Mededeling

Collapse
No announcement yet.

Hijack This item

Collapse
X
Collapse
  •  
  • Page of 1
  • Filter
  • Tijd
  • Show
Clear All
new posts
Vorige template Volgende
  • #1

    Hijack This item

    In het Sticky van "lees dit eerst.....
    Vragen jullie alleen om een scan met Ad-aware en Spybot S&D maar niet om een virusscan
    Waarom is dat

    Ik heb gemerkt dat steeds meer items van de Hijacker niet meer HJ te zien zijn
    Op mijn test pc heb ik een infectie opgelopen door Gigasearch.biz?348

    Hierbij de log van HJ en de logfile van de virusscanner
    Logfile of HijackThis v1.98.2
    Scan saved at 4:23:35, on 12-12-04
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v5.50 (5.50.4134.0600)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\PROGRAM FILES\ESCAN\TRAYICOS.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\PROGRAM FILES\ESCAN\AVPMWRAP.EXE
    C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
    C:\PROGRAM FILES\ESCAN\MAILDISP.EXE
    C:\WINDOWS\SYSTEM\WINOA386.MOD
    C:\PROGRAM FILES\ESCAN\SPOOLER.EXE
    C:\PROGRAM FILES\ESCAN\AVPM.EXE
    C:\PROGRAM FILES\ESCAN\AVPM.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS\LOADCLEAN.EXE
    C:\WINDOWS\RUNDLL32.EXE
    C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www/ie/search/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://gigasearch.biz?348
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gigasearch.biz?348
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door @Home
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R3 - URLSearchHook: (no name) - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - (no file)
    O2 - BHO: ProxyReset Class - {FFCBEECE-FB0C-11D2-AB16-00104B9BBBD2} - C:\WINDOWS\SYSTEM\AHIEHELP.DLL
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: BL Class - {28F65FCB-D130-11D8-BA48-8BE0C49AF370} - C:\WINDOWS\SYSTEM32\POPUP_BL.DLL
    O3 - Toolbar: @msdxmLC.dll,[email protected],&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O3 - Toolbar: Giga Search - {C1EA1782-8E6E-4ea4-9800-B68DE41F1A26} - C:\WINDOWS\DESKTOP\GIGASOFT.DLL
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Program Files\eScan\LAUNCH.EXE"
    O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE
    O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\cmd64.exe internat.dll,LoadKeyboardProfile
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [eScan Updater] C:\PROGRA~1\ESCAN\TRAYICOS.EXE
    O4 - HKLM\..\RunServices: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE /service
    O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &GigaBar Serach - res://C:\WINDOWS\DESKTOP\GIGASOFT.DLL/MENUSEARCH.HTM
    O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
    O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
    O14 - IERESET.INF: START_PAGE_URL=http://www/

    Logfile eScan
    C:\bitmap.tmp TrojanDownloader.Win32.Small.vq
    C:\WINDOWS\loadclean.exe Trojan-Downloader.Win32.Small.abt
    C:\WINDOWS\SYSTEM\systems32.exe AdWare.Giga.b
    C:\WINDOWS\SYSTEM32\popup_bl.dll AdWare.Globos
    C:\temp\SearchRelevancy.exe AdWare.Relevance.a
    C:\temp\WebRebates_Auto_InstallSilent_Euro.exe AdWare.WebRebates.d
    C:\WINDOWS\Temporary Internet Files \Content IE5\m1wzkngv\archive[1].jar.
    Exploit.Java.Bytverify
    TrojanDropper.Java.Beyond.d
    C:\WINDOWS\TEMP\nsiA2.exe TrojanDownloader.Win32.Agent.bh
    C:\TEMP\INSTAL~1.EXE TrojanDropper.Win32.Delf.z
    C:\TEMP\INSTALLER2.EXE TrojanDropper.Win32.Delf.z
    C:\Program Files\Web_Rebates\WebRebates1.exe AdWare.WebRebates.d
    C:\PROGRAM FILES\WEB_REBATES\WEBREBATES0.EXE AdWare.WebRebates.d
    C:\Program Files\Web_Rebates\disp1150.exe AdWare.WebRebates.c
    C:\WINDOWS\SYSTEM\MUTLO.EXE AdWare.Serpo.d
    C:\WINDOWS\SYSTEM\COMMANDOS.EXE AdWare.Serpo.e
    C:\WINDOWS\SYSTEM\driver64.exe Trojan.Win32.Dialer.bk
    Labels: Geen
    • Citaat
  • #2
    Hi Bolletje,

    je HijackThis log is incompleet. Kan je de volledige log plaatsen? Tevens: een log van eScan is leuk, maar heeft 'ie het ook verwijderd?
    • Citaat

