Vraag & Antwoord

Beveiliging & privacy

hjt-log na msn virus

Anoniem
juisterr
11 antwoorden
 • goeiedag, ik heb OOK het msn virus gehad, zouden jullie ff willen kijken hoe het volgende log eruit ziet? mvg dennis!

  Logfile of Trend Micro HijackThis v2.0.0 (BETA)
  Scan saved at 19:23:42, on 24-6-2007
  Platform: Windows Vista (WinNT 6.00.1904)
  Boot mode: Normal

  Running processes:
  C:\Windows\system32\taskeng.exe
  C:\Windows\system32\Dwm.exe
  C:\Windows\Explorer.EXE
  C:\Program Files\Windows Defender\MSASCui.exe
  C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
  C:\Windows\System32\igfxtray.exe
  C:\Windows\System32\hkcmd.exe
  C:\Windows\System32\igfxpers.exe
  C:\Program Files\Common Files\Symantec Shared\ccApp.exe
  C:\Program Files\HP\QuickPlay\QPService.exe
  C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
  C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
  C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
  C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
  C:\Program Files\Java\jre1.6.0\bin\jusched.exe
  C:\Program Files\Windows Sidebar\sidebar.exe
  C:\Program Files\MSN Messenger\msnmsgr.exe
  C:\Windows\ehome\ehtray.exe
  C:\Program Files\Windows Media Player\wmpnscfg.exe
  C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
  C:\Windows\ehome\ehmsas.exe
  C:\Program Files\Windows Sidebar\sidebar.exe
  C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
  C:\Users\chimpie\Desktop\HiJackThis_v2.exe

  O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
  O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
  O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
  O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
  O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
  O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
  O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
  O23 - Service: Wachtwoordvalidatie voor Symantec IS (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exe
  O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
  O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
  O23 - Service: Planner voor Automatische LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
  O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
  O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
  O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
  O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
  O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe


  End of file - 3405 bytes
 • maak dit logje nog maar eens een keer, ik mis een hele berg regels erin.
  het tweede deel begint direct met O23 regels dat hoort niet.
 • wanneer ik nu op hjt klik, en uitvoeren kies zegt ie hjt is already running..

  en vervolgens verschijnt er hetzelfde kleine logje op mn bureaublad..
 • heb hjt ff via taakbeheer uitgeschakeld, en opnieuw laten starten, hier het log:

  Logfile of Trend Micro HijackThis v2.0.0 (BETA)
  Scan saved at 20:27:23, on 24-6-2007
  Platform: Windows Vista (WinNT 6.00.1904)
  Boot mode: Normal

  Running processes:
  C:\Windows\system32\taskeng.exe
  C:\Windows\system32\Dwm.exe
  C:\Windows\Explorer.EXE
  C:\Program Files\Windows Defender\MSASCui.exe
  C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
  C:\Windows\System32\igfxtray.exe
  C:\Windows\System32\hkcmd.exe
  C:\Windows\System32\igfxpers.exe
  C:\Program Files\Common Files\Symantec Shared\ccApp.exe
  C:\Program Files\HP\QuickPlay\QPService.exe
  C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
  C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
  C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
  C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
  C:\Program Files\Java\jre1.6.0\bin\jusched.exe
  C:\Program Files\Windows Sidebar\sidebar.exe
  C:\Program Files\MSN Messenger\msnmsgr.exe
  C:\Windows\ehome\ehtray.exe
  C:\Program Files\Windows Media Player\wmpnscfg.exe
  C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
  C:\Windows\ehome\ehmsas.exe
  C:\Program Files\Windows Sidebar\sidebar.exe
  C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
  C:\Program Files\Internet Explorer\ieuser.exe
  C:\Program Files\Internet Explorer\iexplore.exe
  C:\Windows\system32\Taskmgr.exe
  C:\Users\chimpie\Desktop\HiJackThis_v2.exe
  C:\Windows\system32\DllHost.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/ig?hl=nl
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=NL_NL&c=71&bd=PRESARIO&pf=laptop
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=NL_NL&c=71&bd=PRESARIO&pf=laptop
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
  O1 - Hosts: ::1 localhost
  O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
  O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
  O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
  O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
  O3 - Toolbar: Norton-werkbalk weergeven - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
  O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
  O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
  O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
  O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
  O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
  O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
  O4 - HKLM\..\Run: [osCheck] "c:\Program Files\Norton Internet Security\osCheck.exe"
  O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
  O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
  O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
  O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
  O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
  O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
  O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
  O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
  O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
  O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
  O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
  O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
  O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
  O4 - Startup: OpenOffice.org 2.2 .lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
  O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
  O4 - Global Startup: BTTray.lnk = ?
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
  O8 - Extra context menu item: Verzenden naar &Bluetooth-apparaat… - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
  O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
  O13 - Gopher Prefix:
  O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqnbk/downloads/sysinfo.cab
  O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/VistaMSNPUpldnl-nl.cab
  O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
  O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.hema.nl/site/xupload/XUpload.ocx
  O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
  O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
  O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
  O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
  O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
  O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
  O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
  O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
  O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
  O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
  O23 - Service: Wachtwoordvalidatie voor Symantec IS (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exe
  O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
  O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
  O23 - Service: Planner voor Automatische LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
  O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
  O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
  O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
  O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
  O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe


  End of file - 8694 bytes  hij geeft wel aan dat ie misschien niet alles heeft staan en dat ik dan als administrator moet scannen, dit levert dus dat kleine logje op..

  mvg dennis
 • zal hier de melding even typen:

  for some reason your system denied write access to the host file. if any hijacked domaines are in this file hjt may not be able to fix this.

  if that happens you need to edit the file yourself. to do this, click start, run and type:

  notepad C:\windows\system32\drivers\etc\hosts

  and press enter. find the lines hjt reports and delete them.

  en dan nog wat…
 • Start Hijackthis op en kies voor 'Do a system scan only'
  Selecteer alleen de items die hieronder zijn genoemd:
  [b:5dde274161]
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
  O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
  O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
  [/b:5dde274161]
  Sluit alle vensters behalve Hijackthis
  Klik op 'Fix checked' om de items te verwijderen.

