Mededeling

Collapse
No announcement yet.

log (vader)

Collapse
X
  •  
  • Filter
  • Tijd
  • Show
Clear All
new posts

  • log (vader)

    beste helpers ondanks de drukte die jullie zullen hebben met alle logs.. hier nog een van mijn vader.

    Lastige hijack van een web search en in adres balk als about blank.

    Wat ik vewijder , komt steeds weer terug, durf nu ff niet verder aan te vinken , alle hulp welkom

    Logfile of HijackThis v1.99.0
    Scan saved at 15:39:21, on 18-12-2004
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\Tijdelijke map 2 voor hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about :blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about :blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {383DF2DF-67F4-4C89-9F03-D0C3BD52D314} - C:\WINDOWS\system32\fhcfga.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A26FEA06-A489-4F57-8E54-46E96E0DBDE6}: NameServer = 195.241.77.53 195.241.77.54
    O18 - Filter: text/html - {68C904DE-CB14-431D-8BE9-BDFCFE2CB29F} - C:\WINDOWS\system32\fhcfga.dll
    O18 - Filter: text/plain - {68C904DE-CB14-431D-8BE9-BDFCFE2CB29F} - C:\WINDOWS\system32\fhcfga.dll
    O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: scriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\script~1\SBServ.exe
    O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

    b.v.d
    groeten Marcel


    __________________
    m kooyman


    Meld misbruik in

  • #2
    Hoi Marcel,


    Volg de instructies nauwgezet op.

    1. Maak even een eigen, permanente map voor HijackThis, bijvoorbeeld C:\Program Files\HJT. Plaats HijackThis in die map en draai het nu dus vanuit die map.

    2. Download APM (Advanced Process Manipulation) alvast, maar gebruik het nog niet: http://www.diamondcs.com.au/downloads/apm.exe

    3. Scan met HijackThis en vink de volgende items aan:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about :blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about :blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\sp.html

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank

    O2 - BHO: (no name) - {383DF2DF-67F4-4C89-9F03-D0C3BD52D314} - C:\WINDOWS\system32\fhcfga.dll

    O18 - Filter: text/html - {68C904DE-CB14-431D-8BE9-BDFCFE2CB29F} - C:\WINDOWS\system32\fhcfga.dll
    O18 - Filter: text/plain - {68C904DE-CB14-431D-8BE9-BDFCFE2CB29F} - C:\WINDOWS\system32\fhcfga.dll
    Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

    4. Start APM.
    Selecteer in het bovenste venster explorer.exe.
    Zoek in het onderste venster naar fhcfga.dll, rechtsklik daarop en kies Unload DLL; klik bij de meldingen die dan nog verschijnen OK.

    5. Start de pc opnieuw op.

    6. Scan met AdAware SE: http://www.nucia.eu/adaware/handleiding.html
    Doe de volledige scan, laat alles verwijderen wat wordt gevonden. Start daarna de pc opnieuw op.

    7. Maak een nieuw HijackThis-log en plaats dat hier.

    Comment


    • #3
      bedankt Buffy, ga morgen aan de slag,,, maar zal eerst een nieuw probleem moeten oplossen ( hopelijk) want opstarten lukt al niet meer volgens pa.
      Hij krijgt nu bij opstarten alleen een zwart scherm met melding:
      no input or cable disconnected , dus een probleem meer erbij.

      gr. Marcel

      Comment


      • #4
        Hoi Buffy,

        Eindelijk kunnen doen wat je voorstelde, heeft wel geholpen maar nog niet helemaal. Met apm heb ik niet dat kunnen vinden in explore exe, zou kunnen zijn dat ik die al had verwijdert. Iedergeval heb met hijack datgene gefixed wat moest. En inderdaad surfen ging goed, totdat hij toch weer ff tevoorschijn kwam.
        Hierbij nu de volgende scan en ik hoop dat je nog iets tussen kan vinden wat weg kan.
        gr. Marcel

        Logfile of HijackThis v1.99.0
        Scan saved at 17:28:19, on 1-1-2005
        Platform: Windows XP SP2 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
        C:\Program Files\Norton AntiVirus\navapsvc.exe
        C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
        C:\WINDOWS\Explorer.EXE
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\WINDOWS\system32\rundll32.exe
        C:\WINDOWS\system32\rundll32.exe
        C:\Program Files\Messenger\msmsgs.exe
        C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\Tijdelijke map 4 voor hijackthis.zip\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.nl/
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
        O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
        O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
        O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
        O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
        O4 - HKCU\..\Run: [MC] rundll32.exe EGDHTML_1027.dll,InstantAccess
        O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDHTML_1027.dll,InstantAccess
        O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
        O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
        O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
        O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
        O17 - HKLM\System\CCS\Services\Tcpip\..\{A26FEA06-A489-4F57-8E54-46E96E0DBDE6}: NameServer = 195.241.77.53 195.241.77.54
        O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
        O23 - Service: Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
        O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
        O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

        Comment


        • #5
          Hoi Marcel,


          1. Maak even een eigen, permanente map voor HijackThis, bijvoorbeeld C:\Program Files\HJT. Plaats HijackThis in die map en draai het nu dus vanuit die map.

