Pagina 1 van 2 12 LaatsteLaatste
Weergegeven resultaten: 1 t/m 10 van 15
  1. 16 May 2005, 17:23 #1
    bertje
    bertje is offline
    Up-to-date  
    Geregistreerd
    16 May 2005
    Berichten
    15
    Bedankjes
    0
    Bedankt
    0 keer in 0 posts

    wat is er hier teveel

    Logfile of HijackThis v1.99.1
    Scan saved at 16:53:39, on 16/05/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\system32\sistray.EXE
    C:\WINDOWS\system32\keyhook.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
    C:\Program Files\Spamihilator\spamihilator.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Hitman Pro\srhelper.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\Program Files\Microsoft Office\Office\1043\msoffice.exe
    C:\WINDOWS\system32\ntvdm.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\Q4S\LOCALS~1\Temp\Rar$EX00.532\HijackT his.exe
    c:\windows\system32\nmqfnha.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://pac.telenet.be:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R3 - URLSearchHook: (no name) - {04079856-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MySearch\SrchAstt\1.bin\MYSRCHAS.DLL (file missing)
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
    O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [win-xp] winis.exe
    O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKLM\..\Run: [eginrip] c:\windows\system32\tvsbxn.exe
    O4 - HKLM\..\RunServices: [win-xp] winis.exe
    O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [win-xp] winis.exe
    O4 - HKCU\..\Run: [Hitman Pro SurfRight Helper] "C:\Program Files\Hitman Pro\srhelper.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\RunServices: [win-xp] winis.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
    O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Q4S\Menu Start\Programma's\IMVU\Run IMVU.lnk (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
    O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
    O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
    O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - https://mysupport.nai.com/amiuptodat...datePortal.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
    O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...89/mcfscan.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: CAISafe - Unknown owner - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe (file missing)
    O23 - Service: VET Message Service (VETMSGNT) - Unknown owner - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe (file missing)
  2. 16 May 2005, 21:40 #2
    miekiemoes
    miekiemoes is offline
    Erelid   miekiemoes's schermafbeelding
    Geregistreerd
    3 May 2005
    Berichten
    84
    Bedankjes
    2
    Bedankt
    29 keer in 10 posts

    Re: wat is er hier teveel

    Hoi,

    Het is beter om mijn volgende instructies uit te printen of in kladblok op te slaan, want straks moet je in veilige mode werken zonder internetconnectie, dus is deze pagina niet beschikbaar.
    Ook is het heel belangrijk dat je geen enkele van mijn onderstaande stappen mist en alles in de juiste volgorde uitvoert!!

    Download Ewido: http://www.ewido.net/en/download/
    Laat het updaten!! Belangrijk !!
    Verder nog niet laten scannen.

    * Download en installeer CCleaner
    Nog niet gebruiken

    * Download Nail/Aurora Spyware Fix
    Unzip/pak het uit.
    Nog niet gebruiken!

    * Zorg ervoor dat je verborgen mappen en bestanden weergegeven zijn. Hoe deze weer te geven..

    Start je pc op in VEILIGE MODE
    Hoe start ik in veilige mode op.

    * Start hijackthis en vink volgende aan:

    R3 - URLSearchHook: (no name) - {04079856-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MySearch\SrchAstt\1.bin\MYSRCHAS.DLL (file missing)
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
    O4 - HKLM\..\Run: [win-xp] winis.exe
    O4 - HKLM\..\Run: [eginrip] c:\windows\system32\tvsbxn.exe
    O4 - HKLM\..\RunServices: [win-xp] winis.exe
    O4 - HKCU\..\Run: [win-xp] winis.exe
    O4 - HKCU\..\RunServices: [win-xp] winis.exe
    O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Q4S\Menu Start\Programma's\IMVU\Run IMVU.lnk (file missing)
    O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - https://mysupport.nai.com/amiuptoda...pdatePortal.cab

    * Sluit alle open vensters behalve hijackthis en klik fix checked.

