Hehe, ben er te lang uit om hem zelf helemaal te checken, zit in ieder geval istbar in. Het gaat om de pc van iemand anders. (bij mezelf lukt het nog wel omdat ik weet wat daar thuis hoort :wink

Gescanned met hitman pro en spysubtract (van intermute). Online scan niet aan toegekomen want ik moest weg.

Logfile of HijackThis v1.99.1
Scan saved at 16:48:00, on 25-2-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe
C:\WINDOWS\vxvqu.exe
C:\WINDOWS\shch.exe
C:\WINDOWS\nvsvca32.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\aalku\Web Window Killer\WebWindowKiller.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\DOCUME~1\G2695~1.DEV\LOCALS~1\Temp\f6OBw5.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\*****\Bureaublad\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://register.hp.com/servlet/WebReg.servlets.ProdReg1Servlet?appID=CATS2_Printer&application=303&prodOS=012&gwCountry=NL&product_full_name=psc%202175&modelID=Q3068A&PROD_SERIAL_ID=MY3AVF72Y873
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\nl\msntb.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\nl\msntb.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe"
O4 - HKLM\..\Run: [Norton Personal Firewall] npfw32.exe
O4 - HKLM\..\Run: [XZLFbt] C:\WINDOWS\vxvqu.exe
O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\shch.exe /i
O4 - HKLM\..\Run: [nvsvca32] C:\WINDOWS\nvsvca32.exe
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzî[8C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\vxvqu.exe
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzîžigÝC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\vxvqu.exe
O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteckj32.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁß]­ú"ü‰üžiC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\vxvqu.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\RunServices: [Norton Personal Firewall] npfw32.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Norton Personal Firewall] npfw32.exe
O4 - HKCU\..\Run: [Web Window Killer] "C:\Program Files\aalku\Web Window Killer\WebWindowKiller.exe" hidden
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www5.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

Alvast bedankt.

We zullen eens kijken hoever dit is op te schonen.

Ga via configuratiescherm naar software > programma's wijzigen/verwijderen en kijk of volgende programma's aanwezig zijn en de-installeer die (zullen vermoedelijk niet meer aanwezig zijn):
Elite Bar
EliteBar
EM Toolbar
Enternet Media Toolbar
EliteBar Internet Explorer Toolbar

Plaats Hijackthis niet op het bureaublad maar in een folder C:\Program Files\Hijackthis

Print dit advies eerst uit.
Je kunt het in de veilige mode niet zien.

Start je pc opnieuw op in [b:d85681a80a]veilige modus[/b:d85681a80a] en start dan hijackthis.exe.
Vink in Hijackthis alleen die regels aan die hieronder staan genoemd (je kan altijd weer een backup terugzetten) Sluit de browser en andere vensters behalve hijackthis en klik op "fix checked".

[b:d85681a80a]R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://register.hp.com/servlet/WebReg.servlets.ProdReg1Servlet?appID=CATS2_Print er&application=303&prodOS=012&gwCountry=NL&product_full_name=psc%202175&modelID= Q3068A&PROD_SERIAL_ID=MY3AVF72Y873
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe"
O4 - HKLM\..\Run: [XZLFbt] C:\WINDOWS\vxvqu.exe
O4 - HKLM\..\Run: [nvsvca32] C:\WINDOWS\nvsvca32.exe
O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteckj32.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
[/b:d85681a80a]

Verwijder nu de volgende bestanden/directories:
C:\WINDOWS\vxvqu.exe
C:\WINDOWS\nvsvca32.exe
C:\windows\system32\eliteckj32.exe
C:\Program Files\ISTsvc\

Leeg de Temp in veilige mode voor alle gebruikers die op dit systeem zijn aangemaakt:
Start - Uitvoeren - %Temp% (enter)
Alles selecteren en verwijderen.

Reboot de PC, maak een nieuw log en post deze.

Sjaak

[quote:6cf934c804="steggel"]We zullen eens kijken hoever dit is op te schonen.

