Mededeling

Collapse
No announcement yet.

log (vader)

Collapse
X
Collapse
  •  
  • Page of 4
  • Tijd
  • Show
Clear All
new posts
Vorige 1 2 3 4 template Volgende
  • #1

    log (vader)

    beste helpers ondanks de drukte die jullie zullen hebben met alle logs.. hier nog een van mijn vader.

    Lastige hijack van een web search en in adres balk als about blank.

    Wat ik vewijder , komt steeds weer terug, durf nu ff niet verder aan te vinken , alle hulp welkom

    Logfile of HijackThis v1.99.0
    Scan saved at 15:39:21, on 18-12-2004
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\Tijdelijke map 2 voor hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about :blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about :blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {383DF2DF-67F4-4C89-9F03-D0C3BD52D314} - C:\WINDOWS\system32\fhcfga.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A26FEA06-A489-4F57-8E54-46E96E0DBDE6}: NameServer = 195.241.77.53 195.241.77.54
    O18 - Filter: text/html - {68C904DE-CB14-431D-8BE9-BDFCFE2CB29F} - C:\WINDOWS\system32\fhcfga.dll
    O18 - Filter: text/plain - {68C904DE-CB14-431D-8BE9-BDFCFE2CB29F} - C:\WINDOWS\system32\fhcfga.dll
    O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: scriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\script~1\SBServ.exe
    O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

    b.v.d
    groeten Marcel


    __________________
    m kooyman


    Meld misbruik in
    Labels: Geen
      • Citaat
    • #2
      Hoi Marcel,


      Volg de instructies nauwgezet op.

      1. Maak even een eigen, permanente map voor HijackThis, bijvoorbeeld C:\Program Files\HJT. Plaats HijackThis in die map en draai het nu dus vanuit die map.

      2. Download APM (Advanced Process Manipulation) alvast, maar gebruik het nog niet: http://www.diamondcs.com.au/downloads/apm.exe

      3. Scan met HijackThis en vink de volgende items aan:
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about :blank
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about :blank
      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank

      O2 - BHO: (no name) - {383DF2DF-67F4-4C89-9F03-D0C3BD52D314} - C:\WINDOWS\system32\fhcfga.dll

      O18 - Filter: text/html - {68C904DE-CB14-431D-8BE9-BDFCFE2CB29F} - C:\WINDOWS\system32\fhcfga.dll
      O18 - Filter: text/plain - {68C904DE-CB14-431D-8BE9-BDFCFE2CB29F} - C:\WINDOWS\system32\fhcfga.dll
      Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

      4. Start APM.
      Selecteer in het bovenste venster explorer.exe.
      Zoek in het onderste venster naar fhcfga.dll, rechtsklik daarop en kies Unload DLL; klik bij de meldingen die dan nog verschijnen OK.

      5. Start de pc opnieuw op.

      6. Scan met AdAware SE: http://www.nucia.eu/adaware/handleiding.html
      Doe de volledige scan, laat alles verwijderen wat wordt gevonden. Start daarna de pc opnieuw op.

      7. Maak een nieuw HijackThis-log en plaats dat hier.
        • Citaat

        Comment

        • #3
          bedankt Buffy, ga morgen aan de slag,,, maar zal eerst een nieuw probleem moeten oplossen ( hopelijk) want opstarten lukt al niet meer volgens pa.
          Hij krijgt nu bij opstarten alleen een zwart scherm met melding:
          no input or cable disconnected , dus een probleem meer erbij.

          gr. Marcel
            • Citaat

            Comment

            • #4
              Hoi Buffy,

              Eindelijk kunnen doen wat je voorstelde, heeft wel geholpen maar nog niet helemaal. Met apm heb ik niet dat kunnen vinden in explore exe, zou kunnen zijn dat ik die al had verwijdert. Iedergeval heb met hijack datgene gefixed wat moest. En inderdaad surfen ging goed, totdat hij toch weer ff tevoorschijn kwam.
              Hierbij nu de volgende scan en ik hoop dat je nog iets tussen kan vinden wat weg kan.
              gr. Marcel

              Logfile of HijackThis v1.99.0
              Scan saved at 17:28:19, on 1-1-2005
              Platform: Windows XP SP2 (WinNT 5.01.2600)
              MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

              Running processes:
              C:\WINDOWS\System32\smss.exe
              C:\WINDOWS\system32\winlogon.exe
              C:\WINDOWS\system32\services.exe
              C:\WINDOWS\system32\lsass.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\System32\svchost.exe
              C:\WINDOWS\system32\spoolsv.exe
              C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
              C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
              C:\Program Files\Norton AntiVirus\navapsvc.exe
              C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
              C:\WINDOWS\Explorer.EXE
              C:\Program Files\Common Files\Symantec Shared\ccApp.exe
              C:\WINDOWS\system32\rundll32.exe
              C:\WINDOWS\system32\rundll32.exe
              C:\Program Files\Messenger\msmsgs.exe
              C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\Tijdelijke map 4 voor hijackthis.zip\HijackThis.exe

              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.nl/
              O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
              O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
              O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
              O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
              O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
              O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
              O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
              O4 - HKCU\..\Run: [MC] rundll32.exe EGDHTML_1027.dll,InstantAccess
              O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDHTML_1027.dll,InstantAccess
              O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
              O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
              O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
              O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
              O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
              O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
              O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
              O17 - HKLM\System\CCS\Services\Tcpip\..\{A26FEA06-A489-4F57-8E54-46E96E0DBDE6}: NameServer = 195.241.77.53 195.241.77.54
              O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
              O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
              O23 - Service: Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
              O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
              O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
                • Citaat

                Comment

                • #5
                  Hoi Marcel,


                  1. Maak even een eigen, permanente map voor HijackThis, bijvoorbeeld C:\Program Files\HJT. Plaats HijackThis in die map en draai het nu dus vanuit die map.

                  2. Scan met HijackThis en vink de volgende items aan:

                  O4 - HKCU\..\Run: [MC] rundll32.exe EGDHTML_1027.dll,InstantAccess
                  O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDHTML_1027.dll,InstantAccess
                  Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

                  3. Start de pc opnieuw op.

                  4. Installeer CCleaner: http://www.ccleaner.com/
                  Start het programma, controleer of het tabblad "Windows" geselecteerd is (linksboven) en klik op "Run Cleaner" (rechtsonder). Klik "Exit" als CCleaner klaar is.

                  5. Maak een nieuw log en plaats dat hier.
                    • Citaat

                    Comment

                    • #6
                      hoi Buffy,

                      Ben nu op locatie, en heb datgene gedaan wat je voorstelde.
                      Hopelijk nu alles schoon, heb begrepen dat dit een lastige hijack is die met een verborgen installer werkt.
                      Hierbij nu de log na opschonen op jouw advies.

                      Logfile of HijackThis v1.99.0
                      Scan saved at 15:41:47, on 2-1-2005
                      Platform: Windows XP SP2 (WinNT 5.01.2600)
                      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                      Running processes:
                      C:\WINDOWS\System32\smss.exe
                      C:\WINDOWS\system32\winlogon.exe
                      C:\WINDOWS\system32\services.exe
                      C:\WINDOWS\system32\lsass.exe
                      C:\WINDOWS\system32\svchost.exe
                      C:\WINDOWS\System32\svchost.exe
                      C:\WINDOWS\system32\spoolsv.exe
                      C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                      C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
                      C:\Program Files\Norton AntiVirus\navapsvc.exe
                      C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
                      C:\WINDOWS\Explorer.EXE
                      C:\Program Files\Common Files\Symantec Shared\ccApp.exe
                      C:\Program Files\Internet Explorer\iexplore.exe
                      C:\WINDOWS\system32\wuauclt.exe
                      C:\Program Files\Messenger\msmsgs.exe
                      C:\Program Files\hijackthis\HijackThis.exe

