Volledige versie bekijken : Weer miserie e...



Kennethje
30 August 2005, 22:15
Logfile of HijackThis v1.99.1
Scan saved at 22:11:07, on 30/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\wuauclt.exe
c:\ss.exe
D:\DOCUME~1\DEKENN~1\LOCALS~1\Temp\iinstall.exe
D:\Program Files\Media Gateway\MediaGateway.exe
D:\Program Files\ISTsvc\istsvc.exe
D:\WINDOWS\vuhspu.exe
D:\Program Files\SurfAccuracy\SAcc.exe
D:\Program Files\180searchassistant\salm.exe
D:\Program Files\Internet Optimizer\optimize.exe
D:\temp\bundle_cdt1006.exe
D:\Program Files\BullsEye Network\bin\bargains.exe
D:\Documents and Settings\De Kenneth\Bureaublad\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINDOWS\nem220.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - d:\program files\180searchassistant\salmhook.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - D:\Program Files\SideFind\sfbho.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - D:\WINDOWS\System32\msbe.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Program Files\ISTbar\istbar.dll
O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Media Gateway] D:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [IST Service] D:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [U98aL7qK] D:\WINDOWS\vuhspu.exe
O4 - HKLM\..\Run: [SurfAccuracy] D:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [salm] d:\program files\180searchassistant\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "D:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [vabczgt] D:\WINDOWS\vabczgt.exe
O4 - HKLM\..\Run: [BullsEye Network] D:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [Power Scan] D:\Program Files\Power Scan\powerscan.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - D:\Program Files\SideFind\sidefind.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c7.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125088175247
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{64EBF168-E94E-4130-B73B-8909958AEAFD}: NameServer = 195.238.2.22 195.238.2.21
O23 - Service: SYS MANAGER (system) - Unknown owner - D:\WINDOWS\SYSWIN32.EXE

Ik wil men C: station formateren maar dit lukt ook niet :s ik kan alles verwijderen maar van de moment da ik internet opzet komen er daar setup bestanden en afbeelding waar ik niks mee kan doen en er komt altijd reclame als ik internet juist opzet en anders niet
Alvast bedankt e ;)

En dan nog iets men achtergrond op men bureaublad is een pagina van internet en kan deze niet meer wijzigen er staat als volgt ; Your system is infected! System has been stopped due a serious malfunction.
Spyware activity has been detected.
It recommeded to use spyware removal tool to prevent data loss.
Do not use the computer before all spyware has removed.
Voila da ist voorlopig

jurgenv
30 August 2005, 22:32
wow, er draait bijna niks zuiver op dit systeem

* download en installeer ccleaner (http://www.majorgeeks.com/downloadget.php?id=4191&file=11&evp=a12d758b021af1a4f0a6bfe45b0c7a82)
maar nog niet gebruiken!

* ga naar start==>configuratiescherm==>software en de-installeer:
Media Gateway
IST Service
SurfAccuracy
180searchassistant
180solutions
Internet Optimizer
BullsEye Network
Power Scan
SideFind
ISTbar

* open hijackthis en vink volgende regels aan:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINDOWS\nem220.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - d:\program files\180searchassistant\salmhook.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - D:\Program Files\SideFind\sfbho.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - D:\WINDOWS\System32\msbe.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Program Files\ISTbar\istbar.dll
O4 - HKLM\..\Run: [Media Gateway] D:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [IST Service] D:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [U98aL7qK] D:\WINDOWS\vuhspu.exe
O4 - HKLM\..\Run: [SurfAccuracy] D:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [salm] d:\program files\180searchassistant\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "D:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [vabczgt] D:\WINDOWS\vabczgt.exe
O4 - HKLM\..\Run: [BullsEye Network] D:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [Power Scan] D:\Program Files\Power Scan\powerscan.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - D:\Program Files\SideFind\sidefind.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/M...e/bridge-c7.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softw.../0006_adult.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O23 - Service: SYS MANAGER (system) - Unknown owner - D:\WINDOWS\SYSWIN32.EXE

