Vraag & Antwoord

Beveiliging & privacy

About:Blank - Hijackthis log

Anoniem
None
17 antwoorden
 • Onderstaand log komt van de PC van een kennis. Een aantal dingen kan ik wel herkennen, maar about:blank krijg ik niet weg.
  Kan iemand mij adviseren ?

  Logfile of HijackThis v1.97.7
  Scan saved at 12:44:17, on 10-10-2004
  Platform: Windows XP SP1 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
  C:\WINDOWS\apigx.exe
  C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
  C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
  C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
  C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\apvxdwin.exe
  C:\WINDOWS\Explorer.EXE
  C:\WINDOWS\System32\RunDll32.exe
  C:\Program Files\Windows SyncroAd\SyncroAd.exe
  C:\WINDOWS\system32\sdkkx.exe
  C:\Documents and Settings\Ton\Application Data\tsbn.exe
  C:\Program Files\Windows SyncroAd\WinSync.exe
  C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
  C:\Program Files\Web_Rebates\WebRebates1.exe
  C:\Program Files\Web_Rebates\WebRebates0.exe
  E:\hijac\HijackThis.exe
  C:\Program Files\Outlook Express\msimn.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxwba.dll/sp.html#29126
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxwba.dll/sp.html#29126
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxwba.dll/sp.html#29126
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxwba.dll/sp.html#29126
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxwba.dll/sp.html#29126
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jxwba.dll/sp.html#29126
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxwba.dll/sp.html#29126
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
  O2 - BHO: (no name) - {D1F54785-3008-D469-EAF6-3608BE22CDCC} - C:\WINDOWS\system32\winam.dll
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
  O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
  O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
  O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
  O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
  O4 - HKLM\..\Run: [sdkkx.exe] C:\WINDOWS\system32\sdkkx.exe
  O4 - HKCU\..\Run: [Teau] C:\Documents and Settings\Ton\Application Data\tsbn.exe
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
  O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
  O9 - Extra button: Onderzoek (HKLM)
  O9 - Extra button: Corel Network monitor worker (HKLM)
  O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKLM)
  O9 - Extra button: Messenger (HKLM)
  O9 - Extra 'Tools' menuitem: Messenger (HKLM)
  O9 - Extra button: Corel Network monitor worker (HKCU)
  O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKCU)
  O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
  O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
  O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
  O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
  O14 - IERESET.INF: START_PAGE_URL=http://www.superweb.nl
  O15 - Trusted Zone: *.05p.com
  O15 - Trusted Zone: *.blazefind.com
  O15 - Trusted Zone: *.clickspring.net
  O15 - Trusted Zone: *.flingstone.com
  O15 - Trusted Zone: *.mt-download.com
  O15 - Trusted Zone: *.my-internet.info
  O15 - Trusted Zone: *.scoobidoo.com
  O15 - Trusted Zone: *.searchbarcash.com
  O15 - Trusted Zone: *.searchmiracle.com
  O15 - Trusted Zone: *.slotch.com
  O15 - Trusted Zone: *.xxxtoolbar.com
  O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab
  O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6
  O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
  O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
  O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
  O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab
  O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
  O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093035265700
  O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
  O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
  O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38181.4400925926
  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
 • Kijk heel even,
 • Je hebt last van homesearch,

  Download: http://users.pandora.be/marcvn/tools/get_active_services.zip

  Pak hem uit op je c: schijf, run hem en je krijgt active.txt, post die in je volgende post samen met een nieuwe hijackthislog, daarna moet je de computer niet meer opnieuw opstarten.

  Mail me ook een exemplaar van active.txt door naar:
  pino_roelt_gewoon at lycos punt nl

  (gewoon even een normaal adres van maken)

  Greetz D,
 • Succes Guy met deze lastige. ;)
 • Hier onder het resultaat. Ik kreeg er wel een Windows Scripting Host foutmelding voor.

