Vraag & Antwoord

Beveiliging & privacy

HijackThis Log

Anoniem
None
18 antwoorden
 • Wil iemand aub naar deze log file kijken.
  De desktop is blauw en die kan ik niet meer veranderen. Roep ik de eigenschappen op, dan zijn de tabbladen weg waarmee ik de achtergrond zou kunnen wijzigen (geen mogelijkheid tot een wallpaper, geen andere kleur).
  De startpagina is (http:///www.oneclicksearches.com) en die is niet te veranderen. Ik kan vanuit MSN Messenger niet meer erchtstreeks bij hotmail komen, dan word ik doorgestuurd naar oneclicksearches.com. Mail.yahoo.com is helemaal niet meer te bereiken. Het is een grote puinhoop.  Logfile of HijackThis v1.99.1
  Scan saved at 0:05:55, on 13-7-2005
  Platform: Windows XP SP2 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\Program Files\Keymaestro\Multimedia Keyboard\nhksrv.exe
  D:\Antivir\AVGUARD.EXE
  D:\Antivir\AVWUPSRV.EXE
  D:\Cerberus ftp server\Cerberus.exe
  d:\Diskeeper Lite\DKService.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\Explorer.EXE
  C:\WINDOWS\system32\shnlog.exe
  C:\WINDOWS\popuper.exe
  C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
  D:\Program Files\Messenger Plus! 3\MsgPlus.exe
  C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  D:\QuickTime\qttask.exe
  C:\WINDOWS\system32\intmonp.exe
  D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
  C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
  D:\anydvd\anydvd.exe
  C:\Program Files\Overnet\overnet.exe
  D:\Antivir\AVGNT.EXE
  C:\WINDOWS\system32\ctfmon.exe
  D:\Spamihilator\spamihilator.exe
  D:\Weather Watcher\ww.exe
  C:\WINDOWS\NCLAUNCH.EXe
  C:\Program Files\MSN Messenger\msnmsgr.exe
  C:\WINDOWS\system32\intmon.exe
  D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
  D:\No-IP\DUC20.exe
  D:\voipbuster\VoipBuster.exe
  C:\Program Files\Keymaestro\Multimedia Keyboard\TrayMon.exe
  C:\Program Files\Keymaestro\Onscreen Display\OSD.exe
  C:\WINDOWS\system32\sessmgr.exe
  C:\Program Files\Internet Explorer\iexplore.exe
  C:\WINDOWS\system32\wscntfy.exe
  C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\helpctr.exe
  C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
  C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
  C:\Program Files\Messenger\msmsgs.exe
  C:\WINDOWS\system32\RDSHOST.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe
  D:\HijackThis\HijackThis.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-utrecht.nl
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
  R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
  F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
  O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp8BC5.tmp
  O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
  O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
  O4 - HKLM\..\Run: [scvhost] svzhost.exe
  O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
  O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe"
  O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
  O4 - HKLM\..\Run: [Zone Labs Client] D:\ZoneAlarm\zlclient.exe
  O4 - HKLM\..\Run: [HP Software Update] "D:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
  O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
  O4 - HKLM\..\Run: [AnyDVD] D:\anydvd\anydvd.exe
  O4 - HKLM\..\Run: [Overnet] C:\Program Files\Overnet\overnet.exe -t
  O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min
  O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe
  O4 - HKLM\..\RunServices: [scvhost] svzhost.exe
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKCU\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
  O4 - HKCU\..\Run: [Spamihilator] "D:\Spamihilator\spamihilator.exe"
  O4 - HKCU\..\Run: [WeatherWatcher] D:\Weather Watcher\ww.exe
  O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
  O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
  O4 - Startup: No-IP DUC.lnk = D:\No-IP\DUC20.exe
  O4 - Startup: VoipBuster.lnk = D:\voipbuster\VoipBuster.exe
  O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
  O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
  O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
  O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
  O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
  O8 - Extra context menu item: Ontvang alle bestanden door Net Transport - D:\NetTransport 2\NTAddList.html
  O8 - Extra context menu item: Ontvangst door Net Transport - D:\NetTransport 2\NTAddLink.html
  O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
  O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
  O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c9.cab
  O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
  O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by3fd.bay3.hotmail.msn.com/resources/MsnPUpld.cab
  O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Antivir\AVGUARD.EXE
  O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
  O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
  O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Antivir\AVWUPSRV.EXE
  O23 - Service: Cerberus FTP Server - Grant Averett - D:\Cerberus ftp server\Cerberus.exe
  O23 - Service: Diskeeper - Executive Software International, Inc. - d:\Diskeeper Lite\DKService.exe
  O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Keymaestro\Multimedia Keyboard\nhksrv.exe
  O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
  O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
 • Dat zijn 2 vervelende infecties bij elkaar.