          2. Scan met HijackThis en vink de volgende items aan:

          O4 - HKCU\..\Run: [MC] rundll32.exe EGDHTML_1027.dll,InstantAccess
          O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDHTML_1027.dll,InstantAccess
          Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

          3. Start de pc opnieuw op.

          4. Installeer CCleaner: http://www.ccleaner.com/
          Start het programma, controleer of het tabblad "Windows" geselecteerd is (linksboven) en klik op "Run Cleaner" (rechtsonder). Klik "Exit" als CCleaner klaar is.

          5. Maak een nieuw log en plaats dat hier.

          Comment


          • #6
            hoi Buffy,

            Ben nu op locatie, en heb datgene gedaan wat je voorstelde.
            Hopelijk nu alles schoon, heb begrepen dat dit een lastige hijack is die met een verborgen installer werkt.
            Hierbij nu de log na opschonen op jouw advies.

            Logfile of HijackThis v1.99.0
            Scan saved at 15:41:47, on 2-1-2005
            Platform: Windows XP SP2 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\winlogon.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\system32\spoolsv.exe
            C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
            C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
            C:\Program Files\Norton AntiVirus\navapsvc.exe
            C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
            C:\WINDOWS\Explorer.EXE
            C:\Program Files\Common Files\Symantec Shared\ccApp.exe
            C:\Program Files\Internet Explorer\iexplore.exe
            C:\WINDOWS\system32\wuauclt.exe
            C:\Program Files\Messenger\msmsgs.exe
            C:\Program Files\hijackthis\HijackThis.exe

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.nl/
            O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
            O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
            O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
            O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
            O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
            O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
            O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
            O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
            O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
            O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
            O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
            O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
            O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
            O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
            O17 - HKLM\System\CCS\Services\Tcpip\..\{A26FEA06-A489-4F57-8E54-46E96E0DBDE6}: NameServer = 195.241.77.53 195.241.77.54
            O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
            O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
            O23 - Service: Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
            O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
            O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

            b.v.d.
            gr. Marcel

            Comment


            • #7
              Hoi,

              Die sp.html-hijacker werkt niet altijd met een verborgen installer. Dit log ziet er schoon uit. Zijn er nog problemen op die pc?

              Comment


              • #8
                Hoi Buffy,

                Tot nu toe geen problemen.
                Zal spywareblaster installeren en hopelijk blijft het schoon nu.

                Namens mij en mijn vader bedankt voor je antwoorden.
                vr. gr.
                Marcel

                Comment


                • #9
                  hoi Buffy,

                  Hier weer ff de log van mijn vader. Diezelfde hijacker is weer terug.
                  Heb zelf wat verwijdert misschien kan jij je blik erover langs laten gaan.

                  Logfile of HijackThis v1.99.0
                  Scan saved at 17:28:19, on 1-1-2005
                  Platform: Windows XP SP2 (WinNT 5.01.2600)
                  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                  Running processes:
                  C:\WINDOWS\System32\smss.exe
                  C:\WINDOWS\system32\winlogon.exe
                  C:\WINDOWS\system32\services.exe
                  C:\WINDOWS\system32\lsass.exe
                  C:\WINDOWS\system32\svchost.exe
                  C:\WINDOWS\System32\svchost.exe
                  C:\WINDOWS\system32\spoolsv.exe
                  C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                  C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
                  C:\Program Files\Norton AntiVirus\navapsvc.exe
                  C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
                  C:\WINDOWS\Explorer.EXE
                  C:\Program Files\Common Files\Symantec Shared\ccApp.exe
                  C:\WINDOWS\system32\rundll32.exe
                  C:\WINDOWS\system32\rundll32.exe
                  C:\Program Files\Messenger\msmsgs.exe
                  C:\DOCUME~1\HHF5A2~1.KOO\LOCALS~1\Temp\Tijdelijke map 4 voor hijackthis.zip\HijackThis.exe

                  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.nl/
                  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
                  O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
                  O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
                  O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
                  O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
                  O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
                  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
                  O4 - HKCU\..\Run: [MC] rundll32.exe EGDHTML_1027.dll,InstantAccess
                  O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDHTML_1027.dll,InstantAccess
                  O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
                  O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
                  O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
                  O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
                  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                  O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
                  O17 - HKLM\System\CCS\Services\Tcpip\..\{A26FEA06-A489-4F57-8E54-46E96E0DBDE6}: NameServer = 195.241.77.53 195.241.77.54
                  O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                  O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
                  O23 - Service: Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
                  O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
                  O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

                  bij voorbaat dank
                  Gr. Marcel

                  Comment


                  • #10
                    Ik zie geen hijacker, alleen een dialer.

