Mededeling

Collapse
No announcement yet.

Hijack log controle gewenst

Collapse
X
Collapse
  •  
  • Page of 2
  • Filter
  • Tijd
  • Show
Clear All
new posts
Vorige 1 2 template Volgende
  • #1

    Hijack log controle gewenst

    Hoi,

    Even een hijack-log om te controleren.

    Hierbij moet vermeld worden dat ik graag een snelle comp heb en dus alle processen in msconfig heb uitstaan behalve 2 van norton anti virus. Tevens heb ik voor het maken van de log met Hitman pro gescant.

    Voordat ik scande met hitman en een log maakte heb ik via de thread op dit forum de richfind toolbar verwijderd. Verder heb ik problemen met het bestand "misb.exe" wat steeds terug komt hoevaak ik het ook verwijder en bevat het bestand "taskopen.exe" steeds een trojan horse en komt ie steeds terug als ik hem verwijder.

    log --> Logfile of HijackThis v1.99.0
    Scan saved at 17:42:14, on 29-12-2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Program Files\Norton AntiVirus\SAVScan.exe
    C:\WINDOWS\winhost.exe
    C:\WINDOWS\winhost.exe
    C:\WINDOWS\winhost.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\Java\jre1.5.0\bin\jusched.exe
    C:\Program Files\ad aware\hijackthis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://more-pages.com/search/
    R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://more-pages.com/search/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pornhit.net/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://more-pages.com/sweb/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: (no name) - {48EE6BB5-4146-409D-A267-724437B30039} - C:\WINDOWS\System32\msfg.dll
    O3 - Toolbar: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
    O4 - HKLM\..\RunOnce: [qappsrvc32.exe] qappsrvc32.exe
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: Search - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O15 - Trusted Zone: http://*.search-soft.net
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102258221920
    O17 - HKLM\System\CCS\Services\Tcpip\..\{20B628E9-9B9B-46DF-8E0A-79EB308B0D02}: NameServer = 69.50.166.94,69.31.80.244
    O17 - HKLM\System\CS1\Services\Tcpip\..\{20B628E9-9B9B-46DF-8E0A-79EB308B0D02}: NameServer = 69.50.166.94,69.31.80.244
    O17 - HKLM\System\CS2\Services\Tcpip\..\{20B628E9-9B9B-46DF-8E0A-79EB308B0D02}: NameServer = 69.50.166.94,69.31.80.244
    O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe


    PS tevens gebruik ik inmiddels Firefox als hoofdbrowser nadat dit werd geadviseerd.


    Alvast bedankt
    Groetjes

    Jos
    Labels: Geen
    • Citaat
  • #2
    Hoi Jos,

    Dit wordt verwarrend omdat je alles al in msconfig hebt uitgeschakeld. Kan je deze items eens terug inschakelen, zo kunnen we beter zien met wat je allemaal te maken hebt.
    Doe alvast ook een online virusscan:

    housecall en/of Bitdefender

    Plaats daarna een nieuw hijackthislogje.
    Microsoft MVP - Consumer Security
    Director of Research @ Malwarebytes
    Mijn Blog
    • Citaat

    Comment

    • #3
      Oorspronkelijk geplaatst door miekiemoes
      Doe alvast ook een online virusscan:

      [url=http://housecall.trendmicro.com/]housecall en/of [url=http://www.bitdefender.com/scan/licence.php]Bitdefender

      Even een kleine opmerking over deze 2 online scanners. Beide krijg ik niet aan de gang met firefox. Na internet explorer gestart te hebben denk ik dat ik zo ongeveer 100 virussen binnengehaald heb. Hij is nu scannende (ik type dit bericht vanaf een andere pc) maar ik hoop dat de problemen er niet groter door worden.
      Groetjes

      Jos
      • Citaat

      Comment

      • #4
        Tja sneaky... die onlinescans zijn echt nodig. Want blijkbaar heeft je norton er veel over het hoofd gezien. En zo aan je logje te zien...
        Na dit gedaan te hebben... gebruik je de stinger-optie in Hitman pro en laat die scannen in VEILIGE MODE.
        Reboot daarna en post een nieuw logje.
        Microsoft MVP - Consumer Security
        Director of Research @ Malwarebytes
        Mijn Blog
        • Citaat

