Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Hijackthis log. Gehackt?

Anoniem
TheOnlyWay
10 antwoorden
  • Hallo best CT leden.

    Vanwege crash van mijn windows Vista, die niet meer opstarten wil heb ik een dualboot gedaan met xp.
    Vanwege mijn HD5770, die probleem kennen jullie vast wel.
    Na paar dagen geleden, krijg ik allemaal rare dingen.
    Als ik afsluit krijg ik error melding van svchost blabla, en dan met een kruisje.(gaat snel weg)
    Ik ging naar mijn C schijf, zie een map genaamd _scott_.
    Probeer hem te verwijderen, komt hij weer terug.
    Er zitten verborgen mappen in, zet het optie aan en zie ze nog niet.
    Map heeft een grootte van 1,44 mb.
    En als ik weer opstart, krijg ik een popup met, er is een toepassing die toegang tot een beveiligd item vraagt. En het naam bevat: Een A met een streepje erop.

    Logfile of Trend Micro HijackThis v2.0.3 (BETA)
    Scan saved at 14:26:03, on 24-1-2010
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\XP\System32\smss.exe
    C:\XP\system32\winlogon.exe
    C:\XP\system32\services.exe
    C:\XP\system32\lsass.exe
    C:\XP\system32\Ati2evxx.exe
    C:\XP\system32\svchost.exe
    C:\XP\System32\svchost.exe
    C:\XP\system32\Ati2evxx.exe
    C:\XP\system32\spoolsv.exe
    C:\XP\system32\svchost.exe
    C:\XP\Explorer.EXE
    C:\XP\system32\wscntfy.exe
    C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
    C:\XP\system32\Rundll32.exe
    C:\Program Files\Microsoft IntelliType Pro\itype.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\XP\system32\ctfmon.exe
    D:\steam\steam.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    C:\XP\system32\wpabaln.exe
    C:\XP\system32\msiexec.exe
    C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe
    C:\Program Files\Mozilla Firefox\firefox.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe

    O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
    O4 - HKLM\..\Run: [UpdReg] C:\XP\UpdReg.EXE
    O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [_scott_HKLM] C:\_scott_\_scott_\_scott_svchost.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\XP\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [_scott_HKCU] C:\_scott_\_scott_\_scott_svchost.exe
    O4 - HKLM\..\Policies\Explorer\Run: [_scott_Policies] C:\_scott_\_scott_\_scott_svchost.exe
    O4 - HKCU\..\Policies\Explorer\Run: [_scott_Policies] C:\_scott_\_scott_\_scott_svchost.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\XP\system32\CTFMON.EXE (User 'Lokale service')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\XP\system32\CTFMON.EXE (User 'Netwerkservice')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\XP\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\XP\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: In weblog opnemen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &In weblog opnemen met Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1264205784375
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B404558B-9EA0-421D-860E-08BFC75C657C}: NameServer = 195.241.77.55,192.241.77.58
    O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\XP\system32\browseui.dll
    O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\XP\system32\browseui.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\XP\system32\Ati2evxx.exe


    End of file - 4244 bytes

    Ik heb geprobeerd die scottjes te verwijderen, maar na nog een keer scan komen ze terug. :(

    Ik hoop dat ik duidelijk genoeg ben geweest.
    Alvast bedankt.
  • http://www.idealsoftware.nl/MBAM/ :roll: Ik zou eerst even scannen met MBAM.
  • Dankuwel.

    Maar waarom die :roll:

    Zeker door mn verhaal.
  • [quote:90bd8a88d6="TheOnlyWay"]Dankuwel.

    Maar waarom die :roll:

    Zeker door mn verhaal.[/quote:90bd8a88d6] :roll: Ben gewoon benieuwd wat MBAM vindt. ( is ook de beste ) Post je log maar eens.
  • Malwarebytes' Anti-Malware 1.44
    Database versie: 3627
    Windows 5.1.2600 Service Pack 2
    Internet Explorer 8.0.6001.18702

    24-1-2010 17:03:35
    mbam-log-2010-01-24 (17-03-35).txt

    Scan type: Snelle Scan
    Objecten gescand: 102016
    Verstreken tijd: 3 minute(s), 57 second(s)

    Geheugenprocessen geïnfecteerd: 0
    Geheugenmodulen geïnfecteerd: 0
    Registersleutels geïnfecteerd: 0
    Registerwaarden geïnfecteerd: 2
    Registerdata bestanden geïnfecteerd: 0
    Mappen geïnfecteerd: 0
    Bestanden geïnfecteerd: 4

    Geheugenprocessen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Geheugenmodulen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Registersleutels geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Registerwaarden geïnfecteerd:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\_scott_hkcu (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\_scott_hklm (Trojan.Agent) -> Quarantined and deleted successfully.

    Registerdata bestanden geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Mappen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Bestanden geïnfecteerd:
    C:\Documents and Settings\Sadik\Application Data\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Sadik\Local Settings\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Sadik\Local Settings\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot.
    C:\_scott_\_scott_\_scott_svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.


    [b:21e8bdc234]Ik doe nu een volledige scan.[/b:21e8bdc234]
  • Log van de volledige scan ook posten met een nieuw Hijackthis-log. Een expert daarin kan je dan verder helpen. :roll:
  • Bedankt dat je me helpt.

