Vraag & Antwoord

13 antwoorden

Een vriend heeft een vreemd probleem. Hij had last van een dial-up
en AdultFriendFinder, vermoedde nog meer en dacht een HJT-logje te maken.
HJT opgestart maar wordt onmiddellijk afgesloten. Als hij googled
naar Hijackthis wordt IE afgesloten (vandaar dat ik de vraag hier stel).
Zoeken in het register naar HijackThis resulteert in een foutmelding van regedit die vervolgens wordt afgesloten.
Iemand enig idee wat het is en wat eraan te doen?

Anoniem 10 november 2006 21:18

Er zijn trojans die hijackthis blokkeren. Bekijk dit eens:
http://www.spywareinfo.com/~merijn/faq.php#d_hjt4
Helpt dat niet, geef dat hier dan even aan.

Anoniem 10 november 2006 21:53

hernoem het is als [b:827a300107]analyse.exe [/b:827a300107] en probeer het dan nog eens.

Anoniem 11 november 2006 06:53

Gerben, bedankt voor je reaktie. Ik heb de miniremoval tool voor
cws_smartkiller gedraaid, maar die heeft niets gevonden.
Gisteravond had Hendrikus voor mij gepost. Nu zit ik op de pc van mijn
vrouw want zelfs het aanklikken van dit topic maakt al dat IE wordt
afgesloten.

Anoniem 11 november 2006 11:03

Het hernoemen lukt ook al niet. Het lijkt erop dat elke applicatie
allergisch is voor de naam hijackthis. Zelf Borland Builder sluit meteen af
als ik daarin de naam probeer te wijzigen.

Anoniem 11 november 2006 11:08

Lukt het hernoemen wel op de command line, al dan niet in veilige modus?

Anoniem 11 november 2006 15:14

Hernoemen is dus hijackthis.exe hernoemen naar analyse.exe dus dan zie je die naam helemaal niet meer.

Anoniem 11 november 2006 15:57

Het hernoemen via de command line lukt!
Echter geen resultaat.
De naam van de map veranderen gaat trouwens niet.
Dus een nieuwe map gemaakt en Analyse.exe daarin gestopt.
Maar ook als ProgramFiles\Analyse\Analyse.exe sluit HjT meteen weer.

Anoniem 11 november 2006 15:57

· [u:2b706ed8d6]Clean de Cache and Cookies in

Anoniem 11 november 2006 17:44

Hierbij een Combofix log; HjT gaat nog steeds niet.

Elbert - 06-11-11 20:50:43,79 Service Pack 2
ComboFix 06.11.9 - Running from: "C:\Documents and Settings\Elbert\Bureaublad"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\whitevx.lst

((((((((((((((((((((((((((((((( Files Created from 2006-10-11 to 2006-11-11 ))))))))))))))))))))))))))))))))))

