Vraag & Antwoord

Beveiliging & privacy

graag even kijken naar hijack log (vervelende toolbar)

Anoniem
None
10 antwoorden
 • Beste mensen,


  Ik heb weer last van een vervelende toolbar die ik steeds terug krijg.
  Tevens duiken er steeds icoontjes op, op mijn bureaublad.

  Hieronder mijn hijack log.


  Logfile of HijackThis v1.98.2
  Scan saved at 18:57:46, on 30-3-2005
  Platform: Windows 2000 SP4 (WinNT 5.00.2195)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

  Running processes:
  C:\WINNT\System32\smss.exe
  C:\WINNT\system32\winlogon.exe
  C:\WINNT\system32\services.exe
  C:\WINNT\system32\lsass.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\system32\spoolsv.exe
  C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
  C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
  C:\WINNT\System32\svchost.exe
  C:\WINNT\System32\HPConfig.exe
  C:\WINNT\system32\regsvc.exe
  C:\WINNT\system32\MSTask.exe
  C:\WINNT\system32\stisvc.exe
  C:\WINNT\System32\WBEM\WinMgmt.exe
  C:\WINNT\system32\mspmspsv.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\Explorer.EXE
  C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
  C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  C:\Program Files\MessengerPlus! 3\MsgPlus.exe
  C:\Program Files\Internet Explorer\iexplore.exe
  c:\progra~1\intern~1\iexplore.exe
  C:\PROGRA~1\WinZip\winzip32.exe
  C:\DOCUME~1\RIETVE~1\LOCALS~1\Temp\HijackThis.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dkbjvujkridchzfwhuozuu.com/eTaPn6z7v13RRMly8_VP7TX8g2uCGwTL_Bh02DT9vgg0D4KRBZUs0G34ay4zjVbF.html
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mavoqslifuaeve.com/eTaPn6z7v11ROCRswwFsTYzuisERW9XUi5W7FgJZQj8.php
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
  O2 - BHO: (no name) - {592B009E-989A-8ED1-6B21-97B7EF8EFC43} - C:\DOCUME~1\RIETVE~1\APPLIC~1\MATHAM~1\Peak Beep.exe
  O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
  O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
  O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
  O4 - HKLM\..\Run: [meal second blue slow] C:\Documents and Settings\All Users\Application Data\Funk Base Meal Second\bags sect.exe
  O4 - HKCU\..\Run: [DumbBuild] C:\DOCUME~1\RIETVE~1\APPLIC~1\IDLE2C~1\loud tool.exe
  O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
  O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
  O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
 • Je gebruikt een oudere versie van HijackThis. Best dat je eerst update naar de nieuwste versie.
  Start HijackThis, Ga naar Config - Misc tools - Check for update online. Download de nieuwste versie, unzip het en plaats het in een eigen map (vb c:\hijackthis).
  (De nieuwste versie van HijackThis kan je ook hier downloaden).

  Je hebt Messengerplus geïnstalleerd met Sponsors. Hierdoor is de computer geïnfecteerd met LOP.
  Ga naar Configuratiescherm - Software - Programma's wijzigen en verwijderen. Deïnstalleer Messenger plus. (Later kan je deze terug installeren, maar kies dan voor een installatie zonder sponsors.)
  Tijdens het deïnstallatieprocess wordt er gevraagd om een securitycode in te geven. Doe dit.
  Herstart de computer. Maak een nieuwe HijackThislog en post deze.
 • Installeer hijackthis.exe dan ook in bijv. C:\Program Files\Hijackthis
  Bij het fixen wordt een backup dir gemaakt met de gefixte items.
  Prtogramma staat nu in de Temp directory. Zo meteen gaat M@rc nog vertellen om je %temp% leeg te maken en dan ben je hijackthis met de backup directory ook kwijt.

  Sjaak
 • [quote:04f20400dd="M@rc"]Download de nieuwste versie, unzip het en plaats het in een eigen map (vb c:\hijackthis).
  [/quote:04f20400dd]
  :wink:
 • bedankt voor de snelle reactie's.

  hoe kan ik dit alles voorkomen?

  hier de nieuwe log.