  Download en installeer CCleaner
  Nog niet gebruiken.

  Je kan deze instructies het best uitprinten of opslaan in een kladblokbestand, want straks zal je in veilige modus
  moeten gaan werken, en dan is deze pagina niet beschikbaar (geen internet)

  Download smitRem.zip.
  Pak het uit op je bureaublad, maar gebruik het nog niet.

  Download, installeer en update free trial versie van Ewido Security Suite

   [*:cd730a62bf]Tijdens de installatie, onder "Additional Options", haal je de vinkjes weg bij "Install background guard" en "Install scan via context menu". [*:cd730a62bf]Als je Ewido voor de eerste keer runt, zal je een foutmelding krijgen "Database could not be found!". Klik dan op [b:cd730a62bf]OK[/b:cd730a62bf]. Dit is normaal. [*:cd730a62bf]In het hoofdscherm van Ewido, klik je op [b:cd730a62bf]update[/b:cd730a62bf] in het linker menu, en vervolgens op de [b:cd730a62bf]Start update[/b:cd730a62bf] knop. [*:cd730a62bf]Als de updates gedaan zijn, zal er op de status bar beneden "Update successful" staan. [*:cd730a62bf]Sluit Ewido. Laat het nog [b:cd730a62bf]niet[/b:cd730a62bf] scannen [/list:o:cd730a62bf]
   Als je Adaware SE nog niet geïnstalleerd hebt, download, installeer en update het dan volgens de richtlijnen die je kan vinden op: http://users.pandora.be/marcvn/spyware/1414188.htm
   Start je computer op in VEILIGE MODUS
   Start Hijackthis op en kies voor 'Do a system scan only' Selecteer alleen de items die hieronder zijn genoemd: [b:cd730a62bf]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp8BC5.tmp O4 - HKLM\..\Run: [scvhost] svzhost.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe O4 - HKLM\..\RunServices: [scvhost] svzhost.exe O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c9.cab [/b:cd730a62bf]Sluit alle vensters behalve Hijackthis Klik op 'Fix checked' om de items te verwijderen
   Zorg dat de besturingssysteembestanden en verborgen bestanden zichtbaar zijn De volgende directories/bestanden verwijderen:[b:cd730a62bf] C:\Windows\System32\svzhost.exe [/b:cd730a62bf]Let op dat het bestand begint met svz[b:cd730a62bf] C:\WINDOWS\system32\msmsgs.exe [/b:cd730a62bf] [b:cd730a62bf]Doe nu nog de volgende acties:[/b:cd730a62bf]
   Start CCleaner Ccleaner biedt je de mogelijkheid om in te stellen wat er opgeschoond moet worden. Kies in ieder geval voor de volgende items: Internet Explorer: - Tijdelijke Internet bestanden Systeem: - Prullenbak leegmaken - Tijdelijke bestanden
   klik nu in Ccleaner op opschonen (rechts onderaan).
   Open de [b:cd730a62bf]smitrem[/b:cd730a62bf]-map op je bureaublad, en dubbelklik op [b:cd730a62bf]RunThis.bat[/b:cd730a62bf]. Volg de aanwijzingen op het scherm. Je bureaublad en ikoontjes zullen even verdwijnen en daarna terug verschijnen, dit is normaal. Wacht tot het tooltje zijn werk heeft gedaan en Disk Cleanup afgelopen is. Dit kan enige tijd duren, dus wees geduldig.
   Voer een volledige scan uit met Adaware en verwijder alles wat gevonden wordt.
   Open Ewido Security Suite[list:cd730a62bf] [*:cd730a62bf]klik op [b:cd730a62bf]Scanner[/b:cd730a62bf] [*:cd730a62bf]Zorg dat er een vinkje staat bij volgende regels:[list:cd730a62bf] [*:cd730a62bf]Binder [*:cd730a62bf]Crypter [*:cd730a62bf]Archieven [/list:u:cd730a62bf] [*:cd730a62bf]Klik op [b:cd730a62bf]Start Scan[/b:cd730a62bf] [*:cd730a62bf]Laat het programma je pc scannen [/list:u:cd730a62bf]Tijdens de scan zal je gevraagd worden of je gevonden bestanden wilt verwijderen. Klik dan op [b:cd730a62bf]OK[/b:cd730a62bf] Als de scan beëindigd is, zal je een knop zien [b:cd730a62bf]Save report[/b:cd730a62bf][list:cd730a62bf] [*:cd730a62bf]Klik op [b:cd730a62bf]Save Report[/b:cd730a62bf] [*:cd730a62bf]Sla het rapport op op je bureaublad [*:cd730a62bf]Sluit Ewido af [/list:u:cd730a62bf]
   Ga dan naar Start -> [b:cd730a62bf]configuratiescherm[/b:cd730a62bf] -> vormgeving en thema's -> bureaublad ->bureaublad aanpassen -> Website -> haal het vinkje weg bij "[b:cd730a62bf]Security Info[/b:cd730a62bf]" als het er nog staat.
   Herstart nu je computer in normale modus.
   Doe een online scan via Panda's online virus scan
   Herstart je pc nogmaals en plaats dan een nieuw logje van Hijackthis, samen met het rapport van Ewido. Post ook de inhoud van het logje van het smitrem-tooltje, dit staat in C:\smitfiles.txt Vertel dan ook even of het probleem nog bestaat.
   Sjaak
 • Nu dus deze log:


  Logfile of HijackThis v1.99.1
  Scan saved at 20:44:05, on 14-7-2005
  Platform: Windows XP SP2 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\Program Files\Keymaestro\Multimedia Keyboard\nhksrv.exe
  D:\Antivir\AVGUARD.EXE
  D:\Antivir\AVWUPSRV.EXE
  D:\Cerberus ftp server\Cerberus.exe
  d:\Diskeeper Lite\DKService.exe
  D:\ewido security\security suite\ewidoctrl.exe
  C:\WINDOWS\System32\svchost.exe
  d:\RealVNC\VNC4\WinVNC4.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
  D:\Program Files\Messenger Plus! 3\MsgPlus.exe
  C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  D:\QuickTime\qttask.exe
  D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
  C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
  D:\anydvd\anydvd.exe
  C:\Program Files\Overnet\overnet.exe
  D:\Antivir\AVGNT.EXE
  C:\WINDOWS\system32\ctfmon.exe
  D:\Spamihilator\spamihilator.exe
  D:\Weather Watcher\ww.exe
  C:\WINDOWS\NCLAUNCH.EXe
  C:\Program Files\MSN Messenger\msnmsgr.exe
  C:\Program Files\Keymaestro\Multimedia Keyboard\TrayMon.exe
  C:\Program Files\Keymaestro\Onscreen Display\OSD.exe
  D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
  D:\No-IP\DUC20.exe
  D:\voipbuster\VoipBuster.exe
  C:\Program Files\Internet Explorer\iexplore.exe
  C:\WINDOWS\system32\wscntfy.exe
  D:\HijackThis\HijackThis.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-utrecht.nl
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
  R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
  O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
  O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
  O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
  O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe"
  O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [Zone Labs Client] D:\ZoneAlarm\zlclient.exe
  O4 - HKLM\..\Run: [HP Software Update] "D:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
  O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
  O4 - HKLM\..\Run: [AnyDVD] D:\anydvd\anydvd.exe
  O4 - HKLM\..\Run: [Overnet] C:\Program Files\Overnet\overnet.exe -t
  O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min
  O4 - HKLM\..\Run: [WinampAgent] F:\Winamp\winampa.exe
  O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
  O4 - HKLM\..\Run: [iTunesHelper] D:\quicktime\iTunesHelper.exe
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKCU\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
  O4 - HKCU\..\Run: [Spamihilator] "D:\Spamihilator\spamihilator.exe"
  O4 - HKCU\..\Run: [WeatherWatcher] D:\Weather Watcher\ww.exe
  O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
  O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
  O4 - Startup: No-IP DUC.lnk = D:\No-IP\DUC20.exe
  O4 - Startup: VoipBuster.lnk = D:\voipbuster\VoipBuster.exe
  O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
  O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
  O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
  O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
  O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
  O8 - Extra context menu item: Ontvang alle bestanden door Net Transport - D:\NetTransport 2\NTAddList.html
  O8 - Extra context menu item: Ontvangst door Net Transport - D:\NetTransport 2\NTAddLink.html
  O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
  O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
  O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
  O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by3fd.bay3.hotmail.msn.com/resources/MsnPUpld.cab
  O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Antivir\AVGUARD.EXE
  O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
  O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
  O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Antivir\AVWUPSRV.EXE
  O23 - Service: Cerberus FTP Server - Grant Averett - D:\Cerberus ftp server\Cerberus.exe
  O23 - Service: Diskeeper - Executive Software International, Inc. - d:\Diskeeper Lite\DKService.exe
  O23 - Service: ewido security suite control - ewido networks - D:\ewido security\security suite\ewidoctrl.exe
  O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Keymaestro\Multimedia Keyboard\nhksrv.exe
  O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
  O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
  O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - d:\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
 • Heb je ook nog een log van de C:\smitfiles.txt tool en Ewido?

