Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Wil er eens iemand naar dit HijackThis logbestand kijken aub

smeenk
21 antwoorden
  • Hello,

    Bij deze een logbestandje van een PC met eigenaardigheden
    Kan er eens iemand mij terug op de juiste weg zetten aub

    John


    ———————————————————————-




    Logfile of HijackThis v1.99.1
    Scan saved at 20:00:54, on 21/05/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton SystemWorks\Norton Antivirus
    avapsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\msiexec.exe
    C:\WINDOWS\addlt32.exe
    C:\WINDOWS\explorer.exe
    C:\Documents and Settings\Lorenzo\Bureaublad\Nieuwe map\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\jpdys.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\jpdys.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\jpdys.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\jpdys.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\jpdys.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\jpdys.dll/sp.html#12047
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\jpdys.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.be/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.telenet.be:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://pac.telenet.be:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Class - {72E2A979-EAEA-2FA7-5086-F53AE6460277} - C:\WINDOWS\sdkae.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [addlt32.exe] C:\WINDOWS\addlt32.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKLM\..\RunOnce: [netwx.exe] C:\WINDOWS\system32
    etwx.exe
    O4 - HKLM\..\RunOnce: [mfcia.exe] C:\WINDOWS\mfcia.exe
    O4 - HKLM\..\RunOnce: [crpt32.exe] C:\WINDOWS\crpt32.exe
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra 'Tools' menuitem: Create Mobile Favorite… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101738307088
    O16 - DPF: {970BF476-3CF2-4572-9EF9-4479E1591DB8} (VacPro.belgio_ver3) - http://advnt01.com/dialer/belgio_ver3.CAB
    O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32
    etlf.exe (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
    avapsvc.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe



  • Hallo John,

    Print onderstaande instructies uit. Voer alles vanaf stap 5 in één keer uit en onderbreek de procedure niet.
    Succes.

    1. Download dit regfiletje: HSfix.zip.
    Unzip het en plaats het op je bureaublad, zodat je dit later makkelijk kan terug vinden wanneer je het nodig hebt.

    2. Download CWShredder.
    Plaatst het bestand ergens waar je het makkelijk kan terug vinden, maar gebruik het nu nog niet.

    3. Download About:buster. Unzip het naar c:\aboutbuster en controleer of er updates beschikbaar zijn. Installeer deze.
    Gebruik het programma nog niet.

    4. Zorg dat alle verborgen bestanden weergegeven worden.

    5. Start de computer in veilige modus.

    6. Sluit alle vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:342f8501c0]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\jpdys.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\jpdys.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\jpdys.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\jpdys.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\jpdys.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\jpdys.dll/sp.html#12047
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\jpdys.dll/sp.html#12047
    R3 - Default URLSearchHook is missing
    O2 - BHO: Class - {72E2A979-EAEA-2FA7-5086-F53AE6460277} - C:\WINDOWS\sdkae.dll
    O4 - HKLM\..\Run: [addlt32.exe] C:\WINDOWS\addlt32.exe
    O4 - HKLM\..\RunOnce: [netwx.exe] C:\WINDOWS\system32
    etwx.exe
    O4 - HKLM\..\RunOnce: [mfcia.exe] C:\WINDOWS\mfcia.exe
    O4 - HKLM\..\RunOnce: [crpt32.exe] C:\WINDOWS\crpt32.exe
    O16 - DPF: {970BF476-3CF2-4572-9EF9-4479E1591DB8} (VacPro.belgio_ver3) - http://advnt01.com/dialer/belgio_ver3.CAB
    O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32
    etlf.exe (file missing)

    [/b:342f8501c0]

    7. Dubbelklik op HSfix.reg om de wijzigingen aan het register toe te voegen.

    8. Verwijder de volgende bestanden:
    C:\WINDOWS\system32\jpdys.dll
    C:\WINDOWS\sdkae.dll
    C:\WINDOWS\addlt32.exe
    C:\WINDOWS\system32
    etwx.exe
    C:\WINDOWS\mfcia.exe
    C:\WINDOWS\crpt32.exe

    9. Maak je Temp-map leeg: Start – Uitvoeren tik in: %TEMP%. Selecteer alle bestanden en verwijder ze.

    10. Ledig de map met Tijdelijke internetbestanden: Ga naar Configuratiescherm – Internetopties – tabblad Algemeen – klik bij Tijdelijke internetbestanden op Bestanden Verwijderen.

