Vraag & Antwoord

Beveiliging & privacy

Hijackthis Logje

Anoniem
crazyme
6 antwoorden
 • Hallo,

  Ik zit hier bij een computer van bekende en hij zit vol met spyware en toolbars. Hier een hijackthis log kunnen jullie hem even checken?

  Logfile of HijackThis v1.99.1
  Scan saved at 18:49:17, on 18-5-2005
  Platform: Windows XP SP2 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
  C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe
  C:\WINDOWS\system32\rundll32.exe
  C:\Program Files\Messenger Plus! 3\MsgPlus.exe
  C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
  C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
  C:\Program Files\Eset\nod32kui.exe
  C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE
  C:\WINDOWS\system32\emakesv.exe
  C:\Program Files\Internet Explorer\iexplore.exe
  C:\WINDOWS\system32\ctfmon.exe
  C:\Program Files\Messenger\msmsgs.exe
  C:\Program Files\FinePixViewer\QuickDCF.exe
  C:\Program Files\Eset\nod32krn.exe
  C:\WINDOWS\system32\nvsvc32.exe
  C:\WINDOWS\system32\pctspk.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
  C:\PROGRA~1\INCRED~1\bin\IMApp.exe
  C:\WINDOWS\system32\wuauclt.exe
  C:\Program Files\Internet Explorer\iexplore.exe
  C:\Program Files\WinRAR\WinRAR.exe
  C:\hijackthis\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/eMakeSV/Portal/portal.html
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/eMakeSV/Portal/portal.html
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = dynhost.inetcam.com;register.inetcam.com;
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: (no name) - {7BB7AAE1-996B-C81F-4C66-81513340C9AB} - C:\DOCUME~1\Kirsten\APPLIC~1\PollByte\skiplies.exe (file missing)
  O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
  O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll
  O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll
  O4 - HKLM\..\Run: [Microsoft Update] wuamgard.exe
  O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
  O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
  O4 - HKLM\..\Run: [WindowsRegKey update] wdnupdate.exe
  O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
  O4 - HKLM\..\Run: [Microsoft WinUpdate] svh0st.exe
  O4 - HKLM\..\Run: [Windows service] iexpl0rer.exe
  O4 - HKLM\..\Run: [System Uptime Server] sysentry32.exe
  O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
  O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
  O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe"
  O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
  O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
  O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
  O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
  O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
  O4 - HKLM\..\Run:
   C:\Documents and Settings\All Users.WINDOWS\Application Data\poll lies list bash\tons army.exe O4 - HKLM\..\Run: [BO1HelperStartUp] C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE /partner BO1 O4 - HKLM\..\Run: [eMakeSV] C:\WINDOWS\system32\emakesv.exe O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe O4 - HKLM\..\RunServices: [WindowsRegKey update] wdnupdate.exe O4 - HKLM\..\RunServices: [Microsoft WinUpdate] svh0st.exe O4 - HKLM\..\RunServices: [System Uptime Server] sysentry32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Update] wuamgard.exe O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [WindowsRegKey update] wdnupdate.exe O4 - HKCU\..\Run: [Microsoft WinUpdate] svh0st.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - Global Startup: Corel Family & Friends Reminders.LNK = C:\Program Files\Corel\Print House Magic 4 Premium\cffrem.exe O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Hijacked Internet access by New.Net O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://intranet.x-qlusivestyle.com/tsweb/msrdp.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
   alvaste bedankt
   groeten crazyme
 • En virusjes…
  Ik kijk even.
 • alvast heel erg bedankt!
 • Download en installeer CCleaner.
  Gebruik het programma nog niet.

  Ga naar Configuratiescherm - Software - Programma's wijzigen en verwijderen. Deïnstalleer New.net Application en NewDotNet (Domains).
  Staan deze er niet tussen, dan kijk je in de dan map c:\Progam Files\NewDotNet. Zoek in die map naar een bestand uninstallX_XX.exe. De waarde van X (een cijfer) hangt af van de versie van New.net die geïnstalleerd is op de computer.
  Vind je de uninstaller ook niet in de map c:\Progam Files\NewDotNet, dan kijk je in de map C:\Windows naar een bestand NDNuninstallX_XX.exe. (zelfde verhaal voor de X.)
  Is deze ook niet aanwezig dan kan je deze uninstaller downloaden: http://www.new.net/support/uninstall6_38.exe

  Deïnstalleer ook Switch.