                      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.nl/
                      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
                      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
                      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
                      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
                      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
                      O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
                      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
                      O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
                      O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
                      O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
                      O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
                      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                      O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
                      O17 - HKLM\System\CCS\Services\Tcpip\..\{A26FEA06-A489-4F57-8E54-46E96E0DBDE6}: NameServer = 195.241.77.53 195.241.77.54
                      O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                      O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
                      O23 - Service: Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
                      O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
                      O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

                      b.v.d.
                      gr. Marcel
                        • Citaat

                        Comment

                        • #7
                          Hoi,

                          Die sp.html-hijacker werkt niet altijd met een verborgen installer. Dit log ziet er schoon uit. Zijn er nog problemen op die pc?
                            • Citaat

                            Comment

                            • #8
                              Hoi Buffy,

                              Tot nu toe geen problemen.
                              Zal spywareblaster installeren en hopelijk blijft het schoon nu.

                              Namens mij en mijn vader bedankt voor je antwoorden.
                              vr. gr.
                              Marcel
                                • Citaat

                                Comment

                                • #9
                                  hoi Buffy,

                                  Hier weer ff de log van mijn vader. Diezelfde hijacker is weer terug.
                                  Heb zelf wat verwijdert misschien kan jij je blik erover langs laten gaan.

                                  Logfile of HijackThis v1.99.0
                                  Scan saved at 17:28:19, on 1-1-2005
                                  Platform: Windows XP SP2 (WinNT 5.01.2600)
                                  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                                  Running processes:
                                  C:\WINDOWS\System32\smss.exe
                                  C:\WINDOWS\system32\winlogon.exe
                                  C:\WINDOWS\system32\services.exe
                                  C:\WINDOWS\system32\lsass.exe
                                  C:\WINDOWS\system32\svchost.exe
                                  C:\WINDOWS\System32\svchost.exe
                                  C:\WINDOWS\system32\spoolsv.exe
                                  C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                                  C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
                                  C:\Program Files\Norton AntiVirus\navapsvc.exe
                                  C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
                                  C:\WINDOWS\Explorer.EXE
                                  C:\Program Files\Common Files\Symantec Shared\ccApp.exe
                                  C:\WINDOWS\system32\rundll32.exe
                                  C:\WINDOWS\system32\rundll32.exe
                                  C:\Program Files\Messenger\msmsgs.exe
                                  C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\Tijdelijke map 4 voor hijackthis.zip\HijackThis.exe

                                  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.nl/
                                  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
                                  O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
                                  O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
                                  O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
                                  O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
                                  O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
                                  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
                                  O4 - HKCU\..\Run: [MC] rundll32.exe EGDHTML_1027.dll,InstantAccess
                                  O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDHTML_1027.dll,InstantAccess
                                  O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
                                  O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
                                  O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
                                  O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
                                  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                                  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                                  O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
                                  O17 - HKLM\System\CCS\Services\Tcpip\..\{A26FEA06-A489-4F57-8E54-46E96E0DBDE6}: NameServer = 195.241.77.53 195.241.77.54
                                  O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                                  O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
                                  O23 - Service: Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
                                  O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
                                  O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

                                  bij voorbaat dank
                                  Gr. Marcel
                                    • Citaat

                                    Comment

                                    • #10
                                      Ik zie geen hijacker, alleen een dialer.

                                      Draai HijackThis vanuit de map C:\Program Files\hijackthis, niet vanuit de zip-map.

                                      Laat deze twee items fixen:

                                      O4 - HKCU\..\Run: [MC] rundll32.exe EGDHTML_1027.dll,InstantAccess
                                      O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDHTML_1027.dll,InstantAccess

                                      Ik zie dus geen hijacker, maar misschien komt dat doordat je zelf al aan het fixen bent geweest. Wat voor problemen zijn er?
                                        • Citaat

                                        Comment

                                        • #11
                                          hoi Buffy,

                                          Het was weerdezelfde coolweb search.

                                          Had voordat ik de log plaatste al wat dingen verwijdert waarvan ik zeker wist dat die weg kunnen.

                                          voorts nu sg geinstalleerd, en cws shredder van Merijn. Deze had niks gevonden.

                                          zal nu ff de dialer eraf halen...
                                          bedankt voor je antwoord..
                                          gr. Marcel
                                            • Citaat

                                            Comment

                                            • #12
                                              Kijk, als je zelf al dingen fixt kan ik niet goed zien wat er aan de hand is.

