Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

HijackThis Log

None
18 antwoorden
  • Wil iemand aub naar deze log file kijken.
    De desktop is blauw en die kan ik niet meer veranderen. Roep ik de eigenschappen op, dan zijn de tabbladen weg waarmee ik de achtergrond zou kunnen wijzigen (geen mogelijkheid tot een wallpaper, geen andere kleur).
    De startpagina is (http:///www.oneclicksearches.com) en die is niet te veranderen. Ik kan vanuit MSN Messenger niet meer erchtstreeks bij hotmail komen, dan word ik doorgestuurd naar oneclicksearches.com. Mail.yahoo.com is helemaal niet meer te bereiken. Het is een grote puinhoop.



    Logfile of HijackThis v1.99.1
    Scan saved at 0:05:55, on 13-7-2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Keymaestro\Multimedia Keyboard
    hksrv.exe
    D:\Antivir\AVGUARD.EXE
    D:\Antivir\AVWUPSRV.EXE
    D:\Cerberus ftp server\Cerberus.exe
    d:\Diskeeper Lite\DKService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\shnlog.exe
    C:\WINDOWS\popuper.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
    D:\Program Files\Messenger Plus! 3\MsgPlus.exe
    C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    D:\QuickTime\qttask.exe
    C:\WINDOWS\system32\intmonp.exe
    D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    D:\anydvd\anydvd.exe
    C:\Program Files\Overnet\overnet.exe
    D:\Antivir\AVGNT.EXE
    C:\WINDOWS\system32\ctfmon.exe
    D:\Spamihilator\spamihilator.exe
    D:\Weather Watcher\ww.exe
    C:\WINDOWS\NCLAUNCH.EXe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\system32\intmon.exe
    D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    D:\No-IP\DUC20.exe
    D:\voipbuster\VoipBuster.exe
    C:\Program Files\Keymaestro\Multimedia Keyboard\TrayMon.exe
    C:\Program Files\Keymaestro\Onscreen Display\OSD.exe
    C:\WINDOWS\system32\sessmgr.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\helpctr.exe
    C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
    C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\RDSHOST.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe
    D:\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-utrecht.nl
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
    O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp8BC5.tmp
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
    O4 - HKLM\..\Run: [scvhost] svzhost.exe
    O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Zone Labs Client] D:\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [HP Software Update] "D:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [AnyDVD] D:\anydvd\anydvd.exe
    O4 - HKLM\..\Run: [Overnet] C:\Program Files\Overnet\overnet.exe -t
    O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe
    O4 - HKLM\..\RunServices: [scvhost] svzhost.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [Spamihilator] "D:\Spamihilator\spamihilator.exe"
    O4 - HKCU\..\Run: [WeatherWatcher] D:\Weather Watcher\ww.exe
    O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Startup: No-IP DUC.lnk = D:\No-IP\DUC20.exe
    O4 - Startup: VoipBuster.lnk = D:\voipbuster\VoipBuster.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Ontvang alle bestanden door Net Transport - D:\NetTransport 2\NTAddList.html
    O8 - Extra context menu item: Ontvangst door Net Transport - D:\NetTransport 2\NTAddLink.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
    O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
    pjpi150_02.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
    pjpi150_02.dll
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c9.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by3fd.bay3.hotmail.msn.com
    esources/MsnPUpld.cab
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Antivir\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Antivir\AVWUPSRV.EXE
    O23 - Service: Cerberus FTP Server - Grant Averett - D:\Cerberus ftp server\Cerberus.exe
    O23 - Service: Diskeeper - Executive Software International, Inc. - d:\Diskeeper Lite\DKService.exe
    O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Keymaestro\Multimedia Keyboard
    hksrv.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe




  • Dat zijn 2 vervelende infecties bij elkaar.

    Download en installeer CCleaner
    Nog niet gebruiken.

    Je kan deze instructies het best uitprinten of opslaan in een kladblokbestand, want straks zal je in veilige modus
    moeten gaan werken, en dan is deze pagina niet beschikbaar (geen internet)

    Download smitRem.zip.
    Pak het uit op je bureaublad, maar gebruik het nog niet.

