Mededeling

Collapse
No announcement yet.

Ook mijn log ter controle

Collapse
X
  •  
  • Tijd
  • Show
Clear All
new posts

  • Ook mijn log ter controle

    Ik heb eigenlijk geen problemen, zit volgens mij wel een kleinigheidje in het log, dus even voor de zekerheid.

    Logfile of HijackThis v1.99.0
    Scan saved at 10:07:26, on 21-12-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Dell\Media Experience\PCMService.exe
    C:\WINDOWS\System32\DSentry.exe
    C:\Program Files\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe
    C:\Program Files\Eset\nod32kui.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Pulse\Pulse.exe
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
    C:\Program Files\Outlook Express\MSIMN.EXE
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\Program Files\Eset\nod32krn.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
    C:\WINDOWS\SYSTEM32\r?ndll32.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    G:\Downloads\Hijack\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.home.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2k0.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
    O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
    O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Pulse] C:\Program Files\Pulse\Pulse.exe -splash
    O4 - Startup: De Internet Explorer-browser starten.lnk = C:\Program Files\Internet Explorer\IEXPLORE.EXE
    O4 - Startup: Outlook Express.lnk = C:\Program Files\Outlook Express\MSIMN.EXE
    O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Gelijkwaardige pagina's - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Koppelingspagina's - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
    O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.dell.com/systemprofiler/SysPro.CAB
    O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
    O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
    O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activex/zylomgamesplayer.cab
    O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game15.zylomgames.com/activex/zylomloader.cab
    O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown - C:\WINDOWS\SYSTEM32\ati2sgag.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    O23 - Service: Intel NCS NetService - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
    O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe
    O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

  • #2
    Hi maestro12,

    Start Kladblok, kopieer en plak de tekst in het vak in een nieuw tekstbestand. Sla dit op als FindFile.bat op je Bureaublad.

    Code:
    dir C:\WINDOWS\SYSTEM32\r?ndll32.exe /a h > files.txt
    notepad files.txt
    Zoek Findfile.bat op je Bureaublad en dubbelklik hierop. Deze opent Kladblok met wat tekst erin. Post deze tekst hier.

    Voor de rest is je log schoon. Het gaat alleen om dit bestand...

    Comment


    • #3
      Zo gezegd, zo gedaan.
      Dat is ook het kleinigheidje wat ik bedoelde

      Het volume in station C heeft geen naam.
      Het volumenummer is C855-2ABC

      Map van C:\WINDOWS\SYSTEM32

      11-09-2002 06:00 32.256 RUNDLL32.EXE
      24-11-2004 15:48 389.120 r?ndll32.exe
      2 bestand(en) 421.376 bytes

      Map van C:\Documents and Settings\Ron1\Bureaublad

      Comment


      • #4
        Hi maestro12,

        Zorg dat je verborgen bestanden kan zien. Hoe toon ik verborgen bestanden?

        Start Windows Verkenner, ga naar de map "C:\WINDOWS\SYSTEM32" en vindt het bestand "r?ndll32.exe". Verwijder dit bestand. <-- Let erop dat je niet RunDLL32.exe verwijderd. Het bestand dat je wil verwijderen is gedateerd 24-11-2004 en is 421.376 bytes groot!

        Comment


        • #5
          Hmmzzz, dit wordt vreemd.
          Kreeg ten eerste geen e-mail notificatie van jouw bericht (maar dit is voor de beheerder)
          Maar het bestand r?ndll32.exe is verdwenen !!!! Nu heb ik wel een rundll32.exe gevonden van 380kb (389.120 bytes) en gedateerd 24-11 in c:\windows\system32, het bestand heeft ook geen versie info en dergelijke.

          Heb dit veiligheidshalve even hernoemd naar rundll32.old en dit lijkt goed te gaan. Geen idee waarom dit bestand zichzelf hernoemd zou hebben, jullie misschien?

          Zal even herstarten en een nieuwe log maken/plaatsen

          Comment


          • #6
            Nieuw logje dus:

            Logfile of HijackThis v1.99.0
            Scan saved at 10:11:55, on 24-12-2004
            Platform: Windows XP SP1 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\winlogon.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\System32\Ati2evxx.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\system32\spoolsv.exe
            C:\WINDOWS\system32\Ati2evxx.exe
            C:\WINDOWS\Explorer.EXE
            C:\Program Files\Dell\Media Experience\PCMService.exe
            C:\WINDOWS\System32\DSentry.exe
            C:\Program Files\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe
            C:\Program Files\Eset\nod32kui.exe
            C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
            C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
            C:\WINDOWS\System32\ctfmon.exe
            C:\Program Files\Pulse\Pulse.exe
            C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
            C:\Program Files\Internet Explorer\IEXPLORE.EXE
            C:\Program Files\Outlook Express\MSIMN.EXE
            C:\WINDOWS\System32\drivers\CDAC11BA.EXE
            C:\Program Files\Eset\nod32krn.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
            C:\WINDOWS\System32\wuauclt.exe
            G:\Downloads\Hijack\HijackThis.exe

