Mededeling

Collapse
No announcement yet.

69.20.16.183; wie helpt met deze puzzel ?

Collapse
X
Collapse
  •  
  • Page of 2
  • Filter
  • Tijd
  • Show
Clear All
new posts
Vorige 1 2 template Volgende
  • #1

    69.20.16.183; wie helpt met deze puzzel ?

    Dit is poging om hulp van buffy vanuit helpmij.nl voort te zetten. Over bericht "wie helpt mij met deze puzzel". Ik vind het probleem ook op engelstalige pagina's over ongewenste vensters naar IP 69.20.16.183.
    Ik word niet gelukkig als ik daar de paginaslange instructies lees. En die zijn niet 123 op te volgen omdat het steeds unieke log's betreft.

    De afgelopen twee weken ben ik niet veel opgeschoten. Onverwacht en ongewenst wordt ik getrakteerd op sites als "...e.rn11.com/adbuys/a405-admed-ron[/url.." (haal puntjes weg en vervang door www enz) en diverrse anderen.
    Spybot, adaware en noem maar op helpt niet. Buffy riep me op geduld te hebben maar door opheffen helpmij.nl schiet dat niet op.
    Mijn meest recente log gaat hierbij. De ellende zit in die O1 regels die niet zijn te fixen. Ik ben benieuwd naar het vervolg.....



    Logfile of HijackThis v1.98.2
    Scan saved at 23:58:55, on 24-12-2004
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    D:\program files\Norton AntiVirus\navapsvc.exe
    D:\program files\Norton Internet Security\NISUM.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    D:\program files\Norton Internet Security\ccPxySvc.exe
    C:\WINDOWS\Anvshell.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\WINDOWS\Dit.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\WINDOWS\DitExp.exe
    D:\program files\Winamp\winampa.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
    D:\program files\Webroot\Spy Sweeper\SpySweeper.exe
    D:\program files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\rundll32.exe
    D:\program files\Google\Google Desktop Search\GoogleDesktopIndex.exe
    D:\program files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
    C:\WINDOWS\explorer.exe
    D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    C:\My Download Files\hijackthis1982.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O1 - Hosts: 69.20.16.183 auto.search.msn.com
    O1 - Hosts: 69.20.16.183 search.netscape.com
    O1 - Hosts: 69.20.16.183 ieautosearch
    O1 - Hosts: 69.20.16.183 ieautosearch
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\program files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [WinampAgent] D:\program files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [EPSON Stylus COLOR 480] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE /A "C:\WINDOWS\System32\E_S39.tmp"
    O4 - HKCU\..\Run: [SpySweeper] "D:\program files\Webroot\Spy Sweeper\SpySweeper.exe" /0
    O4 - HKCU\..\Run: [Google Desktop Search] "D:\program files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\EROProj.dll
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
    O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
    O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
    O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
    O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096126192218
    Last edited by xyzjan; 24-12-04, 23:14. Reden: link in tekst aangepast
    Labels: Geen
    • Citaat
  • #2
    Hoi,

    Op Helpmij verwees ik al naar een methode waarmee dit verwijderd schijnt te kunnen worden. Ik ben wel bereid te proberen je daar stap voor stap mee te helpen. Zullen we een poging wagen?
    • Citaat

    Comment

    • #3
      Maar natuurlijk wil ik dat !
      Al zal het wel na de kerstdagen worden dat ik er verder mee zal kunnen gaan.
      Goede kerstdagen !
      • Citaat

      Comment

      • #4
        Oorspronkelijk geplaatst door xyzjan
        Maar natuurlijk wil ik dat !
        Al zal het wel na de kerstdagen worden dat ik er verder mee zal kunnen gaan.
        Goede kerstdagen !
        Okee, dan doen we het na de kerstdagen - dat komt mij ook beter uit. We zullen dan even moeten zorgen dat we allebei online zijn op een bepaalde avond, zodat we het in één ruk kunnen uitvoeren. Dat laatste is namelijk nogal belangrijk. Plaats maar even een berichtje na de kerstdagen, geef daarin aan wanneer (welke avond) je ermee aan de slag wilt gaan.

        PS: ik hoopte dat er snel een wat eenvoudiger fix voor dit probleem zou worden ontwikkeld, maar die is er helaas nog steeds niet.

        Fijne kerstdagen gewenst!
        • Citaat

        Comment

        • #5
          Ok geweldig. Door vakantie wel erg druk komende tijd met soc. afspraken in de avonden. Maar komende woensdagavond zou goed kunnen. Vanaf pakweg 21.00 uur ben ik er klaar voor.
          Ik meld nog dat ik bij opstarten ook elke keer weer last van een RUNDLL probleem heb. Staat ook in eerdere historie, was daarna even weg en nu weer terug. Maar hangt m.i. allemaal samen met dat ellendige vx2 probleem. Dat overigens (zo las ik ergens in de engelstalige sites) zijn oorsprong vind in een site waar je muziek van Nelly kunt downloaden. Daar ben ik ook geweest (maar niets gedownload).
          • Citaat

          Comment

          • #6
            Okee, dan houden we het voorlopig op woensdagavond. Ik zal zorgen dat ik hier ben. Hopelijk gaat het lukken.

            Veel plezier de komende dagen!
            • Citaat

            Comment

            • #7
              Offtopic

              Succes en fijne feestdagen toegewenst


              Het rapaille dat per Przewalskipaard arriveerde bij het feeëriek gesitueerde etablissement - komma -

              "Verwar de waarheid niet met de mening van de meerderheid"
              • Citaat

              Comment

              • #8
                Het is nog geen woensdagavond, maar ik heb nu even tijd dus beschrijf alvast wat je eerst moet doen.

                LET OP: vanaf het moment dat je dit gaat uitvoeren, mag je de pc beslist niet meer opnieuw opstarten!


                Download Find_It_NT_2K_XP.zip.

                Unzip het naar een locatie waar je het gemakkelijk kun terugvinden.

                Zoek de NT-2K-XP map en dubbelklik op find.bat.

                Als find.bat klaar is, opent Kladblok met het bestand output.txt.