        Comment

        • #5
          Oorspronkelijk geplaatst door miekiemoes
          Tja sneaky... die onlinescans zijn echt nodig. Want blijkbaar heeft je norton er veel over het hoofd gezien. En zo aan je logje te zien...
          Na dit gedaan te hebben... gebruik je de stinger-optie in Hitman pro en laat die scannen in VEILIGE MODE.
          Reboot daarna en post een nieuw logje.
          Sterker nog, elke keer als ik mn pc opnieuw opstart en norton laat scannen vind ie virussen. Zelfs als ik de internet verbinding verbreek vind ie nog virussen. Vandaar dat ik hier eens een log postte omdat het elke keer dezelfde bestanden zijn die geinfecteerd zijn en dus norton ze ook niet weg kan krijgen.

          Ik hoop dat ik niet met een al te groot probleem kom nu, maar ik hoop dat die online scan ze wel weg krijgt.

          (hij is overigens nog bezig)
          Groetjes

          Jos
          • Citaat

          Comment

          • #6
            Die onlinescan zal ze uiteraard niet wegkrijgen.. want de meeste bestanden zullen ook in gebruik zijn, maar.. het zal tenminste de andere virussen/malware die niet in gebruik is kunnen verwijderen.
            Vergeet daarna niet om stinger in veilige mode te laten runnen. Maak in veilige mode ook maar eens je tempmappen leeg.
            Bij het volgend logje zullen we wel zien hoe de rest aan te pakken.
            Microsoft MVP - Consumer Security
            Director of Research @ Malwarebytes
            Mijn Blog
            • Citaat

            Comment

            • #7
              Oorspronkelijk geplaatst door miekiemoes
              Die onlinescan zal ze uiteraard niet wegkrijgen.. want de meeste bestanden zullen ook in gebruik zijn, maar.. het zal tenminste de andere virussen/malware die niet in gebruik is kunnen verwijderen.
              Vergeet daarna niet om stinger in veilige mode te laten runnen. Maak in veilige mode ook maar eens je tempmappen leeg.
              Bij het volgend logje zullen we wel zien hoe de rest aan te pakken.
              Oke alvast bedankt dan, die online scan krijgt idd ook nix weg, ik laat nu alles even in veilige modus scannen (norton en stinger).
              Groetjes

              Jos
              • Citaat

              Comment

              • #8
                Hoi,

                Het gevraagde is me ongeveer allemaal gelukt.

                Norton en stinger vonden diverse dingen in veilige modus. Na een herstart naar normaal vond Norton 2 packed.dialers (125190[1].exe en misb.exe) en 1 dialer (125190[1].exe), ad_aware vond 2 malware en 2 hijack attempts. Spysweeper vond een trojan en spybot vond niets.

                Vervolgens met de online scan vond housecall 3 virussen waarvan er 2 niet verwijderd konden worden (dnsauth.dll en msqr.dll) dus die zitten er nogsteeds in denk ik zo. Tevens kwam ik overal bestanden tegen zoals 1.exe, 2.exe, enz. enz. met als pictogram een pornografisch plaatje. In neem aan dat dit ook dialers zijn?? en kan ik deze zo weggooien of horen er nog andere *.dll bestanden bij??

                Hieronder gelijk nog even de meest actuele Hijack-log. Ik hoop dat ik na deze log voorgoed van deze rommel verwijderd ben.

                Logfile of HijackThis v1.99.0
                Scan saved at 23:52:01, on 29-12-2004
                Platform: Windows XP (WinNT 5.01.2600)
                MSIE: Internet Explorer v6.00 (6.00.2600.0000)

