Vraag & Antwoord

Beveiliging & privacy

Verzoek Hijackthis log te bekijken

Anoniem
None
4 antwoorden
  • Hallo,

    Dit is de Hijackthis log van een een kennis van mij. Het is een PC met XP Home die om de haverklap wil inbellen. Kun je uit deze log opmaken welke entry dit kan veroorzaken?

    Bij voorbaat hartelijk dank!
    FWS
    ——————————–
    Logfile of HijackThis v1.97.7
    Scan saved at 18:26:26, on 18-10-2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Apps\ActivBoard\nhksrv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Norman\NVC\BIN\Zanda.exe
    C:\Program Files\IP Insight\ARMon32a.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\Explorer.EXE
    C:\NORMAN\Nvc\BIN\nvcoas.exe
    C:\NORMAN\Nvc\BIN\NJEEVES.EXE
    C:\NORMAN\Nvc\BIN\nipsvc.exe
    C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
    C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    C:\Apps\ActivBoard\MMKeybd.exe
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
    C:\NORMAN\Nvc\BIN\ZLH.EXE
    C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\PImenu\Pimenu.exe
    C:\Documents and Settings\Sep\Local Settings\Temp\uzqkst.exe
    C:\NORMAN\Nvc\BIN\NYMSE.EXE
    C:\NORMAN\Nvc\BIN\NIP.EXE
    C:\NORMAN\Nvc\BIN\cclaw.exe
    C:\Apps\ActivBoard\TrayMon.exe
    C:\Apps\ActivBoard\OSD.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\Sep\Bureaublad\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://web.planet.nl/zoeken
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.planet.nl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
    O4 - HKLM\..\Run: [PostOOBE] C:\Windows\system32\cmd.exe /C START C:\Windows\system32\wscript.exe C:\DRIVERS\POSTOOBE.NEC //E:VBS
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
    O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
    O4 - HKLM\..\Run: [Microsoft IT Update] msupdate.exe
    O4 - HKLM\..\Run: [Win32 USB2 Driver] smsc.exe
    O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
    O4 - HKLM\..\RunServices: [Microsoft IT Update] msupdate.exe
    O4 - HKLM\..\RunServices: [Win32 USB2 Driver] smsc.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\COMMON~1\TEKNUM~1\update.exe /startup
    O4 - HKCU\..\Run: [Microsoft Update Machine] wuamgrd.exe
    O4 - HKCU\..\Run: [Win32 USB2 Driver] smsc.exe
    O4 - HKCU\..\Run: [PImenu] C:\Program Files\PImenu\Pimenu.exe
    O4 - Startup: UltimateZip Quick Start.lnk = C:\Documents and Settings\Sep\Local Settings\Temp\uzqkst.exe
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Onderzoek (HKLM)
    O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.planet.nl
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37863.4515740741
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  • de 2 die ik in 1e instantie zie is winupdate en messenger.

    voor de rest laat ik het aan de experts over
  • Ik kijk de log even na. :wink:
  • Druk tegelijk op [b:578c03ba27]ctrl[/b:578c03ba27]=[b:578c03ba27]alt[/b:578c03ba27]+[b:578c03ba27]del[/b:578c03ba27] en ga naar het tabblad processen. Stop daar indien draaiend deze processen:
    [list:578c03ba27][b:578c03ba27]msupdate.exe
    smsc.exe
    wuamgrd.exe
    uzqkst.exe[/b:578c03ba27][/list:u:578c03ba27]

    Scan nog een maal met hijackthis, vink onderstaande items aan, sluit alle vensters en klik op fix checked.
    [list:578c03ba27][b:578c03ba27]O4 - HKLM\..\Run: [Microsoft IT Update] msupdate.exe
    O4 - HKLM\..\Run: [Win32 USB2 Driver] smsc.exe
    O4 - HKLM\..\RunServices: [Microsoft IT Update] msupdate.exe
    O4 - HKLM\..\RunServices: [Win32 USB2 Driver] smsc.exe O4 - HKCU\..\Run: [Microsoft Update Machine] wuamgrd.exe
    O4 - HKCU\..\Run: [Win32 USB2 Driver] smsc.exe
    O4 - Startup: UltimateZip Quick Start.lnk = C:\Documents and Settings\Sep\Local Settings\Temp\uzqkst.exe [/b:578c03ba27][/list:u:578c03ba27]

    Herstart nu naar de veilige modus: http://users.pandora.be/marcvn/spyware/1378056.htm
    Laat alle bestanden en mappen weergeven volgens deze instructies: http://users.pandora.be/marcvn/spyware/1117602.htm
    Verwijder onderstaande items:
    [list:578c03ba27][b:578c03ba27]msupdate.exe
    smsc.exe
    msupdate.exe
    wuamgrd.exe[/b:578c03ba27]
    C:\Documents and Settings\Sep\Local Settings\[b:578c03ba27]Temp <— leeg deze map[/b:578c03ba27][/list:u:578c03ba27]

    Herstart je pc in de gewone modus.

    Draai een online virusscan: http://www.bitdefender.com/scan/licence.php

    Herstart de pc nog een keer en plaats een nieuwe hijackthislog.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.