                Kopieer de volledige inhoud van die output.txt en plak die in je volgende post.
                Last edited by Buffy; 28-12-04, 23:52. Reden: betere methode gevonden - bedankt Mieke!
                • Citaat

                Comment

                • #9
                  aanvulling dll (vanaf ##)

                  Goedenavond Buffy, aan de slag dus.
                  Ik heb beide berichten uitgevoerd.
                  Allereerst de system32 bekeken. Tussen de 217 en 220 kb bestanden bekeken. De meeste zijn DLL bestanden en daarvan kun je geen versie bekijken. Ik heb van alle bestanden (van bedoelde grootte) in de map een beeld gemaakt met Snagg-it. Laat maar weten of je dit jpg-bestand nodig hebt.
                  ##(aanvulling); in de map dll-cache (ik zie in log dat die ook de datum van vandaag heeft) zitten veel dll-bestanden. Vier daarvan dateren ook van vandaag. Dat zijn:
                  - browseui.dll (ruim 1 1 mb)
                  - shdocvw.dll (ruim 1.4 mb)
                  - urlmon.dll
                  - wininet.dll
                  Verder in map system32 is het gek dat ik van ene dll wel versietabje zie bij eigenschappen en bij andere dll-bestand geen versietabblad. Bij de volgende DLL-bestanden tussen 220 en 217 kb zie ik GEEN versietabblad:
                  * s6pulg7916.dll (dd 28-12-04)
                  * jtr0079me.dll (19-12-04)
                  * ieeshare.dll (24-12-04)
                  * gpp2l37o1.dll (28-12-04)
                  * g6400ghme64a0.dll (27-12-04)
                  * l62s0gf7e62.dll (11-12-04)
                  * jtnq0755e.dll (8-12-04)
                  * o884lilq18qe.dll (18-1204)
                  * fpjs0317e.dll (11-12-04)
                  * enlol1331.dll (9-12-04)
                  * p2p60c7sef.dll (19-12-04)
                  * mgl_hp.dll (12-12-04)
                  * j6n20g5oe6.dll (12-12-04)
                  ## einde aanvulling

                  Ik vond ook het bestand guard.tmp maar die was wel 221 kb. Gemaakt op 29-12 bij het opstarten vandaag. Ik vond geen andere bestanden van dezelfde datum in system32.
                  Wel vond ik de volgende bestanden die niet (duidelijk) van microsoft waren:
                  VSFLEX3.OCX (220 kb en datum 5-1-1999) van firma videosoft
                  dmadmin.exe (220 kb en datum 4-8-2004) van firma microsoft corp Veritas.
                  Juist door die veritas vind ik dit een vreemd bestand dat ik het minst vertrouw.

                  Daarna heb ik een log gemaakt met findit.bat. Het resultaat staat hieronder.
                  Ik wacht nieuwe instructies af .....................

                  Jan


                  Warning! This utility will find legitimate files in addition to malware.
                  Do not remove anything unless you are sure you know what you're doing.

                  Find.bat is running from: C:\Documents and Settings\Jan Schuring\Local Settings\Temp\Find_It_NT_2K_XP\Find It NT-2K-XP

                  ------- System Files in System32 Directory -------
                  De volumenaam van station C is winxp
                  Het volumenummer is 18BC-7F0B

                  Map van C:\WINDOWS\System32

                  29-12-2004 11:29 <DIR> dllcache
                  28-12-2004 13:32 226.065 s6pulg7916.dll
                  19-12-2004 18:29 226.065 jtr0079me.dll
                  19-12-2004 11:20 222.544 p2p60c7sef.dll
                  18-12-2004 23:00 222.952 o884lilq18qe.dll
                  12-12-2004 15:01 222.336 j6n20g5oe6.dll
                  11-12-2004 22:29 223.563 l62s0gf7e62.dll
                  11-12-2004 01:44 222.716 fpjs0317e.dll
                  09-12-2004 00:32 222.660 enlol1331.dll
                  08-12-2004 23:30 223.217 jtnq0755e.dll
                  27-11-2004 21:58 224.899 g6400ghme64a0.dll
                  11-06-2003 22:08 32 {F151BF4D-CDE5-4AC9-80FF-7EB264CD2C20}.dat
                  11-06-2003 22:08 32 {38C9BDF4-B0B9-4077-AD30-74D041BBB117}.dat
                  11-06-2003 20:48 <DIR> Microsoft
                  05-01-2002 03:40 487.424 msvcp70.dll
                  05-01-2002 03:37 344.064 msvcr70.dll
                  14 bestand(en) 3.068.569 bytes
                  2 map(pen) 4.222.484.480 bytes beschikbaar

                  ------- Hidden Files in System32 Directory -------

                  De volumenaam van station C is winxp
                  Het volumenummer is 18BC-7F0B

                  Map van C:\WINDOWS\System32

                  29-12-2004 11:29 <DIR> dllcache
                  12-10-2003 21:44 23.966 userinit.dat
                  12-10-2003 21:37 677 ou7k9ov0.tmp
                  12-10-2003 21:36 50.588 o78kdov0.tmp
                  11-06-2003 22:08 32 {F151BF4D-CDE5-4AC9-80FF-7EB264CD2C20}.dat
                  11-06-2003 22:08 32 {38C9BDF4-B0B9-4077-AD30-74D041BBB117}.dat
                  11-06-2003 20:16 488 logonui.exe.manifest
                  11-06-2003 20:16 488 WindowsLogon.manifest
                  11-06-2003 20:16 749 sapi.cpl.manifest
                  11-06-2003 20:16 749 wuaucpl.cpl.manifest
                  11-06-2003 20:16 749 ncpa.cpl.manifest
                  11-06-2003 20:16 749 cdplayer.exe.manifest
                  11-06-2003 20:16 749 nwc.cpl.manifest
                  12 bestand(en) 80.016 bytes
                  1 map(pen) 4.222.480.384 bytes beschikbaar

                  ---------- Files Named "Guard" -------------

                  De volumenaam van station C is winxp
                  Het volumenummer is 18BC-7F0B