    Download, installeer en update free trial versie van Ewido Security Suite

      [*:cd730a62bf]Tijdens de installatie, onder "Additional Options", haal je de vinkjes weg bij "Install background guard" en "Install scan via context menu". [*:cd730a62bf]Als je Ewido voor de eerste keer runt, zal je een foutmelding krijgen "Database could not be found!". Klik dan op [b:cd730a62bf]OK[/b:cd730a62bf]. Dit is normaal. [*:cd730a62bf]In het hoofdscherm van Ewido, klik je op [b:cd730a62bf]update[/b:cd730a62bf] in het linker menu, en vervolgens op de [b:cd730a62bf]Start update[/b:cd730a62bf] knop. [*:cd730a62bf]Als de updates gedaan zijn, zal er op de status bar beneden "Update successful" staan. [*:cd730a62bf]Sluit Ewido. Laat het nog [b:cd730a62bf]niet[/b:cd730a62bf] scannen [/list:o:cd730a62bf] Als je Adaware SE nog niet geïnstalleerd hebt, download, installeer en update het dan volgens de richtlijnen die je kan vinden op: http://users.pandora.be/marcvn/spyware/1414188.htm Start je computer op in VEILIGE MODUS Start Hijackthis op en kies voor 'Do a system scan only' Selecteer alleen de items die hieronder zijn genoemd: [b:cd730a62bf]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp8BC5.tmp O4 - HKLM\..\Run: [scvhost] svzhost.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe O4 - HKLM\..\RunServices: [scvhost] svzhost.exe O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c9.cab [/b:cd730a62bf]Sluit alle vensters behalve Hijackthis Klik op 'Fix checked' om de items te verwijderen Zorg dat de besturingssysteembestanden en verborgen bestanden zichtbaar zijn De volgende directories/bestanden verwijderen:[b:cd730a62bf] C:\Windows\System32\svzhost.exe [/b:cd730a62bf]Let op dat het bestand begint met svz[b:cd730a62bf] C:\WINDOWS\system32\msmsgs.exe [/b:cd730a62bf] [b:cd730a62bf]Doe nu nog de volgende acties:[/b:cd730a62bf] Start CCleaner Ccleaner biedt je de mogelijkheid om in te stellen wat er opgeschoond moet worden. Kies in ieder geval voor de volgende items: Internet Explorer: - Tijdelijke Internet bestanden Systeem: - Prullenbak leegmaken - Tijdelijke bestanden klik nu in Ccleaner op opschonen (rechts onderaan). Open de [b:cd730a62bf]smitrem[/b:cd730a62bf]-map op je bureaublad, en dubbelklik op [b:cd730a62bf]RunThis.bat[/b:cd730a62bf]. Volg de aanwijzingen op het scherm. Je bureaublad en ikoontjes zullen even verdwijnen en daarna terug verschijnen, dit is normaal. Wacht tot het tooltje zijn werk heeft gedaan en Disk Cleanup afgelopen is. Dit kan enige tijd duren, dus wees geduldig. Voer een volledige scan uit met Adaware en verwijder alles wat gevonden wordt. Open Ewido Security Suite[list:cd730a62bf] [*:cd730a62bf]klik op [b:cd730a62bf]Scanner[/b:cd730a62bf] [*:cd730a62bf]Zorg dat er een vinkje staat bij volgende regels:[list:cd730a62bf] [*:cd730a62bf]Binder [*:cd730a62bf]Crypter [*:cd730a62bf]Archieven [/list:u:cd730a62bf] [*:cd730a62bf]Klik op [b:cd730a62bf]Start Scan[/b:cd730a62bf] [*:cd730a62bf]Laat het programma je pc scannen [/list:u:cd730a62bf]Tijdens de scan zal je gevraagd worden of je gevonden bestanden wilt verwijderen. Klik dan op [b:cd730a62bf]OK[/b:cd730a62bf] Als de scan beëindigd is, zal je een knop zien [b:cd730a62bf]Save report[/b:cd730a62bf][list:cd730a62bf] [*:cd730a62bf]Klik op [b:cd730a62bf]Save Report[/b:cd730a62bf] [*:cd730a62bf]Sla het rapport op op je bureaublad [*:cd730a62bf]Sluit Ewido af [/list:u:cd730a62bf] Ga dan naar Start -> [b:cd730a62bf]configuratiescherm[/b:cd730a62bf] -> vormgeving en thema's -> bureaublad ->bureaublad aanpassen -> Website -> haal het vinkje weg bij "[b:cd730a62bf]Security Info[/b:cd730a62bf]" als het er nog staat. Herstart nu je computer in normale modus. Doe een online scan via Panda's online virus scan Herstart je pc nogmaals en plaats dan een nieuw logje van Hijackthis, samen met het rapport van Ewido. Post ook de inhoud van het logje van het smitrem-tooltje, dit staat in C:\smitfiles.txt Vertel dan ook even of het probleem nog bestaat. Sjaak
  • Nu dus deze log:


