Vraag & Antwoord
Hijack log & Malware probleem
8 antwoorden
- Dit beestje wil er maar niet af, na elke reboot is ie er terug en actief
Ad-Aware SE Scanning Result, 11-09-2006 23:19:13
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Name Type Category Object Comment
Win32.Trojan.Downloader Regkey Malware
HKEY_LOCAL_MACHINE:software\microsoft\active setup\installed components\{9b71d88c-c598-4935-c5d1-43aa4db90836}\
Hoe maak ik daar nu een einde aan. - Heb eerst de volgende laten lopen
Spybot
Adaware
Cwshredder
Dan het Hijack voor een analyze
O4 - HKLM\..\Run: [Jet Detection] H:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [DLLHOST] H:\WINDOWS\system32\dllhost32.exe
O4 - HKCU\..\Run: [ccleaner] "H:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [DLLHOST] H:\WINDOWS\system32\dllhost32.exe
O4 - HKCU\..\Run: [AWMON] "H:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - Startup: Wallpaper Changer.lnk = H:\Program Files\WallpaperToy\Wallpapertoy.Exe
O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = H:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - H:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{082FB78C-18F1-4695-9B16-74D5624CB982}: NameServer = 193.121.171.135 194.119.228.67
O20 - AppInit_DLLs: H:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Adobe LM Service - Unknown owner - H:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - H:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: NBService - Nero AG - H:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - H:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - H:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - H:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - H:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
Please check it out - je hebt maar een halve erop staan
ook het bovengedeelte is belangrijk voor de expers - Deze zou het dan moeten zijn, thanks
Logfile of HijackThis v1.99.1
Scan saved at 18:31:25, on 11/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\CTsvcCDA.EXE
H:\WINDOWS\eHome\ehRecvr.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\eHome\ehSched.exe
H:\Program Files\Eset\nod32krn.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\Program Files\Agnitum\Outpost Firewall\outpost.exe
H:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
H:\WINDOWS\system32\MsPMSPSv.exe
H:\WINDOWS\system32\dllhost.exe
H:\WINDOWS\ehome\ehtray.exe
H:\WINDOWS\system32\CTHELPER.EXE
H:\Program Files\Eset\nod32kui.exe
H:\PROGRA~1\COPPER~1\BIN\WIN2K\tidslmon.exe
H:\Program Files\Common Files\Ulead Systems\DVD\USISrv.exe
H:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
H:\WINDOWS\eHome\ehmsas.exe
H:\PROGRA~1\MOZILL~1\FIREFOX.EXE
H:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
H:\Program Files\Logitech\MouseWare\system\em_exec.exe
H:\Program Files\WallpaperToy\Wallpapertoy.Exe
H:\Program Files\Mozilla Firefox\firefox.exe
C:\Safety\hijackthis\HijackThis.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] H:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "H:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [TIxDSL] H:\PROGRA~1\COPPER~1\BIN\WIN2K\tidslmon.exe
O4 - HKLM\..\Run: [Outpost Firewall] H:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] H:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [USIUDF_Eject_Monitor] H:\Program Files\Common Files\Ulead Systems\DVD\USISrv.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] H:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] H:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [CTStartup] H:\Program Files\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] H:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [DLLHOST] H:\WINDOWS\system32\dllhost32.exe
O4 - HKCU\..\Run: [ccleaner] "H:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [DLLHOST] H:\WINDOWS\system32\dllhost32.exe
O4 - HKCU\..\Run: [AWMON] "H:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - Startup: Wallpaper Changer.lnk = H:\Program Files\WallpaperToy\Wallpapertoy.Exe
O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = H:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - H:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{082FB78C-18F1-4695-9B16-74D5624CB982}: NameServer = 193.121.171.135 194.119.228.67
O20 - AppInit_DLLs: H:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Adobe LM Service - Unknown owner - H:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - H:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: NBService - Nero AG - H:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - H:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - H:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - H:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - H:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe - Hai,
sorry ik zag nu pas dat dit berichtje er stond.