                  Map van C:\WINDOWS\System32

                  29-12-2004 12:23 226.065 guard.tmp
                  1 bestand(en) 226.065 bytes
                  0 map(pen) 4.222.480.384 bytes beschikbaar

                  --------- Temp Files in System32 Directory --------

                  De volumenaam van station C is winxp
                  Het volumenummer is 18BC-7F0B

                  Map van C:\WINDOWS\System32

                  29-12-2004 12:23 226.065 guard.tmp
                  25-12-2003 23:34 64 E_S39.tmp
                  12-10-2003 21:37 677 ou7k9ov0.tmp
                  12-10-2003 21:36 50.588 o78kdov0.tmp
                  18-12-2002 08:31 147.728 asycfilt.dll.tmp
                  07-09-2001 13:00 2.845 CONFIG.TMP
                  6 bestand(en) 427.967 bytes
                  0 map(pen) 4.222.476.288 bytes beschikbaar

                  ---------------- User Agent ------------

                  REGEDIT4

                  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
                  "{E752468D-825C-417D-B890-1B1BA43B0B9C}"=""


                  ------------ Keys Under Notify ------------

                  REGEDIT4

                  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

                  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
                  "Asynchronous"=dword:00000000
                  "Impersonate"=dword:00000000
                  "DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
                  "Logoff"="ChainWlxLogoffEvent"

                  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
                  "Asynchronous"=dword:00000000
                  "Impersonate"=dword:00000000
                  "DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
                  "Logoff"="CryptnetWlxLogoffEvent"

                  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
                  "DLLName"="cscdll.dll"
                  "Logon"="WinlogonLogonEvent"
                  "Logoff"="WinlogonLogoffEvent"
                  "ScreenSaver"="WinlogonScreenSaverEvent"
                  "Startup"="WinlogonStartupEvent"
                  "Shutdown"="WinlogonShutdownEvent"
                  "StartShell"="WinlogonStartShellEvent"
                  "Impersonate"=dword:00000000
                  "Asynchronous"=dword:00000001

                  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Run Once]
                  "Asynchronous"=dword:00000000
                  "DllName"="C:\\WINDOWS\\system32\\gpp2l37o1.dll"
                  "Impersonate"=dword:00000000
                  "Logon"="WinLogon"
                  "Logoff"="WinLogoff"
                  "Shutdown"="WinShutdown"

                  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
                  "DLLName"="wlnotify.dll"
                  "Logon"="SCardStartCertProp"
                  "Logoff"="SCardStopCertProp"
                  "Lock"="SCardSuspendCertProp"
                  "Unlock"="SCardResumeCertProp"
                  "Enabled"=dword:00000001
                  "Impersonate"=dword:00000001
                  "Asynchronous"=dword:00000001

                  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
                  "Asynchronous"=dword:00000000
                  "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
                  "Impersonate"=dword:00000000
                  "StartShell"="SchedStartShell"
                  "Logoff"="SchedEventLogOff"

                  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
                  "Logoff"="WLEventLogoff"
                  "Impersonate"=dword:00000000
                  "Asynchronous"=dword:00000001
                  "DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

                  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
                  "DLLName"="WlNotify.dll"
                  "Lock"="SensLockEvent"
                  "Logon"="SensLogonEvent"
                  "Logoff"="SensLogoffEvent"
                  "Safe"=dword:00000001
                  "MaxWait"=dword:00000258
                  "StartScreenSaver"="SensStartScreenSaverEvent"
                  "StopScreenSaver"="SensStopScreenSaverEvent"
                  "Startup"="SensStartupEvent"
                  "Shutdown"="SensShutdownEvent"
                  "StartShell"="SensStartShellEvent"
                  "PostShell"="SensPostShellEvent"
                  "Disconnect"="SensDisconnectEvent"
                  "Reconnect"="SensReconnectEvent"
                  "Unlock"="SensUnlockEvent"
                  "Impersonate"=dword:00000001
                  "Asynchronous"=dword:00000001

                  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
                  "Asynchronous"=dword:00000000
                  "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
                  "Impersonate"=dword:00000000
                  "Logoff"="TSEventLogoff"
                  "Logon"="TSEventLogon"
                  "PostShell"="TSEventPostShell"
                  "Shutdown"="TSEventShutdown"
                  "StartShell"="TSEventStartShell"
                  "Startup"="TSEventStartup"
                  "MaxWait"=dword:00000258
                  "Reconnect"="TSEventReconnect"
                  "Disconnect"="TSEventDisconnect"

                  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
                  "DLLName"="wlnotify.dll"
                  "Logon"="RegisterTicketExpiredNotificationEvent"
                  "Logoff"="UnregisterTicketExpiredNotificationEvent"
                  "Impersonate"=dword:00000001
                  "Asynchronous"=dword:00000001


                  ------------------ Locate.com Results ------------------

                  ------------ Strings.exe Qoologic Results ------------


                  -------------- Strings.exe Aspack Results -------------

                  C:\WINDOWS\system32\ntdll.dll: .aspack

                  ----------------- HKLM Run Key ------------------

                  REGEDIT4

                  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
                  "Anvshell"="C:\\WINDOWS\\Anvshell.exe"
                  "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
                  "nwiz"="nwiz.exe /install"
                  "Smapp"="C:\\Program Files\\Analog Devices\\SoundMAX\\SMTray.exe"
                  "Dit"="Dit.exe"
                  "Tweak UI"="RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp"
                  "ccApp"="\"C:\\Program Files\\Common Files\\Symantec Shared\\ccApp.exe\""
                  "ccRegVfy"="\"C:\\Program Files\\Common Files\\Symantec Shared\\ccRegVfy.exe\""
                  "PinnacleDriverCheck"="C:\\WINDOWS\\System32\\PSDrvCheck.exe -CheckReg"
                  "WinampAgent"="D:\\program files\\Winamp\\winampa.exe"
                  "Symantec NetDriver Monitor"="D:\\PROGRA~1\\SYMNET~1\\SNDMon.exe"
                  "TkBellExe"="\"C:\\Program Files\\Common Files\\Real\\Update_OB\\realsched.exe\" -osboot"

                  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

                  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
                  "Installed"="1"

                  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
                  "NoChange"="1"
                  "Installed"="1"

                  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
                  "Installed"="1"


                  
                  Last edited by xyzjan; 29-12-04, 18:20. Reden: nog aanvulling over dllbestanden
                  • Citaat

                  Comment

                  • #10
                    Hoi Jan,

                    Daar gaan we dan. Sorry dat ik gisteren eerst een ander antwoord plaatste. Het nieuwe antwoord is beter. Dat screenshot heb ik niet nodig.


