Vraag & Antwoord

Beveiliging & privacy

hijackthislog about:blank

Anoniem
None
87 antwoorden
  • [u:ab288d6d0f][b:ab288d6d0f]veilige modus voor het fixen:[/b:ab288d6d0f][/u:ab288d6d0f]

    Logfile of HijackThis v1.99.1
    Scan saved at 19:49:07, on 17/02/05
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
    C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS.000\SYSTEM\MPREXE.EXE
    C:\WINDOWS.000\EXPLORER.EXE
    C:\WINDOWS.000\DESKTOP\SPYWARE REMOVALS\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS.000\TEMP\se.dll/sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS.000\TEMP\se.dll/sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: (no name) - {956E7442-80FF-11D9-ABFE-00E039CA5588} - C:\WINDOWS.000\SYSTEM\EIB.DLL
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min
    O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS.000\SYSTEM\QTTASK.EXE" -atboottime
    O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
    O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
    O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
    O8 - Extra context menu item: Koppelingspagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL
    O12 - Plugin for .spop: C:\PROGRA~1\Intern~1\Plugins\NPDocBox.dll
    O12 - Plugin for .php: C:\PROGRA~1\Intern~1\PLUGINS\nppdf32.dll
    O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {58172624-85DD-4482-9E64-02ADCA637E96} - http://www.kungfuchess.com/activex/web665.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
    O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O18 - Filter: text/html - {956E7441-80FF-11D9-ABFE-00E0C918CBFF} - C:\WINDOWS.000\SYSTEM\EIB.DLL
    O18 - Filter: text/plain - {956E7441-80FF-11D9-ABFE-00E0C918CBFF} - C:\WINDOWS.000\SYSTEM\EIB.DLL

    ————

    [u:ab288d6d0f][b:ab288d6d0f]Veilige modus na het fixen:[/b:ab288d6d0f][/u:ab288d6d0f]

    Logfile of HijackThis v1.99.1
    Scan saved at 19:50:43, on 17/02/05
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
    C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS.000\SYSTEM\MPREXE.EXE
    C:\WINDOWS.000\EXPLORER.EXE
    C:\WINDOWS.000\DESKTOP\SPYWARE REMOVALS\HIJACKTHIS.EXE
    C:\WINDOWS.000\NOTEPAD.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min
    O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS.000\SYSTEM\QTTASK.EXE" -atboottime
    O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
    O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
    O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
    O8 - Extra context menu item: Koppelingspagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL
    O12 - Plugin for .spop: C:\PROGRA~1\Intern~1\Plugins\NPDocBox.dll
    O12 - Plugin for .php: C:\PROGRA~1\Intern~1\PLUGINS\nppdf32.dll
    O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {58172624-85DD-4482-9E64-02ADCA637E96} - http://www.kungfuchess.com/activex/web665.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
    O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

    ————

    [u:ab288d6d0f][b:ab288d6d0f]Normale modus na het fixen[/b:ab288d6d0f][/u:ab288d6d0f]

    Logfile of HijackThis v1.99.1
    Scan saved at 20:01:08, on 17/02/05
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
    C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS.000\SYSTEM\MPREXE.EXE
    C:\WINDOWS.000\SYSTEM\mmtask.tsk
    C:\WINDOWS.000\EXPLORER.EXE
    C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE
    C:\WINDOWS.000\DESKTOP\SPYWARE REMOVALS\HIJACKTHIS.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min
    O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS.000\SYSTEM\QTTASK.EXE" -atboottime
    O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
    O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
    O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
    O8 - Extra context menu item: Koppelingspagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL
    O12 - Plugin for .spop: C:\PROGRA~1\Intern~1\Plugins\NPDocBox.dll
    O12 - Plugin for .php: C:\PROGRA~1\Intern~1\PLUGINS\nppdf32.dll
    O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
    O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

    edit: EIB.DLL niet gevonden.