    * Open de map: nailfix en dubbelklik op nailfix.cmd.
    Je taakbalk en icoontjes zullen even verdwijnen, dit is normaal.

    * Zoek via verkenner naar volgende bestanden en verwijder deze indien aanwezig:

    c:\windows\system32\nmqfnha.exe
    C:\Program Files\MySearch <== map
    c:\windows\system32\tvsbxn.exe

    * Start CCleaner en klik op Opschonen (onderaan rechts)

    * Nog steeds in veilige mode, voer een VOLLEDIGE scan uit met ewido en laat het alles verwijderen wat het vindt.
    Nadat de scan gedaan is, zal je de optie hebben om een log te maken en op te slaan.
    Doe dit.

    Reboot terug naar normale mode.

    Download Findit en plaats het op je bureaublad.
    Unzip het naar een permanente map. Hiermee bedoel ik dus dat XFind.com en Findit's.bat in dezelfde map moeten staan.
    Disconnecteer van het internet, trek desnoods je internetkabel uit indien je een permanente connectie hebt.
    Laat je pc ten minste 15 minuten met rust.
    Daarna...
    Dubbelklik op Findit's.bat en plaats het logje dat je krijgt in je volgende post samen met een nieuw hijackthislogje en het logje van Ewido.
    Microsoft MVP Consumer-Security
  3. 17 May 2005, 18:39 #3
    bertje
    bertje is offline
    Up-to-date  
    Geregistreerd
    16 May 2005
    Berichten
    15
    Bedankjes
    0
    Bedankt
    0 keer in 0 posts

    Re: wat is er hier teveel

    Logfile of HijackThis v1.99.1
    Scan saved at 18:26:13, on 17/05/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\system32\sistray.EXE
    C:\WINDOWS\system32\keyhook.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Winamp\winampa.exe
    C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
    C:\Program Files\Spamihilator\spamihilator.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Hitman Pro\srhelper.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Microsoft Office\Office\1043\msoffice.exe
    c:\windows\system32\asbasp.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\DOCUME~1\Q4S\LOCALS~1\Temp\Rar$EX00.812\HijackT his.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://pac.telenet.be:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
    O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
    O4 - HKLM\..\Run: [lwkofr] c:\windows\system32\asbasp.exe
    O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Hitman Pro SurfRight Helper] "C:\Program Files\Hitman Pro\srhelper.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
    O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
    O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
    O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...89/mcfscan.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: CAISafe - Unknown owner - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe (file missing)
    O23 - Service: VET Message Service (VETMSGNT) - Unknown owner - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe (file missing)

    zie hier een nieuwe logfile,ik denk dat ik hier en dar iets niet goed gedaan heb want het probleem was niet opgelost
  4. 17 May 2005, 18:42 #4
    jurgenv
    jurgenv is offline
    Erelid   jurgenv's schermafbeelding
    Geregistreerd
    10 May 2005
    Locatie
    West-Vlaanderen
    Berichten
    5.887
    Bedankjes
    100
    Bedankt
    901 keer in 829 posts

    Re: wat is er hier teveel

    en het logje van findit's.bat en ewido?

    Member of ASAP
  5. 17 May 2005, 18:46 #5
    miekiemoes
    miekiemoes is offline
    Erelid   miekiemoes's schermafbeelding
    Geregistreerd
    3 May 2005
    Berichten
    84
    Bedankjes
    2
    Bedankt
    29 keer in 10 posts

    Re: wat is er hier teveel

    Ik vrees dat dit niet in veilige mode is uitgevoerd -- en niet in de juiste volgorde zoals ik aangegeven heb.
    De volgorde is altijd heel belangrijk!
    Kan je eens mijn voorgaande stappen opnieuw uitvoeren?

