Vraag & Antwoord

Beveiliging & privacy

Hijack log & Malware probleem

Anoniem
None
8 antwoorden
  • Heb eerst de volgende laten lopen

    Spybot
    Adaware
    Cwshredder

    Dan het Hijack voor een analyze

    O4 - HKLM\..\Run: [Jet Detection] H:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
    O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
    O4 - HKLM\..\Run: [DLLHOST] H:\WINDOWS\system32\dllhost32.exe
    O4 - HKCU\..\Run: [ccleaner] "H:\Program Files\CCleaner\ccleaner.exe" /AUTO
    O4 - HKCU\..\Run: [DLLHOST] H:\WINDOWS\system32\dllhost32.exe
    O4 - HKCU\..\Run: [AWMON] "H:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
    O4 - Startup: Wallpaper Changer.lnk = H:\Program Files\WallpaperToy\Wallpapertoy.Exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Snelle start.lnk = H:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - H:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{082FB78C-18F1-4695-9B16-74D5624CB982}: NameServer = 193.121.171.135 194.119.228.67
    O20 - AppInit_DLLs: H:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
    O23 - Service: Adobe LM Service - Unknown owner - H:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - H:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: NBService - Nero AG - H:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - H:\Program Files\Eset\nod32krn.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - H:\Program Files\Agnitum\Outpost Firewall\outpost.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - H:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - H:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

    Please check it out
  • je hebt maar een halve erop staan

    ook het bovengedeelte is belangrijk voor de expers
  • Deze zou het dan moeten zijn, thanks

    Logfile of HijackThis v1.99.1
    Scan saved at 18:31:25, on 11/09/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\system32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\System32\svchost.exe
    H:\WINDOWS\system32\spoolsv.exe
    H:\WINDOWS\system32\CTsvcCDA.EXE
    H:\WINDOWS\eHome\ehRecvr.exe
    H:\WINDOWS\Explorer.EXE
    H:\WINDOWS\eHome\ehSched.exe
    H:\Program Files\Eset\nod32krn.exe
    H:\WINDOWS\system32\nvsvc32.exe
    H:\Program Files\Agnitum\Outpost Firewall\outpost.exe
    H:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
    H:\WINDOWS\system32\MsPMSPSv.exe
    H:\WINDOWS\system32\dllhost.exe
    H:\WINDOWS\ehome\ehtray.exe
    H:\WINDOWS\system32\CTHELPER.EXE
    H:\Program Files\Eset\nod32kui.exe
    H:\PROGRA~1\COPPER~1\BIN\WIN2K\tidslmon.exe
    H:\Program Files\Common Files\Ulead Systems\DVD\USISrv.exe
    H:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    H:\WINDOWS\eHome\ehmsas.exe
    H:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    H:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
    H:\Program Files\Logitech\MouseWare\system\em_exec.exe
    H:\Program Files\WallpaperToy\Wallpapertoy.Exe
    H:\Program Files\Mozilla Firefox\firefox.exe
    C:\Safety\hijackthis\HijackThis.exe

    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O4 - HKLM\..\Run: [ehTray] H:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [nod32kui] "H:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [TIxDSL] H:\PROGRA~1\COPPER~1\BIN\WIN2K\tidslmon.exe
    O4 - HKLM\..\Run: [Outpost Firewall] H:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
    O4 - HKLM\..\Run: [OutpostFeedBack] H:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
    O4 - HKLM\..\Run: [USIUDF_Eject_Monitor] H:\Program Files\Common Files\Ulead Systems\DVD\USISrv.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] H:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [NeroFilterCheck] H:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [CTStartup] H:\Program Files\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
    O4 - HKLM\..\Run: [Jet Detection] H:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
    O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
    O4 - HKLM\..\Run: [DLLHOST] H:\WINDOWS\system32\dllhost32.exe
    O4 - HKCU\..\Run: [ccleaner] "H:\Program Files\CCleaner\ccleaner.exe" /AUTO
    O4 - HKCU\..\Run: [DLLHOST] H:\WINDOWS\system32\dllhost32.exe
    O4 - HKCU\..\Run: [AWMON] "H:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
    O4 - Startup: Wallpaper Changer.lnk = H:\Program Files\WallpaperToy\Wallpapertoy.Exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Snelle start.lnk = H:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - H:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{082FB78C-18F1-4695-9B16-74D5624CB982}: NameServer = 193.121.171.135 194.119.228.67
    O20 - AppInit_DLLs: H:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
    O23 - Service: Adobe LM Service - Unknown owner - H:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - H:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: NBService - Nero AG - H:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - H:\Program Files\Eset\nod32krn.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - H:\Program Files\Agnitum\Outpost Firewall\outpost.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - H:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - H:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
  • Dit beestje wil er maar niet af, na elke reboot is ie er terug en actief



    Ad-Aware SE Scanning Result, 11-09-2006 23:19:13
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    Name Type Category Object Comment
    Win32.Trojan.Downloader Regkey Malware

    HKEY_LOCAL_MACHINE:software\microsoft\active setup\installed components\{9b71d88c-c598-4935-c5d1-43aa4db90836}\

    Hoe maak ik daar nu een einde aan.
  • Hai,

    sorry ik zag nu pas dat dit berichtje er stond.