                Running processes:
                C:\WINDOWS\System32\smss.exe
                C:\WINDOWS\system32\csrss.exe
                C:\WINDOWS\system32\winlogon.exe
                C:\WINDOWS\system32\services.exe
                C:\WINDOWS\system32\lsass.exe
                C:\WINDOWS\System32\Ati2evxx.exe
                C:\WINDOWS\system32\svchost.exe
                C:\WINDOWS\System32\svchost.exe
                C:\WINDOWS\System32\svchost.exe
                C:\WINDOWS\System32\svchost.exe
                C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
                C:\WINDOWS\Explorer.EXE
                C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                C:\WINDOWS\system32\spoolsv.exe
                C:\Program Files\Norton AntiVirus\navapsvc.exe
                C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
                C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
                C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
                C:\Program Files\Norton AntiVirus\SAVScan.exe
                C:\WINDOWS\winhost.exe
                C:\WINDOWS\winhost.exe
                C:\Program Files\Common Files\Symantec Shared\ccApp.exe
                C:\Program Files\Java\jre1.5.0\bin\jusched.exe
                C:\Program Files\VIA\RAID\raid_tool.exe
                C:\Program Files\Mozilla Firefox\firefox.exe
                C:\Program Files\ad aware\hijackthis.exe

                R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://more-pages.com/search/
                R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
                R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
                R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
                R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://more-pages.com/search/
                R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://more-pages.com/search/
                R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
                R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
                R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
                R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://more-pages.com/sweb/
                R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
                R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://more-pages.com/sweb/
                R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
                R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
                O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
                O2 - BHO: (no name) - {B0C03BB6-B217-459B-AF95-DAF4EB496E30} - C:\WINDOWS\System32\msqr.dll
                O3 - Toolbar: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
                O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
                O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
                O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
                O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
                O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
                O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
                O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
                O4 - Global Startup: raid_tool.exe.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
                O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
                O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
                O8 - Extra context menu item: Gelijkwaardige pagina's - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
                O8 - Extra context menu item: Koppelingspagina's - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
                O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
                O9 - Extra button: Search - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\System32\shdocvw.dll
                O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
                O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
                O15 - Trusted Zone: http://*.search-soft.net
                O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102258221920
                O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
                O17 - HKLM\System\CCS\Services\Tcpip\..\{20B628E9-9B9B-46DF-8E0A-79EB308B0D02}: NameServer = 69.50.166.94,69.31.80.244
                O17 - HKLM\System\CS1\Services\Tcpip\..\{20B628E9-9B9B-46DF-8E0A-79EB308B0D02}: NameServer = 69.50.166.94,69.31.80.244
                O17 - HKLM\System\CS2\Services\Tcpip\..\{20B628E9-9B9B-46DF-8E0A-79EB308B0D02}: NameServer = 69.50.166.94,69.31.80.244
                O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
                O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
                O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
                O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
                O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
                O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
                O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
                O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
                O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
                O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
                O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

                PS alle processen die ik uitgeschakeld had voor de eerste log, had ik voordat ik naar veilige modus ging weer aangezet. Ik hoop dat ik hierin ook wat adviezen kan krijgen.

                Alvast heel erg bedankt,
                Groetjes

                Jos
                • Citaat

                Comment

                • #9
                  * Download remv3.zip. (credit to Baskar)
                  Deze zipfile bevat 2 bestanden: remv3.bat en feach.com.
                  Unzip die bestanden naar de volgende map c:\windows\system32

                  * Download en installeer CCleaner
                  Nog niet gebruiken

                  * Zorg ervoor dat je verborgen mappen en bestanden weergegeven zijn. Hoe deze weer te geven.
                  * Start hijackthis en vink volgende items aan:

                  R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://more-pages.com/search/
                  R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://more-pages.com/search/
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://more-pages.com/search/
                  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
                  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://more-pages.com/sweb/
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
                  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://more-pages.com/sweb/
                  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
                  O2 - BHO: (no name) - {B0C03BB6-B217-459B-AF95-DAF4EB496E30} - C:\WINDOWS\System32\msqr.dll
                  O3 - Toolbar: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
                  O9 - Extra button: Search - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\System32\shdocvw.dll
                  O15 - Trusted Zone: http://*.search-soft.net

                  * Sluit alle open vensters behalve hijackthis en klik: Fix Checked.

                  * Start nu je pc op in VEILIGE MODE. Hoe start ik in veilige mode op.

                  * Zoek daarna via verkenner volgende items en verwijder deze manueel indien nog aanwezig:

                  C:\WINDOWS\winhost.exe
                  C:\WINDOWS\System32\msqr.dll (indien nog aanwezig)

                  Start Ccleaner en klik op Run cleaner.

                  Ga naar Start - Uitvoeren - en tik in:

                  C:\WINDOWS\System32\remv3.bat


                  Laat het zijn werk doen..