    Logfile of HijackThis v1.99.1
    Scan saved at 20:44:05, on 14-7-2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Keymaestro\Multimedia Keyboard
    hksrv.exe
    D:\Antivir\AVGUARD.EXE
    D:\Antivir\AVWUPSRV.EXE
    D:\Cerberus ftp server\Cerberus.exe
    d:\Diskeeper Lite\DKService.exe
    D:\ewido security\security suite\ewidoctrl.exe
    C:\WINDOWS\System32\svchost.exe
    d:\RealVNC\VNC4\WinVNC4.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
    D:\Program Files\Messenger Plus! 3\MsgPlus.exe
    C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    D:\QuickTime\qttask.exe
    D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    D:\anydvd\anydvd.exe
    C:\Program Files\Overnet\overnet.exe
    D:\Antivir\AVGNT.EXE
    C:\WINDOWS\system32\ctfmon.exe
    D:\Spamihilator\spamihilator.exe
    D:\Weather Watcher\ww.exe
    C:\WINDOWS\NCLAUNCH.EXe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Keymaestro\Multimedia Keyboard\TrayMon.exe
    C:\Program Files\Keymaestro\Onscreen Display\OSD.exe
    D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    D:\No-IP\DUC20.exe
    D:\voipbuster\VoipBuster.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wscntfy.exe
    D:\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-utrecht.nl
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
    O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Zone Labs Client] D:\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [HP Software Update] "D:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [AnyDVD] D:\anydvd\anydvd.exe
    O4 - HKLM\..\Run: [Overnet] C:\Program Files\Overnet\overnet.exe -t
    O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [WinampAgent] F:\Winamp\winampa.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [iTunesHelper] D:\quicktime\iTunesHelper.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [Spamihilator] "D:\Spamihilator\spamihilator.exe"
    O4 - HKCU\..\Run: [WeatherWatcher] D:\Weather Watcher\ww.exe
    O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Startup: No-IP DUC.lnk = D:\No-IP\DUC20.exe
    O4 - Startup: VoipBuster.lnk = D:\voipbuster\VoipBuster.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Ontvang alle bestanden door Net Transport - D:\NetTransport 2\NTAddList.html
    O8 - Extra context menu item: Ontvangst door Net Transport - D:\NetTransport 2\NTAddLink.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
    O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
    pjpi150_02.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
    pjpi150_02.dll
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by3fd.bay3.hotmail.msn.com
    esources/MsnPUpld.cab
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Antivir\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Antivir\AVWUPSRV.EXE
    O23 - Service: Cerberus FTP Server - Grant Averett - D:\Cerberus ftp server\Cerberus.exe
    O23 - Service: Diskeeper - Executive Software International, Inc. - d:\Diskeeper Lite\DKService.exe
    O23 - Service: ewido security suite control - ewido networks - D:\ewido security\security suite\ewidoctrl.exe
    O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Keymaestro\Multimedia Keyboard
    hksrv.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
    O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - d:\RealVNC\VNC4\WinVNC4.exe" -service (file missing)




  • Heb je ook nog een log van de C:\smitfiles.txt tool en Ewido?

    Start Hijackthis op en kies voor 'Do a system scan only'
    Selecteer alleen de items die hieronder zijn genoemd:
    [b:713cbb9258]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
    R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
    [/b:713cbb9258]Klik op 'Fix checked' om de items te verwijderen

    Vermeld hoe het scannen is verlopen en of je de beeldschermachtergrond nu wel kan wijzigen.

