Vraag & Antwoord

Beveiliging & privacy

Hijack log & Malware probleem

Anoniem
None
8 antwoorden
  • Dit beestje wil er maar niet af, na elke reboot is ie er terug en actief



    Ad-Aware SE Scanning Result, 11-09-2006 23:19:13
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    Name Type Category Object Comment
    Win32.Trojan.Downloader Regkey Malware

    HKEY_LOCAL_MACHINE:software\microsoft\active setup\installed components\{9b71d88c-c598-4935-c5d1-43aa4db90836}\

    Hoe maak ik daar nu een einde aan.
    Anoniem
    Anoniem
  • Heb eerst de volgende laten lopen

    Spybot
    Adaware
    Cwshredder

    Dan het Hijack voor een analyze

    O4 - HKLM\..\Run: [Jet Detection] H:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
    O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
    O4 - HKLM\..\Run: [DLLHOST] H:\WINDOWS\system32\dllhost32.exe
    O4 - HKCU\..\Run: [ccleaner] "H:\Program Files\CCleaner\ccleaner.exe" /AUTO
    O4 - HKCU\..\Run: [DLLHOST] H:\WINDOWS\system32\dllhost32.exe
    O4 - HKCU\..\Run: [AWMON] "H:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
    O4 - Startup: Wallpaper Changer.lnk = H:\Program Files\WallpaperToy\Wallpapertoy.Exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Snelle start.lnk = H:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - H:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{082FB78C-18F1-4695-9B16-74D5624CB982}: NameServer = 193.121.171.135 194.119.228.67
    O20 - AppInit_DLLs: H:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
    O23 - Service: Adobe LM Service - Unknown owner - H:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - H:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: NBService - Nero AG - H:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - H:\Program Files\Eset\nod32krn.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - H:\Program Files\Agnitum\Outpost Firewall\outpost.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - H:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - H:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

    Please check it out
    Anoniem
    Anoniem
  • je hebt maar een halve erop staan

    ook het bovengedeelte is belangrijk voor de expers
    Anoniem
    Anoniem
  • Deze zou het dan moeten zijn, thanks

    Logfile of HijackThis v1.99.1
    Scan saved at 18:31:25, on 11/09/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\system32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\System32\svchost.exe
    H:\WINDOWS\system32\spoolsv.exe
    H:\WINDOWS\system32\CTsvcCDA.EXE
    H:\WINDOWS\eHome\ehRecvr.exe
    H:\WINDOWS\Explorer.EXE
    H:\WINDOWS\eHome\ehSched.exe
    H:\Program Files\Eset\nod32krn.exe
    H:\WINDOWS\system32\nvsvc32.exe
    H:\Program Files\Agnitum\Outpost Firewall\outpost.exe
    H:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
    H:\WINDOWS\system32\MsPMSPSv.exe
    H:\WINDOWS\system32\dllhost.exe
    H:\WINDOWS\ehome\ehtray.exe
    H:\WINDOWS\system32\CTHELPER.EXE
    H:\Program Files\Eset\nod32kui.exe
    H:\PROGRA~1\COPPER~1\BIN\WIN2K\tidslmon.exe
    H:\Program Files\Common Files\Ulead Systems\DVD\USISrv.exe
    H:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    H:\WINDOWS\eHome\ehmsas.exe
    H:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    H:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
    H:\Program Files\Logitech\MouseWare\system\em_exec.exe
    H:\Program Files\WallpaperToy\Wallpapertoy.Exe
    H:\Program Files\Mozilla Firefox\firefox.exe
    C:\Safety\hijackthis\HijackThis.exe

    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O4 - HKLM\..\Run: [ehTray] H:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [nod32kui] "H:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [TIxDSL] H:\PROGRA~1\COPPER~1\BIN\WIN2K\tidslmon.exe
    O4 - HKLM\..\Run: [Outpost Firewall] H:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
    O4 - HKLM\..\Run: [OutpostFeedBack] H:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
    O4 - HKLM\..\Run: [USIUDF_Eject_Monitor] H:\Program Files\Common Files\Ulead Systems\DVD\USISrv.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] H:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [NeroFilterCheck] H:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [CTStartup] H:\Program Files\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
    O4 - HKLM\..\Run: [Jet Detection] H:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
    O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
    O4 - HKLM\..\Run: [DLLHOST] H:\WINDOWS\system32\dllhost32.exe
    O4 - HKCU\..\Run: [ccleaner] "H:\Program Files\CCleaner\ccleaner.exe" /AUTO
    O4 - HKCU\..\Run: [DLLHOST] H:\WINDOWS\system32\dllhost32.exe
    O4 - HKCU\..\Run: [AWMON] "H:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
    O4 - Startup: Wallpaper Changer.lnk = H:\Program Files\WallpaperToy\Wallpapertoy.Exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Snelle start.lnk = H:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - H:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{082FB78C-18F1-4695-9B16-74D5624CB982}: NameServer = 193.121.171.135 194.119.228.67
    O20 - AppInit_DLLs: H:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
    O23 - Service: Adobe LM Service - Unknown owner - H:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - H:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: NBService - Nero AG - H:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - H:\Program Files\Eset\nod32krn.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - H:\Program Files\Agnitum\Outpost Firewall\outpost.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - H:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - H:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
    Anoniem
    Anoniem
  • Hai,

    sorry ik zag nu pas dat dit berichtje er stond.

