Vraag & Antwoord

Beveiliging & privacy

Wat zit er mis? zie Hijack file

Anoniem
pcguy
7 antwoorden
 • Mijn probleem;
  1
  In opstartprocedure Windowx XP wordt verkenner geopend. Als op starten klaar is klik ik deze weg. Dit doet de computer sinds een paar dagen
  2
  Eveneens sinds een paar dagen: Als virusscanner heb ik AVG virusscanner op mijn computer zitten. Ik vink de obties in 'Check virussen' aan en klik op parameters als default zetten en klick op OK.
  Toch zijn bij een volgende opstart de parameters voor Check Virussen weer allemaal uit.

  Ik heb geadviseerde software gedraaid. Ik voeg de file van HijackThis bij. Zit daar wat in wat er uit kan?

  Al vast bedankt

  ——- proces —–
  Adware; geen problemen

  Scredder; geen problemen

  SpyBot:
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

  DSO Exploit: Data source object exploit (Register-verandering., nothing done)
  HKEY_USERS\S-1-5-21-1085031214-220523388-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

  DSO Exploit: Data source object exploit (Register-verandering., nothing done)
  HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

  DSO Exploit: Data source object exploit (Register-verandering., nothing done)
  HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

  DSO Exploit: Data source object exploit (Register-verandering., nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3  HijackThis:

  Logfile of HijackThis v1.98.2
  Scan saved at 15:22:44, on 17/10/2004
  Platform: Windows XP SP2 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\Explorer.EXE
  D:\Program Files\ahead\InCD\InCD.exe
  D:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan\HPLamp.exe
  C:\WINDOWS\System32\lwjxca.exe
  C:\Program Files\WindowsSA\omniscient.exe
  D:\Program Files\Grisoft\AVG6\avgcc32.exe
  C:\WINDOWS\system32\ctfmon.exe
  C:\WINDOWS\system32\rundll32.exe
  C:\WINDOWS\system32\devldr32.exe
  D:\PROGRA~1\Grisoft\AVG6\avgserv.exe
  C:\WINDOWS\SYSTEM32\GEARSEC.EXE
  C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
  C:\WINDOWS\System32\nvsvc32.exe
  C:\WINDOWS\System32\svchost.exe
  E:\Download\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hccnet.nl/
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Windows\System32\wsaupdater.exe,
  O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
  O4 - HKLM\..\Run: [InCD] D:\Program Files\ahead\InCD\InCD.exe
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
  O4 - HKLM\..\Run: [HP Lamp] D:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan\HPLamp.exe
  O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
  O4 - HKLM\..\Run: [Microsoft Update Machine] xvshost.exe
  O4 - HKLM\..\Run: [zvrppi] C:\WINDOWS\System32\lwjxca.exe
  O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
  O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
  O4 - HKLM\..\Run: [AVG_CC] D:\Program Files\Grisoft\AVG6\avgcc32.exe /startup
  O4 - HKLM\..\RunServices: [Microsoft Update Machine] xvshost.exe
  O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKCU\..\Run: [Microsoft Update Machine] xvshost.exe
  O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
  O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
 • Ik kijk na de log. Sluit de pc NIET af en scan NIET met een ander programma.
 • Kill dit proces in taakbeheer: (ctrl+alt+del -> tabblad processen -> rechtsklik op het proces -> beeindig proces)
  [list:8b0ac5696b][b:8b0ac5696b]lwjxca.exe[/b:8b0ac5696b][/list:u:8b0ac5696b]


  Scan nogmaals met hijackthis en vink onderstaande items aan, sluit vervolgens alle vensters behalve hijackthis en klik op fix checked.
  [list:8b0ac5696b][b:8b0ac5696b]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Windows\System32\wsaupdater.exe,
  O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
  O4 - HKLM\..\Run: [Microsoft Update Machine] xvshost.exe
  O4 - HKLM\..\Run: [zvrppi] C:\WINDOWS\System32\lwjxca.exe
  O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
  O4 - HKLM\..\RunServices: [Microsoft Update Machine] xvshost.exe
  O4 - HKCU\..\Run: [Microsoft Update Machine] xvshost.exe [/b:8b0ac5696b][/list:u:8b0ac5696b]

  Herstart in de veilige modus: http://users.pandora.be/marcvn/spyware/1378056.htm
  Laat alle bestanden weergeven: http://users.pandora.be/marcvn/spyware/1117602.htm

  Controleer of dit bestand aanwezig is:
  C:\WINDOWS\system32\[b:8b0ac5696b]userinit.exe <— dit bestand[/b:8b0ac5696b], als het bestand er niet meer is mag je het
 • Hierbij de nieuwe logfile. De map wordt niet meer geopend. De AVG virusscanner behoudt echter nog niet de gewenste instellingen. Zal ik de virusscanner deinstalleren en daarna opnieuw installeren?


  Logfile of HijackThis v1.98.2
  Scan saved at 19:30:57, on 17/10/2004
  Platform: Windows XP SP2 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\Explorer.EXE
  D:\Program Files\ahead\InCD\InCD.exe
  D:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan\HPLamp.exe
  D:\Program Files\Grisoft\AVG6\avgcc32.exe
  C:\WINDOWS\system32\ctfmon.exe
  C:\WINDOWS\system32\rundll32.exe
  C:\WINDOWS\system32\devldr32.exe
  D:\PROGRA~1\Grisoft\AVG6\avgserv.exe
  C:\WINDOWS\SYSTEM32\GEARSEC.EXE
  C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
  C:\WINDOWS\System32\nvsvc32.exe
  C:\WINDOWS\System32\svchost.exe
  E:\Download\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hccnet.nl/
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
  O4 - HKLM\..\Run: [InCD] D:\Program Files\ahead\InCD\InCD.exe
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
  O4 - HKLM\..\Run: [HP Lamp] D:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan\HPLamp.exe
  O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
  O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
  O4 - HKLM\..\Run: [AVG_CC] D:\Program Files\Grisoft\AVG6\avgcc32.exe /startup
  O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
  O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
  O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
  O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
  O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.bibliotheekbarneveld.nl/catalogus/msrdp.cab
  O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
 • Log lijkt me in orde, instaleer avg maar eens overnieuw idd.
 • Na verwijderen en opnieuw installeren werk AVG weer prima. Nu krijg ik echter de volgende melding:
  Virus
  Trojan Horse downloader.Agent.A5

  is found in file
  C:\system Volume Informtion\_restore\{F1F77C90-F222-486C-8719-40999902D9588}\RP214\A0030580.exe

  To remove the virus, place run AVG for Windows

  Exter na het contorleren met AVG is dit niet gevonden en verwijderd.
  Ook met spybot wordt het bestand niet gevonden. Hoe pak ik deze wel?
 • Na verwijderen en opnieuw installeren werk AVG weer prima. Nu krijg ik echter de volgende melding:
  Virus
  Trojan Horse downloader.Agent.A5

  is found in file
  C:\system Volume Informtion\_restore\{F1F77C90-F222-486C-8719-40999902D9588}\RP214\A0030580.exe

  To remove the virus, place run AVG for Windows

  Exter na het contorleren met AVG is dit niet gevonden en verwijderd.
  Ook met spybot wordt het bestand niet gevonden. Hoe pak ik deze wel?

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.