* sluit dan alle vensters behalvhijackthis en klik op 'fix checked'

* start je pc in veilige modus (http://users.pandora.be/marcvn/spyware/1378056.htm)

* in veilige modus, verwijder volgende mappen(indien aanwezig):

D:\program files\180searchassistant
D:\Program Files\SideFind
D:\Program Files\ISTbar
D:\Program Files\Media Gateway
D:\Program Files\ISTsvc
D:\Program Files\SurfAccuracy
D:\Program Files\Internet Optimizer
D:\Program Files\BullsEye Network
D:\Program Files\Power Scan

* verwijder volgende bestanden(indien aanwezig):

D:\WINDOWS\nem220.dll
D:\WINDOWS\System32\msbe.dll
D:\WINDOWS\vuhspu.exe
D:\WINDOWS\vabczgt.exe
D:\WINDOWS\SYSWIN32.EXE

* open ccleaner en klik rechtsonderaan op 'opschonen'

* start je pc weer normaal en post een nieuw hijackthis logje

jurgenv
30 August 2005, 22:34
heb uw aanvulling te laat gelezen, die er van de eerste keer bijplaatsen want nu is er veel meer aan de hand dan op het eerste zicht..maar ok, doe nu eerst de stappen die ik hierboven vertel :)

Kennethje
31 August 2005, 17:23
Der zijn enkele bestanden da ik niet kan vinden zoals syswin32.exe
vuhspu.exe
vabczgt.exe
msbe.dll

De nieuwe log is

Logfile of HijackThis v1.99.1
Scan saved at 17:19:28, on 31/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\svchost.exe
D:\Documents and Settings\De Kenneth\Bureaublad\hijackthis\HijackThis.exe
D:\WINDOWS\System32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c7.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125088175247
O17 - HKLM\System\CCS\Services\Tcpip\..\{64EBF168-E94E-4130-B73B-8909958AEAFD}: NameServer = 195.238.2.22 195.238.2.21
O23 - Service: SYS MANAGER (system) - Unknown owner - D:\WINDOWS\SYSWIN32.EXE

jurgenv
31 August 2005, 17:28
heb je nog altijd die melding op je achtergrond?

Kennethje
31 August 2005, 17:41
heb je nog altijd die melding op je achtergrond?

Ja en ik kan het nog niet veranderen ook maar voor de rest is alles wel al een stuk beter :d bedankt e

jurgenv
31 August 2005, 17:45
* Je kan deze instructies best uitprinten of opslaan in een kladblokbestand, want straks zal je in veilige modus
moeten gaan werken, en dan is deze pagina niet beschikbaar (geen internet)

* Download smitRem.exe (http://noahdfear.geekstogo.com/click%20counter/click.php?id=1) en sla dit op op het Bureaublad.
Dubbelklik op het bestand en pak het uit naar zijn eigen map op het Bureaublad.


* Download, installeer en update de free trial versie van Ewido Security Suite (http://www.ewido.net/en/download/)


Tijdens de installatie, onder "Additional Options", haal je de vinkjes weg bij "Install background guard" en "Install scan via context menu".
Als je Ewido voor de eerste keer runt, zal je een foutmelding krijgen "Database could not be found!". Klik dan op OK. Dit is normaal.
In het hoofdscherm van Ewido, klik je op update in het linker menu, en vervolgens op de Start update knop.
Als de updates gedaan zijn, zal er op de status bar beneden "Update successful" staan.
Sluit Ewido. Laat het nog niet scannen


* Als je Adaware SE nog niet geïnstalleerd hebt, download, installeer en update het dan volgens de richtlijnen
die je kan vinden op: http://users.pandora.be/marcvn/spyware/1414188.htm

* Start je computer op in VEILIGE MODUS (http://users.pandora.be/marcvn/spyware/1378056.htm)