                  Herstart de computer in normale modus.
                  Zoek via Windows Verkenner naar het bestand C:\log.txt.
                  Post de inhoud van log.txt samen met een nieuwe HijackThislog.
                  Microsoft MVP - Consumer Security
                  Director of Research @ Malwarebytes
                  Mijn Blog
                  • Citaat

                  Comment

                  • #10
                    ik wil niet vervelend doen, maar het bestand misb.exe staat alweer geinstalleerd, terwijl ik alleen heb uitgevoerd wat hierboven staat sorry.

                    beide bestanden die handmatig verwijderd moesten worden waren aanwezig en zijn verwijderd.

                    log.txt


                    Files Found.................
                    ----------------------------------------

                    Files Not deleted.................
                    ----------------------------------------

                    Merging registry entries
                    -----------------------------------------------------------------
                    The Registry Entries Found...
                    -----------------------------------------------------------------


                    Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
                    -----------------------------------------------------------------
                    msi.dll
                    Finished

                    hijacklog.txt

                    Logfile of HijackThis v1.99.0
                    Scan saved at 0:36:48, on 30-12-2004
                    Platform: Windows XP (WinNT 5.01.2600)
                    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

                    Running processes:
                    C:\WINDOWS\System32\smss.exe
                    C:\WINDOWS\system32\winlogon.exe
                    C:\WINDOWS\system32\services.exe
                    C:\WINDOWS\system32\lsass.exe
                    C:\WINDOWS\System32\Ati2evxx.exe
                    C:\WINDOWS\system32\svchost.exe
                    C:\WINDOWS\System32\svchost.exe
                    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
                    C:\WINDOWS\Explorer.EXE
                    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                    C:\WINDOWS\system32\spoolsv.exe
                    C:\Program Files\Norton AntiVirus\navapsvc.exe
                    C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
                    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
                    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
                    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
                    C:\Program Files\Java\jre1.5.0\bin\jusched.exe
                    C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
                    C:\Program Files\VIA\RAID\raid_tool.exe
                    C:\Program Files\Norton AntiVirus\SAVScan.exe
                    C:\WINDOWS\System32\wuauclt.exe
                    C:\Program Files\WebSiteViewer\125190.dlr
                    C:\Program Files\ad aware\hijackthis.exe

                    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
                    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
                    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
                    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
                    O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
                    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
                    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
                    O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
                    O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
                    O4 - Global Startup: raid_tool.exe.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
                    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
                    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
                    O8 - Extra context menu item: Gelijkwaardige pagina's - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
                    O8 - Extra context menu item: Koppelingspagina's - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
                    O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
                    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
                    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
                    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102258221920
                    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
                    O17 - HKLM\System\CCS\Services\Tcpip\..\{20B628E9-9B9B-46DF-8E0A-79EB308B0D02}: NameServer = 69.50.166.94,69.31.80.244
                    O17 - HKLM\System\CS1\Services\Tcpip\..\{20B628E9-9B9B-46DF-8E0A-79EB308B0D02}: NameServer = 69.50.166.94,69.31.80.244
                    O17 - HKLM\System\CS2\Services\Tcpip\..\{20B628E9-9B9B-46DF-8E0A-79EB308B0D02}: NameServer = 69.50.166.94,69.31.80.244
                    O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
                    O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
                    O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                    O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
                    O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
                    O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
                    O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
                    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
                    O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
                    O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
                    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
                    O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
                    Groetjes

                    Jos
                    • Citaat

                    Comment

                    • #11
                      Waar wordt die misb.exe juist gevonden?
                      Nog een bijkomend vraagje ivm rem3v... heb je het volgende wel juist gedaan?
                      Just to make sure.. want dit is wel belangrijk:

                      Deze zipfile bevat 2 bestanden: remv3.bat en feach.com.
                      Unzip die bestanden naar de volgende map c:\windows\system32
                      en daarna in VEILIGE MODE dit uitgevoerd?

                      Ga naar Start - Uitvoeren - en tik in:

                      C:\WINDOWS\System32\remv3.bat
                      Er komen wel telkens meer en meer dingetjes in je processen naar boven die er van voorheen niet waren:

                      C:\Program Files\WebSiteViewer\125190.dlr

                      Dus, verwijder deze map ook alvast maar:

                      C:\Program Files\WebSiteViewer <==deze map

                      Indien dit niet lukt in normale mode, doe dit dan in veilige mode.