            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.home.nl/
            R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
            R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
            R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
            O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
            O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
            O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2k0.dll
            O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
            O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
            O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
            O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
            O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
            O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe
            O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
            O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
            O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
            O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
            O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
            O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
            O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
            O4 - HKCU\..\Run: [Pulse] C:\Program Files\Pulse\Pulse.exe -splash
            O4 - Startup: De Internet Explorer-browser starten.lnk = C:\Program Files\Internet Explorer\IEXPLORE.EXE
            O4 - Startup: Outlook Express.lnk = C:\Program Files\Outlook Express\MSIMN.EXE
            O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
            O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
            O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
            O8 - Extra context menu item: Gelijkwaardige pagina's - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
            O8 - Extra context menu item: Koppelingspagina's - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
            O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
            O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
            O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
            O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
            O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.dell.com/systemprofiler/SysPro.CAB
            O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
            O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
            O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activex/zylomgamesplayer.cab
            O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game15.zylomgames.com/activex/zylomloader.cab
            O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
            O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
            O23 - Service: ATI Smart - Unknown - C:\WINDOWS\SYSTEM32\ati2sgag.exe
            O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
            O23 - Service: Intel NCS NetService - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
            O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe
            O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

            Comment


            • #7
              Hi maestro12,

              Hmmzzz, dit wordt vreemd.
              Kreeg ten eerste geen e-mail notificatie van jouw bericht (maar dit is voor de beheerder)
              Maar het bestand r?ndll32.exe is verdwenen !!!! Nu heb ik wel een rundll32.exe gevonden van 380kb (389.120 bytes) en gedateerd 24-11 in c:\windows\system32, het bestand heeft ook geen versie info en dergelijke.

              Heb dit veiligheidshalve even hernoemd naar rundll32.old en dit lijkt goed te gaan. Geen idee waarom dit bestand zichzelf hernoemd zou hebben, jullie misschien?

              Zal even herstarten en een nieuwe log maken/plaatsen
              Je hebt het goed gedaan. toen ik jouw antwoord bekeek kwam ik tot de conclusie dat ik een fout had gemaakt in mijn vorige post (ik had de verkeerde bestandsgrootte erbij geplaatst!). De reden dat het lijkt dat het bestand is hernoemd is omdat in DOS mode een ander lettertype wordt gebruikt dan in de Verkenner.

              Deze log is schoon!

              Dit is de tijd om beveiliging op te zetten tegen toekomstige aanvallen. Lees de artikelen achter deze links
              Hoe voorkom ik spyware of mijn PC? en Het voorkomen van spyware-infecties en browserhijacking. Als je ze niet al hebt, je hebt nodig een uptodate antivirus, een goede firewall, bijvoorbeeld Kerio Personal Firewall of ZoneLabs Zone Alarm, een spyware blocker als SpywareBlaster en ook IE-Spyads en spyware detectie (Ad-aware SE en SpyBot S+D). Deze hebben allemaal goede gratis versies beschikbaar... wees op je hoede voor beveiligingssoftware die adverteert in popups of andere opdringerige manieren. Deze zijn gewoonlijk niet alleen slecht, vaak hebben ze andere troep in zich...

              In plaats van Internet Explorer, gebruik een andere browser zoals Opera, Mozilla of Firefox.

              En laatst, maar zeker niet minst, hou Windows en Internet Explorer up-to-date met de laatste beveilgings patches die je computer kan beveiligen.

              Dit kan je doen door naar http://windowsupdate.microsoft.com/ te gaan en de aanwijzingen op te volgen. Als je Windows XP draait, zorg dat je update naar SP-2!

              Post maar terug als er nog steeds problemen zijn.

              Comment


              • #8
                Oorspronkelijk geplaatst door Bobbi Flekman
                Hi maestro12,

                Je hebt het goed gedaan. toen ik jouw antwoord bekeek kwam ik tot de conclusie dat ik een fout had gemaakt in mijn vorige post (ik had de verkeerde bestandsgrootte erbij geplaatst!). De reden dat het lijkt dat het bestand is hernoemd is omdat in DOS mode een ander lettertype wordt gebruikt dan in de Verkenner.
                De reden van het zich zo maar hernoemen van het bestand blijft toch onduidelijk. In DOS zal een vraagteken in de bestandsnaam gewoon blijven staan, dit wordt namelijk gewoon ondersteund. Als het zou liggen aan het gebruikte systeemlettertype dan zouden er meer namen veranderd moeten zijn en ook dat is niet het geval, bovendien ik ben in deze periode niet in een DOS mode (o.i.d.) geweest. Ben zelf al aan het zoeken waarom die verandering plaats heeft gevonden, maar kan tot nu niets vinden. Het laat me niet los, bestanden die zomaar hun naam veranderen daar hou ik niet van.

                Comment


                • #9
                  Hi maestro12,

                  De reden van het zich zo maar hernoemen van het bestand blijft toch onduidelijk. In DOS zal een vraagteken in de bestandsnaam gewoon blijven staan, dit wordt namelijk gewoon ondersteund. Als het zou liggen aan het gebruikte systeemlettertype dan zouden er meer namen veranderd moeten zijn en ook dat is niet het geval, bovendien ik ben in deze periode niet in een DOS mode (o.i.d.) geweest. Ben zelf al aan het zoeken waarom die verandering plaats heeft gevonden, maar kan tot nu niets vinden. Het laat me niet los, bestanden die zomaar hun naam veranderen daar hou ik niet van.
                  Onder DOS wordt het vraagteken gebruikt als een joker in bestandsnamen, net als de asterisk (*). Hierdoor is het verboden dat een bestand deze tekens gebruikt! Waarom het hier dan wel het geval is weet ik ook niet. Ik weet wel dat het bestand onderdeel is van PurityScan en dat onder verschillende computers één en het zelfde bestand andere namen kan opleveren.

                  Comment

                  Sorry, you are not authorized to view this page
                  Working...
                  X
                  😀
                  🥰
                  🤢
                  😎
                  😡
                  👍
                  👎