Vraag & Antwoord

Beveiliging & privacy

Logfile HijackThis

Anoniem
None
15 antwoorden
 • Logfile of HijackThis v1.99.1
  Scan saved at 19:22:38, on 19-3-2005
  Platform: Windows XP (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 (6.00.2600.0000)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\System32\Ati2evxx.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  C:\WINDOWS\System32\CTHELPER.EXE
  C:\Program Files\Logitech\Video\LogiTray.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  C:\WINDOWS\System32\spoolmgr.exe
  C:\WINDOWS\System32\rundll32.exe
  C:\WINDOWS\System32\ctfmon.exe
  C:\Program Files\MSN Messenger\MsnMsgr.Exe
  C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
  C:\WINDOWS\System32\LVComS.exe
  C:\Program Files\Kazaa Lite Revolution\kazaalite.kpp
  C:\Program Files\Internet Explorer\IEXPLORE.EXE
  C:\PROGRA~1\WINZIP\winzip32.exe
  C:\PROGRA~1\Logitech\Video\FxSvr2.exe
  C:\Program Files\Hijackthis\HijackThis.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
  O2 - BHO: (no name) - {00A236BB-4421-4260-AFF8-D8437C29B6D9} - C:\WINDOWS\System32\lplodaa.dll
  O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
  O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
  O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
  O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
  O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [Error Nuker] C:\Program Files\Error Nuker\bin\ErrorNuker.exe autostart
  O4 - HKLM\..\Run: [spoolmgr] C:\WINDOWS\System32\spoolmgr.exe
  O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll,DllInstall
  O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite Revolution\kpp.exe" "C:\Program Files\Kazaa Lite Revolution\kazaalite.kpp" /SYSTRAY
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
  O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
  O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
  O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
  O4 - HKCU\..\Run: [Taho] C:\Documents and Settings\maarten.MAARTEN-YO0PP2M\Application Data\aloc.exe
  O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
  O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
  O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
  O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
  O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
  O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
  O15 - Trusted Zone: *.iframedollars.biz (HKLM)
  O15 - Trusted Zone: *.slotchbar.com (HKLM)
  O15 - Trusted IP range: 213.159.117.202
  O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
  O17 - HKLM\System\CCS\Services\Tcpip\..\{37B37865-C7C6-4A93-A72F-6573D255BA33}: NameServer = 69.50.184.84,195.225.176.37
  O17 - HKLM\System\CCS\Services\Tcpip\..\{6A0C5E32-0455-44B5-9683-3516DD8CB28F}: NameServer = 69.50.184.84,195.225.176.37
  O17 - HKLM\System\CCS\Services\Tcpip\..\{B343FE84-42ED-4C95-96F4-7A2F4C18AED2}: NameServer = 69.50.184.84,195.225.176.37
  O18 - Filter: text/html - {3AA9DA0D-ABA4-4BE1-934E-E96D2962DF7B} - C:\WINDOWS\System32\lplodaa.dll
  O18 - Filter: text/plain - {3AA9DA0D-ABA4-4BE1-934E-E96D2962DF7B} - C:\WINDOWS\System32\lplodaa.dll
  O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
  O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
  O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe

  kan iemand dit even voor mij bekijken ik heb echt heel veel spy ware!!!
  spybot en al die programma's heb k mar k kom er maar niet vanaf.

  bedankt
  gr hugo
 • Download reglook.zip: http://www.bleepingcomputer.com/files/reglook.php
  Unzip het in een eigen map. Dubbelkik op runme.bat. Post de inhoud van reglook.log samen met een nieuwe hijackthislog.
 • A reg_look by IMM
  —————————————-
  Handle OK.
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
  (key has 0 subkeys and 7 value entries - last modified 22:06(UTC) 21/12/2004)
  [AppInit_DLLs] = "C:\WINDOWS\System32\sqlekph.dll" (REG_SZ)
  —————————————-
  Handle OK.
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  (key has 4 subkeys and 31 value entries - last modified 11:26(UTC) 19/03/2005)
  [Userinit] = "C:\WINDOWS\system32\userinit.exe," (REG_SZ)
  —————————————-
  Handle OK.
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
  (key has 0 subkeys and 5 value entries - last modified 14:05(UTC) 09/11/2004)
  [Shell] = "SYS:Microsoft\Windows NT\CurrentVersion\Winlogon" (REG_SZ)
  —————————————-

  Logfile of HijackThis v1.99.1
  Scan saved at 19:39:58, on 19-3-2005
  Platform: Windows XP (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 (6.00.2600.0000)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\System32\Ati2evxx.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  C:\WINDOWS\System32\CTHELPER.EXE
  C:\Program Files\Logitech\Video\LogiTray.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  C:\WINDOWS\System32\spoolmgr.exe
  C:\WINDOWS\System32\rundll32.exe
  C:\WINDOWS\System32\ctfmon.exe
  C:\Program Files\MSN Messenger\MsnMsgr.Exe
  C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
  C:\WINDOWS\System32\LVComS.exe
  C:\Program Files\Kazaa Lite Revolution\kazaalite.kpp
  C:\Program Files\Internet Explorer\IEXPLORE.EXE
  C:\PROGRA~1\WINZIP\winzip32.exe
  C:\Program Files\Hijackthis\HijackThis.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
  O2 - BHO: (no name) - {00A236BB-4421-4260-AFF8-D8437C29B6D9} - C:\WINDOWS\System32\lplodaa.dll
  O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
  O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
  O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
  O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
  O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [Error Nuker] C:\Program Files\Error Nuker\bin\ErrorNuker.exe autostart
  O4 - HKLM\..\Run: [spoolmgr] C:\WINDOWS\System32\spoolmgr.exe
  O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll,DllInstall
  O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite Revolution\kpp.exe" "C:\Program Files\Kazaa Lite Revolution\kazaalite.kpp" /SYSTRAY
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
  O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
  O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
  O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
  O4 - HKCU\..\Run: [Taho] C:\Documents and Settings\maarten.MAARTEN-YO0PP2M\Application Data\aloc.exe
  O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
  O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
  O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
  O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
  O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
  O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
  O15 - Trusted Zone: *.iframedollars.biz (HKLM)
  O15 - Trusted Zone: *.slotchbar.com (HKLM)
  O15 - Trusted IP range: 213.159.117.202
  O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
  O17 - HKLM\System\CCS\Services\Tcpip\..\{37B37865-C7C6-4A93-A72F-6573D255BA33}: NameServer = 69.50.184.84,195.225.176.37
  O17 - HKLM\System\CCS\Services\Tcpip\..\{6A0C5E32-0455-44B5-9683-3516DD8CB28F}: NameServer = 69.50.184.84,195.225.176.37
  O17 - HKLM\System\CCS\Services\Tcpip\..\{B343FE84-42ED-4C95-96F4-7A2F4C18AED2}: NameServer = 69.50.184.84,195.225.176.37
  O18 - Filter: text/html - {3AA9DA0D-ABA4-4BE1-934E-E96D2962DF7B} - C:\WINDOWS\System32\lplodaa.dll
  O18 - Filter: text/plain - {3AA9DA0D-ABA4-4BE1-934E-E96D2962DF7B} - C:\WINDOWS\System32\lplodaa.dll
  O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
  O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
  O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe

  wat nou???
 • Even kijken hoe ver we op deze manier geraken.

  Download dit tooltje: http://www.derbilk.de/SpSeHjfix_Beta9.zip
  Unzip het naar je bureaublad.

  Zorg dat alle verborgen bestanden weergegeven worden.

  Start de computer in veilige modus.

  Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
  [b:b24c318753]
  O4 - HKLM\..\Run: [spoolmgr] C:\WINDOWS\System32\spoolmgr.exe
  O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite Revolution\kpp.exe" "C:\Program Files\Kazaa Lite Revolution\kazaalite.kpp" /SYSTRAY

  O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
  O4 - HKCU\..\Run: [Taho] C:\Documents and Settings\maarten.MAARTEN-YO0PP2M\Application Data\aloc.exe

  O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

  O15 - Trusted Zone: *.iframedollars.biz (HKLM)
  O15 - Trusted Zone: *.slotchbar.com (HKLM)
  O15 - Trusted IP range: 213.159.117.202

  O17 - HKLM\System\CCS\Services\Tcpip\..\{37B37865-C7C6-4A93-A72F-6573D255BA33}: NameServer = 69.50.184.84,195.225.176.37
  O17 - HKLM\System\CCS\Services\Tcpip\..\{6A0C5E32-0455-44B5-9683-3516DD8CB28F}: NameServer = 69.50.184.84,195.225.176.37
  O17 - HKLM\System\CCS\Services\Tcpip\..\{B343FE84-42ED-4C95-96F4-7A2F4C18AED2}: NameServer = 69.50.184.84,195.225.176.37
  [/b:b24c318753]

  Verwijder de volgende bestanden indien aanwezig:
  C:\Documents and Settings\maarten.MAARTEN-YO0PP2M\Application Data\aloc.exe

  Verwijder de volgende mappen indien aanwezig:
  C:\spywarevanisher-free

  Dubbelklik nu op de SpSehjfix.exe
  Er wordt een logje aangemaakt. (staat op je bureablad of in de map van waar je het tooltje gerund hebt). Post de inhoud van dit logje samen met een nieuwe Hijackthislog (die je genomen hebt in normale modus.)