2006-11-03 15:18 53,248 –a—— C:\WINDOWS\system32\Process.exe
2006-11-03 15:18 40,960 –a—— C:\WINDOWS\system32\swsc.exe
2006-11-03 15:18 288,417 –a—— C:\WINDOWS\system32\SrchSTS.exe
2006-11-03 15:18 135,168 –a—— C:\WINDOWS\system32\swreg.exe
2006-11-02 22:14 41,472 –a—— C:\WINDOWS\system32\iolobtdfg.exe
2006-11-02 22:14 25,264 –a—— C:\WINDOWS\system32\smrgdf.exe
2006-11-02 22:14 1,212,928 –a—— C:\WINDOWS\system32\Incinerator.dll
2006-11-02 08:17 128,232 –a—— C:\WINDOWS\system32\mucltui.dll
2006-11-01 21:23 221,184 –a—— C:\WINDOWS\system32\wmpns.dll
2006-11-01 21:14 95,424 ——— C:\WINDOWS\system32\drivers\slnthal.sys
2006-11-01 21:14 88,064 ——— C:\WINDOWS\system32\p2pnetsh.dll
2006-11-01 21:14 870,784 ——— C:\WINDOWS\system32\ati3d1ag.dll
2006-11-01 21:14 86,016 ——— C:\WINDOWS\system32\p2pgasvc.dll
2006-11-01 21:14 86,016 ——— C:\WINDOWS\system32\mdmxsdk.dll
2006-11-01 21:14 81,920 ——— C:\WINDOWS\system32\ieencode.dll
2006-11-01 21:14 81,408 ——— C:\WINDOWS\system32\wscsvc.dll
2006-11-01 21:14 8,192 –a—— C:\WINDOWS\system32\spdwnwxp.exe
2006-11-01 21:14 8,192 ——— C:\WINDOWS\system32\smbinst.exe
2006-11-01 21:14 78,464 ——— C:\WINDOWS\system32\drivers\usbvideo.sys
2006-11-01 21:14 75,776 ——— C:\WINDOWS\system32\strmfilt.dll
2006-11-01 21:14 73,832 ——— C:\WINDOWS\system32\slcoinst.dll
2006-11-01 21:14 73,796 ——— C:\WINDOWS\system32\slserv.exe
2006-11-01 21:14 73,216 ——— C:\WINDOWS\system32\drivers\atintuxx.sys
2006-11-01 21:14 71,680 ——— C:\WINDOWS\system32\blastcln.exe
2006-11-01 21:14 701,440 ——— C:\WINDOWS\system32\drivers\ati2mtag.sys
2006-11-01 21:14 7,680 ——— C:\WINDOWS\system32\kbdsmsno.dll
2006-11-01 21:14 7,680 ——— C:\WINDOWS\system32\kbdsmsfi.dll
2006-11-01 21:14 7,168 ——— C:\WINDOWS\system32\kbdukx.dll
2006-11-01 21:14 7,168 ——— C:\WINDOWS\system32\kbdno1.dll
2006-11-01 21:14 7,168 ——— C:\WINDOWS\system32\kbdfi1.dll
2006-11-01 21:14 685,056 ——— C:\WINDOWS\system32\drivers\hsfcxts2.sys
2006-11-01 21:14 67,584 ——— C:\WINDOWS\system32\drivers\sdbus.sys
2006-11-01 21:14 63,663 ——— C:\WINDOWS\system32\drivers\ati1rvxx.sys
2006-11-01 21:14 63,488 ——— C:\WINDOWS\system32\drivers\atinxsxx.sys
2006-11-01 21:14 60,416 ——— C:\WINDOWS\system32\fwcfg.dll
2006-11-01 21:14 6,656 ——— C:\WINDOWS\system32\kbdinmal.dll
2006-11-01 21:14 6,656 ——— C:\WINDOWS\system32\kbdinben.dll
2006-11-01 21:14 6,144 ——— C:\WINDOWS\system32\kbdmlt48.dll
2006-11-01 21:14 6,144 ——— C:\WINDOWS\system32\kbdmlt47.dll
2006-11-01 21:14 6,144 ——— C:\WINDOWS\system32\kbdinbe1.dll
2006-11-01 21:14 6,016 ——— C:\WINDOWS\system32\drivers\smbali.sys
2006-11-01 21:14 59,648 ——— C:\WINDOWS\system32\drivers\rfcomm.sys
2006-11-01 21:14 57,856 ——— C:\WINDOWS\system32\drivers\atinbtxx.sys
2006-11-01 21:14 56,623 ——— C:\WINDOWS\system32\drivers\ati1btxx.sys
2006-11-01 21:14 526,848 ——— C:\WINDOWS\system32\p2psvc.dll
2006-11-01 21:14 52,224 ——— C:\WINDOWS\system32\drivers\atinraxx.sys
2006-11-01 21:14 516,768 ——— C:\WINDOWS\system32\ativvaxx.dll
2006-11-01 21:14 50,688 ——— C:\WINDOWS\system32\btpanui.dll
2006-11-01 21:14 50,176 ——— C:\WINDOWS\system32\xmlprovi.dll