    Verwijder dit bestand ook in veilige mode:

    C:\Windows\system32\asbasp.exe

    Die logjes van ewido en findit's heb ik inderdaad ook nodig zodat ik weet waar we staan.
    Laatst gewijzigd door miekiemoes; 17 May 2005 om 18:47
    Microsoft MVP Consumer-Security
  6. 17 May 2005, 20:54 #6
    bertje
    bertje is offline
    Up-to-date  
    Geregistreerd
    16 May 2005
    Berichten
    15
    Bedankjes
    0
    Bedankt
    0 keer in 0 posts

    Re: wat is er hier teveel

    Logfile of HijackThis v1.99.1
    Scan saved at 19:05:44, on 17/05/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\Q4S\LOCALS~1\Temp\Rar$EX00.500\HijackT his.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://pac.telenet.be:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
    O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
    O4 - HKLM\..\Run: [lxglvqj] c:\windows\system32\vdvcupz.exe
    O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Hitman Pro SurfRight Helper] "C:\Program Files\Hitman Pro\srhelper.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
    O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
    O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
    O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...89/mcfscan.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: CAISafe - Unknown owner - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe (file missing)
    O23 - Service: VET Message Service (VETMSGNT) - Unknown owner - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe (file missing)

    ---------------------------------------------------------
    ewido security suite - Scan rapport
    ---------------------------------------------------------

    + Gemaakt op: 19:54:20, 17/05/2005
    + Rapport samenvatting: 49CF7660

    + Datum van de database: 17/05/2005
    + Versienummer van de scanner: v3.0

    + Duur: 22 min
    + Gescande bestanden: 24905
    + Snelheid: 18.80 Bestanden/Seconde
    + Geinfecteerde bestanden: 5
    + Verwijderde bestanden: 5
    + Bestanden in quarantaine gezet: 5
    + Bestanden die niet konden worden geopend: 0
    + Bestanden die niet konden worden schoongemaakt: 0

    + Binder: Ja
    + Crypter: Ja
    + Archieven: Ja

    + Gescande items:
    C:\
    D:\

    + Scan resultaten:
    C:\WINDOWS\Nail.exe -> Trojan.Nail -> Schoongemaakt met een backup
    C:\WINDOWS\svcproc.exe -> Trojan.Stervis.c -> Schoongemaakt met een backup
    C:\WINDOWS\system32\DrPMon.dll -> Trojan.Agent.db -> Schoongemaakt met een backup
    C:\WINDOWS\system32\DrPMon.dll_tobedeleted -> Trojan.Agent.db -> Schoongemaakt met een backup
    C:\WINDOWS\system32\sbtgvjn.exe -> Trojan.Agent.cp -> Schoongemaakt met een backup


    ::Einde rapport

    Microsoft Windows XP [versie 5.1.2600]
    PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
    »»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»» »»»»


    »»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»» »»


    »»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»
    Dont delete file's in the section without guidance
    If any doubt back them up first

    * UPX! C:\WINDOWS\NAIL.EXE
    * UPX! C:\WINDOWS\RAMTXH~1.EXE
    * UPX! C:\WINDOWS\TSC.EXE

    »»»»» lagitamate file's can/will show in this section.

    * UPX! C:\WINDOWS\System32\FMOD.DLL
    * UPX! C:\WINDOWS\RMAGEN~1.DLL
    * UPX! C:\WINDOWS\VSAPI32.DLL
    »»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»
    * buddy C:\WINDOWS\RAMTXH~1.EXE

    »»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»


    »»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

    De volumenaam van station C is Boot(C)
    Het volumenummer is 64F3-4881
    Map van C:\WINDOWS\SYSTEM32
    »»»»» Checking for SAHAgent ico files.
    De volumenaam van station C is Boot(C)
    Het volumenummer is 64F3-4881
    Map van C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»».