Ga via configuratiescherm naar software > programma's wijzigen/verwijderen en kijk of volgende programma's aanwezig zijn en de-installeer die (zullen vermoedelijk niet meer aanwezig zijn):
Elite Bar
EliteBar
EM Toolbar
Enternet Media Toolbar
EliteBar Internet Explorer Toolbar[/quote:6cf934c804]
Niet aanwezig daar, heb ik al naar gekeken. Niks raars te zien in de software lijst

[quote:6cf934c804][b:6cf934c804]R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://register.hp.com/servlet/WebReg.servlets.ProdReg1Servlet?appID=CATS2_Print er&application=303&prodOS=012&gwCountry=NL&product_full_name=psc%202175&modelID= Q3068A&PROD_SERIAL_ID=MY3AVF72Y873
[quote:6cf934c804]O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll[/quote:6cf934c804]
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
[quote:6cf934c804]O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe[/quote:6cf934c804][/b:6cf934c804]
[/quote:6cf934c804]De sleutels in de quote's kan ik me nog goed herrineren van toen ik zelf nog logs controleerde, ook ik heb hier een keer een uitgleider mee gemaakt maar het zijn legale sleutels. Ik klink een beetje eigenwijs maar je kan het checken in de lijsten op castlecops.[quote:6cf934c804]

[b:6cf934c804]O4 - HKLM\..\Run: [XZLFbt] C:\WINDOWS\vxvqu.exe
O4 - HKLM\..\Run: [nvsvca32] C:\WINDOWS\nvsvca32.exe
O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteckj32.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
[/b:6cf934c804]

Verwijder nu de volgende bestanden/directories:
C:\WINDOWS\vxvqu.exe
C:\WINDOWS\nvsvca32.exe
C:\windows\system32\eliteckj32.exe
C:\Program Files\ISTsvc\

Leeg de Temp in veilige mode voor alle gebruikers die op dit systeem zijn aangemaakt:
Start - Uitvoeren - %Temp% (enter)
Alles selecteren en verwijderen.

Reboot de PC, maak een nieuw log en post deze.

Sjaak[/quote:6cf934c804]
Het ging me vooral om het stukje in de laatste quote, maar was het echter niet de bedoeling dat er ook iets met deze sleutel gedaan werd?
[list:6cf934c804][b:6cf934c804]O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzî[8C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\vxvqu.exe[/b:6cf934c804][/list:u:6cf934c804]

Harstikke bedankt,
Groeten Dion.

Die 2 items die volgens jou niet kwaad zijn kan wel kloppen, maar ze zijn niet nodig. Het zijn programma's die controleren voor updates.

ISTsvc wordt ook in v1.99.1 niet goed weergegeven.

Alternatief als het niet met Hijackthis lukt is:

http://securityresponse.symantec.com/avcenter/FxIstbar.exe

of

De code die in onderstaande venster staat copieren en in notepad plakken. Opslaan als: fixme.reg
Opslaan als type: "alle bestanden"
[code:1:b9da278f00]
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IST Service"=-[/code:1:b9da278f00]
Sjaak

[quote:8ed43cfffa="steggel"]Die 2 items die volgens jou niet kwaad zijn kan wel kloppen, maar ze zijn niet nodig. Het zijn programma's die controleren voor updates.

ISTsvc wordt ook in v1.99.1 niet goed weergegeven.

Alternatief als het niet met Hijackthis lukt is:

http://securityresponse.symantec.com/avcenter/FxIstbar.exe

of

De code die in onderstaande venster staat copieren en in notepad plakken. Opslaan als: fixme.reg
Opslaan als type: "alle bestanden"
[code:1:8ed43cfffa]
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IST Service"=-[/code:1:8ed43cfffa]
Sjaak[/quote:8ed43cfffa]
Oke, bedankt he. Ik ga morgen naar die man toe en laat dan van me horen. (of een schoon logje, of een melding dat het clean is als ik zeker weet dat het nieuwe logje schoon is)

Bovendien baal ik er nu wel van dat ik er zo lang uit geweest ben. Ik ga denk ik maar weer eens serieus beginnen met hijackthis…

Dion,

Er moeten nog 3 items worden gefixed:

[b:2089d8a48c]O4 - HKLM\..\Run: [Norton Personal Firewall] npfw32.exe
O4 - HKLM\..\RunServices: [Norton Personal Firewall] npfw32.exe
O4 - HKCU\..\Run: [Norton Personal Firewall] npfw32.exe [/b:2089d8a48c]

Daarna C:\Windows\System32\npfw32.exe verwijderen.
Kijk ook nog in het register of je een sleutel vind met de volgende waarde:
f6OBw5.exe

Bestand staat in Temp en moet verwijderd worden.

/EDIT:
"Norton Personal Firewall" npfw32.exe is W32.RBot-UQ dat zich nesteld in
HKLM\..\Run
HKLM\..\RunServices
HKCU\..\Run

Sjaak