2006-11-01 21:14 5,632 ——— C:\WINDOWS\system32\kbdmaori.dll
2006-11-01 21:14 49,152 ——— C:\WINDOWS\system32\powercfg.exe
2006-11-01 21:14 48,640 ——— C:\WINDOWS\system32\pnrpnsp.dll
2006-11-01 21:14 46,464 ——— C:\WINDOWS\system32\drivers\gagp30kx.sys
2006-11-01 21:14 452,736 ——— C:\WINDOWS\system32\drivers\mtxparhm.sys
2006-11-01 21:14 44,928 ——— C:\WINDOWS\system32\drivers\agpcpq.sys
2006-11-01 21:14 44,672 ——— C:\WINDOWS\system32\drivers\uagp35.sys
2006-11-01 21:14 44,032 ——— C:\WINDOWS\system32\twext.dll
2006-11-01 21:14 43,008 ——— C:\WINDOWS\system32\drivers\amdagp.sys
2006-11-01 21:14 42,752 ——— C:\WINDOWS\system32\drivers\alim1541.sys
2006-11-01 21:14 42,368 ——— C:\WINDOWS\system32\drivers\agp440.sys
2006-11-01 21:14 42,240 ——— C:\WINDOWS\system32\drivers\viaagp.sys
2006-11-01 21:14 41,088 ——— C:\WINDOWS\system32\drivers\sisagp.sys
2006-11-01 21:14 404,990 ——— C:\WINDOWS\system32\drivers\slntamr.sys
2006-11-01 21:14 40,192 ——— C:\WINDOWS\system32\drivers\intelppm.sys
2006-11-01 21:14 4,255 ——— C:\WINDOWS\system32\drivers\adv01nt5.dll
2006-11-01 21:14 397,056 ——— C:\WINDOWS\system32\s3gnb.dll
2006-11-01 21:14 38,016 ——— C:\WINDOWS\system32\drivers\bthmodem.sys
2006-11-01 21:14 377,984 ——— C:\WINDOWS\system32\ati2dvaa.dll
2006-11-01 21:14 36,463 ——— C:\WINDOWS\system32\drivers\ati1tuxx.sys
2006-11-01 21:14 35,456 ——— C:\WINDOWS\system32\drivers\bthprint.sys
2006-11-01 21:14 34,735 ——— C:\WINDOWS\system32\drivers\ati1xsxx.sys
2006-11-01 21:14 327,168 ——— C:\WINDOWS\system32\drivers\ati2mtaa.sys
2006-11-01 21:14 32,866 ——— C:\WINDOWS\system32\slrundll.exe
2006-11-01 21:14 32,866 ——— C:\WINDOWS\slrundll.exe
2006-11-01 21:14 32,768 ——— C:\WINDOWS\system32\ativtmxx.dll
2006-11-01 21:14 32,285 ——— C:\WINDOWS\system32\hsfcisp2.dll
2006-11-01 21:14 312,320 ——— C:\WINDOWS\system32\p2pgraph.dll
2006-11-01 21:14 31,744 ——— C:\WINDOWS\system32\drivers\atinxbxx.sys
2006-11-01 21:14 30,671 ——— C:\WINDOWS\system32\drivers\ati1raxx.sys
2006-11-01 21:14 30,208 ——— C:\WINDOWS\system32\bthserv.dll
2006-11-01 21:14 30,080 ——— C:\WINDOWS\system32\drivers\rndismpx.sys
2006-11-01 21:14 3,967 ——— C:\WINDOWS\system32\drivers\adv02nt5.dll
2006-11-01 21:14 3,901 ——— C:\WINDOWS\system32\drivers\siint5.dll
2006-11-01 21:14 3,775 ——— C:\WINDOWS\system32\drivers\adv11nt5.dll
2006-11-01 21:14 3,711 ——— C:\WINDOWS\system32\drivers\adv09nt5.dll
2006-11-01 21:14 3,647 ——— C:\WINDOWS\system32\drivers\adv07nt5.dll
2006-11-01 21:14 3,615 ——— C:\WINDOWS\system32\drivers\adv05nt5.dll
2006-11-01 21:14 3,135 ——— C:\WINDOWS\system32\drivers\adv08nt5.dll
2006-11-01 21:14 29,455 ——— C:\WINDOWS\system32\drivers\ati1xbxx.sys
2006-11-01 21:14 29,184 ——— C:\WINDOWS\system32\sdhcinst.dll
2006-11-01 21:14 29,056 ——— C:\WINDOWS\system32\drivers\ip6fw.sys
2006-11-01 21:14 286,792 ——— C:\WINDOWS\system32\slextspk.dll
2006-11-01 21:14 28,672 ——— C:\WINDOWS\system32\drivers\atinsnxx.sys
2006-11-01 21:14 274,816 ——— C:\WINDOWS\system32\drivers\bthport.sys
2006-11-01 21:14 262,784 ——— C:\WINDOWS\system32\drivers\http.sys