                      In je allereerste post heb je me ook vermeld dat je al veel items hebt uitgeschakeld via msconfig.. wel, zolang ik die items niet te zien krijg, kan ik ook verder niet aangeven welke er moeten verwijderd worden en welke niet.
                      Daarom;. en heb je dit al eerder gevraagd... vink al die items die je hebt uitgevinkt terug aan en post een nieuw hijackthislogje.
                      Zo kunnen we de oorzaak achterhalen die verantwoordelijk is voor die misb.exe oa.
                      Microsoft MVP - Consumer Security
                      Director of Research @ Malwarebytes
                      Mijn Blog
                      • Citaat

                      Comment

                      • #12
                        Allereerst excusses dat ik gisteren niet gereageerd heb, maar ik was gisteren erg druk. De comp die het betreft heeft overigens de hele dag uit gestaan dus ik denk niet dat er dingen gebeurt zijn ondertussen.

                        Oorspronkelijk geplaatst door miekiemoes
                        Waar wordt die misb.exe juist gevonden?
                        in c:\misb.exe (op de root dus)

                        Oorspronkelijk geplaatst door miekiemoes
                        Nog een bijkomend vraagje ivm rem3v... heb je het volgende wel juist gedaan?
                        Just to make sure.. want dit is wel belangrijk:


                        en daarna in VEILIGE MODE dit uitgevoerd?
                        Ik heb het exact zo gedaan zoals je vroeg in de voorgaande post en nu nogmaals.

                        Oorspronkelijk geplaatst door miekiemoes

                        Er komen wel telkens meer en meer dingetjes in je processen naar boven die er van voorheen niet waren:

                        C:\Program Files\WebSiteViewer\125190.dlr

                        Dus, verwijder deze map ook alvast maar:

                        C:\Program Files\WebSiteViewer <==deze map
                        Gedaan in veilige modus voordat ik dit poste

                        Oorspronkelijk geplaatst door miekiemoes

                        Indien dit niet lukt in normale mode, doe dit dan in veilige mode.

                        In je allereerste post heb je me ook vermeld dat je al veel items hebt uitgeschakeld via msconfig.. wel, zolang ik die items niet te zien krijg, kan ik ook verder niet aangeven welke er moeten verwijderd worden en welke niet.
                        Daarom;. en heb je dit al eerder gevraagd... vink al die items die je hebt uitgevinkt terug aan en post een nieuw hijackthislogje.
                        Zo kunnen we de oorzaak achterhalen die verantwoordelijk is voor die misb.exe oa.
                        Ik heb gelijk toen je dit vroeg alles aangezet en ben er daarna niet meer aan geweest.

                        Sorry dat het zo rommelig gaat, ik had het liever ook anders gezien. Hieronder nogmaals de nieuwe log.txt en hijackthis.log


                        Files Found.................
                        ----------------------------------------

                        Files Not deleted.................
                        ----------------------------------------

                        Merging registry entries
                        -----------------------------------------------------------------
                        The Registry Entries Found...
                        -----------------------------------------------------------------


                        Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
                        -----------------------------------------------------------------
                        msi.dll
                        Finished

                        Logfile of HijackThis v1.99.0
                        Scan saved at 12:36:12, on 31-12-2004
                        Platform: Windows XP (WinNT 5.01.2600)
                        MSIE: Internet Explorer v6.00 (6.00.2600.0000)

                        Running processes:
                        C:\WINDOWS\System32\smss.exe
                        C:\WINDOWS\system32\winlogon.exe
                        C:\WINDOWS\system32\services.exe
                        C:\WINDOWS\system32\lsass.exe
                        C:\WINDOWS\System32\Ati2evxx.exe
                        C:\WINDOWS\system32\svchost.exe
                        C:\WINDOWS\System32\svchost.exe
                        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
                        C:\WINDOWS\Explorer.EXE
                        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                        C:\WINDOWS\system32\spoolsv.exe
                        C:\Program Files\Norton AntiVirus\navapsvc.exe
                        C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
                        C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
                        C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
                        C:\WINDOWS\ibs.exe
                        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
                        C:\Program Files\Java\jre1.5.0\bin\jusched.exe
                        C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
                        C:\Program Files\VIA\RAID\raid_tool.exe
                        C:\Program Files\Norton AntiVirus\SAVScan.exe
                        C:\WINDOWS\System32\wuauclt.exe
                        C:\WINDOWS\system32\NOTEPAD.EXE
                        C:\Program Files\ad aware\hijackthis.exe

