Vraag & Antwoord

Beveiliging & privacy

N.a.v mijn bericht Help!!..., hierbij mijn hijackthis log...

Anoniem
None
6 antwoorden
 • Logfile of HijackThis v1.98.2
  Scan saved at 22:36:51, on 19-11-2004
  Platform: Windows XP (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 (6.00.2600.0000)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\csrss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\Explorer.EXE
  C:\WINDOWS\System32\alg.exe
  C:\WINDOWS\System32\nvsvc32.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
  C:\WINDOWS\System32\RUNDLL32.EXE
  C:\WINDOWS\System32\ctfmon.exe
  C:\Program Files\Messenger\msmsgs.exe
  C:\WINDOWS\System32\wuauclt.exe
  c:\Program Files\interMute\SpySubtract\SpySub.exe
  C:\Program Files\Internet Explorer\IEXPLORE.EXE
  C:\Documents and Settings\Jack\Mijn documenten\Mijn Downloads\Hijackthis\hijackthis\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = http://www.startpagina.nl
  R3 - URLSearchHook: (no name) - - (no file)
  O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\Z20LCS~1.DLL
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
  O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
  O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
  O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
  O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
  O4 - Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
  O4 - Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
  O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
  O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
  O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
  O17 - HKLM\System\CCS\Services\Tcpip\..\{1E252E6E-A7BA-4E08-A813-0A3D5D87CD46}: NameServer = 62.251.0.6 62.251.0.7
  O20 - AppInit_DLLs: lk01txghto1.dll
 • Download CWShredder: http://www.intermute.com/spysubtract/cwshredder_download.html
  Gebruik het programma nog niet.

  Download het regfiletje cwsswapx.reg: http://users.pandora.be/marcvn/tools/cwsswapx.zip
  Unzip het, sla het op op je bureaublad.

  Download Pocket KillBox: http://www.bleepingcomputer.com/files/spyware/KillBox.zip of http://download.broadbandmedic.com/Killbox.exe.
  Unzip het programma naar je bureaublad.
  Klik op killbox.exe.
  Selecteer de optie “Delete on reboot”.
  In het veld “Full path of file to delete" Kopieer en plak je het volgende:
  [code:1:168bfedd90]
  c:\windows\system32\lk01txghto1.dll
  [/code:1:168bfedd90]
  Klik op de knop met de rode cirkel en het witte kruis.
  Wanneer het programma vraagt om nu te rebooten, geef je hier toestemming voor.
  Controleer na de reboot of dit bestand effectief verdwenen is.
  Indien niet dan probeer je opnieuw.

  Ga naar Configuratiescherm - Software - Programma's wijzigen of verwijderen. Deïnstalleer indien aanwezig de volgende programma's:
  Spyware Vanisher


  Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
  [b:168bfedd90]
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9

  R3 - URLSearchHook: (no name) - - (no file)

  O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\Z20LCS~1.DLL

  O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan

  O20 - AppInit_DLLs: lk01txghto1.dll
  [/b:168bfedd90]

  Start CWShredder. Klik op de Fix-knop.

  Dubbelklik op het regfiltje (cwsswapx.reg) dat je daar straks gedownload hebt. Sta toe om de wijzigingen aan het register toe te voegen.


  Verwijder nadien in veilige modus de volgende mappen / bestanden:
  C:\spywarevanisher-free <–deze map
  C:\WINDOWS\System32\Z20LCS~1.DLL <–dit bestand

  Reboot de computer, run HijackThis opnieuw en post een nieuwe log.
 • Logfile of HijackThis v1.98.2
  Scan saved at 23:47:59, on 19-11-2004
  Platform: Windows XP (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 (6.00.2600.0000)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
  C:\WINDOWS\System32\nvsvc32.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\System32\RUNDLL32.EXE
  C:\WINDOWS\System32\ctfmon.exe
  C:\Program Files\Messenger\msmsgs.exe
  C:\Program Files\interMute\SpySubtract\SpySub.exe
  C:\Documents and Settings\Jack\Mijn documenten\Mijn Downloads\Hijackthis\hijackthis\HijackThis.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = http://www.startpagina.nl
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
  O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
  O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
  O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
  O4 - Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
  O4 - Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
  O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
  O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
  O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
 • Hallo JRSA,

  Post al je antwoorden ivm dit probleem in deze thread aub. Anders gaan we misschien met meerdere mensen aan hetzelfde probleem werken en dat is dubbel werk.

  Logje ziet er ok uit.
  Nu moeten we verder gaan ruimen/herstellen.

  Heb je in de vorige stap dit bestand nog gevonden?
  C:\WINDOWS\System32\Z20LCS~1.DLL
  Zo ja, heb je het kunnen verwijderen?

  Download the Hoster: http://members.aol.com/toadbee/hoster.zip .
  Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.


