Vraag & Antwoord

Beveiliging & privacy

Nog een hijack logje

Anoniem
None
3 antwoorden
 • Hoi!

  Kan iemand even naar dit Log kijken? Thanks!

  A.


  Logfile of HijackThis v1.97.7
  Scan saved at 14:59:26, on 1-11-2004
  Platform: Windows XP SP2 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
  C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Common Files\WinTools\WToolsS.exe
  C:\WINDOWS\system32\wscntfy.exe
  C:\WINDOWS\SOUNDMAN.EXE
  C:\WINDOWS\AGRSMMSG.exe
  C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
  C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
  C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
  C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
  C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
  C:\Program Files\Logitech\ImageStudio\LogiTray.exe
  C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
  C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
  C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
  C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  C:\WINDOWS\system32\ctfmon.exe
  C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
  C:\Program Files\Common Files\GMT\GMT.exe
  C:\Program Files\Common Files\WinTools\WSup.exe
  C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\VPC32.EXE
  C:\WINDOWS\explorer.exe
  C:\WINDOWS\system32\dwwin.exe
  C:\WINDOWS\system32\ZONELABS\vsmon.exe
  C:\ZONEAL~1\ZONEAL~1\zapro.exe
  C:\WINDOWS\system32\wuauclt.exe
  C:\DOCUME~1\FRANKH~1\LOCALS~1\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=401
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.passport.net/uilogin.srf?id=2
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=401
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=401
  R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
  O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
  O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
  O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\en-us\msntb.dll
  O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
  O4 - HKLM\..\Run: [LaunchApp] Alaunch
  O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
  O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
  O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
  O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
  O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
  O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
  O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
  O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
  O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
  O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
  O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
  O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
  O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
  O4 - HKLM\..\Run: [TB_setup] C:\DOCUME~1\FRANKH~1\LOCALS~1\Temp\tb_setup.exe /dcheck
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
  O4 - Startup: PowerReg Scheduler V3.exe
  O4 - Startup: PowerReg Scheduler.exe
  O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
  O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
  O4 - Global Startup: ZoneAlarm Pro.lnk = C:\ZoneAlarm\ZoneAlarm\zapro.exe
  O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
  O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
  O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
  O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
  O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
  O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
  O9 - Extra button: Real.com (HKLM)
  O9 - Extra button: Messenger (HKLM)
  O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
  O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
  O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
  O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
  O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
  O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
 • Ik kijk wel even….
 • C:\ZoneAlarm\ZoneAlarm\zapro.exe <==heb je dit zo zelf ingesteld?

  *Zet eerst even hijackthis.exe in een permanente map. Maak dus een nieuw mapje aan en noem het hijackthis en zet deze bijvoorbeeld tussen je program files of mijn documenten en verplaats hijackthis.exe daar naartoe.
  Dit is belangrijk omdat hijackthis backups maakt en als deze in je temp map blijft zitten dan heb je kans om die backups kwijt te geraken.

  *Zorg ervoor dat je verborgen mappen en bestanden weergegeven zijn.

  1. Ga naar Start - Uitvoeren en typ "services.msc" (zonder "") en druk op Enter.

  Scroll naar beneden en kijk of de service "Wintools for IE Service" aanwezig is. Zo ja:

  Dubbelklik op de service, en klik in het venster wat dan verschijnt op de knop "Stoppen". Verander het opstarttype naar "Uitschakelen"

  Klik hierna op "Toepassen", en dan op "OK".

  *Start je pc op in VEILIGE MODE.

  2. Ga naar Start - Uitvoeren en typ "regedit"
  Navigeer naar: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
  Expand de "Services" sleutel in de linkerhelft en zoek naar WinTools, klik er rechts op en verwijder het.

  3. Ga nu naar Start - Config. Scherm - Software en de-installeer:

  [b:ac92ac69d5]- Wintools
  -GMT[/b:ac92ac69d5]

  *Start hijackthis en vink volgende items aan indien nog aanwezig:

  [b:ac92ac69d5]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=401
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=401
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=401
  R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll

  O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll

  O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
  O4 - HKLM\..\Run: [TB_setup] C:\DOCUME~1\FRANKH~1\LOCALS~1\Temp\tb_setup.exe /dcheck
  O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
  O4 - Startup: PowerReg Scheduler V3.exe
  O4 - Startup: PowerReg Scheduler.exe
  O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

  O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
  O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab[/b:ac92ac69d5]

  *Sluit nu alle vensters behalve hijackthis en klik op 'fix checked'

  *Zoek daarna via verkenner volgende items en verwijder deze manueel indien nog aanwezig:

  C:\Program Files\Common Files\GMT <==deze map
  C:\PROGRA~1\COMMON~1\WinTools <==deze map

  *Ga daarna naar start > uitvoeren en typ: cleanmgr en klik op ok.
  Laat het je systeem scannen op bestanden die moeten verwijderd worden.
  Zorg er wel voor dat je daar enkel maar 'tijdelijke bestanden', 'tijdelijke internetbestanden' en 'prullenbak' staan aangevinkt.
  Klik daarna op ok.

  *Ga naar start > uitvoeren en typ: %temp% , selecteer heel die inhoud en verwijder het.

  *Reboot je pc terug normaal, start hijackthis, 'scan', 'save log' en post hier een nieuw logje.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.