  Maak nadien een nieuw logje van reglook. Post dit ook.
 • Logfile of HijackThis v1.99.1
  Scan saved at 20:35:24, on 19-3-2005
  Platform: Windows XP (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 (6.00.2600.0000)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\System32\Ati2evxx.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  C:\Program Files\MSN Messenger\MsnMsgr.Exe
  C:\WINDOWS\system32\NOTEPAD.EXE
  C:\Program Files\Internet Explorer\iexplore.exe
  C:\PROGRA~1\Logitech\Video\FxSvr2.exe
  C:\Program Files\Hijackthis\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
  O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
  O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
  O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
  O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
  O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
  O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
  O15 - Trusted IP range: 213.159.117.202
  O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
  O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
  O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
  O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe


  (3-19-05 20:31:38) SPSeHjFix started v1.09
  (3-19-05 20:31:38) OS: WinXP (5.1.2600)
  (3-19-05 20:31:38) Language: nederlands
  (3-19-05 20:31:40) Disinfect started
  (3-19-05 20:31:40) Bad-Dll(IEP): se.dll
  (3-19-05 20:31:40) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\lplodaa.dll
  (3-19-05 20:31:40) Searchassistant Uninstaller - Keys Deleted
  (3-19-05 20:31:40) UBF: 6
  (3-19-05 20:31:40) UBB: 0
  (3-19-05 20:31:40) FilterKey: HKCR\text/html (deleted)
  (3-19-05 20:31:40) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting)
  (3-19-05 20:31:40) FilterKey: HKCR\CLSID\{39E6C054-22A4-4880-B8B2-B3586B24E484} (deleted)
  (3-19-05 20:31:40) FilterKey: HKCR\text/plain (deleted)
  (3-19-05 20:31:40) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting)
  (3-19-05 20:31:40) FilterKey: HKCR\CLSID\{39E6C054-22A4-4880-B8B2-B3586B24E484} (error while deleting)
  (3-19-05 20:31:40) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A68E9C5C-52E1-48FA-93C8-4E57C0A1041F} (deleted)
  (3-19-05 20:31:40) BHO-Key: HKCR\CLSID\{A68E9C5C-52E1-48FA-93C8-4E57C0A1041F} (deleted)
  (3-19-05 20:31:40) UBR: 4
  (3-19-05 20:31:40) Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll,DllInstall (deleted)
  (3-19-05 20:31:40) Bad IE-pages:
  deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html
  deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
  deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
  deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
  deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
  deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOCUME~1\MAARTE~1.MAA\LOCALS~1\Temp\se.dll/sp.html
  deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
  deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
  deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
  deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
  (3-19-05 20:31:40) File added to delete: c:\windows\system32\lplodaa.dll
  (3-19-05 20:31:40) File added to delete: c:\windows\system32\lplodaa.dll
  (3-19-05 20:31:40) File added to delete: c:\docume~1\maarte~1.maa\locals~1\temp\se.dll
  (3-19-05 20:31:40) Reboot

  gr hugo
 • Hugo,

  Kan je een nieuw logje maken met reglook (runme.bat) en dit posten?

  Deze fixen met Hijackthis:
  [b:52f4030b68]
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

  O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
  [/b:52f4030b68]

  Verwijder C:\spywarevanisher-free <–deze map

  Download de Registry Search Tool hier. Unzip en run het script. Krijg je een reactie van je antivirusprogramma dan moet je Script blocking uitschakelen in het anti-virusprogramma. In het Zoekveld geef je het volgende in:
  [b:52f4030b68]213.159.117.202[/b:52f4030b68]
  Post het resultaat.
 • @marc

  regSrch geeft aan:
  Search completed in 30 sec.
  1 instances of "213.159.117.202"found.
  Click OK to open t in a wordpad:

  REGEDIT4
  ; RegSrch.vbs © Bill James

  ; Registry search results for string "213.159.117.202" 19-3-2005 21:14:08

  ; NOTE: This file will be deleted when you close WordPad.
  ; You must manually save this file to a new location if you want to refer to it again later.
  ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


  [HKEY_USERS\S-1-5-21-1409082233-1580436667-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1]
  ":Range"="213.159.117.202"


  reglook:
  A reg_look by IMM
  —————————————-
  Handle OK.
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
  (key has 0 subkeys and 7 value entries - last modified 22:06(UTC) 21/12/2004)
  [AppInit_DLLs] = "C:\WINDOWS\System32\sqlekph.dll" (REG_SZ)
  —————————————-
  Handle OK.
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  (key has 4 subkeys and 31 value entries - last modified 20:12(UTC) 19/03/2005)
  [Userinit] = "C:\WINDOWS\system32\userinit.exe," (REG_SZ)
  —————————————-
  Handle OK.
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
  (key has 0 subkeys and 5 value entries - last modified 14:05(UTC) 09/11/2004)
  [Shell] = "SYS:Microsoft\Windows NT\CurrentVersion\Winlogon" (REG_SZ)
  —————————————-


  Logfile of HijackThis v1.99.1
  Scan saved at 21:18:40, on 19-3-2005
  Platform: Windows XP (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 (6.00.2600.0000)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\System32\Ati2evxx.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  C:\Program Files\MSN Messenger\MsnMsgr.Exe
  C:\Program Files\Internet Explorer\IEXPLORE.EXE
  C:\Program Files\Hijackthis\HijackThis.exe

  O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
  O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
  O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
  O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
  O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
  O15 - Trusted IP range: 213.159.117.202
  O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
  O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
  O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
  O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe


  gr hugo

  ps Verwijder C:\spywarevanisher-free <–deze map ??? die map is ontvindbaar??? :S:S:S
 • Volg exact de procedure zoals hieronder beschreven. Kijk goed uit wat je doet, is er iets niet duidelijk, meld je dan terug en wacht op feedback. Je gaat nu werken in het register van windows, dubbelcheck alles voor je wat doet.

  Zorg dat alle verborgen bestanden weergegeven worden: http://users.pandora.be/marcvn/spyware/1117602.htm

  Download CWShredder. ( de stand alone versie.) Gebruik het programma nog niet.

  Download Reglite: http://www.resplendence.com/download/reglite.exe .
  Installeer en run het programma. In het scherm dat opent geef je bij Adress het volgende in:
  [code:1:0c7785a502]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs[/code:1:0c7785a502]
  Druk op Enter. Dubbelklik op AppInit_DLLs om de Data editor te openen. Onderaan dit venster zie je een veld “Value”.
  Dit veld zou de waarde [b:0c7785a502]C:\WINDOWS\System32\sqlekph.dll[/b:0c7785a502] moeten bevatten. Indien dit niet zo is, meld je dan terug.

  Maak op de c-schijf een nieuwe map aan met de naam registerbackup. (c:\registerbackup)

  Start Registrar Lite opnieuw. Bij Adress geef je het volgende in:
  [code:1:0c7785a502]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/code:1:0c7785a502]
  Druk op Enter. De map Windows in het linkerscherm van Registrar Lite is paars geselecteerd. Als dit het geval is, dan kies je in het menu File voor Export.
  Bij “Bestandsnaam” geef je in winkey.reg.
  Bij “Opslaan als type” kies je voor Regedit4 standard .reg files (*.reg)
  Sla het bestand winkey.reg op in de map c:\registerbackup.

  Zorg dat de map Windows in het linkerscherm van Registrar Lite nog steeds paars geselecteerd is. Kies in het menu File voor Export.
  Bij “Bestandsnaam” geef je in winkey.hiv.
  Bij “Opslaan als type” kies je voor Regedt32/WinApi hive files (*.hiv,*.dat, *.*)
  Sla het bestand winkey.hiv op in de map c:\registerbackup.

  In het linkerscherm van Registrar Lite is de map Windows nog steeds paars geselecteerd. Rechtsklik op deze map en kies voor Rename. Hernoem deze map naar NOTWindows.
  Klik op AppInit_DLLs. Selecteer in het veld Value de verwijzing naar het bestand [b:0c7785a502]C:\WINDOWS\System32\sqlekph.dll[/b:0c7785a502], en verwijder het.
  Hernoem de map NOTWindows naar zijn oorsponkelijke naam Windows.
  Nu zou het bestand C:\WINDOWS\System32\sqlekph.dll nu zichtbaar moeten zijn.