    [b:247ab87871]Malwarebytes' Anti-Malware 1.44[/b:247ab87871]
    Database versie: 3627
    Windows 5.1.2600 Service Pack 2
    Internet Explorer 8.0.6001.18702

    25-1-2010 0:01:47
    mbam-log-2010-01-25 (00-01-47).txt

    Scan type: Volledige Scan (C:\|D:\|E:\|)
    Objecten gescand: 347924
    Verstreken tijd: 1 hour(s), 28 minute(s), 9 second(s)

    Geheugenprocessen geïnfecteerd: 0
    Geheugenmodulen geïnfecteerd: 0
    Registersleutels geïnfecteerd: 0
    Registerwaarden geïnfecteerd: 2
    Registerdata bestanden geïnfecteerd: 0
    Mappen geïnfecteerd: 0
    Bestanden geïnfecteerd: 6

    Geheugenprocessen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Geheugenmodulen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Registersleutels geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Registerwaarden geïnfecteerd:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\_scott_hkcu (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\_scott_hklm (Trojan.Agent) -> Quarantined and deleted successfully.

    Registerdata bestanden geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Mappen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Bestanden geïnfecteerd:
    C:\System Volume Information\_restore{B8455F3E-24F7-462C-A31E-DDD1BC45BC55}\RP17\A0004749.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully.
    E:\super_pi_mod-1.5\super_pi_mod.exe (Malware.Packer.Krunchy) -> Not selected for removal.
    C:\Documents and Settings\Sadik\Application Data\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Sadik\Local Settings\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Sadik\Local Settings\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot.
    c:\_scott_\_scott_\_scott_svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.




    [b:247ab87871]Logfile of Trend Micro HijackThis v2.0.3 (BETA)[/b:247ab87871]
    Scan saved at 0:08:43, on 25-1-2010
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\XP\System32\smss.exe
    C:\XP\system32\winlogon.exe
    C:\XP\system32\services.exe
    C:\XP\system32\lsass.exe
    C:\XP\system32\Ati2evxx.exe
    C:\XP\system32\svchost.exe
    C:\XP\System32\svchost.exe
    C:\XP\system32\Ati2evxx.exe
    C:\XP\system32\spoolsv.exe
    C:\XP\system32\svchost.exe
    C:\XP\system32\wuauclt.exe
    C:\XP\Explorer.EXE
    C:\XP\system32\wscntfy.exe
    C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
    C:\XP\system32\Rundll32.exe
    C:\Program Files\Microsoft IntelliType Pro\itype.exe
    C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
    C:\XP\system32\ctfmon.exe
    D:\steam\steam.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\EslWire\wire.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    C:\Program Files\DAEMON Tools Pro\DTProShellHlp.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    C:\XP\system32\wpabaln.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
    C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe

    O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
    O4 - HKLM\..\Run: [UpdReg] C:\XP\UpdReg.EXE
    O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\XP\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ESL Wire] "C:\Program Files\EslWire\wire.exe" –tray
    O4 - HKLM\..\Policies\Explorer\Run: [_scott_Policies] c:\_scott_\_scott_\_scott_svchost.exe
    O4 - HKCU\..\Policies\Explorer\Run: [_scott_Policies] c:\_scott_\_scott_\_scott_svchost.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\XP\system32\CTFMON.EXE (User 'Lokale service')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\XP\system32\CTFMON.EXE (User 'Netwerkservice')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\XP\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\XP\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
    O9 - Extra button: In weblog opnemen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &In weblog opnemen met Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
    O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1264205784375
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B404558B-9EA0-421D-860E-08BFC75C657C}: NameServer = 195.241.77.55,192.241.77.58
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI1933~1\Office12\GR99D3~1.DLL
    O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\XP\system32\browseui.dll
    O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\XP\system32\browseui.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\XP\system32\Ati2evxx.exe


    End of file - 5167 bytes



    Alvast heel erg bedankt
  • Hallo TheOnlyWay, vertel mij eerst maar eens, waarom jij geen antivirusprogramma in jouw Windows XP SP2 hebt zitten en wat je er eventueel aan wil doen.

    Want in wezen ben je nu 100% onverantwoordelijk bezig!
  • Word mijn pc traag.
    Hele computer formatteren en weg ervan.
    Goed idee?


    Ben ik gehackt ofso :P

    Heb namelijk Avast! gedownload.
  • [quote:5ac412f1b7="TheOnlyWay"]Word mijn pc traag.
    Hele computer formatteren en weg ervan.
    Goed idee?


    Ben ik gehackt ofso :P

    Heb namelijk Avast! gedownload.[/quote:5ac412f1b7]

    Typische antwoorden van een computeraar die niet weet waarover hij sprreekt!

    De kans dat je gehackt wordt, is zonder antivirus in je Windows tig malen groter dan met antivirus.

    En dan de gedachte dat de PC er langzaam door wordt!
    Hoe oud is die machine van jou?


    Je hebt er du helemaal geen weet van, maar goede moderne AV's vertragen nauwelijks tot vrijwel helemaal niet!

    Het gratis AV-tool Avira Antivir is een prachtig voorbeeld van een AV, welke je vrijwel niet in Windows bemerkt - maar je wel optimaal beveiligd, want inclusief aktieve spywarescanner!
    Het is de nummer één onder de gratis AV's: http://download.cnet.com/Avira-AntiVir-Personal-Free-Antivirus/3000-2239_4-10322935.html?part=dl-10322935&subj=dl&tag=button&cdlPid=11012914

    Post het eerste log van Avira!

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.