                        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
                        O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
                        O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
                        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
                        O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
                        O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
                        O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
                        O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
                        O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
                        O4 - Global Startup: raid_tool.exe.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
                        O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
                        O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
                        O8 - Extra context menu item: Gelijkwaardige pagina's - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
                        O8 - Extra context menu item: Koppelingspagina's - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
                        O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
                        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
                        O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
                        O17 - HKLM\System\CCS\Services\Tcpip\..\{20B628E9-9B9B-46DF-8E0A-79EB308B0D02}: NameServer = 69.50.166.94,69.31.80.244
                        O17 - HKLM\System\CS1\Services\Tcpip\..\{20B628E9-9B9B-46DF-8E0A-79EB308B0D02}: NameServer = 69.50.166.94,69.31.80.244
                        O17 - HKLM\System\CS2\Services\Tcpip\..\{20B628E9-9B9B-46DF-8E0A-79EB308B0D02}: NameServer = 69.50.166.94,69.31.80.244
                        O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
                        O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
                        O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                        O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
                        O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
                        O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
                        O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
                        O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
                        O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
                        O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
                        O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
                        O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
                        Groetjes

                        Jos
                        • Citaat

                        Comment

                        • #13
                          Hoi Jos,

                          Ik zie hier weer een proces verschijnen die helemaal niet thuishoort...

                          C:\WINDOWS\ibs.exe

                          En die is alweer niet in je opstartlijst te zien omdat je dit allemaal uitgevinkt hebt.
                          Ik heb je dit al eerder gevraagd... kan je me asjeblief vertellen wat je allemaal in je opstartlijst hebt uitgevinkt? Want dit wordt anders een straatje zonder einde en zo moet ik telkens wachten op nieuwe logs om te zien welke slechte processen nu weer komen opduiken.

                          Open je taakbeheer, selecteer processen en beëïndig het volgende proces:

                          ibs.exe

                          Daarna zoek je via je verkenner de volgende en verwijder die:

                          C:\WINDOWS\ibs.exe
                          c:\misb.exe

                          Reboot daarna je pc en doe nog eens een onlinescan met housecall en/of bitdefender en laat het alles verwijderen wat het vindt. Kan die bepaalde items niet verwijderen, vertel me welke items dit zijn en waar ze zich bevinden.

                          Post daarna ook een nieuw hijackthislogje.
                          Microsoft MVP - Consumer Security
                          Director of Research @ Malwarebytes
                          Mijn Blog
                          • Citaat

                          Comment

                          • #14
                            Oorspronkelijk geplaatst door miekiemoes
                            Hoi Jos,

                            Ik zie hier weer een proces verschijnen die helemaal niet thuishoort...

                            C:\WINDOWS\ibs.exe

                            En die is alweer niet in je opstartlijst te zien omdat je dit allemaal uitgevinkt hebt.
                            Ik heb je dit al eerder gevraagd... kan je me asjeblief vertellen wat je allemaal in je opstartlijst hebt uitgevinkt? Want dit wordt anders een straatje zonder einde en zo moet ik telkens wachten op nieuwe logs om te zien welke slechte processen nu weer komen opduiken.

                            Open je taakbeheer, selecteer processen en beëïndig het volgende proces:

                            ibs.exe

                            Daarna zoek je via je verkenner de volgende en verwijder die:

                            C:\WINDOWS\ibs.exe
                            c:\misb.exe

                            Reboot daarna je pc en doe nog eens een onlinescan met housecall en/of bitdefender en laat het alles verwijderen wat het vindt. Kan die bepaalde items niet verwijderen, vertel me welke items dit zijn en waar ze zich bevinden.

                            Post daarna ook een nieuw hijackthislogje.
                            ibs en misb weer verwijderd. het proces ibs, was niet draaiende in taakbeheer . en housecall vond een troj_alureonb in een backup van ad aware bestand en in c:\windows\system32\dnsauth.dll.