2006-11-01 21:14 26,367 ——— C:\WINDOWS\system32\drivers\ati1snxx.sys
2006-11-01 21:14 25,728 ——— C:\WINDOWS\system32\drivers\hidbth.sys
2006-11-01 21:14 25,471 ——— C:\WINDOWS\system32\drivers\watv10nt.sys
2006-11-01 21:14 25,471 ——— C:\WINDOWS\system32\drivers\atv04nt5.dll
2006-11-01 21:14 24,576 ——— C:\WINDOWS\system32\httpapi.dll
2006-11-01 21:14 23,040 –a—— C:\WINDOWS\system32\fltmc.exe
2006-11-01 21:14 229,376 ——— C:\WINDOWS\system32\ati2cqag.dll
2006-11-01 21:14 220,032 ——— C:\WINDOWS\system32\drivers\hsfbs2s2.sys
2006-11-01 21:14 22,271 ——— C:\WINDOWS\system32\drivers\watv06nt.sys
2006-11-01 21:14 21,504 ——— C:\WINDOWS\system32\spupdwxp.exe
2006-11-01 21:14 21,343 ——— C:\WINDOWS\system32\drivers\ati1ttxx.sys
2006-11-01 21:14 21,183 ——— C:\WINDOWS\system32\drivers\atv01nt5.dll
2006-11-01 21:14 201,728 ——— C:\WINDOWS\system32\ati2dvag.dll
2006-11-01 21:14 20,992 ——— C:\WINDOWS\system32\faxpatch.exe
2006-11-01 21:14 20,992 ——— C:\WINDOWS\system32\bthci.dll
2006-11-01 21:14 193,024 ——— C:\WINDOWS\system32\fsquirt.exe
2006-11-01 21:14 188,508 ——— C:\WINDOWS\system32\slgen.dll
2006-11-01 21:14 180,360 ——— C:\WINDOWS\system32\drivers\ntmtlfax.sys
2006-11-01 21:14 18,944 ——— C:\WINDOWS\system32\drivers\bthusb.sys
2006-11-01 21:14 17,408 ——— C:\WINDOWS\system32\winshfhc.dll
2006-11-01 21:14 17,279 ——— C:\WINDOWS\system32\drivers\atv10nt5.dll
2006-11-01 21:14 17,024 ——— C:\WINDOWS\system32\drivers\bthenum.sys
2006-11-01 21:14 166,912 ——— C:\WINDOWS\system32\drivers\s3gnbm.sys
2006-11-01 21:14 16,896 –a—— C:\WINDOWS\system32\fltlib.dll
2006-11-01 21:14 15,872 ——— C:\WINDOWS\system32\w3ssl.dll
2006-11-01 21:14 15,488 ——— C:\WINDOWS\system32\drivers\mssmbios.sys
2006-11-01 21:14 15,423 ——— C:\WINDOWS\system32\drivers\ch7xxnt5.dll
2006-11-01 21:14 15,104 ——— C:\WINDOWS\system32\drivers\hidir.sys
2006-11-01 21:14 14,336 ——— C:\WINDOWS\system32\drivers\atinpdxx.sys
2006-11-01 21:14 14,336 ——— C:\WINDOWS\system32\auditusr.exe
2006-11-01 21:14 14,143 ——— C:\WINDOWS\system32\drivers\atv06nt5.dll
2006-11-01 21:14 13,824 ——— C:\WINDOWS\system32\wscntfy.exe
2006-11-01 21:14 13,824 ——— C:\WINDOWS\system32\drivers\atinttxx.sys
2006-11-01 21:14 13,824 ——— C:\WINDOWS\system32\drivers\atinmdxx.sys
2006-11-01 21:14 13,824 ——— C:\WINDOWS\system32\cmsetacl.dll
2006-11-01 21:14 13,776 ——— C:\WINDOWS\system32\drivers\recagent.sys
2006-11-01 21:14 13,568 ——— C:\WINDOWS\system32\drivers\wacompen.sys
2006-11-01 21:14 13,240 ——— C:\WINDOWS\system32\drivers\slwdmsup.sys
2006-11-01 21:14 129,536 ——— C:\WINDOWS\system32\xmlprov.dll
2006-11-01 21:14 129,535 ——— C:\WINDOWS\system32\drivers\slnt7554.sys
2006-11-01 21:14 128,896 ——— C:\WINDOWS\system32\drivers\fltmgr.sys
2006-11-01 21:14 126,686 ——— C:\WINDOWS\system32\drivers\mtlmnt5.sys
2006-11-01 21:14 12,672 ——— C:\WINDOWS\system32\drivers\usb8023x.sys
2006-11-01 21:14 12,672 ——— C:\WINDOWS\system32\drivers\mutohpen.sys
2006-11-01 21:14 12,047 ——— C:\WINDOWS\system32\drivers\ati1pdxx.sys
2006-11-01 21:14 118,784 ——— C:\WINDOWS\system32\msdadiag.dll
2006-11-01 21:14 116,224 ——— C:\WINDOWS\system32\p2p.dll