    11. Herstel je webinstellingen: ga naar Configuratiescherm – Internetopties – tabblad Programma’s. Klik op de knop Webinstellingen herstellen.

    12. Start CWShredder en klik op de fix-knop.

    13. Start About:buster. Wanneer het programma vraagt om een tweede keer te scannen doe je dit.

    14. Reboot de computer nu in normale modus. Run HijackThis opnieuw en post een nieuwe log.


  • Hello Marc

    Gedaan zoals je hebt voorgesteld,
    Heb de indruk dat het nog niet 100% in orde zal zijn
    (Het startscherm van IE blijft oa nog steeds op About:Blank staan)
    Hieronder een nieuwe log-file


    John

    ————————————————————-


    Logfile of HijackThis v1.99.1
    Scan saved at 19:11:15, on 22/05/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton SystemWorks\Norton Antivirus
    avapsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    C:\WINDOWS\system32\javazv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Lorenzo\Bureaublad\Nieuwe map\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xwsvf.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xwsvf.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xwsvf.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xwsvf.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xwsvf.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xwsvf.dll/sp.html#12047
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xwsvf.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.be/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.telenet.be:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://pac.telenet.be:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Class - {75AF0B00-D89D-D529-63DB-460FA539C3A1} - C:\WINDOWS\sysrr.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [javazv.exe] C:\WINDOWS\system32\javazv.exe
    O4 - HKLM\..\RunOnce: [mfchj.exe] C:\WINDOWS\system32\mfchj.exe
    O4 - HKLM\..\RunOnce: [netxk.exe] C:\WINDOWS\system32
    etxk.exe
    O4 - HKLM\..\RunOnce: [wince.exe] C:\WINDOWS\system32\wince.exe
    O4 - HKLM\..\RunOnce: [ieiq.exe] C:\WINDOWS\ieiq.exe
    O4 - HKLM\..\RunOnce: [mfctm32.exe] C:\WINDOWS\system32\mfctm32.exe
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra 'Tools' menuitem: Create Mobile Favorite… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101738307088
    O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfchj.exe" /s (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
    avapsvc.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe


  • John,

    Print onderstaande instructies uit. Voer alles vanaf stap 5 in één keer uit en onderbreek de procedure niet.
    Succes.
    Best dat je de instructies zo vlug mogelijk uitvoert. (sommige bestanden kunnen van naam wijzigen.
    Meldt even als er bepaalde zaken niet lukken.

    1. Download dit regfiletje: HSfix.zip.
    Unzip het en plaats het op je bureaublad, zodat je dit later makkelijk kan terug vinden wanneer je het nodig hebt.

    2. Download CWShredder.
    Plaatst het bestand ergens waar je het makkelijk kan terug vinden, maar gebruik het nu nog niet.

    3. Download About:buster. Unzip het naar c:\aboutbuster en controleer of er updates beschikbaar zijn. Installeer deze.
    Gebruik het programma nog niet.

    4. Zorg dat alle verborgen bestanden weergegeven worden.

    5. Start de computer in veilige modus.

    6. Sluit alle vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:a3c3e94311]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xwsvf.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xwsvf.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xwsvf.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xwsvf.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xwsvf.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xwsvf.dll/sp.html#12047
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xwsvf.dll/sp.html#12047

    R3 - Default URLSearchHook is missing

    O2 - BHO: Class - {75AF0B00-D89D-D529-63DB-460FA539C3A1} - C:\WINDOWS\sysrr.dll

    O4 - HKLM\..\Run: [javazv.exe] C:\WINDOWS\system32\javazv.exe
    O4 - HKLM\..\RunOnce: [mfchj.exe] C:\WINDOWS\system32\mfchj.exe
    O4 - HKLM\..\RunOnce: [netxk.exe] C:\WINDOWS\system32
    etxk.exe
    O4 - HKLM\..\RunOnce: [wince.exe] C:\WINDOWS\system32\wince.exe
    O4 - HKLM\..\RunOnce: [ieiq.exe] C:\WINDOWS\ieiq.exe
    O4 - HKLM\..\RunOnce: [mfctm32.exe] C:\WINDOWS\system32\mfctm32.exe

    O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfchj.exe" /s (file missing)

    [/b:a3c3e94311]

    7. Dubbelklik op HSfix.reg om de wijzigingen aan het register toe te voegen.

    8. Verwijder de volgende bestanden:
    C:\WINDOWS\system32\xwsvf.dll
    C:\WINDOWS\system32\javazv.exe
    C:\WINDOWS\system32\mfchj.exe
    C:\WINDOWS\system32
    etxk.exe
    C:\WINDOWS\system32\wince.exe
    C:\WINDOWS\ieiq.exe
    C:\WINDOWS\system32\mfctm32.exe
    C:\WINDOWS\system32\mfchj.exe

    9. Maak je Temp-map leeg: Start – Uitvoeren tik in: %TEMP%. Selecteer alle bestanden en verwijder ze.

    10. Ledig de map met Tijdelijke internetbestanden: Ga naar Configuratiescherm – Internetopties – tabblad Algemeen – klik bij Tijdelijke internetbestanden op Bestanden Verwijderen.