                    Draai HijackThis vanuit de map C:\Program Files\hijackthis, niet vanuit de zip-map.

                    Laat deze twee items fixen:

                    O4 - HKCU\..\Run: [MC] rundll32.exe EGDHTML_1027.dll,InstantAccess
                    O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDHTML_1027.dll,InstantAccess

                    Ik zie dus geen hijacker, maar misschien komt dat doordat je zelf al aan het fixen bent geweest. Wat voor problemen zijn er?

                    Comment


                    • #11
                      hoi Buffy,

                      Het was weerdezelfde coolweb search.

                      Had voordat ik de log plaatste al wat dingen verwijdert waarvan ik zeker wist dat die weg kunnen.

                      voorts nu sg geinstalleerd, en cws shredder van Merijn. Deze had niks gevonden.

                      zal nu ff de dialer eraf halen...
                      bedankt voor je antwoord..
                      gr. Marcel

                      Comment


                      • #12
                        Kijk, als je zelf al dingen fixt kan ik niet goed zien wat er aan de hand is.

                        Zijn die CoolWebSearch-problemen er nu nog? Als het steeds terugkomt, is de infectie er nog.

                        Comment


                        • #13
                          hier een nieuwe scan:


                          Logfile of HijackThis v1.99.0
                          Scan saved at 17:03:53, on 23-1-2005
                          Platform: Windows XP SP2 (WinNT 5.01.2600)
                          MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                          Running processes:
                          C:\WINDOWS\System32\smss.exe
                          C:\WINDOWS\system32\winlogon.exe
                          C:\WINDOWS\system32\services.exe
                          C:\WINDOWS\system32\lsass.exe
                          C:\WINDOWS\system32\svchost.exe
                          C:\WINDOWS\System32\svchost.exe
                          C:\WINDOWS\system32\spoolsv.exe
                          C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                          C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
                          C:\Program Files\Norton AntiVirus\navapsvc.exe
                          C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
                          C:\WINDOWS\Explorer.EXE
                          C:\Program Files\Common Files\Symantec Shared\ccApp.exe
                          C:\WINDOWS\system32\ctfmon.exe
                          C:\Program Files\SpywareGuard\sgmain.exe
                          C:\Program Files\SpywareGuard\sgbhp.exe
                          C:\Program Files\Messenger\msmsgs.exe
                          C:\Program Files\hijackthis\HijackThis.exe

                          O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
                          O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
                          O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
                          O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
                          O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
                          O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
                          O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
                          O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
                          O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
                          O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
                          O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
                          O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
                          O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
                          O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
                          O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                          O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                          O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
                          O17 - HKLM\System\CCS\Services\Tcpip\..\{A26FEA06-A489-4F57-8E54-46E96E0DBDE6}: NameServer = 195.241.77.53 195.241.77.54
                          O18 - Filter: text/html - {2DAC410D-025B-488A-B6D4-6362ADEA3148} - C:\WINDOWS\system32\ain.dll
                          O18 - Filter: text/plain - {2DAC410D-025B-488A-B6D4-6362ADEA3148} - C:\WINDOWS\system32\ain.dll
                          O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                          O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
                          O23 - Service: Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
                          O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
                          O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

                          gr Marcel

                          Comment


                          • #14
                            Je bent inderdaad nog niet van CWS af. Laten we eens kijken of er een verborgen dll-bestand actief is:


                            Download en installeer Registrar Lite: http://www.resplendence.com/download/reglite.exe
                            Start dit programma.
                            Kopieer de onderstaande vetgedrukte regel en plak deze in de balk bij "Address":

                            HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

                            Druk op Enter.
                            Dubbelklik op AppInit_DLLs om de Data editor te openen.
                            Onderaan dit venster zie je het veld "Value".
                            Kijk of in dat veld de naam van een dll-bestand staat.
                            Schrijf de volledige naam van het pad op waar deze dll file zich bevindt. Doe dit heel precies, maak geen fouten. (Kopieer en plak het eventueel in txt-bestand.)
                            Sluit Registrar Lite.

                            Plaats hier in je volgende bericht exact wat je bij "Value" aantrof.
                            (Staat er niets, dan is er geen verborgen installer.)

                            Comment


                            • #15
                              hoi Buffy,

                              Gedaan wat je voorstelde.
                              Hier is datgene wat achter value staat:AppInit_DLLs

                              gr. marcel

                              Comment

                              Sorry, you are not authorized to view this page
                              Working...
                              X