  Open de verkenner ("Mijn Computer";) en kies [b:5dde274161]Extra[/b:5dde274161] -> [b:5dde274161]Mapopties…[/b:5dde274161]
  Controleer onder [b:5dde274161]Weergave[/b:5dde274161] de volgende instellingen:

  Uitzetten: Beveiligde besturingssysteembestanden verbergen (aanbevolen)
  Uitzetten: Extensies voor bekende bestandstypen verbergen

  Selecteer: De inhoud van systeemmappen weergeven (alleen bij XP)
  Selecteer: Verborgen bestanden en mappen weergeven

  Verwijder de volgende bestanden:
  %WINDIR%\SMINST\[b:5dde274161]launcher.exe[/b:5dde274161]

  Download [b:5dde274161]Combofix[/b:5dde274161] naar je Bureaublad.[list:5dde274161]
  Dubbelklik op [b:5dde274161]Combofix.exe[/b:5dde274161]
  Volg de instructies, aanvaard de disclaimer door [b:5dde274161]1[/b:5dde274161] (continue) te typen.
  Tijdens het runnen van de fix, [b:5dde274161]NIET[/b:5dde274161] in het venster klikken, want dit zal je pc doen vasthangen.[/list:u:5dde274161]
  Wanneer de fix voltooid is en na herstart, zal de log [b:5dde274161]combofix.txt[/b:5dde274161] openen.
  [i:5dde274161]Plaats deze log in je volgende post samen met een nieuw HijackThis log.[/i:5dde274161]

  Opmerking: Indien je virusscanner reageert met een melding van een scriptuitvoering, mag je dit negeren.
 • heb hjt uitgevoerd, combofix werkt helaas niet op vista.. andere suggesties?
  mvg dennis
 • http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe
  deze zou het wel moeten doen. Tja Vista he :-?


  Ik hoop dat deze het doet. Zo niet even melden aub.

  Download [b:6412eaaefd]Dr.Web CureIt[/b:6412eaaefd] naar je bureaublad:
  ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

  Dubbelklik [b:6412eaaefd]drweb-cureit.exe[/b:6412eaaefd] en sta het toe om de express scan te starten.
  Dit zal de bestanden scannen die momenteel in het geheugen geladen zijn en wanneer er iets gevonden wordt, klik de Yes to all knop bij de vraag 'cure it?'. Dit is enkel een korte scan.
  Eenmaal de korte scan is beeïndigd, Klik [b:6412eaaefd]Options[/b:6412eaaefd] > Change Settings
  Kies de "Scan"-tab en verwijder het vinkje bij "Heuristic analyse"
  Terug in het hoofdvenster kan je de drives selecteren die je wilt laten scannen.
  Selecteer hier alle drives. Een rood bolletje zal dan tevoorschijn komen op de drives die je laat scannen.
  Klik daarna de [b:6412eaaefd]groene pijl[/b:6412eaaefd] rechts om de scan te starten.
  Klik 'Yes to all' wanneer er gevraagd wordt om cure of move uit te voeren.
  Wanneer de scan gedaan is, kijk of je volgende icoontje kan aanklikken dat staat naast hetgeen gevonden werd: [img:6412eaaefd]http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif[/img:6412eaaefd]
  Indien wel, klik erop en daarna klik op het icoontje er net onder en kies: [b:6412eaaefd]Move incurable[/b:6412eaaefd] zoals je zal zien in volgende afbeelding:
  [img:6412eaaefd]http://users.telenet.be/bluepatchy/miekiemoes/images/move.gif[/img:6412eaaefd]
  Dit zal de bestanden verplaatsen naar volgende map %userprofile%\DoctorWeb\quarantaine-folder indien het niet gedesinfecteerd kan worden. (dit in het geval dat we samples nodig hebben)
  Na bovenstaande te selecteren, in het menu bovenaan van Dr.Web CureIt, klik [b:6412eaaefd]file[/b:6412eaaefd] en kies [b:6412eaaefd]save report list[/b:6412eaaefd]. Bewaar de log op je bureaublad.
  Sluit daarna Dr.Web Cureit.

  [b:6412eaaefd]Herstart[/b:6412eaaefd] je computer!! Belangrijke stap, want het kan zijn dat Dr.Web Cureit bestanden zal verplaatsen/verwijderen tijdens herstart.
  Na het herstarten, Kopieer en plak de inhoud van die log die je eerder hebt bewaard in je volgende post.
 • hij opent het log in excel, kan dus beetje moeilijk hier plaatsen.. maar zal het hieronder even weergeven:

  defrag.jsC:\Program Files\Hewlett-Packard\HP Health Check\ActiveCheck\objectsModification of VBS.Generic.217
  Moved.


  dat is alles wat er staat, hoop dat je er wat mee kunt.
  mvg dennis
 • ja hoor, hij doet het iig.

  Heb je nog klachten????????
 • nee eigenlijk niet.. heb ook het idee dat ie 10 x sneller opstart.. bedankt voor de hulp weer super fijn!
  mvg dennis!

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.