Zet eerst je ad-watch van ad-aware even uit, die kan de fix in de weg zitten.
Download [b:f89ff0b391] naar je Bureaublad:[list:f89ff0b391][*:f89ff0b391]Dubbelklik [b:f89ff0b391]drweb-cureit.exe[/b:f89ff0b391] en sta het toe om de express scan te starten.
[*:f89ff0b391]Dit zal de bestanden scannen die momenteel in het geheugen geladen zijn en wanneer er iets gevonden wordt,
klik de [b:f89ff0b391]Yes to all[/b:f89ff0b391] knop bij de vraag 'cure it?'. Dit is enkel een korte scan.
[*:f89ff0b391]Eenmaal de korte scan is beeïndigd, kan je de drives selecteren die je wilt laten scannen.
[*:f89ff0b391]Selecteer hier [b:f89ff0b391]alle drives[/b:f89ff0b391]. Een rood bolletje zal dan tevoorschijn komen op de drives die je laat scannen.
[*:f89ff0b391]Klik daarna de [b:f89ff0b391]groene pijl[/b:f89ff0b391] rechts om de scan te starten.
[*:f89ff0b391]Klik [b:f89ff0b391]Yes to all[/b:f89ff0b391] wanneer er gevraagd wordt om cure of move uit te voeren.
[*:f89ff0b391]Wanneer de scan beëindigd is, kijk of je kunt op het icoontje naast de gevonden bestanden klikken: [img:f89ff0b391]http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif[/img:f89ff0b391]
[*:f89ff0b391]Indien ja,klik er op en klik vervolgens op het icoontje er juist onder en selecteer [b:f89ff0b391]Move incurable[/b:f89ff0b391] zoals je hier ziet:
[img:f89ff0b391]http://users.telenet.be/bluepatchy/miekiemoes/images/move.gif[/img:f89ff0b391]
Dit verplaatst gevonden bestanden naar de "%userprofile%\DoctorWeb\quarantaine-map" indien herstel niet mogelijk is.
[*:f89ff0b391]Nadat de scan gedaan is, in het menu bovenaan, klik [b:f89ff0b391]File[/b:f89ff0b391] en kies [b:f89ff0b391]Save report List[/b:f89ff0b391]. Bewaar het op je Bureaublad.
[*:f89ff0b391]Sluit daarna Dr.Web Cureit.
[*:f89ff0b391][b:f89ff0b391]Herstart[/b:f89ff0b391] je computer!! [i:f89ff0b391]Belangrijke stap, want het kan zijn dat Dr.Web Cureit bestanden zal verplaatsen/verwijderen tijdens herstart[/i:f89ff0b391].
[*:f89ff0b391]Na het herstarten, [b:f89ff0b391]kopieer en plak de inhoud van die log die je eerder hebt bewaard in je volgende post[/b:f89ff0b391].
[/list:u:f89ff0b391] - Ondertussen met Ewido gescand, die heeft er enkele gevonden en verwijdert
Dr Web vindt niets meer, dat is goed
De boosdoener bleek
http://www.neuber.com/taskmanager/process/dllhost.exe.html
Alle dllhost naar de prullenbak gegooid heropgestart, alles werkt nog, prullenbak geleegd, heropgestart.
Alle scans gedaan (Nod,Lava,Ewido,Cwshredder) , Clean system
Ziet er dus weer clean uit, mocht ik iets vergeten zijn gelieve het me te melden.
Bedankt - Als je om hulp vraagt kan je beter eerst een antwoord afwachten voor je zelf gaat rommelen, toch :-?
Het is nu blijkbaar goed gegaan, alleen ik zou onderstaande nog even doen.
* [u:33958c89f0]Clean de Cache and Cookies in - Deze dingen doen we elke dag, troep moet nu eenmaal weg.
Wat ik toch wel eens wil weten is of er iets verkeerd is met mijn hijack log ?
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.