    [i:ab288d6d0f]Nota: bij het verwijderen van temp-files via internetinstellingen ben ik even in de instellingen van 'tijdelijke internet bestanden' gaan kijken. Daarna klikte ik op 'objecten weergeven' waardoor ik in de map 'downloaded program files' terecht kwam. Hier stonden naast enkele bewuste bestanden ook twee bestanden met als naam een lange reeks nummers, net zoals in sommige hjt-logs voorkomt. Ik heb deze dan ook verwijderd.[/i:ab288d6d0f]

    Op het eerste zicht denk ik dat de situatie niet echt veranderd is. Startpagina is nu weg, maar zal mogelijk terugkeren en 'Iexplore' duikt na tijdje surfen opvallend op in taakbeheer.


    Alvast bedankt voor de tot nu toe gedane moeite,

    Guft.
  • In principe zou HT het bestand EIB.DLL moeten verwijderen.
    Meld je terug als het probleem blijft.
  • EIB.DLL is wel degelijk door hijackthis verwijderd, ik vond hem gewoon na het fixen niet meer terug in de systemmap.

    Ik ben zo goed als zeker dat de infectie nog niet weg. Alle tekenen wijzen in de richting dat de startpagina terugkomt. net zoals voordien telkens het geval was. het gaat telkens in enkele stappen.
    1. Bij het openen van explorer voel je dat een pagina wil binnendringen.
    2. Bij het openen van explorer staat er in de adresbalk 'about blank', de pagina is dan ook inderdaad wit.
    3. Bij het openen van explorer staat er in de adresbalk nog steeds about blank maar nu staat de hardnekkige startpagina er.

    Wacht ik af tot de startpagina er terug is, of kan ik iets anders ondernemen?
  • Zoek je hosts bestand eens op.
    Als ik me niet vergis (ben geen win9x kenner :cry: ) staat deze in de map c:\windows
    Kijk eens wanneer dit bestand voor de laatste keer gewijzigd is.

    Had je het bestand SE.DLL kunnen verwijderen in de Temp-map?
  • Het bestand 'hosts.sam' kan ik vinden maar ik weet nie met wat ik dit dien te openen.

    M'n temp-files zijn leeg (zoals je gevraagd had), dus veronderstel ik dat se.dll weg is.

    Guft.
  • moet een kaal ascii of ansi bestand zijn

    bijna elke tekst verwerker en kladblok moet het kunnen openen
  • Ook met de functie 'zoeken' niet de vinden. Enkel 'hosts.sam' en 'lmhosts.sam'. Geopend in kladblok verschijnen er dan enkele IP-adressen.

    Inhoud posten?

    edit: hosts.sam is laats gewijzigd op 22/03/'04
  • bij mij is hosts.sam het laatst gewijzigd bij de installatie van het win98 systeem (mei 1999) ook het lmhosts.sam is toen het laatst gewijzigd
    hosts.sam is 1kb groot lmhosts.sam is 4kb groot
  • Download SilentRunners.
    Unzip het naar een eigen map.
    Klik op silentrunners.vbs om het te starten.
    Er wordt een bestand aangemaakt dat Startup Programs noemt. Post de inhoud.
  • "Silent Runners.vbs", revision 31
    Operating System: Windows 98
    Output limited to non-default values, except where indicated by "{++}"


    Startup items buried in registry:
    ———————————

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "AVGCtrl" = "C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min" ["H+BEDV Datentechnik GmbH"]
    "EnsoniqMixer" = "starter.exe" [file not found]
    "QuickTime Task" = ""C:\WINDOWS.000\SYSTEM\QTTASK.EXE" -atboottime" ["Apple Computer, Inc."]

    HKLM\Software\Microsoft\Active Setup\Installed Components\
    "PerUser_RNA_Inis\(Default)" = "Windows Setup - Externe toegang"
    \StubPath = "rundll.exe C:\WINDOWS.000\SYSTEM\setupx.dll,InstallHinfSection PerUser_Dialer_RNA_remove 64 C:\WINDOWS.000\INF\rna.inf" [MS]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
    {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
    {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
    "{eb9ebda0-b3e7-11cf-81c9-0000c0aa665f}" = "FTP Explorer Shell Extension"
    -> {CLSID}\InProcServer32\(Default) = "ftpxext.dll" ["FTPx Corp."]