                    Doe het volgende heel zorgvuldig:

                    Download Pocket Killbox.

                    Unzip het en plaats het ergens waar je het gemakkelijk kunt terugvinden.

                    Dubbelklik op KillBox.exe.

                    Vink aan: Replace on Reboot en selecteer de Use Dummy optie.

                    Kopieer en plak de volgende regel in het Full Path of File to Delete adresvenster:

                    C:\WINDOWS\System32\s6pulg7916.dll

                    Klik op de Delete File knop (rode cirkel met wit kruisje erin).
                    Klik Yes bij de vraag: "Replace on Reboot".
                    Klik No bij de vraag: "Changes will be made after reboot...Reboot now?"

                    Doe precies hetzelfde met alle volgende regels:

                    C:\WINDOWS\System32\jtr0079me.dll
                    C:\WINDOWS\System32\p2p60c7sef.dll
                    C:\WINDOWS\System32\o884lilq18qe.dll
                    C:\WINDOWS\System32\j6n20g5oe6.dll
                    C:\WINDOWS\System32\l62s0gf7e62.dll
                    C:\WINDOWS\System32\fpjs0317e.dll
                    C:\WINDOWS\System32\enlol1331.dll
                    C:\WINDOWS\System32\jtnq0755e.dll
                    C:\WINDOWS\System32\g6400ghme64a0.dll
                    C:\WINDOWS\System32\Guard.tmp

                    Wanneer je het laatste bestand ingegeven hebt, moet je weer Yes klikken bij de vraag: "Replace on Reboot."
                    Klik nu óók Yes bij de vraag: "Changes will be made after reboot...Reboot now?"

                    Je computer zal nu opnieuw opstarten.

                    Dubbelklik daarna op Find.bat, zodat een nieuwe output.txt wordt gemaakt. Kopieer dat en plaats dat in je volgende bericht.
                    Maak ook een nieuw HijackThis-log en plaats dat in je volgende bericht.
                    • Citaat

                    Comment

                    • #11
                      Ok Buffy, het vervolg.
                      Het ziet er beter uit. Geen rundll probleem bij opstarten.
                      Hieronder log van findit. Vervolgens nieuwe hijacklog. Daarin staan nog wel die eeuwige O1 items..


                      Warning! This utility will find legitimate files in addition to malware.
                      Do not remove anything unless you are sure you know what you're doing.

                      Find.bat is running from: C:\My Download Files\virusprobleem

                      ------- System Files in System32 Directory -------
                      De volumenaam van station C is winxp
                      Het volumenummer is 18BC-7F0B

                      Map van C:\WINDOWS\System32

                      29-12-2004 11:29 <DIR> dllcache
                      11-06-2003 22:08 32 {F151BF4D-CDE5-4AC9-80FF-7EB264CD2C20}.dat
                      11-06-2003 22:08 32 {38C9BDF4-B0B9-4077-AD30-74D041BBB117}.dat
                      11-06-2003 20:48 <DIR> Microsoft
                      05-01-2002 03:40 487.424 msvcp70.dll
                      05-01-2002 03:37 344.064 msvcr70.dll
                      4 bestand(en) 831.552 bytes
                      2 map(pen) 4.221.427.712 bytes beschikbaar

                      ------- Hidden Files in System32 Directory -------

                      De volumenaam van station C is winxp
                      Het volumenummer is 18BC-7F0B

                      Map van C:\WINDOWS\System32

                      29-12-2004 11:29 <DIR> dllcache
                      12-10-2003 21:44 23.966 userinit.dat
                      12-10-2003 21:37 677 ou7k9ov0.tmp
                      12-10-2003 21:36 50.588 o78kdov0.tmp
                      11-06-2003 22:08 32 {F151BF4D-CDE5-4AC9-80FF-7EB264CD2C20}.dat
                      11-06-2003 22:08 32 {38C9BDF4-B0B9-4077-AD30-74D041BBB117}.dat
                      11-06-2003 20:16 488 logonui.exe.manifest
                      11-06-2003 20:16 488 WindowsLogon.manifest
                      11-06-2003 20:16 749 sapi.cpl.manifest
                      11-06-2003 20:16 749 wuaucpl.cpl.manifest
                      11-06-2003 20:16 749 ncpa.cpl.manifest
                      11-06-2003 20:16 749 cdplayer.exe.manifest
                      11-06-2003 20:16 749 nwc.cpl.manifest
                      12 bestand(en) 80.016 bytes
                      1 map(pen) 4.221.423.616 bytes beschikbaar

                      ---------- Files Named "Guard" -------------

                      De volumenaam van station C is winxp
                      Het volumenummer is 18BC-7F0B

                      Map van C:\WINDOWS\System32

                      29-12-2004 21:01 56 Guard.tmp
                      1 bestand(en) 56 bytes
                      0 map(pen) 4.221.423.616 bytes beschikbaar

                      --------- Temp Files in System32 Directory --------

                      De volumenaam van station C is winxp
                      Het volumenummer is 18BC-7F0B

                      Map van C:\WINDOWS\System32

                      29-12-2004 21:01 56 Guard.tmp
                      25-12-2003 23:34 64 E_S39.tmp
                      12-10-2003 21:37 677 ou7k9ov0.tmp
                      12-10-2003 21:36 50.588 o78kdov0.tmp
                      18-12-2002 08:31 147.728 asycfilt.dll.tmp
                      07-09-2001 13:00 2.845 CONFIG.TMP
                      6 bestand(en) 201.958 bytes
                      0 map(pen) 4.221.419.520 bytes beschikbaar

