Volledige versie bekijken : Log bekijken door kenners



Wayne
28 May 2005, 18:54
Wie weet wat er schilt aan dit log???


Logfile of HijackThis v1.99.1
Scan saved at 13:34:44, on 27-5-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\windows\redirect9a.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\Telemeter 3.0\telemeter3.exe
D:\iTunesHelper.exe
C:\WINDOWS\system32\run.exe
C:\windows\system\xps2.exe
C:\Documents and Settings\Lore\winfw.exe
C:\Documents and Settings\Lore\reg.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
c:\progra~1\intern~1\iexplore.exe
G:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.pvnlksxnbipzf.us/ENimc5C/lNZpAF1OoLxwoPGqqjx3/xw/OVavvVSsrNa42pQImZKlyh3P7jXehtxr.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.igmzooenuleud.net/ENimc5C/lNZpAF1OoLxwoPGqqjx3/xw/OVavvVSsrNak53shzj9_nR3P7jXehtxr.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OSS] C:\WINDOWS\system32\ossproxy.exe -boot
O4 - HKLM\..\Run: [redirect] C:\windows\redirect9a.exe
O4 - HKLM\..\Run: [64 Play Mapi Close] C:\Documents and Settings\All Users\Application Data\Dash Cast 64 Play\creative ford.exe
O4 - HKLM\..\Run: [Create A Monster] "C:\Program Files\Kudd.com\createAMonster.exe" -run
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Telemeter 3.0] "C:\Program Files\Telemeter 3.0\telemeter3.exe"
O4 - HKLM\..\Run: [iTunesHelper] D:\iTunesHelper.exe
O4 - HKLM\..\Run: [Windows] run.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\windows\system\xps2.exe
O4 - HKLM\..\Run: [Bash Ball That Cast] C:\Documents and Settings\All Users\Application Data\heartlinkbashball\MultiDvd.exe
O4 - HKLM\..\Run: [eTunnel] C:\Documents and Settings\Lore\winfw.exe
O4 - HKLM\..\Run: [REGRUN] C:\Documents and Settings\Lore\reg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunServices: [Windows] run.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rulesoftware] C:\DOCUME~1\Lore\APPLIC~1\MIXBIA~1\For Eggs Math.exe
O4 - HKCU\..\Run: [Steam] "c:\progra~1\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\regclean.exe"
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab28578.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - http://s7.blingblingcontent.com/toolbarcash/activex/easywebinstaller.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab28578.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O23 - Service: iPod-service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

jurgenv
28 May 2005, 19:06
download cwshredder (http://www.intermute.com/spysubtract/cwshredder_download.html)

fix de volgende regel in hijackthis:
O4 - HKLM\..\Run: [redirect] C:\windows\redirect9a.exe


herstart je pc nu in veilige modsu en verwijder volgende bestanden indien aanwezig:
C:\windows\redirect9a.exe <==dit bestand

herstart je pc nu weer normaal en laat cwshredder runnen
post dan een nieuw logje

miekiemoes
28 May 2005, 20:03
Hoi,

Enige reden waarom je geen firewall en antivirus op je systeem hebt? Je systeem staat nl. vol met virussen.

Beter om volgende stappen in kladblok op te slaan, want je zal straks ook in veilige mode moeten werken zonder netwerkondersteuning, dus zal deze pagina niet beschikbaar zijn.
Ook is het heel belangrijk dat je al de stappen uitvoert in de juiste volgorde want dit is met een bedoeling.

* Download en installeer CCleaner (http://www.ccleaner.com/)
Nog niet gebruiken

* Zorg ervoor dat je verborgen mappen en bestanden weergegeven zijn. Hoe deze weer te geven. (http://users.telenet.be/marcvn/spyware/1117602.htm).

* Download de laatste versie van CWShredder (http://cwshredder.net/bin/CWShredder.exe).
Start CWShredder en klik FIX!

* Start Hijackthis en vink volgende items aan:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.pvnlksxnbipzf.us/ENimc5C...3P7jXehtxr.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.igmzooenuleud.net/ENimc5...3P7jXehtxr.html
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [OSS] C:\WINDOWS\system32\ossproxy.exe -boot
O4 - HKLM\..\Run: [redirect] C:\windows\redirect9a.exe
O4 - HKLM\..\Run: [64 Play Mapi Close] C:\Documents and Settings\All Users\Application Data\Dash Cast 64 Play\creative ford.exe
O4 - HKLM\..\Run: [Create A Monster] "C:\Program Files\Kudd.com\createAMonster.exe" -run
O4 - HKLM\..\Run: [Windows] run.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\windows\system\xps2.exe
O4 - HKLM\..\Run: [Bash Ball That Cast] C:\Documents and Settings\All Users\Application Data\heartlinkbashball\MultiDvd.exe
O4 - HKLM\..\Run: [eTunnel] C:\Documents and Settings\Lore\winfw.exe
O4 - HKLM\..\Run: [REGRUN] C:\Documents and Settings\Lore\reg.exe
O4 - HKLM\..\RunServices: [Windows] run.exe
O4 - HKCU\..\Run: [Rulesoftware] C:\DOCUME~1\Lore\APPLIC~1\MIXBIA~1\For Eggs Math.exe
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - http://s7.blingblingcontent.com/too...ebinstaller.ocx

* Sluit alle open vensters.(belangrijk!!)
Klik daarna op Fix checked onderaan en sluit HijackThis.

