In de lijst van de door mijn Firewall gecontroleerde programma's vind ik enkele zaken waarvan ik niet weet wat het is, b.v.: dll.host.exe (omschreven als "COM-surrogate"), DivX521XP2K.exe (zit in de map "DivXCodecs"), lsass.exe, iMeshV4.exe, ntlrpwt.exe, wrap32.exe, enzovoort…

Moeten al deze programma's toegang hebben tot het Internet? Of erger: moeten deze programma's er wel zijn?

Hier alvast een HiJackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 19:56:02, on 18/10/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PDesk\PDesk.exe
C:\WINNT\SOUNDMAN.EXE
D:\Alcatel\Speedtouch USB\Dragdiag.exe
C:\Program Files\Common Files\Symantec Shared\SymTray.exe
D:\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\QuickTime\qttask.exe
C:\Program Files\SEC\MT3.7_Eng\GammaTray.exe
D:\SEC\Natural Color\NaturalColorLoad.exe
D:\Microsoft Office\Office\1043\msoffice.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\anti-spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jesmb.de/indexie.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Alcatel\Speedtouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NPS Event Checker] D:\NORTON~1\NORTON~1\npscheck.exe
O4 - Global Startup: Color Calibration.lnk = C:\Program Files\SEC\MT3.7_Eng\GammaTray.exe
O4 - Global Startup: MagicTune3.6.lnk = C:\Program Files\SEC\MT3.6_Eng\MagicTuneTray.exe
O4 - Global Startup: MagicTune3.7.lnk = C:\Program Files\SEC\MT3.7_Eng\MagicTuneTray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NaturalColorLoad.lnk = D:\SEC\Natural Color\NaturalColorLoad.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{FAD52F2E-3BBB-41D0-B1F9-41DD74AD3404}: NameServer = 62.235.14.4 62.235.13.199
O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: NAV Alert - Symantec Corporation - D:\NORTON~1\NORTON~1\alertsvc.exe
O23 - Service: NAV Auto-Protect - Symantec Corporation - D:\NORTON~1\NORTON~1\navapsvc.exe
O23 - Service: Norton Program Scheduler - Symantec Corporation - D:\NORTON~1\NORTON~1\npssvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

…en nog iets: wat is "webphone" (glophone.exe)? Want dat lijkt me ook iets verdachts (ofwel zie ik spoken).

En ook mshta.exe, omschreven als "Microsoft HTML application host"?

Zou ik van al deze programma's niet beter de toegang tot het Internet blokkeren?

Niet alleen wil ik geen spyware of virussen, ik wil ook gewoon enkel en alleen de verbinding gebruiken voor de zaken die nodig zijn.

Wie weet meer?

Je log is schoon, desalniettemin zijn een aantal van die programma's die jij opnoemt niet helemaal zuivere koffie.

Ik ga daar geen uitspraak over doen, heb je die namen overgetypt of gekopieerd? Eén tikfout en het kan wel een heel ander bestand zijn,
voorbeeld: lssass.exe of Issass.exe, de één is legitiem de ander een trojan.

Tip: Zoek met behulp van Google op bestandsnaam, indien resultaten aangeven dat het malware is toestemming weigeren.

Kijk daarna of deze bestanden ook op je systeem aanwezig zijn.
Mogelijk kan je ze niet vinden, dan moeten verborgen bestanden weergegeven worden, kijk hier hoe dat moet.

Bij twijfel kan je zo'n bestand altijd nog even uploaden naar http://virusscan.jotti.org en daar checken of het malware is.

Groeten smeenk :wink:

[quote:a931c24d1b="smeenk"]…Je log is schoon, desalniettemin zijn een aantal van die programma's die jij opnoemt niet helemaal zuivere koffie.

Ik ga daar geen uitspraak over doen, heb je die namen overgetypt of gekopieerd? Eén tikfout en het kan wel een heel ander bestand zijn,
voorbeeld: lssass.exe of Issass.exe, de één is legitiem de ander een trojan…

…Kijk daarna of deze bestanden ook op je systeem aanwezig zijn…

…Bij twijfel kan je zo'n bestand altijd nog even uploaden naar http://virusscan.jotti.org en daar checken of het malware is…
[/quote:a931c24d1b]

Die bestanden staan op mijn computer.

Inmiddels heb ik al e.e.a. gelezen over die Lsass.exe, bij mij is het met kleine letter "l".

Als ze op mijn computer staan en de HiJackThis-log is schoon, wil dit zeggen dat die programma's niet actief zijn over het Internet?

Ondertussen zal ik die bestanden eens scannen zoals voorgesteld.

Groeten,

Patrick

Als je denkt dat er nog meer op je systeem staat dat er niet hoort doe dan het volgende eens:
probeer dan een onlinescan uit met Kaspersky WebScanner.

Klik "Launch Kaspersky Anti-Virus Web Scanner"
Er wordt gevraagd of je de activeX wil installeren, klik op "ja".
Het programma zal daarna beginnen met de database/definition files te downloaden.
Wanneer dit voltooid is, klik je op "Next"

* Klik op "Scan Settings"
Selecteer het volgende: (zal normaal gesproken standaard al zo staan)

°Scan using the following Anti-Virus database: Standard

°Scan Options: Scan Archives
Scan Mail Bases

* Klik OK
* Onder 'select a target to scan', kies je voor "My Computer"

* Nu zal het scannen beginnen. Dit zal een tijdje duren, dus wees geduldig.
Wanneer de volledige scan gedaan is zal er een lijst getoond worden van alle geïnfecteerde bestanden.

* Klik op de "Save as Text"-knop:
Bewaar die log op je bureaublad en kopieer en plak de inhoud in je volgende bericht.

Groeten smeenk :wink: