zone: *.searchbarcash.com
    O15 - Trusted Zone: *.searchmiracle.com
    O15 - Trusted Zone: *.slotch.com
    O15 - Trusted Zone: *.xxxtoolbar.com
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FEB0F0C1-2984-4C54-A06A-FDB741FB39FA}: NameServer = 62.235.14.4 62.235.13.199
    O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)
  • Hallo paulII,

    Laat de nieuwe hijackthislog ook maar komen.
    De service is nu wel actief.
    Nu kunnen we hem verwijderen.
    Kan je me het bestand active.txt ook mailen?
    mail maar naar mmm2uattelenet.be (at vervang je door @)
    De reden dat ik dit vraag is dat met kopiëren van active.txt in dit topic de naam van de service waarschijnlijk gewijzigd is…
    Ik wil dit even checken.

    Indien mogelijk blijf even online als het kan.
    groeten,
    Marc
  • [quote:9fed4327c8="pcguy"]Homesearch is zo te zien weg, dit lijkt op about:blank in z'n uppie. (krijg je idd een witte pagina?)

    [/quote:9fed4327c8]

    Zoals ik al schreef krijg ik geen witte blz. maar een lijst van doorklikadressen met als titel: "home-search"
  • Hallo PaulII,

    Zie mijn vorige post. Misschien heb je hem gemist???

    Marc
  • Ik had je post gemist pcguy.[quote:c2180ef6c5="pcguy"]Homesearch is zo te zien weg, dit lijkt op about:blank in z'n uppie. (krijg je idd een witte pagina?)[/quote:c2180ef6c5]
    Dit is wel degelijk een HomeSearch-infectie. Van de about:blank infectie die je bedoeld is niets aanwezig. Die varianten zijn wel moeilijk uit elkaar te houden….
    [quote:c2180ef6c5="pcguy"]
    Edit: …(waarschijnlijk heeft about nog een dll verstopt zitten waardoor hij terug komt)[/quote:c2180ef6c5] Die verborgen DLL zou normaal zichtbaar moeten zijn in de log als een O20.
    HomeSearch maakt voor zover ik weet hier (nog) geen gebruik van.[quote:c2180ef6c5="pcguy"]
    edit: @ Marc, is er niet een kans dat system[1].exe een virus is? Zoekresultaten op viruslist.com nog niet doorgespit maar zijn er genoeg. ( http://www.viruslist.com/eng/viruslistfind.html?findTxt=system[1].exe%20&findWhere=111&page=1 )
    Edit: @Marc alweer, ik zie nou dat je wil dat hij die file renamed, ik neem aan dat je dan twijfelt wat het is? (Zo ja, misschien levert het iets op om die file op kaspersky te checken?)[/quote:c2180ef6c5]
    Kan best dat het een virus is. Ik heb het laten renamen omdat ik het niet direct kon thuisbrengen, en hem even in verband bracht met HS. Ik wou er eventueel later nog mee aan de slag gaan. Omdat ik geen verantwoordelijke service kon vinden in de logjes van get_active_services en startup tracker, ben ik hier wat voorzichter te werk gaan, vandaar de rename.
    In de laatste log van get_active_services is de boosdoener wel te zien:
    [code:1:c2180ef6c5]REMOTE PROCEDURE CALL (RPC) HELPER: O???rtñåȲ$Ó
    C:\WINDOWS\ntko.exe /s[/code:1:c2180ef6c5]
    Ik blijf het een rare zaak vinden.

    @paulII,
    Had je na die tweede log die je gepost hebt in deze thread, en voor je dat scriptje runde, bepaalde zaken uitgevoerd om het probleem te verhelpen? Dit kan misschien een reden zijn dat de service toen niet zichtbaar was.
  • M@rc, hartstikke bedankt voor de opheldering.
  • Sorry, ben net thuis.
    M@rc, ik stuur je zo meteen een mail.
  • Paul,

    Post een log van active.txt (mail ook nog even het bestand door)
    Vertel even:
    - heb je alle bestanden kunnen verwijderen?
    - wat was de status van de service?
    - heb je about:buster 2 x gebruikt?
    - heb je gezocht in je registry naar die servicenaam met random gekke tekens? Iets gevonden of verwijderd?