2006-11-01 21:14 11,935 ——— C:\WINDOWS\system32\drivers\wadv11nt.sys
2006-11-01 21:14 11,871 ——— C:\WINDOWS\system32\drivers\wadv09nt.sys
2006-11-01 21:14 11,868 ——— C:\WINDOWS\system32\drivers\mdmxsdk.sys
2006-11-01 21:14 11,807 ——— C:\WINDOWS\system32\drivers\wadv07nt.sys
2006-11-01 21:14 11,615 ——— C:\WINDOWS\system32\drivers\ati1mdxx.sys
2006-11-01 21:14 11,359 ——— C:\WINDOWS\system32\drivers\atv02nt5.dll
2006-11-01 21:14 11,325 ——— C:\WINDOWS\system32\drivers\vchnt5.dll
2006-11-01 21:14 11,295 ——— C:\WINDOWS\system32\drivers\wadv08nt.sys
2006-11-01 21:14 11,136 ——— C:\WINDOWS\system32\drivers\sffdisk.sys
2006-11-01 21:14 108,032 ——— C:\WINDOWS\system32\wshbth.dll
2006-11-01 21:14 104,960 ——— C:\WINDOWS\system32\drivers\atinrvxx.sys
2006-11-01 21:14 100,992 ——— C:\WINDOWS\system32\drivers\bthpan.sys
2006-11-01 21:14 10,240 ——— C:\WINDOWS\system32\drivers\sffp_sd.sys
2006-11-01 21:14 1,888,992 ——— C:\WINDOWS\system32\ati3duag.dll
2006-11-01 21:14 1,737,856 ——— C:\WINDOWS\system32\mtxparhd.dll
2006-11-01 21:14 1,309,184 ——— C:\WINDOWS\system32\drivers\mtlstrm.sys
2006-11-01 21:14 1,041,536 ——— C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2006-11-01 21:13 9,728 ——— C:\WINDOWS\system32\comsdupd.exe
2006-11-01 21:13 40,832 ——— C:\WINDOWS\system32\drivers\irbus.sys
2006-11-01 21:13 11,776 ——— C:\WINDOWS\system32\spnpinst.exe
2006-11-01 20:56 614,912 –a—— C:\WINDOWS\system32\h323msp.dll
2006-11-01 20:56 39,936 –a—— C:\WINDOWS\system32\mf3216.dll
2006-11-01 20:56 332,288 –a—— C:\WINDOWS\system32\ipnathlp.dll
2006-11-01 20:54 947,472 –a—— C:\WINDOWS\system32\msjava.dll
2006-11-01 20:54 63,248 –a—— C:\WINDOWS\system32\javaprxy.dll
2006-11-01 20:54 49,424 –a—— C:\WINDOWS\system32\clspack.exe
2006-11-01 20:54 46,352 –a—— C:\WINDOWS\setdebug.exe
2006-11-01 20:54 404,752 –a—— C:\WINDOWS\system32\javart.dll
2006-11-01 20:54 313,856 –a—— C:\WINDOWS\system32\dx3j.dll
2006-11-01 20:54 286,992 –a—— C:\WINDOWS\system32\vmhelper.dll
2006-11-01 20:54 21,264 –a—— C:\WINDOWS\system32\msjdbc10.dll
2006-11-01 20:54 187,152 –a—— C:\WINDOWS\system32\javacypt.dll
2006-11-01 20:54 172,304 –a—— C:\WINDOWS\system32\jview.exe
2006-11-01 20:54 171,792 –a—— C:\WINDOWS\system32\wjview.exe
2006-11-01 20:54 171,280 –a—— C:\WINDOWS\system32\jit.dll
2006-11-01 20:54 154,384 –a—— C:\WINDOWS\system32\msawt.dll
2006-11-01 20:54 15,120 –a—— C:\WINDOWS\system32\jdbgmgr.exe
2006-11-01 20:54 139,536 –a—— C:\WINDOWS\system32\javaee.dll
2006-11-01 20:54 113 –a—— C:\WINDOWS\system32\zonedon.reg
2006-11-01 20:54 113 –a—— C:\WINDOWS\system32\zonedoff.reg
2006-11-01 20:41 1,092,096 –a—— C:\WINDOWS\system32\esent.dll
2006-11-01 20:35 22,752 –a—— C:\WINDOWS\system32\spupdsvc.exe
2006-11-01 20:25 351,232 –a—— C:\WINDOWS\system32\winhttp.dll
2006-11-01 20:25 18,944 –a—— C:\WINDOWS\system32\qmgrprxy.dll
2006-10-28 17:19 125,208 –a—— C:\WINDOWS\system32\wuauclt.exe
2006-10-28 17:19 1,343,768 –a—— C:\WINDOWS\system32\wuaueng.dll
2006-10-28 17:11 24,661 –a—— C:\WINDOWS\system32\spxcoins.dll
2006-10-28 17:11 13,312 –a—— C:\WINDOWS\system32\irclass.dll