                      ---------------- User Agent ------------

                      REGEDIT4

                      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
                      "{E752468D-825C-417D-B890-1B1BA43B0B9C}"=""


                      ------------ Keys Under Notify ------------

                      REGEDIT4

                      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

                      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
                      "Asynchronous"=dword:00000000
                      "Impersonate"=dword:00000000
                      "DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
                      "Logoff"="ChainWlxLogoffEvent"

                      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
                      "Asynchronous"=dword:00000000
                      "Impersonate"=dword:00000000
                      "DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
                      "Logoff"="CryptnetWlxLogoffEvent"

                      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
                      "DLLName"="cscdll.dll"
                      "Logon"="WinlogonLogonEvent"
                      "Logoff"="WinlogonLogoffEvent"
                      "ScreenSaver"="WinlogonScreenSaverEvent"
                      "Startup"="WinlogonStartupEvent"
                      "Shutdown"="WinlogonShutdownEvent"
                      "StartShell"="WinlogonStartShellEvent"
                      "Impersonate"=dword:00000000
                      "Asynchronous"=dword:00000001

                      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Extensions]
                      "Asynchronous"=dword:00000000
                      "DllName"="C:\\WINDOWS\\system32\\s6pulg7916.dll"
                      "Impersonate"=dword:00000000
                      "Logon"="WinLogon"
                      "Logoff"="WinLogoff"
                      "Shutdown"="WinShutdown"

                      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
                      "DLLName"="wlnotify.dll"
                      "Logon"="SCardStartCertProp"
                      "Logoff"="SCardStopCertProp"
                      "Lock"="SCardSuspendCertProp"
                      "Unlock"="SCardResumeCertProp"
                      "Enabled"=dword:00000001
                      "Impersonate"=dword:00000001
                      "Asynchronous"=dword:00000001

                      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
                      "Asynchronous"=dword:00000000
                      "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
                      "Impersonate"=dword:00000000
                      "StartShell"="SchedStartShell"
                      "Logoff"="SchedEventLogOff"

                      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
                      "Logoff"="WLEventLogoff"
                      "Impersonate"=dword:00000000
                      "Asynchronous"=dword:00000001
                      "DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

                      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
                      "DLLName"="WlNotify.dll"
                      "Lock"="SensLockEvent"
                      "Logon"="SensLogonEvent"
                      "Logoff"="SensLogoffEvent"
                      "Safe"=dword:00000001
                      "MaxWait"=dword:00000258
                      "StartScreenSaver"="SensStartScreenSaverEvent"
                      "StopScreenSaver"="SensStopScreenSaverEvent"
                      "Startup"="SensStartupEvent"
                      "Shutdown"="SensShutdownEvent"
                      "StartShell"="SensStartShellEvent"
                      "PostShell"="SensPostShellEvent"
                      "Disconnect"="SensDisconnectEvent"
                      "Reconnect"="SensReconnectEvent"
                      "Unlock"="SensUnlockEvent"
                      "Impersonate"=dword:00000001
                      "Asynchronous"=dword:00000001

                      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
                      "Asynchronous"=dword:00000000
                      "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
                      "Impersonate"=dword:00000000
                      "Logoff"="TSEventLogoff"
                      "Logon"="TSEventLogon"
                      "PostShell"="TSEventPostShell"
                      "Shutdown"="TSEventShutdown"
                      "StartShell"="TSEventStartShell"
                      "Startup"="TSEventStartup"
                      "MaxWait"=dword:00000258
                      "Reconnect"="TSEventReconnect"
                      "Disconnect"="TSEventDisconnect"

                      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
                      "DLLName"="wlnotify.dll"
                      "Logon"="RegisterTicketExpiredNotificationEvent"
                      "Logoff"="UnregisterTicketExpiredNotificationEvent"
                      "Impersonate"=dword:00000001
                      "Asynchronous"=dword:00000001


                      ------------------ Locate.com Results ------------------

                      ------------ Strings.exe Qoologic Results ------------


                      -------------- Strings.exe Aspack Results -------------

                      C:\WINDOWS\system32\ntdll.dll: .aspack

                      ----------------- HKLM Run Key ------------------

                      REGEDIT4

                      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
                      "Anvshell"="C:\\WINDOWS\\Anvshell.exe"
                      "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
                      "nwiz"="nwiz.exe /install"
                      "Smapp"="C:\\Program Files\\Analog Devices\\SoundMAX\\SMTray.exe"
                      "Dit"="Dit.exe"
                      "Tweak UI"="RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp"
                      "ccApp"="\"C:\\Program Files\\Common Files\\Symantec Shared\\ccApp.exe\""
                      "ccRegVfy"="\"C:\\Program Files\\Common Files\\Symantec Shared\\ccRegVfy.exe\""
                      "PinnacleDriverCheck"="C:\\WINDOWS\\System32\\PSDrvCheck.exe -CheckReg"
                      "WinampAgent"="D:\\program files\\Winamp\\winampa.exe"
                      "Symantec NetDriver Monitor"="D:\\PROGRA~1\\SYMNET~1\\SNDMon.exe"
                      "TkBellExe"="\"C:\\Program Files\\Common Files\\Real\\Update_OB\\realsched.exe\" -osboot"

                      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

                      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
                      "Installed"="1"

                      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
                      "NoChange"="1"
                      "Installed"="1"

                      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
                      "Installed"="1"

                      =====================================
                      En de hijacklog

                      Logfile of HijackThis v1.98.2
                      Scan saved at 21:18:32, on 29-12-2004
                      Platform: Windows XP SP2 (WinNT 5.01.2600)
                      MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