* open hijackthis en vink volgende regels aan:

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/M...e/bridge-c7.cab
O23 - Service: SYS MANAGER (system) - Unknown owner - D:\WINDOWS\SYSWIN32.EXE

* sluit dan alle vensters behalve hijackthis en kli op 'fix checked'

Open de smitrem-map op je bureaublad, en dubbelklik op RunThis.bat. Volg de aanwijzigingen op het scherm.
Je bureaublad en ikoontjes zullen even verdwijnen en daarna terug verschijnen, dit is normaal.
Wacht tot het tooltje zijn werk heeft gedaan en Disk Cleanup afgelopen is. Dit kan enige tijd duren, dus wees geduldig.

* Voer een volledige scan uit met Adaware en verwijder alles wat gevonden wordt.

* Open Ewido Security Suite
klik op Scanner
Klik op complete system scan
Laat het programma je pc scannen
Tijdens de scan zal je gevraagd worden of je gevonden bestanden wil verwijderen. Klik dan op OK
Als de scan beëindigd is, zal je een knop zienBewaar rapport
Klik op Bewaar rapport
Sla het rapport op op je bureaublad
Sluit Ewido af


* Ga dan naar Start -> configuratiescherm -> vormgeving en thema's -> bureaublad ->bureaublad aanpassen -> Website -> haal het vinkje weg bij "Security Info" als het er nog staat.

* Herstart je computer in normale modus.

* Doe een online scan via Panda's online virus scan (http://www.pandasoftware.com/activescan/com/activescan_principal.htm)en bewaar het rapport dat je krijgt na het scannen

* Herstart je pc nogmaals en plaats dan een nieuw logje van Hijackthis, samen met het rapport van Ewido en Panda

Kennethje
1 September 2005, 16:47
Zeg die logs kan ik niet opslaan of pc zit vast maar achtergrond is voorlopig weer goe :-)
en anders heb ik verder geen problemen meer
Mercikes ver de hulp he
Grtz Kenneth

jurgenv
1 September 2005, 17:15
kzou graag die logjes zien, en ook een hijackthis logje :(

Kennethje
3 September 2005, 14:22
Oléé toch iets gelukt :p

---------------------------------------------------------
ewido security suite - Scan rapport
---------------------------------------------------------
+ Gemaakt op: 19:59:36, 1/09/2005
+ Rapport samenvatting: 28328F2D
+ Scan resultaten:
D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0036412.exe -> Backdoor.Rbot : Schoongemaakt met een backup

::Einde rapport


Logfile of HijackThis v1.99.1
Scan saved at 20:00:49, on 1/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\ewido\security suite\ewidoctrl.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\explorer.exe
D:\Documents and Settings\De Kenneth\Bureaublad\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125088175247
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{64EBF168-E94E-4130-B73B-8909958AEAFD}: NameServer = 195.238.2.22 195.238.2.21
O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: SYS MANAGER (system) - Unknown owner - D:\WINDOWS\SYSWIN32.EXE (file missing)

Kennethje
3 September 2005, 14:23
Maar diene log van dien panda virusscan gaat nie :s want als ik hem wil opslaan zit internet vast :s
Kheb da zelf soms me media player als ik meer dan 2 liedjes tesamen laat afspelen zit em vast :'(
Toch maar iets raar...

jurgenv
3 September 2005, 14:33
* download en installeer ccleaner (http://www.majorgeeks.com/downloadget.php?id=4191&file=11&evp=a12d758b021af1a4f0a6bfe45b0c7a82)
nadat je ccleaner hebt geïnstalleerd, open je ccleaner en klik je rechtsonderaan op 'opschonen'
sluit daarna ccleaner

* ga dan naar start==>uitvoeren==>typ in: services.msc==>ok
zoek dan in de lijst het volgende op en dubbelklik erop:
SYS MANAGER