    Sjaak
  • Achtergrond kan ik nog steeds niet wijzigen.
  • Post de inhoud van C:\smitfiles.txt tesamen met een nieuw log van hijackthis.
  • ———————————————————
    ewido security suite - Scan rapport
    ———————————————————

    + Gemaakt op: 23:50:40, 13-7-2005
    + Rapport samenvatting: 826C4C8A

    + Scan result:

    HKLM\SOFTWARE\PerfectNav -> Spyware.KeenValue : Schoongemaakt met een backup
    HKLM\SOFTWARE\PerfectNav\BHO -> Spyware.KeenValue : Schoongemaakt met een backup
    HKLM\SOFTWARE\PerfectNav\BHO\HomePage -> Spyware.KeenValue : Schoongemaakt met een backup
    HKLM\SOFTWARE\PerfectNav\BHO\RedirectURLS -> Spyware.KeenValue : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL103.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL104.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL105.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL106.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL107.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL108.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL109.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL110.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL111.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL112.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL113.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL114.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL115.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL116.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL117.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL118.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL119.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL120.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL121.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL93.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL94.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL95.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL96.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL97.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL98.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL99.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL100.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL101.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    C:\WINDOWS\system32\P2P Networking\MARSHAL102.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
    D:\MessenPass\MsgPlus-301.exe/Sponsor.exe -> TrojanDownloader.Swizzor.bt : Schoongemaakt met een backup


    ::Einde rapport
  • Logfile na jouw stappenplan:

    Logfile of HijackThis v1.99.1
    Scan saved at 0:05:55, on 13-7-2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Keymaestro\Multimedia Keyboard
    hksrv.exe
    D:\Antivir\AVGUARD.EXE
    D:\Antivir\AVWUPSRV.EXE
    D:\Cerberus ftp server\Cerberus.exe
    d:\Diskeeper Lite\DKService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\shnlog.exe
    C:\WINDOWS\popuper.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
    D:\Program Files\Messenger Plus! 3\MsgPlus.exe
    C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    D:\QuickTime\qttask.exe
    C:\WINDOWS\system32\intmonp.exe
    D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    D:\anydvd\anydvd.exe
    C:\Program Files\Overnet\overnet.exe
    D:\Antivir\AVGNT.EXE
    C:\WINDOWS\system32\ctfmon.exe
    D:\Spamihilator\spamihilator.exe
    D:\Weather Watcher\ww.exe
    C:\WINDOWS\NCLAUNCH.EXe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\system32\intmon.exe
    D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    D:\No-IP\DUC20.exe
    D:\voipbuster\VoipBuster.exe
    C:\Program Files\Keymaestro\Multimedia Keyboard\TrayMon.exe
    C:\Program Files\Keymaestro\Onscreen Display\OSD.exe
    C:\WINDOWS\system32\sessmgr.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\helpctr.exe
    C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
    C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\RDSHOST.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe
    D:\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-utrecht.nl
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
    O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp8BC5.tmp
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
    O4 - HKLM\..\Run: [scvhost] svzhost.exe
    O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Zone Labs Client] D:\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [HP Software Update] "D:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [AnyDVD] D:\anydvd\anydvd.exe
    O4 - HKLM\..\Run: [Overnet] C:\Program Files\Overnet\overnet.exe -t
    O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe
    O4 - HKLM\..\RunServices: [scvhost] svzhost.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [Spamihilator] "D:\Spamihilator\spamihilator.exe"
    O4 - HKCU\..\Run: [WeatherWatcher] D:\Weather Watcher\ww.exe
    O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Startup: No-IP DUC.lnk = D:\No-IP\DUC20.exe
    O4 - Startup: VoipBuster.lnk = D:\voipbuster\VoipBuster.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Ontvang alle bestanden door Net Transport - D:\NetTransport 2\NTAddList.html
    O8 - Extra context menu item: Ontvangst door Net Transport - D:\NetTransport 2\NTAddLink.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
    O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
    pjpi150_02.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
    pjpi150_02.dll
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c9.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by3fd.bay3.hotmail.msn.com
    esources/MsnPUpld.cab
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Antivir\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Antivir\AVWUPSRV.EXE
    O23 - Service: Cerberus FTP Server - Grant Averett - D:\Cerberus ftp server\Cerberus.exe
    O23 - Service: Diskeeper - Executive Software International, Inc. - d:\Diskeeper Lite\DKService.exe
    O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Keymaestro\Multimedia Keyboard
    hksrv.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe




  • C:\smitfiles.txt


    Pre-run Files Present


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ system32 ~~~



    ~~~ Windows directory ~~~



    ~~~ Drive root ~~~



    Post-run Files Present


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ system32 ~~~



    ~~~ Windows directory ~~~



    ~~~ Drive root ~~~



    ~~~ Wininet.dll ~~~

    Not Infected!
  • In safe mode heb ik wel toegang tot alle tabbladen en in normal mode maar 2 als ik de eigenschappen van de desktop oproep (rechtermuisknop op desktop - eigenschappen)
  • Het lijkt erop dat je het programma RunThis.bat 2 keer hebt uitgevoerd waardoor de informatie van de eerste keer niet meer kan worden getoond.

    De volgende bestanden hadden toch minstens in het log moeten staan:

    C:\WINDOWS\popuper.exe
    C:\WINDOWS\system32\intmonp.exe

    Heb je alle stappen van RunThis.bat doorlopen?

    Het 3e log van hijackthis is dezelfde als het 2e log. Heb je de laatste opschoonacties al uitgevoerd?
  • Zojuist gemaakt:

    Ja laatste actie uitgevoerd.

    Logfile of HijackThis v1.99.1
    Scan saved at 21:46:36, on 14-7-2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Keymaestro\Multimedia Keyboard
    hksrv.exe
    D:\Antivir\AVGUARD.EXE
    D:\Antivir\AVWUPSRV.EXE
    D:\Cerberus ftp server\Cerberus.exe
    d:\Diskeeper Lite\DKService.exe
    D:\ewido security\security suite\ewidoctrl.exe
    C:\WINDOWS\System32\svchost.exe
    d:\RealVNC\VNC4\WinVNC4.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
    D:\Program Files\Messenger Plus! 3\MsgPlus.exe
    C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    D:\QuickTime\qttask.exe
    D:\ZoneAlarm\zlclient.exe
    D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    D:\anydvd\anydvd.exe
    C:\Program Files\Overnet\overnet.exe
    D:\Antivir\AVGNT.EXE
    F:\Winamp\winampa.exe
    C:\WINDOWS\system32\ctfmon.exe
    D:\Spamihilator\spamihilator.exe
    D:\Weather Watcher\ww.exe
    C:\WINDOWS\NCLAUNCH.EXe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    D:\No-IP\DUC20.exe
    D:\voipbuster\VoipBuster.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\Program Files\Keymaestro\Multimedia Keyboard\TrayMon.exe
    C:\Program Files\Keymaestro\Onscreen Display\OSD.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Messenger\msmsgs.exe
    D:\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-utrecht.nl/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-utrecht.nl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
    O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Zone Labs Client] D:\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [HP Software Update] "D:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [AnyDVD] D:\anydvd\anydvd.exe
    O4 - HKLM\..\Run: [Overnet] C:\Program Files\Overnet\overnet.exe -t
    O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [WinampAgent] F:\Winamp\winampa.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [iTunesHelper] D:\quicktime\iTunesHelper.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [Spamihilator] "D:\Spamihilator\spamihilator.exe"
    O4 - HKCU\..\Run: [WeatherWatcher] D:\Weather Watcher\ww.exe
    O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Startup: No-IP DUC.lnk = D:\No-IP\DUC20.exe
    O4 - Startup: VoipBuster.lnk = D:\voipbuster\VoipBuster.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Ontvang alle bestanden door Net Transport - D:\NetTransport 2\NTAddList.html
    O8 - Extra context menu item: Ontvangst door Net Transport - D:\NetTransport 2\NTAddLink.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
    O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
    pjpi150_02.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
    pjpi150_02.dll
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by3fd.bay3.hotmail.msn.com
    esources/MsnPUpld.cab
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Antivir\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Antivir\AVWUPSRV.EXE
    O23 - Service: Cerberus FTP Server - Grant Averett - D:\Cerberus ftp server\Cerberus.exe
    O23 - Service: Diskeeper - Executive Software International, Inc. - d:\Diskeeper Lite\DKService.exe
    O23 - Service: ewido security suite control - ewido networks - D:\ewido security\security suite\ewidoctrl.exe
    O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Keymaestro\Multimedia Keyboard
    hksrv.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
    O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - d:\RealVNC\VNC4\WinVNC4.exe" -service (file missing)