                      Running processes:
                      C:\WINDOWS\System32\smss.exe
                      C:\WINDOWS\system32\winlogon.exe
                      C:\WINDOWS\system32\services.exe
                      C:\WINDOWS\system32\lsass.exe
                      C:\WINDOWS\system32\svchost.exe
                      C:\WINDOWS\System32\svchost.exe
                      C:\WINDOWS\system32\spoolsv.exe
                      C:\WINDOWS\Explorer.EXE
                      C:\WINDOWS\Anvshell.exe
                      C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
                      C:\WINDOWS\Dit.exe
                      C:\Program Files\Common Files\Symantec Shared\ccApp.exe
                      D:\program files\Winamp\winampa.exe
                      C:\WINDOWS\DitExp.exe
                      C:\Program Files\Common Files\Real\Update_OB\realsched.exe
                      C:\WINDOWS\system32\ctfmon.exe
                      C:\WINDOWS\system32\RUNDLL32.EXE
                      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
                      D:\program files\Webroot\Spy Sweeper\SpySweeper.exe
                      D:\program files\Google\Google Desktop Search\GoogleDesktop.exe
                      C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                      D:\program files\Norton AntiVirus\navapsvc.exe
                      D:\program files\Norton Internet Security\NISUM.EXE
                      C:\WINDOWS\System32\nvsvc32.exe
                      C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
                      C:\WINDOWS\System32\svchost.exe
                      C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
                      D:\program files\Norton Internet Security\ccPxySvc.exe
                      C:\WINDOWS\System32\svchost.exe
                      D:\program files\Google\Google Desktop Search\GoogleDesktopIndex.exe
                      D:\program files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
                      D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
                      C:\My Download Files\hijackthis1982.exe

                      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
                      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
                      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
                      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
                      O1 - Hosts: 69.20.16.183 ieautosearch
                      O1 - Hosts: 69.20.16.183 auto.search.msn.com
                      O1 - Hosts: 69.20.16.183 search.netscape.com
                      O1 - Hosts: 69.20.16.183 ieautosearch
                      O1 - Hosts: 69.20.16.183 ieautosearch
                      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\program files\Norton AntiVirus\NavShExt.dll
                      O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
                      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
                      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                      O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
                      O4 - HKLM\..\Run: [Dit] Dit.exe
                      O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
                      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
                      O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
                      O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
                      O4 - HKLM\..\Run: [WinampAgent] D:\program files\Winamp\winampa.exe
                      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
                      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
                      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
                      O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
                      O4 - HKCU\..\Run: [EPSON Stylus COLOR 480] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE /A "C:\WINDOWS\System32\E_S39.tmp"
                      O4 - HKCU\..\Run: [SpySweeper] "D:\program files\Webroot\Spy Sweeper\SpySweeper.exe" /0
                      O4 - HKCU\..\Run: [Google Desktop Search] "D:\program files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
                      O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
                      O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\EROProj.dll
                      O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
                      O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
                      O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
                      O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
                      O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
                      O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
                      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
                      O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
                      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096126192218


                      
                      • Citaat

                      Comment

                      • #12
                        Dag Jan,

                        Dit verloopt naar wens!


                        Start Pocket Killbox opnieuw.
                        Vink ditmaal de optie Delete on Reboot aan.
                        Plak de volgende regel in de adresbalk bij "Full Path of File to Delete":

                        C:\WINDOWS\System32\Guard.tmp

                        Klik op de rode knop met het witte kruis.
                        Klik Yes bij de vraag of je wilt rebooten.

                        De pc wordt nu opnieuw opgestart.


                        Dubbelklik daarna op Find.bat, zodat een nieuwe output.txt wordt gemaakt. Kopieer dat en plaats dat in je volgende bericht.
                        Maak ook een nieuw HijackThis-log en plaats dat in je volgende bericht.
                        • Citaat

                        Comment

                        • #13
                          Ha Buffy.
                          En weer een stapje verder. De guard.tmp is verdwenen. Nu de O1 items aanvinken ? Ik hoor wel weer verder. Je lijkt overigens lange dagen te maken als ik die reactietijden van je bekijk ! Hieronder eerst de log van find.bat, daarna hijack log.

                          Warning! This utility will find legitimate files in addition to malware.
                          Do not remove anything unless you are sure you know what you're doing.

                          Find.bat is running from: C:\My Download Files\virusprobleem

                          ------- System Files in System32 Directory -------
                          De volumenaam van station C is winxp
                          Het volumenummer is 18BC-7F0B

                          Map van C:\WINDOWS\System32

                          29-12-2004 11:29 <DIR> dllcache
                          11-06-2003 22:08 32 {F151BF4D-CDE5-4AC9-80FF-7EB264CD2C20}.dat
                          11-06-2003 22:08 32 {38C9BDF4-B0B9-4077-AD30-74D041BBB117}.dat
                          11-06-2003 20:48 <DIR> Microsoft
                          05-01-2002 03:40 487.424 msvcp70.dll
                          05-01-2002 03:37 344.064 msvcr70.dll
                          4 bestand(en) 831.552 bytes
                          2 map(pen) 4.272.582.656 bytes beschikbaar

                          ------- Hidden Files in System32 Directory -------

                          De volumenaam van station C is winxp
                          Het volumenummer is 18BC-7F0B

                          Map van C:\WINDOWS\System32

                          29-12-2004 11:29 <DIR> dllcache
                          12-10-2003 21:44 23.966 userinit.dat
                          12-10-2003 21:37 677 ou7k9ov0.tmp
                          12-10-2003 21:36 50.588 o78kdov0.tmp
                          11-06-2003 22:08 32 {F151BF4D-CDE5-4AC9-80FF-7EB264CD2C20}.dat
                          11-06-2003 22:08 32 {38C9BDF4-B0B9-4077-AD30-74D041BBB117}.dat
                          11-06-2003 20:16 488 logonui.exe.manifest
                          11-06-2003 20:16 488 WindowsLogon.manifest
                          11-06-2003 20:16 749 sapi.cpl.manifest
                          11-06-2003 20:16 749 wuaucpl.cpl.manifest
                          11-06-2003 20:16 749 ncpa.cpl.manifest
                          11-06-2003 20:16 749 cdplayer.exe.manifest
                          11-06-2003 20:16 749 nwc.cpl.manifest
                          12 bestand(en) 80.016 bytes
                          1 map(pen) 4.272.578.560 bytes beschikbaar