  These are the Current Active Services:

  NETWORK SECURITY SERVICE (NSS): O?’ŽrtñåȲ$Ó
  C:\WINDOWS\apigx.exe /s

  APPLICATION LAYER GATEWAY-SERVICE: ALG
  C:\WINDOWS\System32\alg.exe

  WINDOWS AUDIO: AudioSrv
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  COMPUTER BROWSER: Browser
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  SERVICES VOOR CRYPTOGRAFIE: CryptSvc
  C:\WINDOWS\system32\svchost.exe -k netsvcs

  DHCP CLIENT: Dhcp
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  SERVICE VOOR HET RAPPORTEREN VAN FOUTEN: ERSvc
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  COM+-GEBEURTENISSYSTEEM: EventSystem
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  COMPATIBILITEIT VOOR SNELLE GEBRUIKERSWISSELING: FastUserSwitchingCompatibility
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  HELP EN ONDERSTEUNING: helpsvc
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  SERVER: lanmanserver
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  WORKSTATION: lanmanworkstation
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  MESSENGER: Messenger
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  NETWORK CONNECTIONS: Netman
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  NETWORK LOCATION AWARENESS (NLA): Nla
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  VERBINDINGSBEHEER VOOR RAS: RasMan
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  TASK SCHEDULER: Schedule
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  SECONDARY LOGON: seclogon
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  SYSTEM EVENT NOTIFICATION: SENS
  C:\WINDOWS\system32\svchost.exe -k netsvcs

  INTERNET CONNECTION FIREWALL (ICF) / INTERNET CONNECTION SHARING (ICS): SharedAccess
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  SHELL HARDWARE DETECTION: ShellHWDetection
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  SYSTEM RESTORE-SERVICE: srservice
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  TELEPHONY: TapiSrv
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  TERMINAL SERVICES: TermService
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  THEMA'S: Themes
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  DISTRIBUTED LINK TRACKING CLIENT: TrkWks
  C:\WINDOWS\system32\svchost.exe -k netsvcs

  UPLOADBEHEER: uploadmgr
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  WINDOWS TIME: W32Time
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  WINDOWS MANAGEMENT INSTRUMENTATION: winmgmt
  C:\WINDOWS\system32\svchost.exe -k netsvcs

  AUTOMATISCHE UPDATES: wuauserv
  C:\WINDOWS\system32\svchost.exe -k netsvcs

  WIRELESS ZERO CONFIGURATION-SERVICE: WZCSVC
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  DNS CLIENT: Dnscache
  C:\WINDOWS\System32\svchost.exe -k NetworkService

  EVENT LOG: Eventlog
  C:\WINDOWS\system32\services.exe

  PLUG AND PLAY: PlugPlay
  C:\WINDOWS\system32\services.exe

  TCP/IP NETBIOS HELPER: LmHosts
  C:\WINDOWS\System32\svchost.exe -k LocalService

  SSDP DISCOVERY-SERVICE: SSDPSRV
  C:\WINDOWS\System32\svchost.exe -k LocalService

  WEBCLIENT: WebClient
  C:\WINDOWS\System32\svchost.exe -k LocalService

  MACHINE DEBUG MANAGER: MDM
  "C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE"

  PANDA PROCESS PROTECTION SERVICE: PavPrSrv
  "C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe"

  PANDA ANTI-VIRUS SERVICE: PAVSRV
  "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe"

  IPSEC-SERVICES: PolicyAgent
  C:\WINDOWS\System32\lsass.exe

  PROTECTED STORAGE: ProtectedStorage
  C:\WINDOWS\system32\lsass.exe

  SECURITY ACCOUNTS MANAGER: SamSs
  C:\WINDOWS\system32\lsass.exe

  PANDA IMANAGER SERVICE: PSIMSVC
  "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe"

  REMOTE PROCEDURE CALL (RPC): RpcSs
  C:\WINDOWS\system32\svchost -k rpcss

  PRINT SPOOLER: Spooler
  C:\WINDOWS\system32\spoolsv.exe

  WINDOWS IMAGE ACQUISITION (WIA): stisvc
  C:\WINDOWS\System32\svchost.exe -k imgsvc
 • [quote:b8debaf8d2="miekiemoes"]Succes Guy met deze lastige. ;)[/quote:b8debaf8d2]

  Weet dat hij lastig is, ik wil straks eigenlijk zelf een fix procedure in elkaar zetten maar voordat de ts dat uitvoert wil ik eigenlijk dat Marc of Andre even groen licht geeft. :wink:

  edit: ik ga bezig
 • Print dit even uit en lees het door, als je vragen hebt stel je die. Voer de hele procedure in een keer uit.