    HKEY_CURRENT_USER\Software\aurora\AUI3d5OfSInst
    HKEY_CURRENT_USER\Software\aurora\AUC3n5trMsgSDisp
    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky1S
    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky2S
    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky3S
    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky4S
    HKEY_CURRENT_USER\Software\aurora\AUC1o3d5eOfSFina lAd
    HKEY_CURRENT_USER\Software\aurora\AUT3i5m7eOfSFina lAd
    HKEY_CURRENT_USER\Software\aurora\AUD3s5tSSEnd
    HKEY_CURRENT_USER\Software\aurora\AU3N5a7tionSCode
    HKEY_CURRENT_USER\Software\aurora\AUP3D5om
    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSCheckS In
    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSMots
    HKEY_CURRENT_USER\Software\aurora\AUM3o5deSSync
    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSCab
    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSEx
    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSLstes t
    HKEY_CURRENT_USER\Software\aurora\AUB3D5om
    HKEY_CURRENT_USER\Software\aurora\AUE3v5nt
    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSBath
    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSysSInf
    HKEY_CURRENT_USER\Software\aurora\AUL3n5Title
    HKEY_CURRENT_USER\Software\aurora\AUC3u5rrentSMode
    HKEY_CURRENT_USER\Software\aurora\AUC3n5tFyl
    HKEY_CURRENT_USER\Software\aurora\AUI3g5noreS
    HKEY_CURRENT_USER\Software\aurora\AUS3t5atusOfSIns t
    HKEY_CURRENT_USER\Software\aurora\AUL3a5stMotsSDay
    HKEY_CURRENT_USER\Software\aurora\AUL3a5stSSChckin
  7. 17 May 2005, 21:13 #7
    miekiemoes
    miekiemoes is offline
    Erelid   miekiemoes's schermafbeelding
    Geregistreerd
    3 May 2005
    Berichten
    84
    Bedankjes
    2
    Bedankt
    29 keer in 10 posts

    Re: wat is er hier teveel

    eeuuh, dit is een hijackthislogje van in veilige mode, ik had er eentje nodig van in normale mode. Geen wonder dat die nail-removal niet werkt als je veilige mode kiest met internetconnectie.
    Nu ja, volg gewoon volgende stappen op.

    Ik zie dat je hijackthis nog draait vanuit de zipmap in je tempmap. Dus ik raad je aan om hijackthis eerst te unzippen/uit te pakken en daarna te verplaatsen naar een permanente map omdat hijackthis ook backups maakt en die kunnen wel eens verloren geraken indien deze in je tempmap blijft staan.
    Maak een permanente map aan:
    Ga naar Deze Computer > C > Program Files. Klik op Bestand > Nieuw > Map. Noem deze map HijackThis.
    Plaats nu de HijackThis.exe in die map.{br}}
    {ifhjttemp Ik zie dat hijackthis.exe nog in je temp-map staat. Dit is geen goede plaats aangezien hijackthis backups maakt en die backups kunnen verwijderd worden zolang die in je tempmap blijven staan.
    Maak daarvoor een permanente map aan:
    Ga naar Deze Computer > C > Program Files. Klik op Bestand > Nieuw > Map. Noem deze map HijackThis.
    Plaats nu de HijackThis.exe in die map.

    Het is heel belangrijk dat je precies mijn stappen opvolgt zoals ik het aangeef!!

    * Download Killbox.
    Klik op killbox.exe.
    Kies de optie: "Delete on reboot".

    Kopieer het volgende vetgedrukte:

    C:\WINDOWS\NAIL.EXE
    C:\WINDOWS\RAMTXH~1.EXE
    C:\WINDOWS\RMAGEN~1.DLL
    c:\windows\system32\vdvcupz.exe

    Open 'file' in het killboxmenu bovenaan en kies: Paste from clipboard

    Je zal zien, het bovenstaande vetgedrukte zal staan in het "Full Path of File to Delete"-veld.
    Er is een klein pijltje naast dat veld. Als je daarop klikt zal je al die bovenstaande lijntjes (indien bestanden aanwezig) die je gekopieerd hebt zien staan (dit is alvast de bedoeling)

    Daarna klik je op de rode knop met het wit kruisje erin
    Killbox zal je vertellen dat die bestanden zullen verwijderd worden bij een volgende reboot.. Klik YES
    Killbox zal vragen of je nu wilt rebooten, klik YES
    Als je volgende boodschap krijgt: "PendingFileRenameOperations Registry Data has been Removed by External Process!" , dan zal je manueel moeten rebooten.