    11. Herstel je webinstellingen: ga naar Configuratiescherm – Internetopties – tabblad Programma’s. Klik op de knop Webinstellingen herstellen.

    12. Start CWShredder en klik op de fix-knop.

    13. Start About:buster. Wanneer het programma vraagt om een tweede keer te scannen doe je dit.

    14. Reboot de computer nu in normale modus. Run HijackThis opnieuw en post een nieuwe log.

  • Hello Marc

    Hieronder nog een log-bestandje
    Op het eerste zicht blijven de problemen aanhouden.
    Tijdens het opstarten IE was het eerste scherm opnieuw About:Blank
    Wij blijven erin geloven …:-))

    In elk geval hartelijke dank voor je aandacht aan mijn probleem.


    John

    —————————————————

    Logfile of HijackThis v1.99.1
    Scan saved at 17:35:19, on 23/05/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton SystemWorks\Norton Antivirus
    avapsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    C:\WINDOWS\d3sw.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32
    etso.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Rondall\Bureaublad\ABOUT_BLANK\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vljdx.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vljdx.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vljdx.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vljdx.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vljdx.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vljdx.dll/sp.html#12047
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vljdx.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.be/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.telenet.be:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://pac.telenet.be:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R3 - Default URLSearchHook is missing
    O2 - BHO: Class - {031211BF-70AC-72ED-883D-C47AC7D80AB0} - C:\WINDOWS\addbj.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Class - {088042C1-CF32-5709-F987-88BB55DF78A1} - C:\WINDOWS\system32\creb32.dll
    O2 - BHO: Class - {0CAF53F6-229D-6F9B-9853-B07DBF710E46} - C:\WINDOWS\system32\apihu.dll
    O2 - BHO: Class - {544E4536-F6CF-3AEA-758C-3229D8263B6D} - C:\WINDOWS\winpy.dll
    O2 - BHO: Class - {796F15CD-76E9-97B3-C7E0-1A180FA24EB5} - C:\WINDOWS\system32\syslf32.dll
    O2 - BHO: Class - {7F1DF9FD-5957-0313-B9F9-EABDB4F680EE} - C:\WINDOWS\javaaq32.dll
    O2 - BHO: Class - {7FD24125-F50C-543E-3A6B-B6F8482569C0} - C:\WINDOWS\system32\sysgu32.dll
    O2 - BHO: Class - {831710E3-7E06-570C-3083-83DF47D1F1A7} - C:\WINDOWS\sysjd32.dll
    O2 - BHO: Class - {9FBB32D5-4EA9-738E-F27A-3ADFC70C4AC5} - C:\WINDOWS\apifk.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Class - {AFF3D1F8-0AD5-6C75-3D11-0E560B1EC0AC} - C:\WINDOWS\system32
    tgc.dll
    O2 - BHO: Class - {B906F15F-9BF7-2CE7-69FC-75DA40213C22} - C:\WINDOWS\system32\crim.dll
    O2 - BHO: Class - {B9E19DA8-10A7-4E21-2FBB-FDC66E0CC0B9} - C:\WINDOWS\system32\addft.dll
    O2 - BHO: Class - {BB1EC389-E5DC-1C34-56B0-D545A0146C72} - C:\WINDOWS\system32\mfctz.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O2 - BHO: Class - {EE2CFF4B-5589-F8D0-0431-4F6FBD450597} - C:\WINDOWS\system32\crcs32.dll
    O2 - BHO: Class - {F8257207-A8BB-5489-A9AB-A402E1544149} - C:\WINDOWS\system32
    etlf32.dll
    O2 - BHO: Class - {FCA478C5-66CE-9CAB-6011-3194DCF234A8} - C:\WINDOWS\system32\apidb.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [d3sw.exe] C:\WINDOWS\d3sw.exe
    O4 - HKLM\..\RunOnce: [addmo.exe] C:\WINDOWS\system32\addmo.exe
    O4 - HKLM\..\RunOnce: [netmv.exe] C:\WINDOWS
    etmv.exe
    O4 - HKLM\..\RunOnce: [sysou.exe] C:\WINDOWS\sysou.exe
    O4 - HKLM\..\RunOnce: [d3ky32.exe] C:\WINDOWS\d3ky32.exe
    O4 - HKLM\..\RunOnce: [d3nn.exe] C:\WINDOWS\d3nn.exe
    O4 - HKLM\..\RunOnce: [apiqm.exe] C:\WINDOWS\apiqm.exe
    O4 - HKLM\..\RunOnce: [msky.exe] C:\WINDOWS\system32\msky.exe
    O4 - HKLM\..\RunOnce: [winsj32.exe] C:\WINDOWS\system32\winsj32.exe
    O4 - HKLM\..\RunOnce: [javavu32.exe] C:\WINDOWS\javavu32.exe
    O4 - HKLM\..\RunOnce: [mfcpl32.exe] C:\WINDOWS\system32\mfcpl32.exe
    O4 - HKLM\..\RunOnce: [sdkny32.exe] C:\WINDOWS\sdkny32.exe
    O4 - HKLM\..\RunOnce: [atlbb32.exe] C:\WINDOWS\atlbb32.exe
    O4 - HKLM\..\RunOnce: [mfcpb32.exe] C:\WINDOWS\mfcpb32.exe
    O4 - HKLM\..\RunOnce: [crkn.exe] C:\WINDOWS\system32\crkn.exe
    O4 - HKLM\..\RunOnce: [d3tb32.exe] C:\WINDOWS\system32\d3tb32.exe
    O4 - HKLM\..\RunOnce: [netso.exe] C:\WINDOWS\system32
    etso.exe
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra 'Tools' menuitem: Create Mobile Favorite… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101738307088
    O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\addmo.exe" /s (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
    avapsvc.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe






  • John,

    De bedoeling is dat je deze fix vlugger uitvoert.
    De bestanden kunnen van naam veranderen. Sla deze instructies op in een kladblokbestand, en plaatst dit bestand op je bureaublad zodat je het makkelijk kan terugvinden. Verbreek de internetverbinding.
    Ik zou ook heel graag wat meer info van je willen (zie ook mijn vraag in mijn vorige post in deze thread)
    Ik wil weten wat er lukt, wat niet en wat eventueel de problemen zijn.
    Vind je bepaalde sleutels niet meer terug?

    1.Open een klablokbestand.
    Kopieer onderstaande code in dit kladblokbestand.
    Ga naar Bestand - Opslaan als.
    Bij "Opslaan in" kies je: Bureaublad
    Bij "Bestandsnaam" zet je: fix.reg
    Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
    Klik op de knop Opslaan.
    [code:1:f7eaa1dedc]REGEDIT4

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    [/code:1:f7eaa1dedc]
    Gebruik het regje nog niet.

    2. Download dit regfiletje: HSfix.zip.
    Unzip het en plaats het op je bureaublad, zodat je dit later makkelijk kan terug vinden wanneer je het nodig hebt.

    3. Download CWShredder.
    Plaatst het bestand ergens waar je het makkelijk kan terug vinden, maar gebruik het nu nog niet.

    4. Download About:buster. Unzip het naar c:\aboutbuster en controleer of er updates beschikbaar zijn. Installeer deze.
    Gebruik het programma nog niet.

    5. Zorg dat alle verborgen bestanden weergegeven worden.

    6. Start de computer in veilige modus.

    7. Sluit alle vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:f7eaa1dedc]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vljdx.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vljdx.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vljdx.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vljdx.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vljdx.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vljdx.dll/sp.html#12047
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vljdx.dll/sp.html#12047