  Zorg ervoor dat alle verborgen bestanden en mappen weergegeven worden.Hoe verborgen bestanden en mappen weergeven..

  Start de computer in veilige modus.

  Sluit alle open vensters, run HijackThis nog een keer en plaats een vinkje bij de volgende items:

  [b:4624b1dd72]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/eMakeSV/Portal/portal.html
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/eMakeSV/Portal/portal.html
  O2 - BHO: (no name) - {7BB7AAE1-996B-C81F-4C66-81513340C9AB} - C:\DOCUME~1\Kirsten\APPLIC~1\PollByte\skiplies.exe (file missing)
  O4 - HKLM\..\Run: [Microsoft Update] wuamgard.exe
  O4 - HKLM\..\Run: [WindowsRegKey update] wdnupdate.exe
  O4 - HKLM\..\Run: [Microsoft WinUpdate] svh0st.exe
  O4 - HKLM\..\Run: [Windows service] iexpl0rer.exe
  O4 - HKLM\..\Run: [System Uptime Server] sysentry32.exe
  O4 - HKLM\..\Run:
   C:\Documents and Settings\All Users.WINDOWS\Application Data\poll lies list bash\tons army.exe O4 - HKLM\..\Run: [eMakeSV] C:\WINDOWS\system32\emakesv.exe O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe O4 - HKLM\..\RunServices: [WindowsRegKey update] wdnupdate.exe O4 - HKLM\..\RunServices: [Microsoft WinUpdate] svh0st.exe O4 - HKLM\..\RunServices: [System Uptime Server] sysentry32.exe O4 - HKCU\..\Run: [Microsoft Update] wuamgard.exe O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe O4 - HKCU\..\Run: [WindowsRegKey update] wdnupdate.exe O4 - HKCU\..\Run: [Microsoft WinUpdate] svh0st.exe O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe[/b:4624b1dd72]
   Klik daarna op "Fix checked" en sluit HijackThis af.
   Zoek via Windows verkenner naar volgende bestanden of mappen, en verwijder deze indien ze nog aanwezig zijn: (let goed op de schrijfwijze van de bestandjes)
   C:\WINDOWS\system32\wuamgard.exe C:\WINDOWS\system32\wdnupdate.exe C:\WINDOWS\system32\svh0st.exe C:\WINDOWS\system32\sysentry32.exe C:\WINDOWS\system32\emakesv.exe C:\WINDOWS\system32\ati2vid.exe
   Start Ccleaner en klik op de knop "Opschonen". Herstart de computer in normale modus.
   Start HijackThis opnieuw, maak een nieuwe log en post deze.
   Open een klablokbestand. Kopieer onderstaande code in dit kladblokbestand. Ga naar Bestand - Opslaan als. Bij "Opslaan in" kies je: Bureaublad Bij "Bestandsnaam" zet je: vindjob.bat Bij "Opslaan als type" selecteer je: Alle bestanden (*.*). Klik op de knop Opslaan. [code:1:4624b1dd72]dir %Windir%\tasks /a:h > files.txt notepad files.txt[/code:1:4624b1dd72] Dubbelklik op vindjob.bat. Er opent een kladblokbestand. Post de inhoud van dit kladblokbestand.
 • Hallo,

  Na alles verwijderd te hebben. Computer kan niet meer op internet. Dit komt omdat de firewall service niet meer kan starten de service voor het omzetten van internet adressen werkt ook niet meer.

  gr. crazyme
 • Waarschijnlijk toch ergens iets misgelopen.

  Download WinsockFix
  Unzip het en plaats het op je bureaublad.
  Na downloaden Winsockfix.exe aanklikken en "Reg backup" klikken,
  je huidig register word nu opgeslaan in de map "ERDNT"
  Daarna klik je "Fix" de Winsockfix Utility doet dan het volgende:

  1) Controleert je Windows versie
  2) Releast uw IP-adress zodat je Offline bent
  3) Reset de TCP stack door Netsh.exe te gebruiken (Windows XP alleen)
  4) Verwijderd de huidige TCP en Winsock waardes in het register
  5) Nieuwe "werkende" waardes worden in de plaats gezet
  6) Uw huidig Host bestand word gebackupt
  7) Er word een standaard Host bestand geplaatst en de computer herstart.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.