    Je pc moet nu rebooten.

    * Start Hijackthis en vink volgende items aan:

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
    O4 - HKLM\..\Run: [lxglvqj] c:\windows\system32\vdvcupz.exe

    * Sluit alle open vensters.(belangrijk!!)
    Klik daarna op Fix checked onderaan en sluit HijackThis.

    Open kladblok en kopieer en plak het volgende vetgedrukte erin:
    (vergeet niet REGEDIT4 erin te plaatsen!)

    REGEDIT4

    [-HKEY_CURRENT_USER\Software\aurora]

    Sla dit op als fix.reg
    Kies voor opslaan als *alle bestanden en plaats het op je bureaublad.
    Dubbelklik op fix.reg en bij de vraag of je het wilt toevoegen aan het register, klik je op ja/ok

    REBOOT en post een nieuw findit's-logje samen met een nieuw hijackthislogje.
    Microsoft MVP Consumer-Security
  8. 19 May 2005, 18:50 #8
    bertje
    bertje is offline
    Up-to-date  
    Geregistreerd
    16 May 2005
    Berichten
    15
    Bedankjes
    0
    Bedankt
    0 keer in 0 posts

    Re: wat is er hier teveel

    zie hier mijn derde poging

    Logfile of HijackThis v1.99.1
    Scan saved at 17:56:59, on 19/05/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\system32\sistray.EXE
    C:\WINDOWS\system32\keyhook.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Winamp\winampa.exe
    C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
    C:\Program Files\Spamihilator\spamihilator.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Hitman Pro\srhelper.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\Program Files\Microsoft Office\Office\1043\msoffice.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    c:\windows\system32\icdhzzc.exe
    C:\Program Files\hijacktis\HijackThis.exe
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://pac.telenet.be:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
    O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
    O4 - HKLM\..\Run: [dekhfv] c:\windows\system32\icdhzzc.exe
    O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Hitman Pro SurfRight Helper] "C:\Program Files\Hitman Pro\srhelper.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
    O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
    O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
    O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...89/mcfscan.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: CAISafe - Unknown owner - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe (file missing)
    O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
    O23 - Service: VET Message Service (VETMSGNT) - Unknown owner - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe (file missing)

    ---------------------------------------------------------
    ewido security suite - Scan rapport
    ---------------------------------------------------------
    + Gemaakt op: 18:10:52, 19/05/2005
    + Rapport samenvatting: FFE05ACD
    + Datum van de database: 17/05/2005
    + Versienummer van de scanner: v3.0
    + Duur: 7 min
    + Gescande bestanden: 24954
    + Snelheid: 54.18 Bestanden/Seconde
    + Geinfecteerde bestanden: 4
    + Verwijderde bestanden: 3
    + Bestanden in quarantaine gezet: 3
    + Bestanden die niet konden worden geopend: 0
    + Bestanden die niet konden worden schoongemaakt: 1
    + Binder: Ja
    + Crypter: Ja
    + Archieven: Ja
    + Gescande items:
    C:\
    D:\
    + Scan resultaten:
    C:\WINDOWS\Nail.exe -> Trojan.Nail -> Schoongemaakt met een backup
    C:\WINDOWS\ramtxhoqqr.exe -> Spyware.BetterInternet -> Schoongemaakt met een backup
    C:\WINDOWS\system32\DrPMon.dll -> Trojan.Agent.db -> Schoongemaakt met een backup
    C:\WINDOWS\system32\lpcazh.exe -> Trojan.Agent.cp -> Fout gedurende het schoonmaken

    ::Einde rapport


    Microsoft Windows XP [versie 5.1.2600]
    PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
    »»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»» »»»»


    »»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»» »»


    »»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»
    Dont delete file's in the section without guidance
    If any doubt back them up first


    »»»»» lagitamate file's can/will show in this section.