    R3 - Default URLSearchHook is missing

    O2 - BHO: Class - {031211BF-70AC-72ED-883D-C47AC7D80AB0} - C:\WINDOWS\addbj.dll
    O2 - BHO: Class - {088042C1-CF32-5709-F987-88BB55DF78A1} - C:\WINDOWS\system32\creb32.dll
    O2 - BHO: Class - {0CAF53F6-229D-6F9B-9853-B07DBF710E46} - C:\WINDOWS\system32\apihu.dll
    O2 - BHO: Class - {544E4536-F6CF-3AEA-758C-3229D8263B6D} - C:\WINDOWS\winpy.dll
    O2 - BHO: Class - {796F15CD-76E9-97B3-C7E0-1A180FA24EB5} - C:\WINDOWS\system32\syslf32.dll
    O2 - BHO: Class - {7F1DF9FD-5957-0313-B9F9-EABDB4F680EE} - C:\WINDOWS\javaaq32.dll
    O2 - BHO: Class - {7FD24125-F50C-543E-3A6B-B6F8482569C0} - C:\WINDOWS\system32\sysgu32.dll
    O2 - BHO: Class - {831710E3-7E06-570C-3083-83DF47D1F1A7} - C:\WINDOWS\sysjd32.dll
    O2 - BHO: Class - {9FBB32D5-4EA9-738E-F27A-3ADFC70C4AC5} - C:\WINDOWS\apifk.dll
    O2 - BHO: Class - {AFF3D1F8-0AD5-6C75-3D11-0E560B1EC0AC} - C:\WINDOWS\system32
    tgc.dll
    O2 - BHO: Class - {B906F15F-9BF7-2CE7-69FC-75DA40213C22} - C:\WINDOWS\system32\crim.dll
    O2 - BHO: Class - {B9E19DA8-10A7-4E21-2FBB-FDC66E0CC0B9} - C:\WINDOWS\system32\addft.dll
    O2 - BHO: Class - {BB1EC389-E5DC-1C34-56B0-D545A0146C72} - C:\WINDOWS\system32\mfctz.dll
    O2 - BHO: Class - {EE2CFF4B-5589-F8D0-0431-4F6FBD450597} - C:\WINDOWS\system32\crcs32.dll
    O2 - BHO: Class - {F8257207-A8BB-5489-A9AB-A402E1544149} - C:\WINDOWS\system32
    etlf32.dll
    O2 - BHO: Class - {FCA478C5-66CE-9CAB-6011-3194DCF234A8} - C:\WINDOWS\system32\apidb.dll

    O4 - HKLM\..\Run: [d3sw.exe] C:\WINDOWS\d3sw.exe
    O4 - HKLM\..\RunOnce: [addmo.exe] C:\WINDOWS\system32\addmo.exe
    O4 - HKLM\..\RunOnce: [netmv.exe] C:\WINDOWS
    etmv.exe
    O4 - HKLM\..\RunOnce: [sysou.exe] C:\WINDOWS\sysou.exe
    O4 - HKLM\..\RunOnce: [d3ky32.exe] C:\WINDOWS\d3ky32.exe
    O4 - HKLM\..\RunOnce: [d3nn.exe] C:\WINDOWS\d3nn.exe
    O4 - HKLM\..\RunOnce: [apiqm.exe] C:\WINDOWS\apiqm.exe
    O4 - HKLM\..\RunOnce: [msky.exe] C:\WINDOWS\system32\msky.exe
    O4 - HKLM\..\RunOnce: [winsj32.exe] C:\WINDOWS\system32\winsj32.exe
    O4 - HKLM\..\RunOnce: [javavu32.exe] C:\WINDOWS\javavu32.exe
    O4 - HKLM\..\RunOnce: [mfcpl32.exe] C:\WINDOWS\system32\mfcpl32.exe
    O4 - HKLM\..\RunOnce: [sdkny32.exe] C:\WINDOWS\sdkny32.exe
    O4 - HKLM\..\RunOnce: [atlbb32.exe] C:\WINDOWS\atlbb32.exe
    O4 - HKLM\..\RunOnce: [mfcpb32.exe] C:\WINDOWS\mfcpb32.exe
    O4 - HKLM\..\RunOnce: [crkn.exe] C:\WINDOWS\system32\crkn.exe
    O4 - HKLM\..\RunOnce: [d3tb32.exe] C:\WINDOWS\system32\d3tb32.exe
    O4 - HKLM\..\RunOnce: [netso.exe] C:\WINDOWS\system32
    etso.exe

    O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\addmo.exe" /s (file missing)
    [/b:f7eaa1dedc]

    8. Dubbelklik op HSfix.reg om de wijzigingen aan het register toe te voegen.

    9. Verwijder de volgende bestanden:
    C:\WINDOWS\vljdx.dll
    C:\WINDOWS\d3sw.exe
    C:\WINDOWS\system32\addmo.exe
    C:\WINDOWS
    etmv.exe
    C:\WINDOWS\sysou.exe
    C:\WINDOWS\d3ky32.exe
    C:\WINDOWS\d3nn.exe
    C:\WINDOWS\apiqm.exe
    C:\WINDOWS\system32\msky.exe
    C:\WINDOWS\system32\winsj32.exe
    C:\WINDOWS\javavu32.exe
    C:\WINDOWS\system32\mfcpl32.exe
    C:\WINDOWS\sdkny32.exe
    C:\WINDOWS\atlbb32.exe
    C:\WINDOWS\mfcpb32.exe
    C:\WINDOWS\system32\crkn.exe
    C:\WINDOWS\system32\d3tb32.exe
    C:\WINDOWS\system32
    etso.exe
    C:\WINDOWS\system32\addmo.exe

    10.Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen.