  Start Hijackthis op en kies voor 'Do a system scan only'
  Selecteer alleen de items die hieronder zijn genoemd:
  [b:713cbb9258]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
  R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
  R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
  [/b:713cbb9258]Klik op 'Fix checked' om de items te verwijderen

  Vermeld hoe het scannen is verlopen en of je de beeldschermachtergrond nu wel kan wijzigen.

  Sjaak
 • Achtergrond kan ik nog steeds niet wijzigen.
 • Post de inhoud van C:\smitfiles.txt tesamen met een nieuw log van hijackthis.
 • ———————————————————
  ewido security suite - Scan rapport
  ———————————————————

  + Gemaakt op: 23:50:40, 13-7-2005
  + Rapport samenvatting: 826C4C8A

  + Scan result:

  HKLM\SOFTWARE\PerfectNav -> Spyware.KeenValue : Schoongemaakt met een backup
  HKLM\SOFTWARE\PerfectNav\BHO -> Spyware.KeenValue : Schoongemaakt met een backup
  HKLM\SOFTWARE\PerfectNav\BHO\HomePage -> Spyware.KeenValue : Schoongemaakt met een backup
  HKLM\SOFTWARE\PerfectNav\BHO\RedirectURLS -> Spyware.KeenValue : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL103.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL104.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL105.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL106.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL107.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL108.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL109.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL110.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL111.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL112.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL113.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL114.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL115.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL116.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL117.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL118.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL119.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL120.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL121.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL93.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL94.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL95.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL96.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL97.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL98.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL99.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL100.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL101.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  C:\WINDOWS\system32\P2P Networking\MARSHAL102.DLL -> Spyware.P2PNetworking : Schoongemaakt met een backup
  D:\MessenPass\MsgPlus-301.exe/Sponsor.exe -> TrojanDownloader.Swizzor.bt : Schoongemaakt met een backup


  ::Einde rapport
 • Logfile na jouw stappenplan:

  Logfile of HijackThis v1.99.1
  Scan saved at 0:05:55, on 13-7-2005
  Platform: Windows XP SP2 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\Program Files\Keymaestro\Multimedia Keyboard\nhksrv.exe
  D:\Antivir\AVGUARD.EXE
  D:\Antivir\AVWUPSRV.EXE
  D:\Cerberus ftp server\Cerberus.exe
  d:\Diskeeper Lite\DKService.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\Explorer.EXE
  C:\WINDOWS\system32\shnlog.exe
  C:\WINDOWS\popuper.exe
  C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
  D:\Program Files\Messenger Plus! 3\MsgPlus.exe
  C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  D:\QuickTime\qttask.exe
  C:\WINDOWS\system32\intmonp.exe
  D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
  C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
  D:\anydvd\anydvd.exe
  C:\Program Files\Overnet\overnet.exe
  D:\Antivir\AVGNT.EXE
  C:\WINDOWS\system32\ctfmon.exe
  D:\Spamihilator\spamihilator.exe
  D:\Weather Watcher\ww.exe
  C:\WINDOWS\NCLAUNCH.EXe
  C:\Program Files\MSN Messenger\msnmsgr.exe
  C:\WINDOWS\system32\intmon.exe
  D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
  D:\No-IP\DUC20.exe
  D:\voipbuster\VoipBuster.exe
  C:\Program Files\Keymaestro\Multimedia Keyboard\TrayMon.exe
  C:\Program Files\Keymaestro\Onscreen Display\OSD.exe
  C:\WINDOWS\system32\sessmgr.exe
  C:\Program Files\Internet Explorer\iexplore.exe
  C:\WINDOWS\system32\wscntfy.exe
  C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\helpctr.exe
  C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
  C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
  C:\Program Files\Messenger\msmsgs.exe
  C:\WINDOWS\system32\RDSHOST.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe
  D:\HijackThis\HijackThis.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-utrecht.nl
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
  R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
  F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
  O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp8BC5.tmp
  O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
  O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
  O4 - HKLM\..\Run: [scvhost] svzhost.exe
  O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
  O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe"
  O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
  O4 - HKLM\..\Run: [Zone Labs Client] D:\ZoneAlarm\zlclient.exe
  O4 - HKLM\..\Run: [HP Software Update] "D:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
  O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
  O4 - HKLM\..\Run: [AnyDVD] D:\anydvd\anydvd.exe
  O4 - HKLM\..\Run: [Overnet] C:\Program Files\Overnet\overnet.exe -t
  O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min
  O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe
  O4 - HKLM\..\RunServices: [scvhost] svzhost.exe
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKCU\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
  O4 - HKCU\..\Run: [Spamihilator] "D:\Spamihilator\spamihilator.exe"
  O4 - HKCU\..\Run: [WeatherWatcher] D:\Weather Watcher\ww.exe
  O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
  O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
  O4 - Startup: No-IP DUC.lnk = D:\No-IP\DUC20.exe
  O4 - Startup: VoipBuster.lnk = D:\voipbuster\VoipBuster.exe
  O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
  O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
  O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
  O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
  O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
  O8 - Extra context menu item: Ontvang alle bestanden door Net Transport - D:\NetTransport 2\NTAddList.html
  O8 - Extra context menu item: Ontvangst door Net Transport - D:\NetTransport 2\NTAddLink.html
  O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
  O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
  O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c9.cab
  O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
  O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by3fd.bay3.hotmail.msn.com/resources/MsnPUpld.cab
  O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Antivir\AVGUARD.EXE
  O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
  O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
  O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Antivir\AVWUPSRV.EXE
  O23 - Service: Cerberus FTP Server - Grant Averett - D:\Cerberus ftp server\Cerberus.exe
  O23 - Service: Diskeeper - Executive Software International, Inc. - d:\Diskeeper Lite\DKService.exe
  O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Keymaestro\Multimedia Keyboard\nhksrv.exe
  O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
  O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
 • C:\smitfiles.txt


  Pre-run Files Present


  ~~~ Program Files ~~~  ~~~ Shortcuts ~~~  ~~~ system32 ~~~  ~~~ Windows directory ~~~  ~~~ Drive root ~~~  Post-run Files Present


  ~~~ Program Files ~~~  ~~~ Shortcuts ~~~  ~~~ system32 ~~~  ~~~ Windows directory ~~~  ~~~ Drive root ~~~  ~~~ Wininet.dll ~~~

  Not Infected!
 • In safe mode heb ik wel toegang tot alle tabbladen en in normal mode maar 2 als ik de eigenschappen van de desktop oproep (rechtermuisknop op desktop - eigenschappen)
 • Het lijkt erop dat je het programma RunThis.bat 2 keer hebt uitgevoerd waardoor de informatie van de eerste keer niet meer kan worden getoond.