  1) Download cwshredder: http://www.computercops.biz/downloads-cat-14.html
  gebruik hem nog niet.

  2) Download about:buster, http://tools.zerosrealm.com/AboutBuster.zip
  unzip hem naar c:\about:buster
  controleer of je hem kan updaten. (als je kan updaten update je hem ook)

  3) Laat alle verborgen files weergeven: http://users.pandora.be/marcvn/spyware/1117602.htm

  4) Download dit regfiletje, save hem op je bureaublad: http://i.1asphost.com/pcguy/Peter%20Vooges.reg

  5) Herstart in veilige modus: http://users.pandora.be/marcvn/spyware/1378056.htm

  6) Ga naar taakbeheer, tabje processen en kill deze:
  [list:bc99322067][b:bc99322067]
  SyncroAd.exe
  WebRebates0.exe"
  sdkkx.exe
  tsbn.exe
  apigx.exe[/b:bc99322067][/list:u:bc99322067]

  7) ga naar configuratiescherm –> software en deinstaleer indien mogelijk:
  [list:bc99322067][b:bc99322067]syncroad
  windows syncroad
  webrates[/b:bc99322067][/list:u:bc99322067]

  8 ) Ga naar start –> uitvoeren, tik in: "services.msc" zoek deze service op: [b:bc99322067]NETWORK SECURITY SERVICE (NSS)[/b:bc99322067] dubbelklik erop, er verschijnt een venster daarin bij opstarttype
  stel je in: uitgeschakeld, klik op toepassen en daarna op ok
  (let op dat je de goede neemt, schakel alleen deze uit)

  9) Sluit alle vensters en laat hijackthis deze repareren:
  [list:bc99322067][b:bc99322067]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxwba.dll/sp.html#29126
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxwba.dll/sp.html#29126
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxwba.dll/sp.html#29126
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxwba.dll/sp.html#29126
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxwba.dll/sp.html#29126
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jxwba.dll/sp.html#29126
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxwba.dll/sp.html#29126
  O2 - BHO: (no name) - {D1F54785-3008-D469-EAF6-3608BE22CDCC} - C:\WINDOWS\system32\winam.dll
  O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
  O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
  O4 - HKLM\..\Run: [sdkkx.exe] C:\WINDOWS\system32\sdkkx.exe
  O4 - HKCU\..\Run: [Teau] C:\Documents and Settings\Ton\Application Data\tsbn.exe
  O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
  O14 - IERESET.INF: START_PAGE_URL=http://www.superweb.nl
  O15 - Trusted Zone: *.05p.com
  O15 - Trusted Zone: *.blazefind.com
  O15 - Trusted Zone: *.clickspring.net
  O15 - Trusted Zone: *.flingstone.com
  O15 - Trusted Zone: *.mt-download.com
  O15 - Trusted Zone: *.my-internet.info
  O15 - Trusted Zone: *.scoobidoo.com
  O15 - Trusted Zone: *.searchbarcash.com
  O15 - Trusted Zone: *.searchmiracle.com
  O15 - Trusted Zone: *.slotch.com
  O15 - Trusted Zone: *.xxxtoolbar.com
  O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6
  O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
  O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab [/b:bc99322067][/list:u:bc99322067]

  10) Dubbelklik op Peter Vooges.reg en bevestig met ja op de gegevens aan het register toe te voegen,

  11) Verwijder onderstaande items indien aanwezig:
  [list:bc99322067][b:bc99322067]
  C:\WINDOWS\apigx.exe <— deze file
  C:\WINDOWS\jxwba.dll <— deze file
  C:\WINDOWS\system32\winam.dll <— deze file
  C:\Program Files\Windows SyncroAd <— deze map
  C:\Program Files\Web_Rebates <— deze map
  C:\WINDOWS\system32\sdkkx.exe <— deze file
  C:\Documents and Settings\Ton\Application Data\tsbn.exe <— dit bestand[/b:bc99322067][/list:u:bc99322067]