* Start nu je pc op in VEILIGE MODE. ( zonder netwerkondersteuning! )
Hoe start ik in veilige mode op. (http://users.pandora.be/marcvn/spyware/1378056.htm)

* Zoek daarna via verkenner naar volgende mappen/bestanden en verwijder deze indien nog aanwezig:

C:\windows\redirect9a.exe
C:\WINDOWS\system32\run.exe
C:\windows\system\xps2.exe
C:\Documents and Settings\Lore\winfw.exe
C:\Documents and Settings\Lore\reg.exe
C:\WINDOWS\system32\ossproxy.exe
C:\Documents and Settings\All Users\Application Data\Dash Cast 64 Play <== map
C:\Program Files\Kudd.com <== map
C:\Documents and Settings\All Users\Application Data\heartlinkbashball <== map
C:\DOCUMENTS AND SETTINGS\Lore\APPLICATION DATA\MIXBIA.. <== deze map (begint met deze letters)

* Start CCleaner en klik op Opschonen (onderaan rechts)

* Herstart je pc terug op naar normale mode.

* Voer een onlinescan uit met Kaspersky OnLine (http://www.kaspersky.com/beta?product=161744315) en/of Bitdefender (http://www.bitdefender.com/scan8/) (vink hier autoclean aan).
Laat het alles verwijderen wat het vindt!

* Plaats een nieuw hijackthislogje als controle.

compuchrisje
29 May 2005, 00:05
'k Was 't ook al aan 't denken miekie, vraag me af of er nog enige controle was over die browser, fiewwww!!!! Al dat hebreeuws is nie normaal, da heb ik al begrepen.

Wayne
29 May 2005, 10:51
Effe reageren op de berichten hier.
1 dit is niet een pc die hier thuis staat(is niet van mij zelf)
2 is een pc van een vriendin van de dochter
En inderdaad
Daar kan je niet langer dan een 10 tal minuten op internet want dan valt de pc uit.
Zelkfs een online virusscan kan je daar niet afgewerkt krijgen.
Dus ik stel voor om de pc te formateren.
Denk dat dit de beste en de gemakkelijkste oplossing zal zijn.

Zie nog wel 1 optie
Opstarten in veilige modus met netwerkondersteuning en zo proberen de virussen er af te krijgen in 1 instantie door een online scan

Of hebben jullie een betere suggestie.

miekiemoes
29 May 2005, 11:02
Euuh, als je gewoon mijn stappen opvolgt, lukt het wel hoor.
Waarom opstarten in veilige mode met netwerkondersteuning en een virusscan gebruiken dan? Ik heb je zelf al aangegeven waar de virussen zitten en welke je moet verwijderen.
Veilige mode met netwerkondersteuning raad ik zelfs te sterkste af, want dan kan je ook niks verwijderen omdat je die virussen terug activeert door connectie met het internet te maken.
Voer gewoon maar mijn stappen op zoals aangegeven.
Je zal zien dat je daarna wel terug in normale mode zal geraken zonder dat de pc telkens uitvalt. Dan kan je die scans uitvoeren om de restanten van de virussen op te ruimen.

Wayne
29 May 2005, 11:06
oke
Zal er straks effe heen gaan en proberen de door u voorgestelde stappen uit te voeren.
Wordt zekers vervolgd.

Wayne
30 May 2005, 18:18
log na de grote opkuis en een vanti virus install
is deze al beter of moet er nog in gekuist worden


Logfile of HijackThis v1.99.1
Scan saved at 18:06:46, on 29-5-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Panda Software\Panda Antivirus Platinum\apvxdwin.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\Telemeter 3.0\telemeter3.exe
D:\iTunesHelper.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
G:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telenet.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\iTunesHelper.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\regclean.exe"
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab28578.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - http://s7.blingblingcontent.com/toolbarcash/activex/easywebinstaller.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab28578.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O23 - Service: iPod-service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

miekiemoes
30 May 2005, 19:27
Volgende moet je nog aanvinken en fixen in hijackthis:

O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - http://s7.blingblingcontent.com/too...ebinstaller.ocx

Voor de rest ziet het er terug goed uit.