Vraag & Antwoord
Zou iemand even mijn log willen nakijken?
9 antwoorden
- Ik zit met het volgende probleem.
Ik krijg regelmatig in een IE-scherm een waarschwing dat mijn pc met spyware zou zitten. Ik gebruikt AdAware en Spybot om deze te verwijderen, maar toch blijf ik deze waarschuwingen krijgen. Vandaar deze log. Zou 1 van jullie hiernaar willen kijken?
Logfile of HijackThis v1.99.0
Scan saved at 5:23:14 PM, on 25-Mar-05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet
F1 - win.ini: load=ptsnoop.exe
F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDSG.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {C270F201-9D1B-11D9-A57B-00402416CCAF} - C:\WINDOWS\SYSTEM\MBOBC.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSCSHELLEXTENSION.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Program Files\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [EM_EXEC] c:\logitech\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [tgcmd] "C:\PROGRA~1\SUPPORT.COM\BIN\TGCMD.EXE" /server /startmonitor /deaf
O4 - HKLM\..\Run: [MCAgentExe] C:\Program Files\McAfee.com\Agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE
O4 - HKLM\..\Run: [VirusScanMSC] "C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE" /EMBEDDING
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\McAfee\McAfee VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunOnce: [AAW] "C:\PROGRAM FILES\LAVASOFT\AD-AWARE SE PERSONAL\AD-AWARE.EXE" "+b1"
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O16 - DPF: MynetSohbet - http://irc.mynet.com/java/cr.cab
O16 - DPF: ConferenceRoom Java Client - http://66.98.156.64:8000/java/cr.cab
O16 - DPF: ChatSpace Full Java Client 3.1.0.223 - http://62.216.179.141:8002/Java/cfs31223.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O18 - Filter: text/html - {A2E16AA9-9D1B-11D9-A57B-0040A0A6E8C0} - C:\WINDOWS\SYSTEM\MBOBC.DLL
O18 - Filter: text/plain - {A2E16AA9-9D1B-11D9-A57B-0040A0A6E8C0} - C:\WINDOWS\SYSTEM\MBOBC.DLL - Download SpSeHjfix110, en pak het uit op je bureaublad.
Start de pc op in Veilige modus
Open nu SpSeHjfix_Beta.exe en klik op "Start disinfection".
Er zal een logje aangemaakt worden in de map van SpSeHjfix_Beta.exe.
De versie van Hijackthis niet up to date
Start Hijackthis en klik op 'Open the Misc Tool section'
Sleep dan de schuifbalk een stukje naar beneden en klik op 'Check for update online'
Volg de aanwijzingen. Start Hijackthis dan opnieuw op en post dat log.
Post de inhoud van dat logje, samen met een nieuw logje van Hijackthis.
Sjaak - Hey bedankt…
Dit is de nieuwe log:
Logfile of HijackThis v1.99.1
Scan saved at 7:55:58 PM, on 25-Mar-05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet
F1 - win.ini: load=ptsnoop.exe
F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDSG.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSCSHELLEXTENSION.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Program Files\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [EM_EXEC] c:\logitech\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [tgcmd] "C:\PROGRA~1\SUPPORT.COM\BIN\TGCMD.EXE" /server /startmonitor /deaf
O4 - HKLM\..\Run: [MCAgentExe] C:\Program Files\McAfee.com\Agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE
O4 - HKLM\..\Run: [VirusScanMSC] "C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE" /EMBEDDING
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\McAfee\McAfee VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O16 - DPF: MynetSohbet - http://irc.mynet.com/java/cr.cab
O16 - DPF: ConferenceRoom Java Client - http://66.98.156.64:8000/java/cr.cab
O16 - DPF: ChatSpace Full Java Client 3.1.0.223 - http://62.216.179.141:8002/Java/cfs31223.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab - 'Download SpSeHjfix110, en pak het uit op je bureaublad.
Start de pc op in Veilige modus
Open nu SpSeHjfix_Beta.exe en klik op "Start disinfection".
Er zal een logje aangemaakt worden in de map van SpSeHjfix_Beta.exe.'
Ik had alleen een zip-file met daarin het programma. Er is geen log aangemaakt bij mijn weten: deze kan ik in ieder geval nergens terugvinden. - Als je het programma hebt uitgepakt in een aparte directory of op je bureaublad hebt geplaatst, dan zie je daar na uitvoeren van een file SPSeHjFix.log
Als je het niet hebt uitgepakt, kijk dan eens in de Temp
Klik op Start -> uitvoeren en typ in : [b:47911c6b24]%temp%[/b:47911c6b24] <OK>
Sjaak - Ok thanx…
(3-25-05 8:24:48 PM) SPSeHjFix started v1.1.0
(3-25-05 8:24:48 PM) OS: Win98SE A (4.10.2222)
(3-25-05 8:24:48 PM) Language: english
(3-25-05 8:24:49 PM) Disinfect started
(3-25-05 8:24:49 PM) Bad-Dll(IEP): (not found)
(3-25-05 8:24:49 PM) Bad-Dll(IEP) in BHO: (not found)
(3-25-05 8:24:49 PM) UBF: 4
(3-25-05 8:24:49 PM) UBB: 2
(3-25-05 8:24:49 PM) UBR: 18
(3-25-05 8:24:49 PM) Bad IE-pages:
(3-25-05 8:24:49 PM) Stealth-String not found:
(3-25-05 8:24:49 PM) Not infected->END - Download Startdreck: http://www.niksoft.at/php/dl.php?f=startdreck.zip
Dubbelklik op 'StartDreck.exe'.
