Vraag & Antwoord

Beveiliging & privacy

Hijackthis log

Anoniem
None
3 antwoorden
 • Hoi,

  Kan iemand even naar deze log kijken?
  Mijn computer loopt erg vaak vast, en vooral internet explorer.

  Logfile of HijackThis v1.99.1
  Scan saved at 9:49:40, on 23-9-2005
  Platform: Windows XP (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 (6.00.2600.0000)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\csrss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
  C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
  C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
  C:\Program Files\Common Files\Symantec Shared\ccApp.exe
  C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
  C:\WINDOWS\system32\ctfmon.exe
  C:\Program Files\FinePixViewer\QuickDCF.exe
  C:\ScanPanel\ScnPanel.exe
  C:\WINDOWS\System32\alg.exe
  C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
  C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
  C:\Program Files\Norton AntiVirus\navapsvc.exe
  C:\WINDOWS\System32\nvsvc32.exe
  C:\WINDOWS\system32\svchost.exe
  C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
  C:\Program Files\Norton AntiVirus\SAVScan.exe
  C:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe
  C:\WINDOWS\System32\wuauclt.exe
  C:\Program Files\MessengerPlus! 3\MsgPlus.exe
  C:\Program Files\MSN Messenger\msnmsgr.exe
  C:\Program Files\Internet Explorer\iexplore.exe
  C:\HIJACKTHIS\HijackThis.exe

  R3 - Default URLSearchHook is missing
  O1 - Hosts: localhost 127.0.0.1
  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
  O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
  O2 - BHO: MPEG Support Dll - {57A70350-87D9-4EA2-B3AC-C1C1B5296035} - C:\WINDOWS\system32\mpegcore.dll
  O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
  O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
  O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
  O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
  O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
  O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
  O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
  O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
  O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
  O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
  O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
  O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
  O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
  O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
  O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
  O4 - Global Startup: Adobe Acrobat Snelle start.lnk = ?
  O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
  O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe
  O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
  O8 - Extra context menu item: Converteren naar Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
  O8 - Extra context menu item: Converteren naar bestaand PDF-bestand - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
  O8 - Extra context menu item: Geselecteerde koppelingen converteren naar Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
  O8 - Extra context menu item: Geselecteerde koppelingen converteren naar bestaand PDF-bestand - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
  O8 - Extra context menu item: Koppelingdoel converteren naar Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
  O8 - Extra context menu item: Koppelingdoel converteren naar bestaand PDF-bestand - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
  O8 - Extra context menu item: Selectie converteren naar Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
  O8 - Extra context menu item: Selectie converteren naar bestaand PDF-bestand - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
  O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
  O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
  O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
  O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
  O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
  O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
  O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
  O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game15.zylomgames.com/activex/zylomgamesplayer.cab
  O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
  O17 - HKLM\System\CCS\Services\Tcpip\..\{2B2B542B-E8B9-4FF9-B0BF-038D58978451}: NameServer = 85.255.113.138,85.255.112.16
  O17 - HKLM\System\CCS\Services\Tcpip\..\{549724A2-36E2-497F-80DE-4FBBFA7CAFCF}: NameServer = 85.255.113.138,85.255.112.16
  O17 - HKLM\System\CCS\Services\Tcpip\..\{F7CE65F3-5653-497F-B5D6-14707A7B3181}: NameServer = 85.255.113.138,85.255.112.16
  O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
  O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
  O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
  O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
  O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\WOUTGE~1\LOCALS~1\Temp\hpdj.exe (file missing)
  O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
  O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
  O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
  O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
  O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
  O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
 • Download en installeer CCleaner.
  Gebruik het programma nog niet.

  Indien je het hosts-bestand niet zelf gewijzigd hebt, doe dan dit ook even:
  Download the Hoster: http://www.funkytoad.com/download/hoster.zip
  Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.

  Zorg ervoor dat alle verborgen bestanden en mappen weergegeven worden. Hoe verborgen bestanden en mappen weergeven..

  Start de computer in veilige modus.

  Run HijackThis nog een keer en plaats een vinkje bij de volgende items:
  [b:4322920c15]R3 - Default URLSearchHook is missing
  O2 - BHO: MPEG Support Dll - {57A70350-87D9-4EA2-B3AC-C1C1B5296035} - C:\WINDOWS\system32\mpegcore.dll
  O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
  O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)[/b:4322920c15]

  De volgende vind ik verdacht, als ze niet aan je netwerk of aan je internetprovider toebehoren kan je deze ook aanvinken:
  [b:4322920c15]O17 - HKLM\System\CCS\Services\Tcpip\..\{2B2B542B-E8B9-4FF9-B0BF-038D58978451}: NameServer = 85.255.113.138,85.255.112.16
  O17 - HKLM\System\CCS\Services\Tcpip\..\{549724A2-36E2-497F-80DE-4FBBFA7CAFCF}: NameServer = 85.255.113.138,85.255.112.16
  O17 - HKLM\System\CCS\Services\Tcpip\..\{F7CE65F3-5653-497F-B5D6-14707A7B3181}: NameServer = 85.255.113.138,85.255.112.16[/b:4322920c15]
  Sluit alle open vensters(behalve HijackThis), klik daarna op "Fix checked" en sluit HijackThis af.