    Enabled Scheduled Tasks:
    ————————

    "Toepassing Optimalisatie Start" -> launches: "walign" [MS]
    "Symantec NetDetect" -> launches: "C:\PROGRAM FILES\SYMANTEC\LIVEUPDATE\NDETECT.EXE" ["Symantec Corporation"]


    Winsock2 Service Provider DLLs:
    ——————————-

    Namespace Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
    000000000001\LibraryPath = "C:\WINDOWS.000\SYSTEM\rnr20.dll" [MS]

    Transport Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
    00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
    C:\WINDOWS.000\SYSTEM\msafd.dll [MS], 1 - 3
    C:\WINDOWS.000\SYSTEM\rsvpsp.dll [MS], 4 - 5


    ———-
    This report excludes default entries except where indicated.
    To see *everywhere* the script checks and *everything* it finds,
    launch it from a command prompt or a shortcut with the -all parameter.
    ———-
  • Zou je dit nog eens een keer willen proberen?
    [quote:3e54f0e4bf="M@rc"]
    Download rkfiles.zip.
    Pak de bestanden uit naar de map c:\rkfiles.
    Start de computer in veilige modus.
    Ga via de verkenner naar de map c:\rkfiles en dubbelklik op rkfiles.bat.
    Je computer wordt nu gescand.
    Als het dosvenster sluit, start je de computer terug in normale modus.
    Zoek het bestand C:\log.txt

    Post de inhoud van dit bestand.[/quote:3e54f0e4bf]

    Werkt het niet, dan gebruiken we andere tool.
  • gewoon een format, windows 9x is 9 van de 10 keer een format, dit lijkt op een gebed zonder end. :roll:
  • Heeft niet gewerkt, pc sloeg weer vast.

    Ik zou echt niet graag format c: doen en zolang m@rc het nog ziet zitten doe ik dit ook niet.
  • Download Agent Ransack.

    Installeer het programma.
    Start het programma en op het "Advanced" tabblad vink je aan: "Expert User" en "Containing Text".
    In het veld naast "Containing Text" kopieer en plak je het volgende:
    [code:1:b8069717e4]UPX![/code:1:b8069717e4]