    Geef me even wat feedback.

    Marc
  • [quote:901eb5398e="M@rc"]Paul,

    Post een log van active.txt (mail ook nog even het bestand door)
    Vertel even:
    - heb je alle bestanden kunnen verwijderen?
    - wat was de status van de service?
    - heb je about:buster 2 x gebruikt?
    - heb je gezocht in je registry naar die servicenaam met random gekke tekens? Iets gevonden of verwijderd?

    Geef me even wat feedback.

    Marc[/quote:901eb5398e]

    Ik heb je procedure gevolgd tot en met punt 6.
    Toen ik merkte dat de nieuwe Hijjack-log zo verschillend was, heb ik terug opgestart in 'niet'-veilige mode en op het forum ingelogd.
    Ik ben aan de volgende stappen dus niet toegekomen.

    active.txt:

    These are the Current Active Services:

    REMOTE PROCEDURE CALL (RPC) HELPER: O?’ŽrtñåȲ$Ó
    C:\WINDOWS\ntko.exe /s

    WINDOWS AUDIO: AudioSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COMPUTER BROWSER: Browser
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICES VOOR CRYPTOGRAFIE: CryptSvc
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    DHCP CLIENT: Dhcp
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    LOGICAL DISK MANAGER: dmserver
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICE VOOR HET RAPPORTEREN VAN FOUTEN: ERSvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COM+-GEBEURTENISSYSTEEM: EventSystem
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COMPATIBILITEIT VOOR SNELLE GEBRUIKERSWISSELING: FastUserSwitchingCompatibility
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    HELP EN ONDERSTEUNING: helpsvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVER: lanmanserver
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WORKSTATION: lanmanworkstation
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    MESSENGER: Messenger
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NETWORK CONNECTIONS: Netman
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NETWORK LOCATION AWARENESS (NLA): Nla
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    VERBINDINGSBEHEER VOOR RAS: RasMan
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TASK SCHEDULER: Schedule
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SECONDARY LOGON: seclogon
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SYSTEM EVENT NOTIFICATION: SENS
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    SHELL HARDWARE DETECTION: ShellHWDetection
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SYSTEM RESTORE-SERVICE: srservice
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TELEPHONY: TapiSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TERMINAL SERVICES: TermService
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    THEMA'S: Themes
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    DISTRIBUTED LINK TRACKING CLIENT: TrkWks
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    UPLOADBEHEER: uploadmgr
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WINDOWS TIME: W32Time
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WINDOWS MANAGEMENT INSTRUMENTATION: winmgmt
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    AUTOMATISCHE UPDATES: wuauserv
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    WIRELESS ZERO CONFIGURATION-SERVICE: WZCSVC
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    DEFWATCH: DefWatch
    C:\Program Files\NavNT\defwatch.exe

    DNS CLIENT: Dnscache
    C:\WINDOWS\System32\svchost.exe -k NetworkService

    EVENT LOG: Eventlog
    C:\WINDOWS\system32\services.exe

    PLUG AND PLAY: PlugPlay
    C:\WINDOWS\system32\services.exe

    TCP/IP NETBIOS HELPER: LmHosts
    C:\WINDOWS\System32\svchost.exe -k LocalService

    REMOTE REGISTRY: RemoteRegistry
    C:\WINDOWS\system32\svchost.exe -k LocalService

    SSDP DISCOVERY-SERVICE: SSDPSRV
    C:\WINDOWS\System32\svchost.exe -k LocalService

    WEBCLIENT: WebClient
    C:\WINDOWS\System32\svchost.exe -k LocalService

    NORTON ANTIVIRUS CLIENT: Norton AntiVirus Server
    C:\Program Files\NavNT\rtvscan.exe

    NVIDIA DISPLAY DRIVER SERVICE: NVSvc
    C:\WINDOWS\System32\nvsvc32.exe

    IPSEC-SERVICES: PolicyAgent
    C:\WINDOWS\System32\lsass.exe

    PROTECTED STORAGE: ProtectedStorage
    C:\WINDOWS\system32\lsass.exe

    SECURITY ACCOUNTS MANAGER: SamSs
    C:\WINDOWS\system32\lsass.exe

    REMOTE PROCEDURE CALL (RPC): RpcSs
    C:\WINDOWS\system32\svchost -k rpcss

    PRINT SPOOLER: Spooler
    C:\WINDOWS\system32\spoolsv.exe

    WINDOWS IMAGE ACQUISITION (WIA): stisvc
    C:\WINDOWS\System32\svchost.exe -k imgsvc

    TRUEVECTOR INTERNET MONITOR: vsmon
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service
  • Hoe bedoel je verschillend?
    Wat was er anders?

    Je hebt die progjes toch nog niet laten runnen in normale modus?
    Dan kan het wijzigen…

    We proberen opnieuw.
    Geef me 5 minuten.
  • [quote:c47030f069="M@rc"]Hoe bedoel je verschillend?
    Wat was er anders?[/quote:c47030f069]

    bvb:
    R1: cpmyf.dll bleek plots "efdwr.dll" te zijn geworden.
    O2: andere code
    04: RunOnce kwam er niet in voor, maar wel andere codes,

    en dan ben ik maar opgehouden…

    Kijk zelf maar:
    Logfile of HijackThis v1.98.2
    Scan saved at 21:43:30, on 10/09/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\NavNT\defwatch.exe
    C:\Program Files\NavNT\rtvscan.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\NavNT\vptray.exe
    C:\WINDOWS\system32\atlpq32.exe
    C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\ntko.exe
    C:\WINDOWS\System32\MsgSys.EXE
    C:\Program Files\Outlook Express\msimn.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\paul\Bureaublad\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\efdwr.dll/sp.html#29836
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\efdwr.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\efdwr.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\efdwr.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\efdwr.dll/sp.html#29836
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\efdwr.dll/sp.html#29836
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {A72F96DF-A4F3-57A8-1C3A-8C57E40658C5} - C:\WINDOWS\system32\windy.dll
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [atlpq32.exe] C:\WINDOWS\system32\atlpq32.exe
    O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O15 - Trusted Zone: *.05p.com
    O15 - Trusted Zone: *.blazefind.com
    O15 - Trusted Zone: *.clickspring.net
    O15 - Trusted Zone: *.flingstone.com
    O15 - Trusted Zone: *.mt-download.com
    O15 - Trusted Zone: *.my-internet.info
    O15 - Trusted Zone: *.scoobidoo.com
    O15 - Trusted Zone: *.searchbarcash.com
    O15 - Trusted Zone: *.searchmiracle.com
    O15 - Trusted Zone: *.slotch.com
    O15 - Trusted Zone: *.xxxtoolbar.com
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FEB0F0C1-2984-4C54-A06A-FDB741FB39FA}: NameServer = 62.235.14.4 62.235.13.199
    O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)
  • Hallo Paul,

    Probeer dit in 1 keer uit te voeren.
    Succes.

    1. Download dit regfiletje: http://users.pandora.be/marcvn/tools/paulIIfix.reg
    Plaats het bestand op je buroblad.

    2. Download CWShredder.
    Unzip het maar gebruik het programma nog niet.

    3. Download About:buster. Unzip het naar c:\aboutbuster en controleer of er updates beschikbaar. Installeer deze.
    Gebruik het programma nog niet.

    4. Zorg dat alle verborgen bestanden weergegeven worden.

    5. Start de computer in veilige modus.

    5. Druk op CTRL+SHIFT+DEL om Windows Taakbeheer te openen. Beëindig de volgende processen indien actief:
    ntko.exe
    atlpq32.exe

    6. Ga naar start - Uitvoeren en tik in: services.msc. Zoek naar deze service: [b:f644e29be5] REMOTE PROCEDURE CALL (RPC) HELPER[/b:f644e29be5]. (Let opdat je de goede pakt. De naam van de service die je moet uitschakelen lijkt erg op die van legitieme windows-services.
    Dubbelklik op deze service en in het venster dat verschijnt kies je bij Opstarttype voor Uitgeschakeld. Klik op Toepassen en vervolgens op OK.

