Hi,

Ad-Aware vindt 'Spyware.AdvancedKeylogger' (18x) en kan dit niet verwijderen. Weet iemand hoe ik hier vanaf kom? Onderstaand een Hijacklog, is hier iets te zien wat er niet thuis hoort? Of het er iets mee te maken heeft weet ik niet maar sinds kort gaat er soms iets mis tijdens het opstarten van de PC. Zie ik het buroblad en gaat ineens het beeldscherm op zwart en de led op standby, via de reset knop gaat het dan de tweede keer wel goed.

NCA-PC
Logfile of HijackThis v1.99.1
Scan saved at 14:07:20, on 22-12-05
Platform: Windows 98 SE (Win9x 4.10.2222B)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
c:\windows\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\THRUSTMASTER\THRUSTMAPPER\TMTMTSR.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\LOGITECH\VIDEO\LOGITRAY.EXE
C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAM FILES\MAXTOR\ONETOUCH\UTILS\ONETOUCH.EXE
C:\WINDOWS\MXOALDR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hccnet.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [ThrustTSR] C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\MAXTOR\ONETOUCH\UTILS\ONETOUCH.EXE
O4 - HKLM\..\Run: [MXOBG] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

Je HijackThis log is schoon

Als je het AdAware log bekijkt, staat daarin waarschijnlijk het volgende:[quote:0a015a1b9f]Spyware.AdvancedKeyLogger Object Recognized!
Type : Process
Data : SHELL32.DLL
TAC Rating : 10
Category : Spyware
Comment : (CSI MATCH)
Object : C:\WINDOWS\SYSTEM\
FileVersion : 4.72.3812.600
ProductVersion : 4.72.3812.600
ProductName : Microsoft(R) Windows NT(R)-besturingssysteem
CompanyName : Microsoft Corporation
FileDescription : Gemeenschappelijke DLL van Windows Shell
InternalName : SHELL32
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1997
OriginalFilename : SHELL32.DLL

Warning! Spyware.AdvancedKeyLogger Object found in memory(C:\WINDOWS\SYSTEM\SHELL32.DLL)[/quote:0a015a1b9f]Dit is een false positive van AdAware. Een valse melding dus. C:\WINDOWS\SYSTEM\SHELL32.DLL is nodig voor je systeem en is van Microsoft zelf. Dit bestand heb je nodig om webpagina's en bestanden te openen. Verwijder het alsjeblieft niet.

Het is maar goed dat AdAware er niet in slaagt om het te verwijderen, want als het verwijderd zou worden krijg je problemen.

Groeten smeenk :wink:

Gek dat dit pas sinds kort wordt gevonden door Ad-Aware, en dan alleen op één van de twe PC's die ik heb. In elk geval bedankt voor het bekijken van de log.

Draait op die andere PC ook Windows98 SE?

Het komt vaker voor dat virus en spywarescanners per abuis legitieme bestanden verwijderen.
Nog niet zo lang geleden verwijderde PestPatrol ineens Iexplore.exe bij nederlandse versies van WindowsXP en ik kan me ook herinneren dat Norton Antivirus2000 destijds een bestand verwijderde tijdens de installatie van Microsoft virtual machine.
Af en toe gaan de makers van antimalwaresoftware in de fout en vaak wordt dat bij de volgende update van de definities ook weer hersteld, in de tussentijd kan je er mooi door in de problemen geraken :roll:

Groeten smeenk

Ja, de twee PC's zijn bijna gelijk.

Zag die melding die je kreeg er net zo uit als die ik gepost had?
Post anders het log van AdAware maar eens.

Groeten smeenk :wink:

Hier is de log:
Spyware.AdvancedKeyLogger Object herkend!
Type : Proces
Gegevens : SHELL32.DLL
TAC-score : 10
Categorie : Spyware
Commentaar : (CSI MATCH)
Object : C:\WINDOWS\SYSTEM\
FileVersion : 4.72.3812.600
ProductVersion : 4.72.3812.600
ProductName : Microsoft(R) Windows NT(R)-besturingssysteem
CompanyName : Microsoft Corporation
FileDescription : Gemeenschappelijke DLL van Windows Shell
InternalName : SHELL32
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1997
OriginalFilename : SHELL32.DLL

Komt toch redelijk overéén met hetgeen ik eerder gepost had, hier is volgens mij niets aan de hand.

Scan C:\WINDOWS\SYSTEM\[b:34a5555e4b]SHELL32.DLL[/b:34a5555e4b] maar eens met http://virusscan.jotti.org voor een extra check :wink:

Er werd niets gevonden.

[quote:c19e3a8de7="con f16"]Er werd niets gevonden. [/quote:c19e3a8de7]Onbezorgde feestdagen toegewenst vanaf hier

Groeten smeenk