    11. Maak je Temp-map leeg: Start – Uitvoeren tik in: %TEMP%. Selecteer alle bestanden en verwijder ze.

    12. Ledig de map met Tijdelijke internetbestanden: Ga naar Configuratiescherm – Internetopties – tabblad Algemeen – klik bij Tijdelijke internetbestanden op Bestanden Verwijderen.

    13. Herstel je webinstellingen: ga naar Configuratiescherm – Internetopties – tabblad Programma’s. Klik op de knop Webinstellingen herstellen.

    14. Start CWShredder en klik op de fix-knop.

    15. Start About:buster. Wanneer het programma vraagt om een tweede keer te scannen doe je dit.

    16. Reboot de computer nu in normale modus. Run HijackThis opnieuw en post een nieuwe log.
    Geef me ook de gevraagde feedback.





  • Marc,

    Bewuste PC staat bij mijn dochter/schoonzoon,
    ik heb de machine dus niet "onder handen" …..

    Toen ik deze avond het resultaat zag van mijn laatste ingrijpen,
    heb ik NAV even uitgezet en ANTIVIR ged/l,
    een laten lopen,
    toen ik er wegging zaten er reeds enkel Trojans in quarantaine ….


    Op een paar na waren alle sleutels te vinden, zal schriftelijke nota nemen.

    Map TEMP is volledig leeg

    CWShredder meldt dat er niets te vinden is

    About:buster geupdated naar 26 vind niets, in twee scanbeurten.

    Hopelijk heb je hier iets aan


    Groeten
    John
  • Het gevaar met deze infectie is dat de bestanden van naam kunnen veranderen. Dit kan gebeuren wanneer je scant met anti-spywaretools of anti-virusscanners.

    Door het wijzigen van de bestandsnamen ga je hoogstwaarschijnlijk niet meer dezelfde sleutels vinden die ik aangeef om te fixen met Hijackthis.

    Best dat je een Hijackthislog maakt en wacht op mijn instructies.
  • Als het een beetje meezit,
    plaats ik morgen rond 16.30 à 17.00 uur een log-file


    John
  • Mooi.
    Probeer te wachten tot iemand je instructies geeft. Ik probeer morgen rond die tijd ook even te komen kijken hier.
  • Hier dan een recente log


    John

    ———————————————–

    Logfile of HijackThis v1.99.1
    Scan saved at 17:00:53, on 24/05/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AVPersonal\AVGUARD.EXE
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton SystemWorks\Norton Antivirus
    avapsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\WINDOWS\system32\winiq.exe
    C:\Documents and Settings\Rondall\Bureaublad\ABOUT_BLANK\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.be/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.telenet.be:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://pac.telenet.be:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O2 - BHO: Class - {FCA478C5-66CE-9CAB-6011-3194DCF234A8} - C:\WINDOWS\system32\apidb.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [d3sw.exe] C:\WINDOWS\d3sw.exe
    O4 - HKLM\..\Run: [winrk.exe] C:\WINDOWS\system32\winrk.exe
    O4 - HKLM\..\Run: [winiq.exe] C:\WINDOWS\system32\winiq.exe
    O4 - HKLM\..\RunOnce: [sysgb.exe] C:\WINDOWS\system32\sysgb.exe
    O4 - HKLM\..\RunOnce: [javasv32.exe] C:\WINDOWS\javasv32.exe
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra 'Tools' menuitem: Create Mobile Favorite… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101738307088
    O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\addmo.exe" /s (file missing)
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
    avapsvc.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

  • Sla de instructies op in een kladblokbestand en plaats dit op het bureaublad.
    Download alle benodigheden en verbreek de connectie met het internet.
    Volg exact alle stappen die ik opgeef.

    1. Open een klablokbestand.
    Kopieer onderstaande code in dit kladblokbestand.
    Ga naar Bestand - Opslaan als.
    Bij "Opslaan in" kies je: Bureaublad
    Bij "Bestandsnaam" zet je: fix.reg
    Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
    Klik op de knop Opslaan.
    [code:1:803cd29340]
    REGEDIT4

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce][/code:1:803cd29340]
    Gebruik de regfile nog niet.

    2. Download dit regfiletje: HSfix.zip.
    Unzip het en plaats het op je bureaublad, zodat je dit later makkelijk kan terug vinden wanneer je het nodig hebt.

    3. Download CWShredder.
    Plaatst het bestand ergens waar je het makkelijk kan terug vinden, maar gebruik het nu nog niet.

    4. Download About:buster. Unzip het naar c:\aboutbuster en controleer of er updates beschikbaar zijn. Installeer deze.
    Gebruik het programma nog niet.

    5. Zorg dat alle verborgen bestanden weergegeven worden.

    6. Start de computer in veilige modus.

    7. Sluit alle vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:803cd29340]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ugynj.dll/sp.html#37049

    R3 - Default URLSearchHook is missing

    O2 - BHO: Class - {FCA478C5-66CE-9CAB-6011-3194DCF234A8} - C:\WINDOWS\system32\apidb.dll

    O4 - HKLM\..\Run: [d3sw.exe] C:\WINDOWS\d3sw.exe
    O4 - HKLM\..\Run: [winrk.exe] C:\WINDOWS\system32\winrk.exe
    O4 - HKLM\..\Run: [winiq.exe] C:\WINDOWS\system32\winiq.exe
    O4 - HKLM\..\RunOnce: [sysgb.exe] C:\WINDOWS\system32\sysgb.exe
    O4 - HKLM\..\RunOnce: [javasv32.exe] C:\WINDOWS\javasv32.exe

    O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\addmo.exe" /s (file missing)
    [/b:803cd29340]

    8. Dubbelklik op HSfix.reg om de wijzigingen aan het register toe te voegen.

    9. Verwijder de volgende bestanden:
    C:\WINDOWS\d3sw.exe
    C:\WINDOWS\system32\winrk.exe
    C:\WINDOWS\system32\winiq.exe
    C:\WINDOWS\system32\sysgb.exe
    C:\WINDOWS\javasv32.exe
    C:\WINDOWS\system32\addmo.exe
    C:\WINDOWS\system32\apidb.dll
    C:\WINDOWS\ugynj.dll

    10.Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen.

    11. Maak je Temp-map leeg: Start – Uitvoeren tik in: %TEMP%. Selecteer alle bestanden en verwijder ze.

    12. Ledig de map met Tijdelijke internetbestanden: Ga naar Configuratiescherm – Internetopties – tabblad Algemeen – klik bij Tijdelijke internetbestanden op Bestanden Verwijderen.

    13. Herstel je webinstellingen: ga naar Configuratiescherm – Internetopties – tabblad Programma’s. Klik op de knop Webinstellingen herstellen.

    14. Start CWShredder en klik op de fix-knop.

    15. Start About:buster. Wanneer het programma vraagt om een tweede keer te scannen doe je dit.

    16. Reboot de computer nu in normale modus. Run HijackThis opnieuw en post een nieuwe log.

    Meldt me wat er niet lukt.
  • Marc,

    ——————

    1/ sleutels die niet gevonden werden:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ugynj.dll/sp.html#37049

    —————–

    2/ ook konden volgende files niet gevonden worden

    C:\WINDOWS\d3sw.exe
    C:\WINDOWS\system32\winrk.exe
    C:\WINDOWS\system32\sysgb.exe
    C:\WINDOWS\javasv32.exe
    C:\WINDOWS\system32\addmo.exe
    C:\WINDOWS\system32\apidb.dll
    C:\WINDOWS\ugynj.dll

    uit dat lijstje werd dus enkel
    C:\WINDOWS\system32\winiq.exe
    gevonden en verwijderd.

    —————-

    3/ Tijdens de eerste scan vond AB dit, zie bijgevoegde quote uit de logfile

    Removed! : C:\WINDOWS\jptxhd.dat
    Removed! : C:\WINDOWS\itnuu.dat
    Removed! : C:\WINDOWS\system32\vbosg.dat

    een tweede test vond niets meer.