  Herstart de computer in veilige modus, en verwijder het bestand: C:\WINDOWS\System32\sqlekph.dll. Lukt dit niet dan hernoem je het bestand sqlekph.dll naar aaa.123.

  Herstart de computer in normale modus. Ga naar de map c:\registerbackup en dubbelklik op winkey.reg.
  Start Registrar Lite. Bij Adress geef je het volgende in:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
  Druk op enter.
  In het linkerscherm zou nu de map Windows paars geselecteerd moeten zijn. Als dit zo is ga je in het menu File naar Import. Navigeer naar de map c:\registerbackup en selecteer winkey.hiv. Klik op Openen.
  In het rechtse venster klik je op AppInit_DLLs en verwijder je in het veld value de waarde naar het .dll bestand.
  Sluit Registrar Lite.

  Scan met CWShredder.

  Herstart de computer en maak een nieuwe Hijackthislog en een log met reglook (runme.bat). Post beide logjes.
  Geef me even wat feedback.

  Succes.

  Durf je dit allemaal niet aan, meldt het dan even, dan proberen we wat anders.
 • Met heel mijn vorige uitleg was ik die O15 nog even uit het oog verloren. Om die te fixen doe je dit:
  Open een klablokbestand.
  Kopieer onderstaande code in dit kladblokbestand.
  Ga naar Bestand - Opslaan als.
  Bij "Opslaan in" kies je: Bureaublad
  Bij "Bestandsnaam" zet je: fix.reg
  Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
  Klik op de knop Opslaan.
  [code:1:d25099f5f7]REGEDIT4

  [-HKEY_USERS\S-1-5-21-1409082233-1580436667-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1]

  [HKEY_USERS\S-1-5-21-1409082233-1580436667-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1]
  "*"=dword:00000004
  ":Range"="213.159.117.202"[/code:1:d25099f5f7]
  Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen.
 • @marc
  alvat heel erg bedankt maar k kom er niet helemaal aan uit:s
  als k die map notwindows maak en dan verwijder k dat C:/……..dll als valuew en dan maak k hem weer windows zoals u zei en dan staat er bij valuew inderdaad niets meer maar op mijn pc kan k het bestand dan toch niet vinden.

  dus k heb alles weer gewoon terug gedaan hoe het was.
  waarom zie k dat bestand dan niet of wat doe k fout?

  gr hugo
 • Hugo,

  Alle verborgen bestanden worden weergegeven? http://users.telenet.be/marcvn/spyware/1117602.htm

  Doe de rest van deze procedure. Je bent goed bezig en het bestand dat deze infectie veroorzaakt heb je uitgeschakeld. Later gaan we deze proberen op te sporen en eventueel verwijderen.
 • marc…

  srry maar het bestand sqlekph.dll staat echt niet op mijn pc. verbogenbestanden laat ik altijd weergeven. en heb voor de ckrheid het ook nog even aan en uit gezet maar niets??
  heb ook gezocht en dan met zoeken naar verborgenbestanden maar ook niets gevonden???

  gr hugo
 • Kan je een nieuw logje maken met reglook (runme.bat)

  Toen je met reglite aan de slag ging, stond er toen een verwijzing naar de sqlekph.dll ingevuld in het veld Value?
 • A reg_look by IMM
  —————————————-
  Handle OK.
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
  (key has 0 subkeys and 7 value entries - last modified 18:51(UTC) 21/03/2005)
  [AppInit_DLLs] = "C:\WINDOWS\System32\sqlekph.dll" (REG_SZ)
  —————————————-
  Handle OK.
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  (key has 4 subkeys and 33 value entries - last modified 15:52(UTC) 21/03/2005)
  [Userinit] = "C:\WINDOWS\system32\userinit.exe," (REG_SZ)
  —————————————-
  Handle OK.
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
  (key has 0 subkeys and 5 value entries - last modified 14:05(UTC) 09/11/2004)
  [Shell] = "SYS:Microsoft\Windows NT\CurrentVersion\Winlogon" (REG_SZ)
  —————————————-


  bij Value stond wat jij zei dat dll
 • Bestand is nog steeds aanwezig. De hierboven beschreven procedure moet werken Hugo.
  Het kan zijn datje het bestand pas zult zien in veilige modus. Ik zou zeggen probeer opnieuw, en meld je terug met de gevraagde logjes en wat feedback.

  Lukt het je niet, dan kunnen we wat anders proberen.
  Laat maar weten.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.