                          ---------- Files Named "Guard" -------------

                          De volumenaam van station C is winxp
                          Het volumenummer is 18BC-7F0B

                          Map van C:\WINDOWS\System32


                          --------- Temp Files in System32 Directory --------

                          De volumenaam van station C is winxp
                          Het volumenummer is 18BC-7F0B

                          Map van C:\WINDOWS\System32

                          25-12-2003 23:34 64 E_S39.tmp
                          12-10-2003 21:37 677 ou7k9ov0.tmp
                          12-10-2003 21:36 50.588 o78kdov0.tmp
                          18-12-2002 08:31 147.728 asycfilt.dll.tmp
                          07-09-2001 13:00 2.845 CONFIG.TMP
                          5 bestand(en) 201.902 bytes
                          0 map(pen) 4.272.574.464 bytes beschikbaar

                          ---------------- User Agent ------------

                          REGEDIT4

                          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
                          "{E752468D-825C-417D-B890-1B1BA43B0B9C}"=""


                          ------------ Keys Under Notify ------------

                          REGEDIT4

                          [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

                          [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
                          "Asynchronous"=dword:00000000
                          "Impersonate"=dword:00000000
                          "DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
                          "Logoff"="ChainWlxLogoffEvent"

                          [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
                          "Asynchronous"=dword:00000000
                          "Impersonate"=dword:00000000
                          "DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
                          "Logoff"="CryptnetWlxLogoffEvent"

                          [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
                          "DLLName"="cscdll.dll"
                          "Logon"="WinlogonLogonEvent"
                          "Logoff"="WinlogonLogoffEvent"
                          "ScreenSaver"="WinlogonScreenSaverEvent"
                          "Startup"="WinlogonStartupEvent"
                          "Shutdown"="WinlogonShutdownEvent"
                          "StartShell"="WinlogonStartShellEvent"
                          "Impersonate"=dword:00000000
                          "Asynchronous"=dword:00000001

                          [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Extensions]
                          "Asynchronous"=dword:00000000
                          "DllName"="C:\\WINDOWS\\system32\\s6pulg7916.dll"
                          "Impersonate"=dword:00000000
                          "Logon"="WinLogon"
                          "Logoff"="WinLogoff"
                          "Shutdown"="WinShutdown"

                          [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
                          "DLLName"="wlnotify.dll"
                          "Logon"="SCardStartCertProp"
                          "Logoff"="SCardStopCertProp"
                          "Lock"="SCardSuspendCertProp"
                          "Unlock"="SCardResumeCertProp"
                          "Enabled"=dword:00000001
                          "Impersonate"=dword:00000001
                          "Asynchronous"=dword:00000001

                          [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
                          "Asynchronous"=dword:00000000
                          "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
                          "Impersonate"=dword:00000000
                          "StartShell"="SchedStartShell"
                          "Logoff"="SchedEventLogOff"

                          [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
                          "Logoff"="WLEventLogoff"
                          "Impersonate"=dword:00000000
                          "Asynchronous"=dword:00000001
                          "DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

                          [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
                          "DLLName"="WlNotify.dll"
                          "Lock"="SensLockEvent"
                          "Logon"="SensLogonEvent"
                          "Logoff"="SensLogoffEvent"
                          "Safe"=dword:00000001
                          "MaxWait"=dword:00000258
                          "StartScreenSaver"="SensStartScreenSaverEvent"
                          "StopScreenSaver"="SensStopScreenSaverEvent"
                          "Startup"="SensStartupEvent"
                          "Shutdown"="SensShutdownEvent"
                          "StartShell"="SensStartShellEvent"
                          "PostShell"="SensPostShellEvent"
                          "Disconnect"="SensDisconnectEvent"
                          "Reconnect"="SensReconnectEvent"
                          "Unlock"="SensUnlockEvent"
                          "Impersonate"=dword:00000001
                          "Asynchronous"=dword:00000001

                          [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
                          "Asynchronous"=dword:00000000
                          "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
                          "Impersonate"=dword:00000000
                          "Logoff"="TSEventLogoff"
                          "Logon"="TSEventLogon"
                          "PostShell"="TSEventPostShell"
                          "Shutdown"="TSEventShutdown"
                          "StartShell"="TSEventStartShell"
                          "Startup"="TSEventStartup"
                          "MaxWait"=dword:00000258
                          "Reconnect"="TSEventReconnect"
                          "Disconnect"="TSEventDisconnect"

                          [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
                          "DLLName"="wlnotify.dll"
                          "Logon"="RegisterTicketExpiredNotificationEvent"
                          "Logoff"="UnregisterTicketExpiredNotificationEvent"
                          "Impersonate"=dword:00000001
                          "Asynchronous"=dword:00000001


                          ------------------ Locate.com Results ------------------

                          ------------ Strings.exe Qoologic Results ------------


                          -------------- Strings.exe Aspack Results -------------

                          C:\WINDOWS\system32\ntdll.dll: .aspack

                          ----------------- HKLM Run Key ------------------

                          REGEDIT4

                          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
                          "Anvshell"="C:\\WINDOWS\\Anvshell.exe"
                          "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
                          "nwiz"="nwiz.exe /install"
                          "Smapp"="C:\\Program Files\\Analog Devices\\SoundMAX\\SMTray.exe"
                          "Dit"="Dit.exe"
                          "Tweak UI"="RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp"
                          "ccApp"="\"C:\\Program Files\\Common Files\\Symantec Shared\\ccApp.exe\""
                          "ccRegVfy"="\"C:\\Program Files\\Common Files\\Symantec Shared\\ccRegVfy.exe\""
                          "PinnacleDriverCheck"="C:\\WINDOWS\\System32\\PSDrvCheck.exe -CheckReg"
                          "WinampAgent"="D:\\program files\\Winamp\\winampa.exe"
                          "Symantec NetDriver Monitor"="D:\\PROGRA~1\\SYMNET~1\\SNDMon.exe"
                          "TkBellExe"="\"C:\\Program Files\\Common Files\\Real\\Update_OB\\realsched.exe\" -osboot"

                          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

                          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
                          "Installed"="1"

                          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
                          "NoChange"="1"
                          "Installed"="1"