                                              Zijn die CoolWebSearch-problemen er nu nog? Als het steeds terugkomt, is de infectie er nog.
                                                • Citaat

                                                Comment

                                                • #13
                                                  hier een nieuwe scan:


                                                  Logfile of HijackThis v1.99.0
                                                  Scan saved at 17:03:53, on 23-1-2005
                                                  Platform: Windows XP SP2 (WinNT 5.01.2600)
                                                  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                                                  Running processes:
                                                  C:\WINDOWS\System32\smss.exe
                                                  C:\WINDOWS\system32\winlogon.exe
                                                  C:\WINDOWS\system32\services.exe
                                                  C:\WINDOWS\system32\lsass.exe
                                                  C:\WINDOWS\system32\svchost.exe
                                                  C:\WINDOWS\System32\svchost.exe
                                                  C:\WINDOWS\system32\spoolsv.exe
                                                  C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                                                  C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
                                                  C:\Program Files\Norton AntiVirus\navapsvc.exe
                                                  C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
                                                  C:\WINDOWS\Explorer.EXE
                                                  C:\Program Files\Common Files\Symantec Shared\ccApp.exe
                                                  C:\WINDOWS\system32\ctfmon.exe
                                                  C:\Program Files\SpywareGuard\sgmain.exe
                                                  C:\Program Files\SpywareGuard\sgbhp.exe
                                                  C:\Program Files\Messenger\msmsgs.exe
                                                  C:\Program Files\hijackthis\HijackThis.exe

                                                  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
                                                  O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
                                                  O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
                                                  O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
                                                  O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
                                                  O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
                                                  O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
                                                  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
                                                  O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
                                                  O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
                                                  O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
                                                  O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
                                                  O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
                                                  O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
                                                  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                                                  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                                                  O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
                                                  O17 - HKLM\System\CCS\Services\Tcpip\..\{A26FEA06-A489-4F57-8E54-46E96E0DBDE6}: NameServer = 195.241.77.53 195.241.77.54
                                                  O18 - Filter: text/html - {2DAC410D-025B-488A-B6D4-6362ADEA3148} - C:\WINDOWS\system32\ain.dll
                                                  O18 - Filter: text/plain - {2DAC410D-025B-488A-B6D4-6362ADEA3148} - C:\WINDOWS\system32\ain.dll
                                                  O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                                                  O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
                                                  O23 - Service: Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
                                                  O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
                                                  O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

                                                  gr Marcel
                                                    • Citaat

                                                    Comment

                                                    • #14
                                                      Je bent inderdaad nog niet van CWS af. Laten we eens kijken of er een verborgen dll-bestand actief is:


                                                      Download en installeer Registrar Lite: http://www.resplendence.com/download/reglite.exe
                                                      Start dit programma.
                                                      Kopieer de onderstaande vetgedrukte regel en plak deze in de balk bij "Address":

                                                      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

                                                      Druk op Enter.
                                                      Dubbelklik op AppInit_DLLs om de Data editor te openen.
                                                      Onderaan dit venster zie je het veld "Value".
                                                      Kijk of in dat veld de naam van een dll-bestand staat.
                                                      Schrijf de volledige naam van het pad op waar deze dll file zich bevindt. Doe dit heel precies, maak geen fouten. (Kopieer en plak het eventueel in txt-bestand.)
                                                      Sluit Registrar Lite.

                                                      Plaats hier in je volgende bericht exact wat je bij "Value" aantrof.
                                                      (Staat er niets, dan is er geen verborgen installer.)
                                                        • Citaat

                                                        Comment

                                                        • #15
                                                          hoi Buffy,

                                                          Gedaan wat je voorstelde.
                                                          Hier is datgene wat achter value staat:AppInit_DLLs

                                                          gr. marcel
                                                            • Citaat

                                                            Comment

                                                            Vorige 1 2 3 4 template Volgende
                                                            Sorry, you are not authorized to view this page
                                                            Working...
                                                            X
                                                            😀
                                                            🥰
                                                            🤢
                                                            😎
                                                            😡
                                                            👍
                                                            👎