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-11-11 16:37 ——– d——– C:\Program Files\Analyse
2006-11-11 14:42 ——– d——– C:\Program Files\XoftSpySE
2006-11-03 11:09 ——– d——– C:\Program Files\hijackthis
2006-09-13 06:07 1084416 –a—— C:\WINDOWS\system32\msxml3.dll
2006-09-03 20:07 12288 –a—— C:\WINDOWS\system32\dkha.dll
2006-08-25 16:51 617472 –a—— C:\WINDOWS\system32\comctl32.dll
2006-08-16 12:59 100352 –a—— C:\WINDOWS\system32\6to4svc.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"SMSystemAnalyzer"="\"C:\\Program Files\\iolo\\System Mechanic 6\\SMSystemAnalyzer.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"LiveNote"="livenote.exe"
"TkBellExe"="\"C:\\Program Files\\Common Files\\Real\\Update_OB\\realsched.exe\" -osboot"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"anvshell"="anvshell.exe"
"SoundMan"="SOUNDMAN.EXE"
"Windows Defender"="\"C:\\Program Files\\Windows Defender\\MSASCui.exe\" -hide"
"Windows Defender"="\"C:\\Program Files\\Windows Defender\\MSASCui.exe\" -hide"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Mijn huidige introductiepagina"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,96,00,00,00,00,00,00,00,6a,04,00,00,e2,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,96,00,00,00,00,00,00,00,6a,04,00,00,e2,03,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Preloader van browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Cache-daemon voor onderdeelcategorieën"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}"="Eudora's Shell Extension"
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoBandCustomize"=dword:00000000
"NoActiveDesktop"=dword:00000000
"ClassicShell"=dword:00000000
"ForceActiveDesktopOn"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\XoftSpySE.job
C:\WINDOWS\tasks\MP Scheduled Scan.job