  Open Windows verkenner en controleer of volgende bestanden aanwezig zijn (Zorg dat alle verborgen bestanden weergegeven worden: http://users.pandora.be/marcvn/spyware/1117602.htm ):
  C:\WINDOWS\System32\D2KPAX.DLL
  C:\WINDOWS\System32\BRIDGE.DLL
  C:\WINDOWS\System32\JAC.DLL
  C:\WINDOWS\System32\MSXSLAB.DLL
  C:\WINDOWS\System32\SYSTEM32.DLL

  Indien aanwezig probeer je deze bestanden te verwijderen. Lukt het niet via de Verkenner, dan gebruik je Killbox.
  Klik op killbox.exe.
  Selecteer de optie “Delete on reboot”.
  In het veld “Full path of file to delete" voeg je het eerste bestand toe.
  Klik op de knop met de rode cirkel en het witte kruis. Wannneer het programma vraagt om te rebooten, klik je op de knop "NO".
  Voeg nu het volgende bestand toe….en zo ga je verder. Wanneer het laatste bestand toegevoegd is aan de lijst geef je toestemming om te rebooten door op deknop "YES" te klikken.
  Na de reboot wel controleren of ze effectief verdwenen zijn.

  Meldt even of de bestanden aanwezig waren en hoe je ze eventueel verwijderd hebt.

  Als deze bestanden weg zijn kunnen we aan de laatste stap beginnen.

  groeten,
  Marc
 • Marc,

  Het heeft door omstandigheden even op zich laten wachten maar hierbij het vervolg op bovenstaande.

  In reactie op jouw vragen:
  De genoemde bestanden (.dll) heb ik in de verkenner verwijderd behalve system32.dll, deze was niet aanwezig.
  Overigens heb ik in een eerdere stap ook z20LCS~1.dll kunnen verwijderen.

  Gezien de verstreken tijd en het weer opnieuw ontstaan van de spyware problemen heb ik zojuist alle stappen nog eens doorlopen. E.e.a. lijkt nu weer naar behoren te functioneren. Echter begrijp ik van je dat er nog een laatste stap uitgevoerd moet worden.

  Graag verneem ik van je wat dit inhoud.
  Voor het juiste beeld van de huidige stand van zaken heb ik nog even een hijack-logje gemaakt:

  Logfile of HijackThis v1.98.2
  Scan saved at 22:38:12, on 24-12-2004
  Platform: Windows XP (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 (6.00.2600.0000)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\System32\nvsvc32.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
  C:\WINDOWS\System32\RUNDLL32.EXE
  C:\Program Files\Windows ServeAd\WinServAd.exe
  C:\WINDOWS\System32\ctfmon.exe
  C:\Program Files\Messenger\msmsgs.exe
  C:\Program Files\Windows ServeAd\WinServSuit.exe
  C:\Program Files\interMute\SpySubtract\SpySub.exe
  C:\WINDOWS\System32\wuauclt.exe
  C:\Program Files\Internet Explorer\IEXPLORE.EXE
  C:\Documents and Settings\Jack\Mijn documenten\Mijn Downloads\Hijackthis\HijackThis.exe

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = http://www.startpagina.nl
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
  O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
  O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
  O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
  O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
  O4 - Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
  O4 - Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
  O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
  O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
  O15 - Trusted Zone: *.frame.crazywinnings.com
  O15 - Trusted Zone: *.static.topconverting.com
  O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
  O16 - DPF: {018A066F-584A-422F-AC4C-0B1F5FE5C040} (VacPro.olanda_ver3) - http://advnt01.com/dialer/olanda_ver3.CAB
  O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6
  O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
  O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
  O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
  O17 - HKLM\System\CCS\Services\Tcpip\..\{1E252E6E-A7BA-4E08-A813-0A3D5D87CD46}: NameServer = 62.251.0.6 62.251.0.7

  Ik hoor graag van je….

  Groet,
  JRSA
 • Hallo JRSA,

  Download de nieuwste versie van Hijackthis: http://computercops.biz/downloads-file-328.html
  Gebruik deze om te fixen en om een nieuwe logje te maken.

  Zorg dat alle verborgen bestanden weergegeven worden.

  Druk op CTRL+ALT+DEL om Windows Taakbeheer te openen. Ga naar het tabblad processen en beëindig de volgende processen:
  WinServAd.exe
  WinServSuit.exe

  Ga naar Configuratiescherm - Software - Programma's wijzigen of verwijderen. Deïnstalleer indien aanwezig de volgende programma's:
  Windows ServeAd

  Start de computer in veilige modus.

  Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
  [b:44b7700388]
  O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
  O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

  O16 - DPF: {018A066F-584A-422F-AC4C-0B1F5FE5C040} (VacPro.olanda_ver3) - http://advnt01.com/dialer/olanda_ver3.CAB
  O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6
  O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
  O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
  [/b:44b7700388]

  Verwijder de volgende bestanden en/of mappen indien aanwezig:
  C:\Program Files\Windows ServeAd <–deze map
  C:\Program Files\Common Files\GMT <–deze map

  Reboot de computer, en scan met een geupdate Ad-Aware SE. Laat alles verwijderen wat gevonden wordt. Instructies vind je hier.

  Als Ad-Aware zijn werk gedaan heeft, herstart je de computer en maak je een nieuwe HijackThislog. Post deze.

  groeten,
  Marc

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.