                          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
                          "Installed"="1"

                          ================================================================
                          en de hijack-log

                          Logfile of HijackThis v1.98.2
                          Scan saved at 22:12:38, on 29-12-2004
                          Platform: Windows XP SP2 (WinNT 5.01.2600)
                          MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

                          Running processes:
                          C:\WINDOWS\System32\smss.exe
                          C:\WINDOWS\system32\winlogon.exe
                          C:\WINDOWS\system32\services.exe
                          C:\WINDOWS\system32\lsass.exe
                          C:\WINDOWS\system32\svchost.exe
                          C:\WINDOWS\System32\svchost.exe
                          C:\WINDOWS\system32\spoolsv.exe
                          C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                          D:\program files\Norton AntiVirus\navapsvc.exe
                          D:\program files\Norton Internet Security\NISUM.EXE
                          C:\WINDOWS\System32\nvsvc32.exe
                          C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
                          C:\WINDOWS\System32\svchost.exe
                          C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
                          D:\program files\Norton Internet Security\ccPxySvc.exe
                          C:\WINDOWS\Explorer.EXE
                          C:\WINDOWS\Anvshell.exe
                          C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
                          C:\WINDOWS\Dit.exe
                          C:\Program Files\Common Files\Symantec Shared\ccApp.exe
                          D:\program files\Winamp\winampa.exe
                          C:\WINDOWS\DitExp.exe
                          C:\Program Files\Common Files\Real\Update_OB\realsched.exe
                          C:\WINDOWS\system32\ctfmon.exe
                          C:\WINDOWS\system32\RUNDLL32.EXE
                          C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
                          D:\program files\Webroot\Spy Sweeper\SpySweeper.exe
                          D:\program files\Google\Google Desktop Search\GoogleDesktop.exe
                          C:\WINDOWS\System32\svchost.exe
                          D:\program files\Google\Google Desktop Search\GoogleDesktopIndex.exe
                          D:\program files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
                          C:\My Download Files\hijackthis1982.exe

                          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
                          R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
                          R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
                          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
                          O1 - Hosts: 69.20.16.183 ieautosearch
                          O1 - Hosts: 69.20.16.183 auto.search.msn.com
                          O1 - Hosts: 69.20.16.183 search.netscape.com
                          O1 - Hosts: 69.20.16.183 ieautosearch
                          O1 - Hosts: 69.20.16.183 ieautosearch
                          O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\program files\Norton AntiVirus\NavShExt.dll
                          O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
                          O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
                          O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                          O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
                          O4 - HKLM\..\Run: [Dit] Dit.exe
                          O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
                          O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
                          O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
                          O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
                          O4 - HKLM\..\Run: [WinampAgent] D:\program files\Winamp\winampa.exe
                          O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
                          O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
                          O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
                          O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
                          O4 - HKCU\..\Run: [EPSON Stylus COLOR 480] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE /A "C:\WINDOWS\System32\E_S39.tmp"
                          O4 - HKCU\..\Run: [SpySweeper] "D:\program files\Webroot\Spy Sweeper\SpySweeper.exe" /0
                          O4 - HKCU\..\Run: [Google Desktop Search] "D:\program files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
                          O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
                          O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\EROProj.dll
                          O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
                          O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
                          O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
                          O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
                          O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
                          O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
                          O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
                          O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
                          O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096126192218


                          
                          • Citaat

                          Comment

                          • #14
                            Prima, het verloopt nog steeds naar wens. De volgende stappen:



                            1. Open Kladblok. Kopieer de onderstaande vetgedrukte tekst en plak dit in een nieuw document:


                            REGEDIT4

                            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
                            "{E752468D-825C-417D-B890-1B1BA43B0B9C}"=-

                            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
                            "SV1"=""

                            [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Run Once]


                            Kies Bestand -> Opslaan.
                            Kies bij "Opslaan in" voor "Bureaublad".
                            Vul bij "Bestandsnaam" in: vx2fix.reg
                            Kies bij "Opslaan als type" voor "Alle bestanden".
                            Klik op "Opslaan".


                            2. Dubbelklik op vx2fix.reg, dat nu op je bureaublad staat.
                            Ga ermee akkoord dat dit aan het register wordt toegevoegd.


                            3. Download VX2Finder: http://www.downloads.subratam.org/VX2Finder.exe
                            Plaats het bestand op je bureaublad.
                            Start VX2Finder door erop te dubbelklikken.
                            Klik daar op 'Restore Policy'
                            Sluit VX2Finder.


                            4. Download en unzip TheHoster: http://members.aol.com/toadbee/hoster.zip
                            Start Hoster.exe, klik 'Restore Original Hosts' en klik OK. Sluit daarna Hoster af.


                            5. Start Killbox opnieuw,
                            Klik bovenaan in het menu op 'file' en kies daar 'delete all dummy files'
                            In het menu bij tools klik je: 'delete temp files'


                            6. Scan met HijackThis en vink volgende items aan:

                            O1 - Hosts: 69.20.16.183 ieautosearch
                            O1 - Hosts: 69.20.16.183 auto.search.msn.com
                            O1 - Hosts: 69.20.16.183 search.netscape.com
                            O1 - Hosts: 69.20.16.183 ieautosearch
                            O1 - Hosts: 69.20.16.183 ieautosearch
                            Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".


                            7. Start de pc opnieuw op, maak een nieuw HijackThis-log en plaats dat hier.
                            • Citaat

                            Comment

                            • #15
                              Een vraag tussendoor.

                              Ik heb eerste stappen uitgevoerd. Bij starten van VX2finder en klik op Restore policy krijg ik de waarschuwing in de trant van "This will reset the sedebugprivelege for administratrors, if you already removed the vx2.better internet files using recovery console".
                              Als ik OK klik, dan wil de pc daarna opnieuw opstarten.
                              Wat te doen ? Ik kan ook klikken op optie "Klick to find VX2betterIinternet"
                              • Citaat

                              Comment

                              Vorige 1 2 template Volgende
                              Sorry, you are not authorized to view this page
                              Working...
                              X