    Comment

    • #3
      Dit is de hele file meer is er niet
      Running processes:
      C:\WINDOWS\SYSTEM\KERNEL32.DLL
      C:\WINDOWS\SYSTEM\MSGSRV32.EXE
      C:\WINDOWS\SYSTEM\MPREXE.EXE
      C:\WINDOWS\SYSTEM\MSTASK.EXE
      C:\PROGRAM FILES\ESCAN\TRAYICOS.EXE
      C:\WINDOWS\EXPLORER.EXE
      C:\WINDOWS\TASKMON.EXE
      C:\PROGRAM FILES\ESCAN\AVPMWRAP.EXE
      C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
      C:\PROGRAM FILES\ESCAN\MAILDISP.EXE
      C:\WINDOWS\SYSTEM\WINOA386.MOD
      C:\PROGRAM FILES\ESCAN\SPOOLER.EXE
      C:\PROGRAM FILES\ESCAN\AVPM.EXE
      C:\PROGRAM FILES\ESCAN\AVPM.EXE
      C:\WINDOWS\SYSTEM\DDHELP.EXE
      C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
      C:\WINDOWS\LOADCLEAN.EXE
      C:\WINDOWS\RUNDLL32.EXE
      C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www/ie/search/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://gigasearch.biz?348
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gigasearch.biz?348
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door @Home
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy:8080
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
      R3 - URLSearchHook: (no name) - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - (no file)
      O2 - BHO: ProxyReset Class - {FFCBEECE-FB0C-11D2-AB16-00104B9BBBD2} - C:\WINDOWS\SYSTEM\AHIEHELP.DLL
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: BL Class - {28F65FCB-D130-11D8-BA48-8BE0C49AF370} - C:\WINDOWS\SYSTEM32\POPUP_BL.DLL
      O3 - Toolbar: @msdxmLC.dll,[email protected],&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
      O3 - Toolbar: Giga Search - {C1EA1782-8E6E-4ea4-9800-B68DE41F1A26} - C:\WINDOWS\DESKTOP\GIGASOFT.DLL
      O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
      O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
      O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
      O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
      O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
      O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Program Files\eScan\LAUNCH.EXE"
      O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE
      O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\cmd64.exe internat.dll,LoadKeyboardProfile
      O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
      O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
      O4 - HKLM\..\RunServices: [eScan Updater] C:\PROGRA~1\ESCAN\TRAYICOS.EXE
      O4 - HKLM\..\RunServices: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE /service
      O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
      O8 - Extra context menu item: &GigaBar Serach - res://C:\WINDOWS\DESKTOP\GIGASOFT.DLL/MENUSEARCH.HTM
      O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
      O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
      O14 - IERESET.INF: START_PAGE_URL=http://www/


      Ja eScan heeft alle virussen gedeleted
      Men krijgt bij deze hijacker ook nog het hele bureaublad vol met snelkoppelingen en onder favorieten ook nog het nodige
      Ad-aware vond 15 verwijzigingen naar CWS en verwijderd
      CWShredder vond ook nog het nodige en verwijderd

      Maar mijn vraag is daar nog niet mee beantwoord,wel spywarescanner maar geen virusscan

      Bij een eerdere besmetting door Win-eto-com stonden er maar 3 items in de HJlog met een verwijzing naar Trojaanse paarden,terwijl de virusscanner er 4 vond met 12 verschillende toevoegingen
      Wel steeds in C:\Windows\ of C:\Windows\System
      De gevonden virussen waren daar
      W32.Krepper.ac
      W32.Krepper.ae
      W32.Regger.j
      Trojan Downloader.Win32.Small.rr
      • Citaat

      Comment

      • #4
        Hi Bolletje,
        Dit is de hele file meer is er niet
        Dat klopt niet, want wat je nu post is zelfs minder dan wat je gisteren postte...

        O14 - IERESET.INF: START_PAGE_URL=http://www/
        Deze regel hoort niet zo te eindigen.


        Maar mijn vraag is daar nog niet mee beantwoord,wel spywarescanner maar geen virusscan
        Dit is een anti spyware forum, zoals de naam al zegt. Niet een anti virus forum. Daarentegen als we een virus tegenkomen in je log dan rekenen we daar ook mee af (of vertellen je wat je moet doen om ervanaf te komen).

        Een Trojan is ook wat anders dan een virus of spyware. Daarom dat een anti virus bedrijf ook niet echt werkt tegen spyware, en andersom.
        • Citaat

        Comment

        Vorige template Volgende
        Sorry, you are not authorized to view this page
        Working...
        X