    Zet eerst je ad-watch van ad-aware even uit, die kan de fix in de weg zitten.

    Download [b:f89ff0b391] naar je Bureaublad:[list:f89ff0b391][*:f89ff0b391]Dubbelklik [b:f89ff0b391]drweb-cureit.exe[/b:f89ff0b391] en sta het toe om de express scan te starten.
    [*:f89ff0b391]Dit zal de bestanden scannen die momenteel in het geheugen geladen zijn en wanneer er iets gevonden wordt,
    klik de [b:f89ff0b391]Yes to all[/b:f89ff0b391] knop bij de vraag 'cure it?'. Dit is enkel een korte scan.
    [*:f89ff0b391]Eenmaal de korte scan is beeïndigd, kan je de drives selecteren die je wilt laten scannen.
    [*:f89ff0b391]Selecteer hier [b:f89ff0b391]alle drives[/b:f89ff0b391]. Een rood bolletje zal dan tevoorschijn komen op de drives die je laat scannen.
    [*:f89ff0b391]Klik daarna de [b:f89ff0b391]groene pijl[/b:f89ff0b391] rechts om de scan te starten.
    [*:f89ff0b391]Klik [b:f89ff0b391]Yes to all[/b:f89ff0b391] wanneer er gevraagd wordt om cure of move uit te voeren.
    [*:f89ff0b391]Wanneer de scan beëindigd is, kijk of je kunt op het icoontje naast de gevonden bestanden klikken: [img:f89ff0b391]http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif[/img:f89ff0b391]
    [*:f89ff0b391]Indien ja,klik er op en klik vervolgens op het icoontje er juist onder en selecteer [b:f89ff0b391]Move incurable[/b:f89ff0b391] zoals je hier ziet:
    [img:f89ff0b391]http://users.telenet.be/bluepatchy/miekiemoes/images/move.gif[/img:f89ff0b391]
    Dit verplaatst gevonden bestanden naar de "%userprofile%\DoctorWeb\quarantaine-map" indien herstel niet mogelijk is.
    [*:f89ff0b391]Nadat de scan gedaan is, in het menu bovenaan, klik [b:f89ff0b391]File[/b:f89ff0b391] en kies [b:f89ff0b391]Save report List[/b:f89ff0b391]. Bewaar het op je Bureaublad.
    [*:f89ff0b391]Sluit daarna Dr.Web Cureit.
    [*:f89ff0b391][b:f89ff0b391]Herstart[/b:f89ff0b391] je computer!! [i:f89ff0b391]Belangrijke stap, want het kan zijn dat Dr.Web Cureit bestanden zal verplaatsen/verwijderen tijdens herstart[/i:f89ff0b391].
    [*:f89ff0b391]Na het herstarten, [b:f89ff0b391]kopieer en plak de inhoud van die log die je eerder hebt bewaard in je volgende post[/b:f89ff0b391].
    [/list:u:f89ff0b391]
    Anoniem
    Anoniem
  • Ondertussen met Ewido gescand, die heeft er enkele gevonden en verwijdert
    Dr Web vindt niets meer, dat is goed
    De boosdoener bleek
    http://www.neuber.com/taskmanager/process/dllhost.exe.html
    Alle dllhost naar de prullenbak gegooid heropgestart, alles werkt nog, prullenbak geleegd, heropgestart.

    Alle scans gedaan (Nod,Lava,Ewido,Cwshredder) , Clean system :D

    Ziet er dus weer clean uit, mocht ik iets vergeten zijn gelieve het me te melden.

    Bedankt
    Anoniem
    Anoniem
  • Als je om hulp vraagt kan je beter eerst een antwoord afwachten voor je zelf gaat rommelen, toch :-?


    Het is nu blijkbaar goed gegaan, alleen ik zou onderstaande nog even doen.



    * [u:33958c89f0]Clean de Cache and Cookies in
    Anoniem
    Anoniem
  • Deze dingen doen we elke dag, troep moet nu eenmaal weg.

    Wat ik toch wel eens wil weten is of er iets verkeerd is met mijn hijack log ?
    Anoniem
    Anoniem

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.

Gerelateerde vragen

We hebben je een e-mail gestuurd!

Oops… er ging wat mis.

Hoera, je account is nu geactiveerd!

Dit token is niet meer valide.

Wachtwoord vergeten?

Je aanvraag is verstuurd

Wachtwoord herstellen

Wachtwoord herstellen

Dit token is niet meer valide.

Je vraag is geplaatst!

Je antwoord is geplaatst!

Bevestigingsmail verstuurd!