    Zet eerst je ad-watch van ad-aware even uit, die kan de fix in de weg zitten.

    Download [b:f89ff0b391] naar je Bureaublad:[list:f89ff0b391][*:f89ff0b391]Dubbelklik [b:f89ff0b391]drweb-cureit.exe[/b:f89ff0b391] en sta het toe om de express scan te starten.
    [*:f89ff0b391]Dit zal de bestanden scannen die momenteel in het geheugen geladen zijn en wanneer er iets gevonden wordt,
    klik de [b:f89ff0b391]Yes to all[/b:f89ff0b391] knop bij de vraag 'cure it?'. Dit is enkel een korte scan.
    [*:f89ff0b391]Eenmaal de korte scan is beeïndigd, kan je de drives selecteren die je wilt laten scannen.
    [*:f89ff0b391]Selecteer hier [b:f89ff0b391]alle drives[/b:f89ff0b391]. Een rood bolletje zal dan tevoorschijn komen op de drives die je laat scannen.
    [*:f89ff0b391]Klik daarna de [b:f89ff0b391]groene pijl[/b:f89ff0b391] rechts om de scan te starten.
    [*:f89ff0b391]Klik [b:f89ff0b391]Yes to all[/b:f89ff0b391] wanneer er gevraagd wordt om cure of move uit te voeren.
    [*:f89ff0b391]Wanneer de scan beëindigd is, kijk of je kunt op het icoontje naast de gevonden bestanden klikken: [img:f89ff0b391]http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif[/img:f89ff0b391]
    [*:f89ff0b391]Indien ja,klik er op en klik vervolgens op het icoontje er juist onder en selecteer [b:f89ff0b391]Move incurable[/b:f89ff0b391] zoals je hier ziet:
    [img:f89ff0b391]http://users.telenet.be/bluepatchy/miekiemoes/images/move.gif[/img:f89ff0b391]
    Dit verplaatst gevonden bestanden naar de "%userprofile%\DoctorWeb\quarantaine-map" indien herstel niet mogelijk is.
    [*:f89ff0b391]Nadat de scan gedaan is, in het menu bovenaan, klik [b:f89ff0b391]File[/b:f89ff0b391] en kies [b:f89ff0b391]Save report List[/b:f89ff0b391]. Bewaar het op je Bureaublad.
    [*:f89ff0b391]Sluit daarna Dr.Web Cureit.
    [*:f89ff0b391][b:f89ff0b391]Herstart[/b:f89ff0b391] je computer!! [i:f89ff0b391]Belangrijke stap, want het kan zijn dat Dr.Web Cureit bestanden zal verplaatsen/verwijderen tijdens herstart[/i:f89ff0b391].
    [*:f89ff0b391]Na het herstarten, [b:f89ff0b391]kopieer en plak de inhoud van die log die je eerder hebt bewaard in je volgende post[/b:f89ff0b391].
    [/list:u:f89ff0b391]
  • Ondertussen met Ewido gescand, die heeft er enkele gevonden en verwijdert
    Dr Web vindt niets meer, dat is goed
    De boosdoener bleek
    http://www.neuber.com/taskmanager/process/dllhost.exe.html
    Alle dllhost naar de prullenbak gegooid heropgestart, alles werkt nog, prullenbak geleegd, heropgestart.

    Alle scans gedaan (Nod,Lava,Ewido,Cwshredder) , Clean system :D

    Ziet er dus weer clean uit, mocht ik iets vergeten zijn gelieve het me te melden.

    Bedankt
  • Als je om hulp vraagt kan je beter eerst een antwoord afwachten voor je zelf gaat rommelen, toch :-?


    Het is nu blijkbaar goed gegaan, alleen ik zou onderstaande nog even doen.



    * [u:33958c89f0]Clean de Cache and Cookies in
  • Deze dingen doen we elke dag, troep moet nu eenmaal weg.

    Wat ik toch wel eens wil weten is of er iets verkeerd is met mijn hijack log ?

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.