  12) Ga naar start –> uitvoeren, tik in: "[b:bc99322067]%temp%[/b:bc99322067]"
  Leeg de map die je krijgt

  13) Ga naar start –> configuratiescherm –> internet opties –> tabje algemeen –> bij tijdelijke internet bestanden klik je op: "bestanden verwijderen"

  14) bij die opties op het tabje programma's klik je op "webinstellingen herstellen"

  15) Draai coolwebshredder (runnen, dan fix knop)

  16) Run 2 scans met about:buster, sla de logjes die je krijgt op

  17) Herstart in gewone modus

  18 ) Draai een online virusscan: http://www.bitdefender.com/scan/licence.php

  19) Plaats een nieuwe hijackthislog en een nieuwe get_active_services log.

  Wacht even met deze procedure, aangezien dit mijn 1e homesearch is die ik helemaal zelf doe wil ik graag eerst groen licht hebben van Marc of Andre. (Rieske en Mieke ook goed hoor als jullie het ook weten :wink:)
 • Dit proces moet je zeker beëindigen indien actief:
  apigx.exe
  Die hangt immers samen met de service.

  Gebruik dit regfiltje: http://users.pandora.be/marcvn/tools/hsfix.reg
  Jouw servicenaam lijkt me niet te kloppen pcguy. (controleer even)

  Deze moet je ook laten fixen:
  [b:0fdf87037b]
  O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab[/b:0fdf87037b]

  Wacht even met de online-scan tot na de nieuwe log.
  Als online-scan pak je best ook trendmicro. Daar ben ik zeker van dat hij de geïnfecteerde bestanden vindt.

  De rest ziet er goed uit.
 • [quote:c447b5c448="M@rc"]Dit proces moet je zeker beëindigen indien actief:
  apigx.exe
  Die hangt immers samen met de service.

  Gebruik dit regfiltje: http://users.pandora.be/marcvn/tools/hsfix.reg
  Jouw servicenaam lijkt me niet te kloppen pcguy. (controleer even)

  Deze moet je ook laten fixen:
  [b:c447b5c448]
  O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab[/b:c447b5c448]

  Wacht even met de online-scan tot na de nieuwe log.
  Als online-scan pak je best ook trendmicro. Daar ben ik zeker van dat hij de geïnfecteerde bestanden vindt.

  De rest ziet er goed uit.[/quote:c447b5c448]

  Ik edit het even,

  Als ik die servicenaam vergelijk lijkt hij me hetzelfde? (Ik heb trouwens die uit de mail gepakt, die uit het mailtje is deze:

  [quote:c447b5c448]NETWORK SECURITY SERVICE (NSS): O? ’ŽrtñåȲ$ Ó
  C:\WINDOWS\apigx.exe /s[/quote:c447b5c448]

  en die 016, shame on me :oops: Had er overheen gekeken, evenals dat proces wat ik was vergeten te laten beeindigen, ik d8 dat ik hem erbij had geplakt. :oops:
 • Ik heb het uitgeprint en ga er mee langs de patient. Jullie lezen het resultaat…..
 • Het Hijackthis-log:

  Logfile of HijackThis v1.97.7
  Scan saved at 16:52:07, on 10-10-2004
  Platform: Windows XP SP1 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
  C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
  C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
  C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
  C:\WINDOWS\System32\wuauclt.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\apvxdwin.exe
  C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
  C:\WINDOWS\System32\RunDll32.exe
  D:\DOWNLOADS\ABOUT\HijackThis.exe

  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
  O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
  O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
  O4 - HKLM\..\Run: [sdkkx.exe] C:\WINDOWS\system32\sdkkx.exe
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
  O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
  O9 - Extra button: Onderzoek (HKLM)
  O9 - Extra button: Corel Network monitor worker (HKLM)
  O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKLM)
  O9 - Extra button: Messenger (HKLM)
  O9 - Extra 'Tools' menuitem: Messenger (HKLM)
  O9 - Extra button: Corel Network monitor worker (HKCU)
  O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKCU)
  O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
  O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
  O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
  O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
  O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab
  O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
  O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
  O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
  O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab
  O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
  O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093035265700
  O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
  O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38181.4400925926
  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab


  EN HET ACTIVE SERVICE LOG:


  These are the Current Active Services:

  APPLICATION LAYER GATEWAY-SERVICE: ALG
  C:\WINDOWS\System32\alg.exe

  WINDOWS AUDIO: AudioSrv
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  COMPUTER BROWSER: Browser
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  SERVICES VOOR CRYPTOGRAFIE: CryptSvc
  C:\WINDOWS\system32\svchost.exe -k netsvcs

  DHCP CLIENT: Dhcp
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  SERVICE VOOR HET RAPPORTEREN VAN FOUTEN: ERSvc
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  COM+-GEBEURTENISSYSTEEM: EventSystem
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  COMPATIBILITEIT VOOR SNELLE GEBRUIKERSWISSELING: FastUserSwitchingCompatibility
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  HELP EN ONDERSTEUNING: helpsvc
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  SERVER: lanmanserver
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  WORKSTATION: lanmanworkstation
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  MESSENGER: Messenger
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  NETWORK CONNECTIONS: Netman
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  NETWORK LOCATION AWARENESS (NLA): Nla
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  VERBINDINGSBEHEER VOOR RAS: RasMan
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  TASK SCHEDULER: Schedule
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  SECONDARY LOGON: seclogon
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  SYSTEM EVENT NOTIFICATION: SENS
  C:\WINDOWS\system32\svchost.exe -k netsvcs

  INTERNET CONNECTION FIREWALL (ICF) / INTERNET CONNECTION SHARING (ICS): SharedAccess
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  SHELL HARDWARE DETECTION: ShellHWDetection
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  SYSTEM RESTORE-SERVICE: srservice
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  TELEPHONY: TapiSrv
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  TERMINAL SERVICES: TermService
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  THEMA'S: Themes
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  DISTRIBUTED LINK TRACKING CLIENT: TrkWks
  C:\WINDOWS\system32\svchost.exe -k netsvcs

  UPLOADBEHEER: uploadmgr
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  WINDOWS TIME: W32Time
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  WINDOWS MANAGEMENT INSTRUMENTATION: winmgmt
  C:\WINDOWS\system32\svchost.exe -k netsvcs

  AUTOMATISCHE UPDATES: wuauserv
  C:\WINDOWS\system32\svchost.exe -k netsvcs

  WIRELESS ZERO CONFIGURATION-SERVICE: WZCSVC
  C:\WINDOWS\System32\svchost.exe -k netsvcs

  DNS CLIENT: Dnscache
  C:\WINDOWS\System32\svchost.exe -k NetworkService

  EVENT LOG: Eventlog
  C:\WINDOWS\system32\services.exe

  PLUG AND PLAY: PlugPlay
  C:\WINDOWS\system32\services.exe

  TCP/IP NETBIOS HELPER: LmHosts
  C:\WINDOWS\System32\svchost.exe -k LocalService

  SSDP DISCOVERY-SERVICE: SSDPSRV
  C:\WINDOWS\System32\svchost.exe -k LocalService

  WEBCLIENT: WebClient
  C:\WINDOWS\System32\svchost.exe -k LocalService

  MACHINE DEBUG MANAGER: MDM
  "C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE"

  PANDA PROCESS PROTECTION SERVICE: PavPrSrv
  "C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe"

  PANDA ANTI-VIRUS SERVICE: PAVSRV
  "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe"

  IPSEC-SERVICES: PolicyAgent
  C:\WINDOWS\System32\lsass.exe

  PROTECTED STORAGE: ProtectedStorage
  C:\WINDOWS\system32\lsass.exe

  SECURITY ACCOUNTS MANAGER: SamSs
  C:\WINDOWS\system32\lsass.exe

  PANDA IMANAGER SERVICE: PSIMSVC
  "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe"

  REMOTE PROCEDURE CALL (RPC): RpcSs
  C:\WINDOWS\system32\svchost -k rpcss

  PRINT SPOOLER: Spooler
  C:\WINDOWS\system32\spoolsv.exe

  WINDOWS IMAGE ACQUISITION (WIA): stisvc
  C:\WINDOWS\System32\svchost.exe -k imgsvc


  De start pagina blijft nu goed, maar ik heb van Panda al twee meldingen gehad over een trojan die geneutraliseerd werd. Ik ga nu de online scan draaien.
 • Kijk hem door,
 • Na die online scan doe je dit:

  Webrates had je verwijdert? Zo nee, probeer dat eerst.