Klik op "Config" en vervolgens op "Unmark all"
Selecteer alleen de volgende:
- Bij Registry: run keys.
- Bij System/drivers: Running processes.
Klik op OK.
Er wordt een logje gemaakt. Post dit.
Sjaak - Dit is het resultaat…thnx.
»Registry
»Run Keys
»Current User
»Run
*McAfee.InstantUpdate.Monitor="C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RuLaunch.exe" /STARTMONITOR
*Spyware Doctor="C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
»RunOnce
»Default User
»Run
*McAfee.InstantUpdate.Monitor="C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RuLaunch.exe" /STARTMONITOR
*Spyware Doctor="C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
»RunOnce
»Local Machine
»Run
*ScanRegistry=C:\WINDOWS\scanregw.exe /autorun
*TaskMonitor=C:\WINDOWS\taskmon.exe
*SystemTray=SysTray.Exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*LoadQM=loadqm.exe
*Iomega Startup Options=C:\Program Files\Iomega\Common\ImgStart.exe
*Iomega Drive Icons=C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
*EM_EXEC=c:\logitech\mouse\system\em_exec.exe
*tgcmd="C:\PROGRA~1\SUPPORT.COM\BIN\TGCMD.EXE" /server /startmonitor /deaf
*MCAgentExe=C:\Program Files\McAfee.com\Agent\mcagent.exe
*MCUpdateExe=C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE
*VirusScanMSC="C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE" /EMBEDDING
*WinampAgent=C:\Program Files\Winamp\winampa.exe
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*ScriptBlocking="C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
*McAfeeVirusScanService=C:\Program Files\McAfee\McAfee VirusScan\AVSYNMGR.EXE
*KB891711=C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Running Processes
+FF0F9B1B=C:\WINDOWS\SYSTEM\KERNEL32.DLL
+FFFFEFBF=C:\WINDOWS\SYSTEM\MSGSRV32.EXE
+FFFFD82F=C:\WINDOWS\SYSTEM\MPREXE.EXE
+FFFE4E77=C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE
+FFFE4717=C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
+FFFE3517=C:\WINDOWS\SYSTEM\mmtask.tsk
+FFFE6483=C:\WINDOWS\EXPLORER.EXE
+FF01D997=C:\WINDOWS\PTSNOOP.EXE
+FFFEAAB3=C:\WINDOWS\SYSTEM\CMMPU.EXE
+FFFEFB87=C:\WINDOWS\TASKMON.EXE
+FF01177F=C:\WINDOWS\SYSTEM\SYSTRAY.EXE
+FF00F31B=C:\WINDOWS\LOADQM.EXE
+FF037FA7=C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
+FF034D07=C:\PROGRAM FILES\SUPPORT.COM\BIN\TGCMD.EXE
+FF03E933=C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCAGENT.EXE
+FFFE923B=C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE
+FFFEF7B3=C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
+FF009DE3=C:\WINDOWS\SYSTEM\MSTASK.EXE
+FF052DFF=C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE
+FF02491F=C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE
+FF05F033=C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
+FF045EBB=C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
+FF066CEF=C:\WINDOWS\SYSTEM\DDHELP.EXE
+FF063213=C:\PROGRAM FILES\WINZIP\WINZIP32.EXE
+FF09092F=C:\WINDOWS\DESKTOP\STARTDRECK.EXE
»Application specific - De verborgen dll blijft verborgen.
Copieer onderstaande code in een notepad
[code:1:98a8650e74]dir /a /od \WINDOWS \WINDOWS\SYSTEM >files1.txt
dir /a:h \WINDOWS \WINDOWS\SYSTEM >files2.txt
[/code:1:98a8650e74]
Sla het op in [b:98a8650e74]C:\[/b:98a8650e74] als [b:98a8650e74]inhoud.bat[/b:98a8650e74]
Opslaan als type: [b:98a8650e74]Alle bestanden[/b:98a8650e74]
Zou dan je kunnen opstarten met een systeem-diskette.
Als je die niet meer hebt kan je die ook aanmaken onder Configuratiescherm -> systeem
(heb nu geen W98SE aan staan om te checken.)
CD-ondersteuning is niet nodig.
Dan krijg je de A:>
typ dan in
[b:98a8650e74]C:
inhoud.bat[/b:98a8650e74]
Herstart nu weer de PC (diskette verwijderen)
Open met notepad eerst C:\files1.txt
Kijk of daar bestanden bij zijn die recent zijn geplaatst.
Post dat deel uit files1.txt
Open nu ook C:\files2.txt en die copieer die inhoud in zijn geheel.
Sjaak
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.