    7. Sluit alle vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:f644e29be5]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\efdwr.dll/sp.html#29836
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\efdwr.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\efdwr.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\efdwr.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\efdwr.dll/sp.html#29836
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\efdwr.dll/sp.html#29836
    R3 - Default URLSearchHook is missing

    O2 - BHO: (no name) - {A72F96DF-A4F3-57A8-1C3A-8C57E40658C5} - C:\WINDOWS\system32\windy.dll

    O4 - HKLM\..\Run: [atlpq32.exe] C:\WINDOWS\system32\atlpq32.exe

    O15 - Trusted Zone: *.05p.com
    O15 - Trusted Zone: *.blazefind.com
    O15 - Trusted Zone: *.clickspring.net
    O15 - Trusted Zone: *.flingstone.com
    O15 - Trusted Zone: *.mt-download.com
    O15 - Trusted Zone: *.my-internet.info
    O15 - Trusted Zone: *.scoobidoo.com
    O15 - Trusted Zone: *.searchbarcash.com
    O15 - Trusted Zone: *.searchmiracle.com
    O15 - Trusted Zone: *.slotch.com
    O15 - Trusted Zone: *.xxxtoolbar.com

    O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)
    [/b:f644e29be5]

    9. Dubbelklik op paulIIfix.reg om de wijzigingen aan het register toe te voegen.

    10. Als extra controle, of mocht het aangemaakte regfile niet werken:
    Open de registereditor via Start - Uitvoeren - tik in: regedit
    Navigeer in het register naar de volgende sleutels:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_servicenaam
    en zoek naar een entry met de volgende naam (of wat lijkt op die ?gekke? tekens: [b:f644e29be5] O? ??rtñåȲ$Ó [/b:f644e29be5]
    Vind je zo een entry met de bewuste servicenaam, rechtsklik er dan op en kies voor verwijderen.

    11. Verwijder de volgende bestanden:
    C:\WINDOWS\system32\efdwr.dll <–dit bestand
    C:\WINDOWS\system32\windy.dll <–dit bestand
    C:\WINDOWS\system32\atlpq32.exe <–dit bestand
    C:\WINDOWS\ntko.exe <–dit bestand

    12. Maak je Temp-map leeg: Start - Uitvoeren tik in: %TEMP%. Selecteer alle bestanden en verwijder ze.

    13. Ledig de map met Tijdelijke internetbestanden: Ga naar Configuratiescherm - Internetopties - tabblad Algemeen - klik bij Tijdelijke internetbestanden op Bestanden Verwijderen.

    14. Herstel je webinstellingen: ga naar Configuratiescherm - Internetopties - tabblad Programma's. Klik op de knop Webinstellingen herstellen.

    15. Start CWShredder en klik op de fix-knop.

    16. Start About:buster. Laat het programma zijn werk doen. Start about:buster een tweede keer.

    17. Reboot de computer nu in normale modus. Run HijackThis opnieuw en post een nieuwe log.
    Post ook een nieuwe log van get_active_services.
  • Hallo, hier ben ik weer (eindelijk…)

    Met erg goed nieuws (hout vasthouden): spyware lijkt verdwenen !!
    Een paar opmerkingen:
    - punt 10: die entry rtnaÈ$ùO (of zoiets) bleek niet te vinden. Heb me suf gezocht en ook via zoekfunctie geprobeerd maar zonder resultaat.
    - punt 11: de opgegeven bestanden zaten niet in de 'verborgen bestanden' lijst.
    - punt 13: Temp.int.bestanden verwijderd via Verkenner.
    - punt 16: resultaat: " no ADS found on system"

    en tenslotte nog een nieuwe log van get-active-services:


    These are the Current Active Services:

    WINDOWS AUDIO: AudioSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COMPUTER BROWSER: Browser
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICES VOOR CRYPTOGRAFIE: CryptSvc
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    DHCP CLIENT: Dhcp
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    LOGICAL DISK MANAGER: dmserver
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICE VOOR HET RAPPORTEREN VAN FOUTEN: ERSvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COM+-GEBEURTENISSYSTEEM: EventSystem
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COMPATIBILITEIT VOOR SNELLE GEBRUIKERSWISSELING: FastUserSwitchingCompatibility
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    HELP EN ONDERSTEUNING: helpsvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVER: lanmanserver
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WORKSTATION: lanmanworkstation
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    MESSENGER: Messenger
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NETWORK CONNECTIONS: Netman
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NETWORK LOCATION AWARENESS (NLA): Nla
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    VERBINDINGSBEHEER VOOR RAS: RasMan
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TASK SCHEDULER: Schedule
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SECONDARY LOGON: seclogon
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SYSTEM EVENT NOTIFICATION: SENS
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    SHELL HARDWARE DETECTION: ShellHWDetection
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SYSTEM RESTORE-SERVICE: srservice
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TELEPHONY: TapiSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TERMINAL SERVICES: TermService
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    THEMA'S: Themes
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    DISTRIBUTED LINK TRACKING CLIENT: TrkWks
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    UPLOADBEHEER: uploadmgr
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WINDOWS TIME: W32Time
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WINDOWS MANAGEMENT INSTRUMENTATION: winmgmt
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    AUTOMATISCHE UPDATES: wuauserv
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    WIRELESS ZERO CONFIGURATION-SERVICE: WZCSVC
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    DEFWATCH: DefWatch
    C:\Program Files\NavNT\defwatch.exe

    DNS CLIENT: Dnscache
    C:\WINDOWS\System32\svchost.exe -k NetworkService

    EVENT LOG: Eventlog
    C:\WINDOWS\system32\services.exe

    PLUG AND PLAY: PlugPlay
    C:\WINDOWS\system32\services.exe

    TCP/IP NETBIOS HELPER: LmHosts
    C:\WINDOWS\System32\svchost.exe -k LocalService

    REMOTE REGISTRY: RemoteRegistry
    C:\WINDOWS\system32\svchost.exe -k LocalService

    SSDP DISCOVERY-SERVICE: SSDPSRV
    C:\WINDOWS\System32\svchost.exe -k LocalService

    WEBCLIENT: WebClient
    C:\WINDOWS\System32\svchost.exe -k LocalService

    NORTON ANTIVIRUS CLIENT: Norton AntiVirus Server
    C:\Program Files\NavNT\rtvscan.exe

    NVIDIA DISPLAY DRIVER SERVICE: NVSvc
    C:\WINDOWS\System32\nvsvc32.exe

    IPSEC-SERVICES: PolicyAgent
    C:\WINDOWS\System32\lsass.exe

    PROTECTED STORAGE: ProtectedStorage
    C:\WINDOWS\system32\lsass.exe

    SECURITY ACCOUNTS MANAGER: SamSs
    C:\WINDOWS\system32\lsass.exe

    REMOTE PROCEDURE CALL (RPC): RpcSs
    C:\WINDOWS\system32\svchost -k rpcss

    PRINT SPOOLER: Spooler
    C:\WINDOWS\system32\spoolsv.exe

    WINDOWS IMAGE ACQUISITION (WIA): stisvc
    C:\WINDOWS\System32\svchost.exe -k imgsvc

    TRUEVECTOR INTERNET MONITOR: vsmon
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service
  • Heb je ook nog een nieuw HijackThislog?
  • Ja natuurlijk:

    Logfile of HijackThis v1.98.2
    Scan saved at 0:02:41, on 11/09/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\NavNT\defwatch.exe
    C:\Program Files\NavNT\rtvscan.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\NavNT\vptray.exe
    C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\System32\MsgSys.EXE
    C:\Program Files\Outlook Express\msimn.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe
    C:\Documents and Settings\paul\Bureaublad\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tijd.be/nieuws/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FEB0F0C1-2984-4C54-A06A-FDB741FB39FA}: NameServer = 62.235.14.4 62.235.13.199


    Ik ben echt onder de indruk van M@rc's assistentie.
    Dacht dat ik m'n computer nooit meer aan de praat zou krijgen.
    Ik heb een hoop bijgeleerd en ook wel geschrokken van de hardnekkigheid van die hacker-aanvallen, maar M@rc was ze te slim af !