  • In het laatste log zijn geen sporen meer aanwezig van de infectie.
    Heb je in veilige mode met dezelfde naam aangemeld als dat je nu gebruikt?

    copier de volgende code:
    [code:1:8c610363b0]
    regedit /e C:\file1.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies"

    regedit /e C:\file2.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Desktop"

    regedit /e C:\file3.txt "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop"

    copy C:\file1.txt+C:\file2.txt+C:\file3.txt C:\regfile.txt
    del C:\file1.txt
    del C:\file2.txt
    del C:\file3.txt
    notepad C:\regfile.txt
    [/code:1:8c610363b0]
    Sla dit op als [b:8c610363b0]info.bat[/b:8c610363b0] op je bureaublad.
    Opslaan als type: [b:8c610363b0]Alle bestanden[/b:8c610363b0]
    Dubbelklik nu op het bestand info.bat en post de inhoud van regfile.txt.
  • Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\comdlg32]
    "NoBackButton"=dword:00000000
    "NoFileMru"=dword:00000000

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoDriveTypeAutoRun"=dword:00000091
    "NoLowDiskSpaceChecks"=dword:00000001
    "NoActiveDesktopChanges"=dword:00000001

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "NoDispBackgroundPage"=dword:00000001
    "NoDispAppearancePage"=dword:00000001

    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]
    "DeskHtmlVersion"=dword:00000110
    "DeskHtmlMinorVersion"=dword:00000005
    "Settings"=dword:00000001
    "GeneralFlags"=dword:00000004

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Mijn huidige introductiepagina"
    "Flags"=dword:00000002
    "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\
    00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
    "CurrentState"=hex:04,00,00,40
    "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
    ff,ff,04,00,00,00
    "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
    00,00,01,00,00,00

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General]
    "BackupWallpaper"=hex(2):00,00
    "WallpaperFileTime"=hex:00,ab,10,a0,c8,e2,c4,01
    "WallpaperLocalFileTime"=hex:00,7b,99,63,d9,e2,c4,01
    "TileWallpaper"="0"
    "WallpaperStyle"="2"
    "Wallpaper"=hex(2):00,00
    "ComponentsPositioned"=dword:00000001

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Old WorkAreas]
    "NoOfOldWorkAreas"=dword:00000001
    "OldWorkAreaRects"=hex:00,00,00,00,00,00,00,00,00,04,00,00,de,02,00,00

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\SafeMode]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\SafeMode\General]
    "Wallpaper"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
    74,00,25,00,5c,00,57,00,65,00,62,00,5c,00,53,00,61,00,66,00,65,00,4d,00,6f,\
    00,64,00,65,00,2e,00,68,00,74,00,74,00,00,00
    "VisitGallery"=dword:00000000

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Scheme]
    "Edit"=""
    "Display"=""
  • Voer het script RunThis.bat nogmaals uit. Mag nu in de normale mode.
    Het gaat er nu alleen om dat de register settings worden hersteld.
    Dit wordt ook door dit script geregeld.

    Kijk of de achtergrond dan wel kan worden gewijzigd.

    Sjaak
  • Het volgende mag ook worden uitgevoerd.

    Download de volgende file:
    http://www.bleepingcomputer.com/files
    eg/smitfraud.reg
    Sla het op op je bureaublad

    Dubbelklik op smitfraud.reg en laat het bestand toevoegen aan je register!

    Deze smitfraud.reg zal ook een aantal instellingen in het register aanpassen.

    Sjaak
  • Probleem opgelost. Bedankt!
  • Kan je nog aangeven of je RunThis.bat in veilige mode op je bureaublad kon vinden?
    Had je toen RunThis.bat 2 keer had uitgevoerd?

    Scan je PC nog met Ad-aware en Spybot S&D met de laatste updates.
    Kijk hier en hier hoe dat moet.

    Sjaak

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.