    Klik op de knop "Start Search".
    Het programma gaat nu je computer doorzoeken. (dit kan even duren)
    Wanneer het klaar is, klik je op de knop "Save results".
    Klik dan Op "Save to clipboard". Zorg dat enkel de files opgelijst worden.
    Afhankelijk van het resultaat post je de inhoud hier, laat ons zeggen als het er niet meer dan 70 - 80 zijn, anders mail je me het bestand door.
  • c:\WINDOWS.000\TWAIN_32\A4CIS600\A4Ui1_S.CHM (830 KB, 30/07/98 9:08:44)
    c:\Mijn documenten\wim\bierfeesten.zip (52384 KB, 9/11/04 21:19:38)
    c:\WINDOWS.000\SYSTEM\c52bEs.dll (220 KB, 29/11/03 11:07:16)
    c:\WINDOWS.000\Desktop\FxAgentB.exe (158 KB, 15/02/05 19:58:20)
    c:\Mijn documenten\wim\jukebox!!\nederlandstalig\Katastroof\het loze vossertje.mp3 (2345 KB, 13/04/00 16:46:42)
    c:\Mijn documenten\wim\spyware_installs\HijackThis.exe (199 KB, 15/12/04 10:40:42)
    c:\WINDOWS.000\Desktop\spyware removals\HijackThis.exe (213 KB, 16/02/05 11:06:16)
    c:\Mijn documenten\mplayerc.exe (1306 KB, 28/03/04 18:47:40)
    c:\WINDOWS.000\SYSTEM\OLEPRO32.DLL (224 KB, 16/03/01 0:45:18)
    c:\Mijn documenten\wim\jukebox!!\nederlandstalig\pastorale.mp3 (4024 KB, 14/04/00 10:42:24)
    c:\WINDOWS.000\SYSTEM\pav.sig (6221 KB, 31/01/04 9:16:44)
    c:\WINDOWS.000\SYSTEM\ActiveScan\pav.sig (6221 KB, 31/01/04 9:16:44)
    c:\WINDOWS.000\Desktop\startdreck\psapi.dll (10 KB, 10/12/99 12:00:00)
    c:\rkfiles\rkfiles.bat (4 KB, 17/01/05 19:15:10)
    c:\Mijn documenten\Simpsons.wmv (35274 KB, 19/01/05 9:44:54)
    c:\WINDOWS.000\Desktop\startdreck\StartDreck.exe (51 KB, 5/08/04 18:43:54)
    c:\Mijn documenten\Mijn documenten\sus\dls\stinger_29jan04_tcm21-17246.exe (84 KB, 31/01/04 9:10:56)
    c:\WINDOWS.000\tsc.exe (160 KB, 17/01/05 18:41:46)
    c:\WINDOWS.000\USER.DAT (1189 KB, 18/02/05 23:23:22)
    c:\WINDOWS.000\Desktop\startdreck\vb40032.dll (341 KB, 12/01/96)
    c:\WINDOWS.000\Desktop\startdreck\vb4de32.dll (12 KB, 12/01/96)
    c:\WINDOWS.000\Temporary Internet Files\Content.IE5\81YFWLIV\viewtopic[1].htm (58 KB, 18/02/05 23:11:00)
    c:\WINDOWS.000\vsapi32.dll (1013 KB, 17/01/05 18:41:44)
    c:\win.txt (1 KB, 18/02/05 17:44:32)
    c:\Mijn documenten\Mijn documenten\Koen\SNES\zsnes\ZSNESW.EXE (433 KB, 15/07/02 19:51:58)
  • Post ook even een hijackthislog.
    Heb je nog last gehad van de infectie?
  • [b:a04f5cec77]Logfile of HijackThis v1.99.1[/b:a04f5cec77]
    Scan saved at 13:11:10, on 19/02/05
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
    C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS.000\SYSTEM\MPREXE.EXE
    C:\WINDOWS.000\SYSTEM\mmtask.tsk
    C:\WINDOWS.000\EXPLORER.EXE
    C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS.000\SYSTEM\DDHELP.EXE
    C:\WINDOWS.000\SYSTEM\SPOOL32.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS.000\DESKTOP\SPYWARE REMOVALS\HIJACKTHIS.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///c:/govaerts.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min
    O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS.000\SYSTEM\QTTASK.EXE" -atboottime
    O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
    O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
    O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
    O8 - Extra context menu item: Koppelingspagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL
    O12 - Plugin for .spop: C:\PROGRA~1\Intern~1\Plugins\NPDocBox.dll
    O12 - Plugin for .php: C:\PROGRA~1\Intern~1\PLUGINS\nppdf32.dll
    O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
    O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

    Situatie voor de rest nog steeds dezelfde, ik weet dat de hijacker zal wederkeren. De vervelende pagina is nu reeds al enkele malen opgedoken.
  • Ik zie niks raar in de log Guft.
    Meld je terug wanneer het zover is.
    Op dat moment voer je nog een keer de procedure uit met Agent Ransack.
    Ik heb net dezelfde infectie op een ander forum, en daar is het beestje ook teruggekomen.
    Ik heb de bestanden daar opgevraagd voor verder onderzoek.
    Je bent dus niet alleen.

    Kijk ook eens in de map c:\windows\system.
    Rangschik de bestanden eens op datum dat ze gewijzigd zijn.
    Ken je een overzichtje posten van de bestanden die gewijzigd zijn sinds je de infectie hebt?
  • Guft,

    Zoek eens tussen de bestanden naar search-pin(x).dll
    x is hier een willekeurig nummer. Zorg dat alle verborgen bestanden weergegeven worden.

    Kan je dit bestand even opzoeken en de inhoud posten?
    C:\WINDOWS.000\PRINTVR.TXT
  • Beide niet gevonden.

    Guft.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.