    —————–

    4/ Hier dan de meest recente HijackThis log-file


    Logfile of HijackThis v1.99.1
    Scan saved at 17:59:16, on 24/05/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AVPersonal\AVGUARD.EXE
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton SystemWorks\Norton Antivirus
    avapsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    C:\Documents and Settings\Rondall\Bureaublad\ABOUT_BLANK\HijackThis.exe
    C:\WINDOWS\system32\wuauclt.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.be/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.telenet.be:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://pac.telenet.be:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra 'Tools' menuitem: Create Mobile Favorite… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101738307088
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
    avapsvc.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

  • Ziet er al beter uit John.

    deze fixen:
    [b:5bb4b6d4b6]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ugynj.dll/sp.html#37049

    R3 - Default URLSearchHook is missing [/b:5bb4b6d4b6]


    Herstart de computer en maak een nieuwe log. Post deze.
  • Marc,

    HijackThis laten scannen in Veilige Modus:

    Vaststelling:

    Er zijn GEEN sleutels te zien in Current User ????
    Ook
    R3 - Default URLSearchHook is missing
    was NIET zichtbaar
    Heb dus de voorgestelde wijzigingen NIET kunnen uitvoeren.

    Kan ik ze eventueel via REGEDIT verwijderen/aanpassen, zoja - hoe ?

    Hieronder post ik toch even een recent logbestand:

    MVG
    John

    —————————————————–


    Logfile of HijackThis v1.99.1
    Scan saved at 20:48:51, on 24/05/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AVPersonal\AVGUARD.EXE
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton SystemWorks\Norton Antivirus
    avapsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\WINDOWS\System32\rundll32.exe
    C:\Documents and Settings\Rondall\Bureaublad\ABOUT_BLANK\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ugynj.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.be/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.telenet.be:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://pac.telenet.be:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra 'Tools' menuitem: Create Mobile Favorite… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101738307088
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
    avapsvc.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

  • probeer deze sleutels eens in normale modus te fixen, want dan zijn ze blijkbaar wel zichtbaar

    vr.gr.smeenk
  • Ik gaf de laatste keer ook niet aan dat je dit in veilige modus moest doen. :wink:
    Gewoon fixen, de computer herstarten en een nieuwe log maken. Post de log.
  • Hello,

    Hier bij een recente log
    Na een scan in "gewone" modus dus :-)


    mvg
    John

    ———————————————

    Logfile of HijackThis v1.99.1
    Scan saved at 22:08:25, on 24/05/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AVPersonal\AVGUARD.EXE
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton SystemWorks\Norton Antivirus
    avapsvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Rondall\Bureaublad\ABOUT_BLANK\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.be/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.telenet.be:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://pac.telenet.be:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra 'Tools' menuitem: Create Mobile Favorite… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101738307088
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
    avapsvc.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

  • Mooi zo john, nu kunnen we verder gaan.

    Doe deze online-virusscan.

    Deze hijacker kan een aantal bestanden op je computer verwijderd hebben. Controleer of volgende bestanden nog aanwezig zijn:
    - Control.exe: Ga naar http://www.spywareinfo.com/~merijn/winfiles.html#control en download indien nodig de control.exe die bij je besturingssysteem hoort. Control.exe moet zich in de map c:\windows\system32 bevinden.
    - Hosts (zonder extensie): Hosts bevindt zich in \system32\drivers\etc\. Indien niet aanwezig, download je the Hoster: http://members.aol.com/toadbee/hoster.zip . Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.
    - SDHelper.dll: Als je Spybot Search & Destroy gebruikt kan deze hijacker ook het bestand SDHelper.dll verwijderen. Download SDHelper.dll: http://www.spywareinfo.com/~merijn/winfiles.html#sdhelper. Plaats de file in de installatiemap van Spybot Search & Destroy. Meestal is dit C:\Program Files\Spybot - Search & Destroy.
    - Shell.dll: Controleer even via de verkenner of shell.dll in de system32-map staat. Indien het bestand ontbreekt, ga je naar System32\dllcache. Zoek Shell.dll, rechtsklik er op en kies voor kopiëren. Plaats het kopie in de system32-map.

    Als je dit alles gedaan hebt maak je de prullenbak leeg.

    Zijn er nog problemen?
  • Marc,

    Enkel die HOST (zonder toevoeging) was verdwenen.
    Is ondertussen rechtgezet.
    Toch even vermelden dat de door jou opgegeven link niet up-to-date is.
    ik heb hem hier gevonden
    http://www.funkytoad.com/download/hoster.zip

    Het systeem lijkt nu terug OK.

    Hartelijke dank voor je deskundige hulp.

    Groeten
    John

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.