Mededeling

Collapse
No announcement yet.

Log van Peter

Collapse
X
Collapse
  •  
  • Page of 1
  • Filter
  • Tijd
  • Show
Clear All
new posts
Vorige template Volgende
  • #1

    Log van Peter

    Hallo , ik zit met vervelende sites die op de meest ongevraagde momenten opspringen , dit is mijn log :


    Logfile of HijackThis v1.98.2
    Scan saved at 23:10:09, on 12/11/2004
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\Windows\System32\smss.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\spoolsv.exe
    C:\Windows\myCIO\VScan\McShield.exe
    C:\Windows\myCIO\Agent\myAgtSvc.Exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\ltmsg.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Compaq\EAB\EabServr.exe
    C:\Windows\myCIO\Agent\myagttry.exe
    C:\PROGRA~1\COMMON~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
    C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
    C:\Windows\system32\sys-s-.exe
    C:\Program Files\The Cleaner\tca.exe
    C:\Program Files\The Cleaner\tcm.exe
    C:\Windows\system32\rundll32.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Windows\system32\ctfmon.exe
    C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    C:\Program Files\Widcomm\Bluetooth Software\BTTray.exe
    C:\Program Files\Microsoft Office97\Office\OSA.EXE
    C:\Program Files\Widcomm\Bluetooth Software\BTStackServer.exe
    C:\Program Files\SpywareGuard\sgmain.exe
    C:\Program Files\SpywareGuard\sgbhp.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\DOCUME~1\ADMINI~2\LOCALS~1\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/2Q00CPT/0413/bF8.asp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R3 - URLSearchHook: (no name) - {AE2210CF-5CD1-0C69-7803-584CF532A17E} - C:\Windows\system32\sys-s-.exe
    O1 - Hosts: 69.61.29.131 yahoo.com
    O1 - Hosts: 69.61.29.131 www.yahoo.com
    O1 - Hosts: 69.61.29.131 search.yahoo.com
    O1 - Hosts: 69.61.29.132 google.com
    O1 - Hosts: 69.61.29.132 www.google.com
    O1 - Hosts: 69.61.29.133 msn.com
    O1 - Hosts: 69.61.29.133 www.msn.com
    O1 - Hosts: 69.61.29.133 search.msn.com
    O1 - Hosts: 69.61.29.133 auto.search.msn.com
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Cooxie - {DC99E960-6594-45e3-9D5D-141D825B8096} - C:\Program Files\Cooxie Toolbar\PrvcBand.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
    O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\compaq\cpqsetup\cpqset.exe
    O4 - HKLM\..\Run: [myCIO.com ASaP] C:\Windows\myCIO\Agent\myagttry.exe
    O4 - HKLM\..\Run: [myCIO.com Splash] C:\Windows\myCIO\VScan\Splash.exe
    O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\COMMON~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
    O4 - HKLM\..\Run: [81550CF6] C:\Windows\system32\sys-s-.exe
    O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
    O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\system32\ctfmon.exe
    O4 - HKCU\..\Run: [sysyPE32s-] C:\Windows\sysyPE32s-.exe
    O4 - HKCU\..\Run: [81550CF6] C:\Windows\system32\sys-s-.exe
    O4 - Startup: Registration-Studio 8.lnk = C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe
    O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office97\Office\OSA.EXE
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office2K\Office\OSA9.EXE
    O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dll
    O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4396/mcfscan.cab
    O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = DENSERCO.BE
    O17 - HKLM\Software\..\Telephony: DomainName = DENSERCO.BE
    O17 - HKLM\System\CCS\Services\Tcpip\..\{052775F4-636A-4F04-9B3D-C1B8D451989B}: NameServer = 195.238.2.21 195.238.2.22
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = DENSERCO.BE
    O17 - HKLM\System\CS1\Services\Tcpip\..\{052775F4-636A-4F04-9B3D-C1B8D451989B}: NameServer = 195.238.2.21 195.238.2.22
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = DENSERCO.BE
    O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\Windows\myCIO\Agent\myRmProt2.8.1.135.dll
    Labels: Geen
    • Citaat
  • #2
    Ik zie dat hijackthis.exe nog in je temp-map staat. Dit is geen goede plaats aangezien hijackthis backups maakt en die backups kunnen verwijderd worden zolang die in je tempmap blijven staan.
    Maak daarvoor een permanente map aan:
    Ga naar Deze Computer > C > Program Files. Klik op Bestand > Nieuw > Map. Noem deze map HijackThis.
    Plaats nu de HijackThis.exe in die map.

    * Start hijackthis en vink volgende items aan:

    R3 - URLSearchHook: (no name) - {AE2210CF-5CD1-0C69-7803-584CF532A17E} - C:\Windows\system32\sys-s-.exe

    O1 - Hosts: 69.61.29.131 yahoo.com
    O1 - Hosts: 69.61.29.131 www.yahoo.com
    O1 - Hosts: 69.61.29.131 search.yahoo.com
    O1 - Hosts: 69.61.29.132 google.com
    O1 - Hosts: 69.61.29.132 www.google.com
    O1 - Hosts: 69.61.29.133 msn.com
    O1 - Hosts: 69.61.29.133 www.msn.com
    O1 - Hosts: 69.61.29.133 search.msn.com
    O1 - Hosts: 69.61.29.133 auto.search.msn.com

    O3 - Toolbar: Cooxie - {DC99E960-6594-45e3-9D5D-141D825B8096} - C:\Program Files\Cooxie Toolbar\PrvcBand.dll

    O4 - HKLM\..\Run: [81550CF6] C:\Windows\system32\sys-s-.exe
    O4 - HKCU\..\Run: [sysyPE32s-] C:\Windows\sysyPE32s-.exe
    O4 - HKCU\..\Run: [81550CF6] C:\Windows\system32\sys-s-.exe

    *Sluit nu alle vensters behalve hijackthis en klik op 'fix checked'

    * Start nu je pc op in VEILIGE MODE. Hoe start ik in veilige mode op.

    * Zorg ervoor dat je verborgen mappen en bestanden weergegeven zijn. Hoe deze weer te geven.

    *Ga via configuratiescherm naar software > programma's wijzigen/verwijderen en kijk of volgende programma's aanwezig zijn en de-installeer die:

    Cooxie Toolbar (volgens velen is die met spyware gerelateerd, daarom raad ik je aan om deze te deïnstalleren)

    *Zoek daarna via verkenner volgende items en verwijder deze manueel:

    -C:\Windows\system32\sys-s-.exe
    -C:\Windows\sysyPE32s-.exe
    -C:\Program Files\Cooxie Toolbar <==deze map

    *Ga daarna naar start > uitvoeren en typ: cleanmgr en klik op ok.
    Laat het je systeem scannen op bestanden die moeten verwijderd worden.
    Zorg er wel voor dat je daar enkel maar 'tijdelijke bestanden', 'tijdelijke internetbestanden' en 'prullenbak' staan aangevinkt.
    Klik daarna op ok.

    *Reboot je pc terug normaal, start hijackthis, 'scan', 'save log' en post hier een nieuw logje.
    Last edited by miekiemoes; 13-11-04, 19:54.
    Microsoft MVP - Consumer Security
    Director of Research @ Malwarebytes
    Mijn Blog
    • Citaat

    Comment

    • #3
      Hi peterPP8,

      Voordat je de opdracht van Miekiemoes uitvoert. Voer dit uit!!! Als het klopt wat ik denk dan is het niet zo simpel om de bestanden te verwijderen die Miekiemoes zegt.

      Start Kladblok, kopieer en plak de tekst in het vak in een nieuw tekstbestand. Sla dit op als FindFile.bat op je Bureaublad.

      Code:
      dir C:\Windows\system32\sys?s?.exe /a h > files.txt
notepad files.txt
dir C:\Windows\sysyPE32s?.exe /a h > files2.txt
notepad files2.txt
      Zoek Findfile.bat op je Bureaublad en dubbelklik hierop. Deze opent Kladblok twee keer met wat tekst erin. Post deze tekst hier.

      Aan de hand van de eerdere opdracht gaan we bekijken wat we met deze twee bestanden gaan doen.
      Last edited by Bobbi Flekman; 13-11-04, 16:58.
      • Citaat

      Comment

      • #4
        Dit krijg ik te zien :

        Het volume in station C heeft geen naam.
        Het volumenummer is 082A-C580

        Map van C:\Windows\system32

        27/09/2004 11:04 8.630 sys-s-.exe
        1 bestand(en) 8.630 bytes

        Map van C:\Documents and Settings\Administrateur\Bureaublad



        Krijg ook bericht dat bestand niet kan worden gevonden in een 2e venster met als titel C:\Windows\system32\cmd.exe


        Wacht dus u reactie af voor ik nogmaals scan uitvoer. Alvast bedankt
        • Citaat

        Comment

        • #5
          Hi peterPP8,

          Krijg ook bericht dat bestand niet kan worden gevonden in een 2e venster met als titel C:\Windows\system32\cmd.exe
          Dat is prima. Ik zag het bestand ook niet in je geheugen staan. Hierdoor had ik al zo'n vermoeden dat het niet aanwezig was.

          In dit geval is het niet zo moeilijk.

          Start Windows Verkenner, ga naar de map "C:\Windows\system32" en vindt het bestand "sys-s-.exe". Verwijder dit bestand.

          Indien je het nog niet had gedaan, voer dan de opdrachten van miekiemoes uit en plaats een nieuwe log in deze thread.

          Dan lever ik je nu weer terug aan miekiemoes.

          Succes.
          • Citaat

          Comment

          • #6
            Ik vind via verkenner wel het bestandje dat ik moet verwijderen maar krijg bericht dat program in gebruik is of dat ik geen toelating heb bestand te verwijderen. Ben wel als administrator ingelogt .... ( Bedrijfs PC )


            • Citaat

            Comment

            • #7
              Heb je eerst de HijackThis dingen gedaan en opnieuw opgestart?
              • Citaat

              Comment

              Vorige template Volgende
              Sorry, you are not authorized to view this page
              Working...
              X