  De volgende bestanden hadden toch minstens in het log moeten staan:

  C:\WINDOWS\popuper.exe
  C:\WINDOWS\system32\intmonp.exe

  Heb je alle stappen van RunThis.bat doorlopen?

  Het 3e log van hijackthis is dezelfde als het 2e log. Heb je de laatste opschoonacties al uitgevoerd?
 • Zojuist gemaakt:

  Ja laatste actie uitgevoerd.

  Logfile of HijackThis v1.99.1
  Scan saved at 21:46:36, on 14-7-2005
  Platform: Windows XP SP2 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\Program Files\Keymaestro\Multimedia Keyboard\nhksrv.exe
  D:\Antivir\AVGUARD.EXE
  D:\Antivir\AVWUPSRV.EXE
  D:\Cerberus ftp server\Cerberus.exe
  d:\Diskeeper Lite\DKService.exe
  D:\ewido security\security suite\ewidoctrl.exe
  C:\WINDOWS\System32\svchost.exe
  d:\RealVNC\VNC4\WinVNC4.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
  D:\Program Files\Messenger Plus! 3\MsgPlus.exe
  C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  D:\QuickTime\qttask.exe
  D:\ZoneAlarm\zlclient.exe
  D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
  C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
  D:\anydvd\anydvd.exe
  C:\Program Files\Overnet\overnet.exe
  D:\Antivir\AVGNT.EXE
  F:\Winamp\winampa.exe
  C:\WINDOWS\system32\ctfmon.exe
  D:\Spamihilator\spamihilator.exe
  D:\Weather Watcher\ww.exe
  C:\WINDOWS\NCLAUNCH.EXe
  C:\Program Files\MSN Messenger\msnmsgr.exe
  D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
  D:\No-IP\DUC20.exe
  D:\voipbuster\VoipBuster.exe
  C:\WINDOWS\system32\ZONELABS\vsmon.exe
  C:\Program Files\Keymaestro\Multimedia Keyboard\TrayMon.exe
  C:\Program Files\Keymaestro\Onscreen Display\OSD.exe
  C:\Program Files\Internet Explorer\iexplore.exe
  C:\Program Files\Messenger\msmsgs.exe
  D:\HijackThis\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-utrecht.nl/
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-utrecht.nl
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
  O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
  O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
  O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe"
  O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [Zone Labs Client] D:\ZoneAlarm\zlclient.exe
  O4 - HKLM\..\Run: [HP Software Update] "D:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
  O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
  O4 - HKLM\..\Run: [AnyDVD] D:\anydvd\anydvd.exe
  O4 - HKLM\..\Run: [Overnet] C:\Program Files\Overnet\overnet.exe -t
  O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min
  O4 - HKLM\..\Run: [WinampAgent] F:\Winamp\winampa.exe
  O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
  O4 - HKLM\..\Run: [iTunesHelper] D:\quicktime\iTunesHelper.exe
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKCU\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
  O4 - HKCU\..\Run: [Spamihilator] "D:\Spamihilator\spamihilator.exe"
  O4 - HKCU\..\Run: [WeatherWatcher] D:\Weather Watcher\ww.exe
  O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
  O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
  O4 - Startup: No-IP DUC.lnk = D:\No-IP\DUC20.exe
  O4 - Startup: VoipBuster.lnk = D:\voipbuster\VoipBuster.exe
  O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
  O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
  O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
  O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
  O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
  O8 - Extra context menu item: Ontvang alle bestanden door Net Transport - D:\NetTransport 2\NTAddList.html
  O8 - Extra context menu item: Ontvangst door Net Transport - D:\NetTransport 2\NTAddLink.html
  O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
  O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
  O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
  O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by3fd.bay3.hotmail.msn.com/resources/MsnPUpld.cab
  O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Antivir\AVGUARD.EXE
  O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
  O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
  O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Antivir\AVWUPSRV.EXE
  O23 - Service: Cerberus FTP Server - Grant Averett - D:\Cerberus ftp server\Cerberus.exe
  O23 - Service: Diskeeper - Executive Software International, Inc. - d:\Diskeeper Lite\DKService.exe
  O23 - Service: ewido security suite control - ewido networks - D:\ewido security\security suite\ewidoctrl.exe
  O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Keymaestro\Multimedia Keyboard\nhksrv.exe
  O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
  O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
  O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - d:\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
 • In het laatste log zijn geen sporen meer aanwezig van de infectie.
  Heb je in veilige mode met dezelfde naam aangemeld als dat je nu gebruikt?