    Nogmaals mijn dank voor de hulp. Tenslotte heeft M@rc er toch wel een hoop tijd in gestoken.
    Als ik je ergens tegenkom: ik ben je wel een stevige pint verschuldigd !
  • Lijkt me schoon,
  • Hallo Paul,


    [img:7b64a07dda]http://users.pandora.be/marcvn/Iconen/icon_thumb.gif[/img:7b64a07dda] Mooi zo. Met die stevige pint wachten we nog even.
    We zijn er nog niet….je hebt nog wat te doen.

    Eerst doe je een online-virusscan. Om restanten van deze hijacker te verwijderen. (About:Buster laat soms nog wat staan.)

    Deze hijacker kan ook een aantal bestanden op je computer verwijderd hebben. Controleer na de fix of volgende bestanden nog aanwezig zijn:
    - Control.exe: Ga naar http://www.richardthelionhearted.com/~merijn/winfiles.html#control en download indien nodig de control.exe die bij je besturingssysteem hoort. Plaats het bestand in c:\windows\system32\.
    - Hosts (zonder extensie): Hosts bevindt zich in c:\windows\system32\drivers\etc\. Indien niet aanwezig, download je the Hoster: http://members.aol.com/toadbee/hoster.zip . Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af. Goede vervangers van hosts vind je ook hier (http://www.mvps.org/winhelp2002/hosts.htm) en hier (http://webpages.charter.net/hpguru/hosts/hosts.html).
    SDHelper.dll: Als je Spybot Search & Destroy gebruikt kan deze hijacker ook het bestand SDHelper.dll verwijderen. Download SDHelper.dll: http://www.richardthelionhearted.com/~merijn/winfiles.html#sdhelper . Plaats de file in de installatiemap van Spybot Search & Destroy. Meestal is dit C:\Program Files\Spybot - Search & Destroy.
    - Shell.dll: Controleer even via de verkenner of shell.dll in de system32-map staat. Indien het bestand ontbreekt, ga je naar c:\windows\System32\dllcache. Zoek Shell.dll, rechtsklik er op en kies voor kopiëren. Plaats het kopie in de system32-map.

    Als je dit alles gedaan hebt, ga je met een propere lei beginnen.
    Maak je prullenbak leeg.
    Schakel systeemherstel uit, reboot, schakel systeemherstel weer in (zo verwijder je alle bestaande systeemherstelpunten, maar dit is echt nodig).

    groeten,
    Marc
  • Zo, alles netjes uitgevoerd.

    - De virus-scan vond nog maar eventjes 38 geïnfecteerde bestanden.

    - Shell.dll heb ik naar de System-32 map gecopiëerd maar die bleek daarna niet op de lijst van System-32 bestanden voor te komen.
    Via de zoekfunctie zou die er nochtans wel degelijk op moeten staan.
    Raar hé ?

    Groeten,
    Paul.
  • Hallo Paul,

    Het verhaal van zoveel geïnfecteerde bestanden kan kloppen. Voor elke exe die door deze hijacker aangemaakt wordt, wordt ook een .dll en of een .dat file aangemaakt.
    About:Buster zou het meeste van die zaken moet opruimen, en in principe zou het runnen van dit progje ook voldoende moeten zijn om deze hijacker te bestrijden. Maar het programma loopt, ondanks de vele updates die er van komen, toch achter de feiten aan.
    Dat is oa ook de reden waarom ik je nog een online-scan liet doen: Trendmicro ruimt de rest op.
    (Een andere reden was de aanwezigheid van die system[1].exe in je vorige logs)

    Als je Shell.dll kan vinden in de system32 map met je zoekfunctie dan moet hij aanwezig zijn in die map. (Sorteer de map eens op naam.)

    Groeten,
    Marc

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.