    »»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»


    »»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

    De volumenaam van station C is Boot(C)
    Het volumenummer is 64F3-4881
    Map van C:\WINDOWS\SYSTEM32
    »»»»» Checking for SAHAgent ico files.
    De volumenaam van station C is Boot(C)
    Het volumenummer is 64F3-4881
    Map van C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»».

    die todo files komen alsmaar terug maar worden onderschept door mijn winpatrolagent
  9. 19 May 2005, 19:06 #9
    miekiemoes
    miekiemoes is offline
    Erelid   miekiemoes's schermafbeelding
    Geregistreerd
    3 May 2005
    Berichten
    84
    Bedankjes
    2
    Bedankt
    29 keer in 10 posts

    Re: wat is er hier teveel

    Hoi,

    Het probleem met deze infectie is, wanneer je er lang mee wacht voor het uit te voeren,dat telkens die todo-file wijzigt... dus heeft het niet veel zin dat ik die aangeef om die te killboxen, want na een reboot heeft die al een andere naam -- maw, als je deze fix maar pas na enkele dagen uitvoert, dan zal het al veel gewijzigd zijn.

    Dus, die todo herinfecteerd te telkens opnieuw, dus moeten we het opnieuw doen.

    Zet je winpatrol maar af, want deze kan tegenwerken in de removal. Winpatrol houdt die todo helemaal niet tegen hoor -- want de file is nog netjes achtief.

    Killbox volgende bestanden op dezelfde manier je eerder hebt gedaan:
    (ik hoop dat je het toen goed hebt gedaan - want blijkbaar vond ewido die terug nadien.)

    c:\windows\system32\icdhzzc.exe
    C:\WINDOWS\Nail.exe
    C:\WINDOWS\svcproc.exe

    Je pc wordt daarna gereboot.

    Start in veilige mode op en laat ewido terug scannen om die todo-file te pakken.

    * Start Hijackthis en vink volgende items aan:

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
    O4 - HKLM\..\Run: [dekhfv] c:\windows\system32\icdhzzc.exe
    O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

    * Sluit alle open vensters.(belangrijk!!)
    Klik daarna op Fix checked onderaan en sluit HijackThis.

    Reboot nog eens en post een nieuw hijackthislogje.
    Microsoft MVP Consumer-Security
  10. 19 May 2005, 19:30 #10
    bertje
    bertje is offline
    Up-to-date  
    Geregistreerd
    16 May 2005
    Berichten
    15
    Bedankjes
    0
    Bedankt
    0 keer in 0 posts

    Re: wat is er hier teveel

    sorry dat ik u alsmaar lastigval,maar wat moet ik nu eerst doen.

    1:Hijack This
    2:nailfix
    3:CCleaner
    4:ewido
    in normaal mode en de loggen hier plaatsen
    Laatst gewijzigd door bertje; 19 May 2005 om 19:58
« Vorige discussie | Volgende discussie »

Discussie informatie

Users Browsing this Thread

Momenteel bekijken 1 gebruikers deze discussie. (0 leden en 1 gasten)

Soortgelijke discussies

  1. teveel upload
    Door cremke in forum Malware
    Reacties: 12
    Laatste bericht: 8 January 2006, 17:35
  2. Teveel Codecs
    Door Vlier in forum Audiovisueel
    Reacties: 4
    Laatste bericht: 15 October 2005, 20:05
  3. hier is hi
    Door patwever in forum HijackThis
    Reacties: 1
    Laatste bericht: 6 July 2005, 16:52
  4. Wat staat er hier teveel in
    Door Wayne in forum HijackThis
    Reacties: 0
    Laatste bericht: 3 June 2005, 19:46

Favorieten/bladwijzers

Favorieten/bladwijzers

Regels voor berichten

  • Je mag geen nieuwe discussies starten
  • Je mag niet reageren op berichten
  • Je mag geen bijlagen versturen
  • Je mag niet je berichten bewerken
  •  

Forumregels