  Zoek met je verkenner het volgende bestand en verwijder deze:
  C:\WINDOWS\system32\[b:4322920c15]mpegcore.dll[/b:4322920c15]

  Maak je Temp-map leeg: Start - Uitvoeren tik in: %TEMP%
  Selecteer alle bestanden in deze map en verwijder ze.

  [b:4322920c15]Het gebruik van Ccleaner:[/b:4322920c15]
  Ccleaner verwijderd ook cookies. Cookies zijn meestal gewoon nutteloos,
  soms zelfs kwaadaardig, maar er zijn er ook enkele die nodig zijn voor het inloggen op bepaalde websites.

  Ccleaner biedt je de mogelijkheid om in te stellen welke cookies je behouden wilt.
  Kijk hiervoor bij "Opties"en dan Cookies, selecteer de cookies die je behouden wilt en plaats die in de "Te behouden cookies" ruimte.
  Klik daarna op de knop "Opschonen".

  Herstel daarna je webinstellingen: Ga naar Configuratiescherm –> Internetopties –> tabblad Programma's.
  Klik op de "Webinstellingen herstellen".

  Schakel Systeemherstel uit. Herstart de computer. Schakel Systeemherstel weer in.
  Systeemherstel uitschakelen.

  Doe ook even een online scan met Panda, als je na het scannen de mogelijkheid krijgt om een logje op te slaan(copy/paste) doe je dit, post dit logje in je volgende bericht

  Start HijackThis opnieuw, maak een nieuwe log en post deze ook.

  vr.gr.smeenk :wink:
 • Die O17-regeltjes zijn niet goed hoor.
  Deze wijzen samen met die hosts-sleutel op de infectie die door het leven gaat als "Wareout".
  Deze kan bijzonder lastig zijn om te verwijderen, ondermeer omdat Hijackthis niet alles toont.

  Er is een tooltje dat het grootste deel van de infectie opruimt.

  Print deze instructies uit, want tijdens deze fix ben je genoodzaakt de computer te herstarten.
  Download FixWareout van één van deze locaties:
  http://forums.subratam.org/index.php?act=Attach&type=post&id=43811
  http://swandog46.geekstogo.com/Fixwareout.exe
  Plaatst het op de bureaublad en start het.
  Klik op "Next", daarna op "Install".
  Zorg dat "Run Fixit" aangevinkt is en klik dan op "Finish".
  Volg de aanwijzingen op het scherm.
  Als je gevraagd wordt om de computer opnieuw te starten doe je dit.
  Het zal wat langer duren voor de computer opnieuw volledig opgestart is. Dit is normaal.
  Wanneer de computer opnieuw start, volg je de aanwijzingen op het scherm.
  Als hijackthis opent klik je op "Scan" en daarna vink je de volgende sleutels aan om te fixen:
  [b:ac37c71c70]R3 - Default URLSearchHook is missing
  O1 - Hosts: localhost 127.0.0.1
  O2 - BHO: MPEG Support Dll - {57A70350-87D9-4EA2-B3AC-C1C1B5296035} - C:\WINDOWS\system32\mpegcore.dll
  O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
  O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
  O17 - HKLM\System\CCS\Services\Tcpip\..\{2B2B542B-E8B9-4FF9-B0BF-038D58978451}: NameServer = 85.255.113.138,85.255.112.16
  O17 - HKLM\System\CCS\Services\Tcpip\..\{549724A2-36E2-497F-80DE-4FBBFA7CAFCF}: NameServer = 85.255.113.138,85.255.112.16
  O17 - HKLM\System\CCS\Services\Tcpip\..\{F7CE65F3-5653-497F-B5D6-14707A7B3181}: NameServer = 85.255.113.138,85.255.112.16[/b:ac37c71c70]

  Klik daarna op "Fix Checked".
  Sluit Hijackthis en klik op de knop "Proceed".
  Herstart de computer.

  Ga naar het Configuratiescherm en klik op "Netwerkverbindingen". Rechtsklik op je standaard verbinding en kies "Eigenschappen".
  Klik op het tabblad "Algemeen" en dubbelklik op "Internet-Protocol (TCP/IP)". Selecteer "Automatisch een DNS-serveradres laten toewijzen".

  Herstart de computer opnieuw.
  Zoek het bestand c\fixwareout\report.txt en post de inhoud van dit bestandje.
  Maak ook een nieuwe HijackThislog. Post deze.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.