                            Tevens heb ik een screenshot bijgevoegd van msconfig/opstarten.

                            Logfile of HijackThis v1.99.0
                            Scan saved at 14:58:10, on 31-12-2004
                            Platform: Windows XP (WinNT 5.01.2600)
                            MSIE: Internet Explorer v6.00 (6.00.2600.0000)

                            Running processes:
                            C:\WINDOWS\System32\smss.exe
                            C:\WINDOWS\system32\winlogon.exe
                            C:\WINDOWS\system32\services.exe
                            C:\WINDOWS\system32\lsass.exe
                            C:\WINDOWS\System32\Ati2evxx.exe
                            C:\WINDOWS\system32\svchost.exe
                            C:\WINDOWS\System32\svchost.exe
                            C:\WINDOWS\system32\logonui.exe
                            C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
                            C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                            C:\WINDOWS\Explorer.EXE
                            C:\WINDOWS\system32\spoolsv.exe
                            C:\Program Files\Norton AntiVirus\navapsvc.exe
                            C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
                            C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
                            C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
                            C:\Program Files\Common Files\Symantec Shared\ccApp.exe
                            C:\Program Files\Java\jre1.5.0\bin\jusched.exe
                            C:\Program Files\VIA\RAID\raid_tool.exe
                            C:\Program Files\Norton AntiVirus\SAVScan.exe
                            C:\Program Files\ad aware\hijackthis.exe

                            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
                            O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
                            O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
                            O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
                            O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
                            O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
                            O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
                            O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
                            O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
                            O4 - Global Startup: raid_tool.exe.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
                            O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
                            O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
                            O8 - Extra context menu item: Gelijkwaardige pagina's - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
                            O8 - Extra context menu item: Koppelingspagina's - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
                            O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
                            O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
                            O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
                            O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
                            O17 - HKLM\System\CCS\Services\Tcpip\..\{20B628E9-9B9B-46DF-8E0A-79EB308B0D02}: NameServer = 69.50.166.94,69.31.80.244
                            O17 - HKLM\System\CS1\Services\Tcpip\..\{20B628E9-9B9B-46DF-8E0A-79EB308B0D02}: NameServer = 69.50.166.94,69.31.80.244
                            O17 - HKLM\System\CS2\Services\Tcpip\..\{20B628E9-9B9B-46DF-8E0A-79EB308B0D02}: NameServer = 69.50.166.94,69.31.80.244
                            O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
                            O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
                            O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                            O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
                            O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
                            O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
                            O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
                            O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
                            O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
                            O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
                            O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
                            O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe


                            Groetjes

                            Jos
                            • Citaat

                            Comment

                            • #15
                              Hoi Jos,

                              Deze log ziet er alvast terug goed uit... alsook je startuplijst.
                              Wat betreft die backup van in je adaware.. deze kan je gerust verwijderen.

                              Hoe zo'n toestanden voorkomen:

                              ASAP een bezoekje brengen aan http://windowsupdate.microsoft.com/ want je moet echt dringend je systeem updaten. Je hebt zelfs SP1 niet staan. Zolang je die niet update, zal je blijvend problemen hebben, want je bent totaal niet genoeg beveiligd!

                              Laat Hitman Pro regelmatig runnen.

                              En kies eventueel een alternatieve browser zoals Opera of Firefox.

                              En ik raad je ook aan om af en toe een online virusscan uit te voeren. housecall en/of Bitdefender. Want, wat de ene scanner niet kan vinden, kan een andere misschien wel.
                              Zorg er ook voor dat je virusscanner die op je systeem geïnstalleerd is altijd up to date is!!

                              Bekijk ook eens deze 2 filmpjes.. Heel interessant:
                              http://www2.trosradar.nl/mediaplayer/player.php?videoID=524&mode=dossier#

                              http://www.benedelman.org/spyware/security-111804.wmv


                              Happy surfing again!
                              Microsoft MVP - Consumer Security
                              Director of Research @ Malwarebytes
                              Mijn Blog
                              • Citaat

                              Comment

                              Vorige 1 2 template Volgende
                              Sorry, you are not authorized to view this page
                              Working...
                              X