  Logfile of HijackThis v1.99.1
  Scan saved at 19:39:27, on 30-3-2005
  Platform: Windows 2000 SP4 (WinNT 5.00.2195)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

  Running processes:
  C:\WINNT\System32\smss.exe
  C:\WINNT\system32\winlogon.exe
  C:\WINNT\system32\services.exe
  C:\WINNT\system32\lsass.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\system32\spoolsv.exe
  C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
  C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
  C:\WINNT\System32\svchost.exe
  C:\WINNT\System32\HPConfig.exe
  C:\WINNT\system32\regsvc.exe
  C:\WINNT\system32\MSTask.exe
  C:\WINNT\system32\stisvc.exe
  C:\WINNT\System32\WBEM\WinMgmt.exe
  C:\WINNT\system32\mspmspsv.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\Explorer.EXE
  C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
  C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  C:\Program Files\Internet Explorer\iexplore.exe
  C:\Program Files\HijackThis.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.zlxogsoticofi.us/eTaPn6z7v13RRMly8_VP7TX8g2uCGwTL_Bh02DT9vggf0KQZ9STo6n34ay4zjVbF.htm
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.nl/
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
  O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
  O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
  O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
  O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
  O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
  O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
  O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
  O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
  O23 - Service: HP Configuration Service (HPConfig) - Hewlett-Packard - C:\WINNT\System32\HPConfig.exe
  O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Unknown owner - C:\Program Files\NavNT\rtvscan.exe (file missing)
 • Sluit alle open vensters, run HijackThis nog een keer en plaats een vinkje bij de volgende items:

  [b:b0356ef7d4]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.zlxogsoticofi.us/eTaPn6z7v13RRMly8_VP7TX8g2uCGwTL_Bh02DT9vggf0KQZ9STo6n34ay4zjVbF.htm[/b:b0356ef7d4]

  Klik daarna op "Fix checked" en sluit HijackThis af.

  Open een klablokbestand.
  Kopieer onderstaande code in dit kladblokbestand.
  Ga naar Bestand - Opslaan als.
  Bij "Opslaan in" kies je: Bureaublad
  Bij "Bestandsnaam" zet je: vindjob.bat
  Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
  Klik op de knop Opslaan.
  [code:1:b0356ef7d4]dir %Windir%\tasks /a h > files.txt
  notepad files.txt[/code:1:b0356ef7d4]
  Dubbelklik op vindjob.bat.
  Er opent een kladblokbestand. Post de inhoud van dit kladblokbestand.
 • Marc,

  Hier de log van vindjob.

  Volume in drive C is Local Disk
  Volume Serial Number is 6831-0216

  Directory of C:\WINNT\tasks

  30-03-2005 19:25 <DIR> .
  30-03-2005 19:25 <DIR> ..
  08-05-2001 04:00 65 desktop.ini
  30-03-2005 19:28 6 SA.DAT
  2 File(s) 71 bytes

  Directory of C:\Documents and Settings\rietveldr\Desktop
 • Ziet er goed uit.
  Oorzaak was Messengerplus. Je had deze geïnstalleerd met Sponsors.
  Kies volgende keer voor een installatie zonder sponsors.

  Maak je Temp-map leeg: Start - Uitvoeren tik in: %TEMP%.
  Selecteer alle bestanden in deze map en verwijder ze.

  Ledig de map met tijdelijke internetbestanden: Configuratiescherm - Internetopties - tabblad Algemeen - klik bij Tijdelijke internetbestanden op Bestanden Verwijderen.

  Maak je Prullenbak leeg.

  Schakel Systeemherstel uit. Herstart de computer. Schakel Systeemherstel weer in.
  Systeemherstel uitschakelen.

  Bezoek regelmatig de Windows Update Site. Alleen zo ben je zeker dat je de nieuwste patches voor je besturingssysteem geïnstalleerd hebt. Als er nieuwe updates beschikbaar zijn, dan dowload en installeer je alle essentiële updates en service packs. Reboot je computer en controleer opnieuw. Herhaal deze procedure tot dat er geen essentiële updates meer zijn.

  Installeer ook SpywareBlaster en Spywareguard.
  Gebruik je de laatste versie van Spybot Search & Destroy, en je maakt gebruik van de realtime protectie TeaTimer, dan moet je Spywareguard niet installeren.
  Meer info over hoe je een nieuwe infectie kan voorkomen vind je hier.

  groeten,
  Marc
 • Marc,

  wederom vriendelijk bedankt voor de service.
  Ben alle ellende weer kwijt.

  Groet,
  Rob
 • Graag gedaan Rob.

  groeten,

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.