Completion time: 06-11-11 20:53:46.64
C:\ComboFix.txt … 06-11-11 20:53

Anoniem 12 november 2006 09:13

Download gmer.zip, en pak het uit op je Bureaublad.
Dubbelklik op gmer.exe om het te starten.
Wanneer je de vraag krijgt om je systeem te scannen, klik je op "ja".
Nadien klik je op het tabblad "Rootkit".
NA de scan: Klik op de knop "Copy" (rechts beneden)
Open een kladblokbestand.
Rechtsklik in dit bestand, en kies voor plakken. Sla dit bestandje op als [b:694e09a2f1]gmerlog.txt [/b:694e09a2f1]
Plaats in je volgende antwoord de inhoud van [b:694e09a2f1]gmerlog.txt.[/b:694e09a2f1]

Laat ook catchme. Eens runnen

Download Catchme: http://www.gmer.net/catchme.exe
Plaats het op je bureaublad.
Dubbelklik op catchme.exe om de tool te starten.
Wanneer de tool klaar is, post je de inhoud van het bestand [b:694e09a2f1]catchme.log[/b:694e09a2f1] dat op je bureaublad staat.

Anoniem 12 november 2006 10:12

Nou zeg, als ik gmer invoer in de adresbalk of google dan wordt IE ook
afgesloten; dat betekent vast wel iets?
Dus toen maar opgehaald met de andere PC, hernoemd als gtest en op
mn eigen PC geprobeerd te draaien. Maar helaas het wordt ook weer
meteen afgesloten.
Catchme lukt overigens wel; dus hier volgt het logje.

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

detected NTDLL code modification:
ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation

scanning hidden processes …

scanning hidden services …

scanning hidden autostart entries …

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = \\?\C:\WINDOWS\System32\lpt4.ixc
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System = csjjh.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = c:\windows\system32\userinit.exe,"c:\windows\corelspeed.exe",
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
dmnxd.exe = C:\WINDOWS\system32\dmnxd.exe

scanning hidden files …

C:\WINDOWS\system32\csjjh.exe 57344 bytes
C:\WINDOWS\system32\dmnxd.exe 65536 bytes
C:\WINDOWS\system32\six.exe 32768 bytes
C:\WINDOWS\system32\{15323D4C-2388-42CC-9E08-08FF520CE5C2}.exe 8192 bytes
C:\WINDOWS\system32\lpt4.ixc 147456 bytes
C:\WINDOWS\jsuwa1.dll 73728 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 6

Anoniem 12 november 2006 13:26

Hallo weer,

Na enig overleg komen we tot onderstaande conclusie.

Je zit met een rootkit [b:f9b4b0c452]Linktoptimizer.[/b:f9b4b0c452]
Download op onderstaande pagina de [b:f9b4b0c452] Gromozon Rootkit Removal Tool[/b:f9b4b0c452]
http://www.prevx.com/gromozon.asp

Tooltje zal je wel via een andere pc moeten downloaden, omdat de site ook geblokkeerd zal worden.

Indien het niet werkt moet je het tooltje laten hernoemen en dan laten runnen.

Indien niets gevonden wordt, toch de removalprocess verder zetten, en plaats na reboot{herstart} van de pc het logje :
Die zou hier moeten staan. [b:f9b4b0c452]c:\gromozon_removal.log[/b:f9b4b0c452]

Mocht bovenstaande gelukt zijn dan kan je onderstaande proberen.

Download de

Anoniem 12 november 2006 17:34

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.

Vraag & Antwoord

HijackThis werkt niet meer

Beantwoord deze vraag

Gerelateerde vragen

Inloggen

Registreren

We hebben je een e-mail gestuurd!

Oops… er ging wat mis.

Hoera, je account is nu geactiveerd!

Dit token is niet meer valide.

Wachtwoord vergeten?

Je aanvraag is verstuurd

Wachtwoord herstellen

Wachtwoord herstellen

Dit token is niet meer valide.

Bedankt!

Je vraag is geplaatst!

Je antwoord is geplaatst!

Bevestigingsmail verstuurd!