  copier de volgende code:
  [code:1:8c610363b0]
  regedit /e C:\file1.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies"

  regedit /e C:\file2.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Desktop"

  regedit /e C:\file3.txt "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop"

  copy C:\file1.txt+C:\file2.txt+C:\file3.txt C:\regfile.txt
  del C:\file1.txt
  del C:\file2.txt
  del C:\file3.txt
  notepad C:\regfile.txt
  [/code:1:8c610363b0]
  Sla dit op als [b:8c610363b0]info.bat[/b:8c610363b0] op je bureaublad.
  Opslaan als type: [b:8c610363b0]Alle bestanden[/b:8c610363b0]
  Dubbelklik nu op het bestand info.bat en post de inhoud van regfile.txt.
 • Windows Registry Editor Version 5.00

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\comdlg32]
  "NoBackButton"=dword:00000000
  "NoFileMru"=dword:00000000

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
  "NoDriveTypeAutoRun"=dword:00000091
  "NoLowDiskSpaceChecks"=dword:00000001
  "NoActiveDesktopChanges"=dword:00000001

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
  "NoDispBackgroundPage"=dword:00000001
  "NoDispAppearancePage"=dword:00000001

  Windows Registry Editor Version 5.00

  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop]

  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]
  "DeskHtmlVersion"=dword:00000110
  "DeskHtmlMinorVersion"=dword:00000005
  "Settings"=dword:00000001
  "GeneralFlags"=dword:00000004

  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
  "Source"="About:Home"
  "SubscribedURL"="About:Home"
  "FriendlyName"="Mijn huidige introductiepagina"
  "Flags"=dword:00000002
  "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\
  00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
  "CurrentState"=hex:04,00,00,40
  "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
  ff,ff,04,00,00,00
  "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
  00,00,01,00,00,00

  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General]
  "BackupWallpaper"=hex(2):00,00
  "WallpaperFileTime"=hex:00,ab,10,a0,c8,e2,c4,01
  "WallpaperLocalFileTime"=hex:00,7b,99,63,d9,e2,c4,01
  "TileWallpaper"="0"
  "WallpaperStyle"="2"
  "Wallpaper"=hex(2):00,00
  "ComponentsPositioned"=dword:00000001

  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Old WorkAreas]
  "NoOfOldWorkAreas"=dword:00000001
  "OldWorkAreaRects"=hex:00,00,00,00,00,00,00,00,00,04,00,00,de,02,00,00

  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\SafeMode]

  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\SafeMode\General]
  "Wallpaper"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,57,00,65,00,62,00,5c,00,53,00,61,00,66,00,65,00,4d,00,6f,\
  00,64,00,65,00,2e,00,68,00,74,00,74,00,00,00
  "VisitGallery"=dword:00000000

  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Scheme]
  "Edit"=""
  "Display"=""
 • Voer het script RunThis.bat nogmaals uit. Mag nu in de normale mode.
  Het gaat er nu alleen om dat de register settings worden hersteld.
  Dit wordt ook door dit script geregeld.

  Kijk of de achtergrond dan wel kan worden gewijzigd.

  Sjaak
 • Het volgende mag ook worden uitgevoerd.

  Download de volgende file:
  http://www.bleepingcomputer.com/files/reg/smitfraud.reg
  Sla het op op je bureaublad

  Dubbelklik op smitfraud.reg en laat het bestand toevoegen aan je register!

  Deze smitfraud.reg zal ook een aantal instellingen in het register aanpassen.

  Sjaak
 • Probleem opgelost. Bedankt!
 • Kan je nog aangeven of je RunThis.bat in veilige mode op je bureaublad kon vinden?
  Had je toen RunThis.bat 2 keer had uitgevoerd?

  Scan je PC nog met Ad-aware en Spybot S&D met de laatste updates.
  Kijk hier en hier hoe dat moet.

  Sjaak

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.