  Kill dit proces:
  [list:26ae3dcaa9][b:26ae3dcaa9]sdkkx.exe[/b:26ae3dcaa9][/list:u:26ae3dcaa9]

  Sluit alle vensters, run hijackthis opnieuw en fix deze items:
  [list:26ae3dcaa9][b:26ae3dcaa9]O4 - HKLM\..\Run: [sdkkx.exe] C:\WINDOWS\system32\sdkkx.exe
  O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
  O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab[/b:26ae3dcaa9][/list:u:26ae3dcaa9]

  Herstart in veilige modus en laat alle bestanden weergeven, verwijder deze items indien aanwezig:
  [list:26ae3dcaa9][b:26ae3dcaa9]C:\WINDOWS\system32\sdkkx.exe <— deze file
  C:\Program Files\Web_Rebates <— deze map
  c:\counter.cab <— deze file[/b:26ae3dcaa9][/list:u:26ae3dcaa9]

  Daarna herstart je in gewone modus en post je een nieuwe hijackthislog.
 • Dit is de laatste log:

  Logfile of HijackThis v1.97.7
  Scan saved at 18:05:09, on 10-10-2004
  Platform: Windows XP SP1 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
  C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
  C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
  C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\apvxdwin.exe
  C:\WINDOWS\System32\RunDll32.exe
  C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
  C:\WINDOWS\System32\wuauclt.exe
  D:\DOWNLOADS\ABOUT\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ajax.nl/
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
  O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
  O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
  O9 - Extra button: Onderzoek (HKLM)
  O9 - Extra button: Corel Network monitor worker (HKLM)
  O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKLM)
  O9 - Extra button: Messenger (HKLM)
  O9 - Extra 'Tools' menuitem: Messenger (HKLM)
  O9 - Extra button: Corel Network monitor worker (HKCU)
  O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKCU)
  O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
  O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
  O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
  O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
  O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
  O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
 • The finishing touch….

  Deze hijacker kan een aantal bestanden op je computer verwijderd hebben. Controleer of volgende bestanden nog aanwezig zijn:
  - Control.exe: Ga naar http://www.spywareinfo.com/~merijn/winfiles.html#control en download indien nodig de control.exe die bij je besturingssysteem hoort. Control.exe moet zich in de map c:\windows\system32 bevinden.
  - Hosts (zonder extensie): Hosts bevindt zich in \system32\drivers\etc\. Indien niet aanwezig, download je the Hoster: http://members.aol.com/toadbee/hoster.zip . Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.
  - SDHelper.dll: Als je Spybot Search & Destroy gebruikt kan deze hijacker ook het bestand SDHelper.dll verwijderen. Download SDHelper.dll: http://www.spywareinfo.com/~merijn/winfiles.html#sdhelper. Plaats de file in de installatiemap van Spybot Search & Destroy. Meestal is dit C:\Program Files\Spybot - Search & Destroy.
  - Shell.dll: Controleer even via de verkenner of shell.dll in de system32-map staat. Indien het bestand ontbreekt, ga je naar System32\dllcache. Zoek Shell.dll, rechtsklik er op en kies voor kopiëren. Plaats het kopie in de system32-map.

  Als je dit alles gedaan hebt maak je de prullenbak leeg.
  Verwijder ook alle bestaande systeemherstelpunten: Schakel systeemherstel uit, reboot de computer en schakel systeemherstel weer in. (info: Systeemherstel uitschakelen)

  en dat moet je kennis er weer tegen kunnen…

  groeten,
 • Ik ga dit laatste nog even in orde maken. Je leest nog van me. :)
 • Systeem helemaal schoon. De laatste troep (dialers) zat nog in de internet cache maar nadat ook die was opgeruimd, was het weer een schoon systeem.
  Bedankt voor de adviezen.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.