* klik dan op de knop 'stoppen'
* kies als opstarttype: uitgeschakeld

* herstart je pc en post een nieuw hijackthis logje

Kennethje
3 September 2005, 15:31
Logfile of HijackThis v1.99.1
Scan saved at 15:29:53, on 3/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\ewido\security suite\ewidoctrl.exe
D:\WINDOWS\System32\svchost.exe
C:\win1.exe
D:\WINDOWS\System32\mshost.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Documents and Settings\De Kenneth\Bureaublad\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Microsoft Client] mshost.exe
O4 - HKLM\..\Run: [ifind] C:\win1.exe
O4 - HKLM\..\RunServices: [Microsoft Client] mshost.exe
O4 - HKCU\..\Run: [Microsoft Client] mshost.exe
O4 - HKCU\..\RunServices: [Microsoft Client] mshost.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125088175247
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{64EBF168-E94E-4130-B73B-8909958AEAFD}: NameServer = 195.238.2.22 195.238.2.21
O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido\security suite\ewidoctrl.exe

jurgenv
3 September 2005, 15:46
* rechtermuisklik op het icoontje van microsoft antispyware rechtsonderaan je bureaublad en ga naar 'Security Agents Status'
en klik daar op 'Disable real-time protection'
dan terug rechtermuisklik op het icoontje van microsoft antispyware en klik dan op 'Shutdown Microsoft Antispyware' en dan klik je terug op 'ja' om te bevestigen

* open hijackthis en vink volgende regels aan:

O4 - HKLM\..\Run: [Microsoft Client] mshost.exe
O4 - HKLM\..\Run: [ifind] C:\win1.exe
O4 - HKLM\..\RunServices: [Microsoft Client] mshost.exe
O4 - HKCU\..\Run: [Microsoft Client] mshost.exe
O4 - HKCU\..\RunServices: [Microsoft Client] mshost.exe

* sluit dan alle vensters bealve hijackthis en klik op 'fix checked'

* start je pc in veilige modus (http://users.pandora.be/marcvn/spyware/1378056.htm)

* in veilige modus, verwijder volgend bestand:
C:\win1.exe

* start je pc weer normaal en post een nieuw hijackthis logje

Kennethje
3 September 2005, 16:28
Logfile of HijackThis v1.99.1
Scan saved at 16:27:31, on 3/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\ewido\security suite\ewidoctrl.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Documents and Settings\De Kenneth\Bureaublad\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125088175247
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{64EBF168-E94E-4130-B73B-8909958AEAFD}: NameServer = 195.238.2.22 195.238.2.21
O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido\security suite\ewidoctrl.exe

Kennethje
3 September 2005, 16:50
Nu ziet er alles goed uit zeker??
Oe da gij da toch allemaal verstaat eh das voor mij chinees :p
Tnx ;)

jurgenv
3 September 2005, 16:57
lukt het nu om een scan te doen met panda en het rapport te bewaren en hier te posten?

Kennethje
3 September 2005, 17:15
Amaai der zit dus precies nog meer in dan ik dacht :s
pff


Incident Status Location
Adware:Adware/Popuper No disinfected C:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP16\A0028348.dll
Adware:Adware/SpywareNo No disinfected C:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP16\A0028350.dll
Adware:Adware/SpySheriff No disinfected C:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP16\A0028351.exe
Adware:Adware/SpySheriff No disinfected C:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP16\A0028352.exe
Virus:Trj/Lowzones.HG Disinfected C:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0036409.exe
Virus:Trj/Lowzones.HG Disinfected C:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038459.exe
Virus:Trj/Lowzones.HG Disinfected D:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\K9K5STU3\ded1r[1].exe
Virus:W32/Sdbot.ftp Disinfected D:\WINDOWS\system32\i
Virus:W32/Gaobot.JOD.worm Disinfected D:\WINDOWS\system32\mshost.exe
Spyware:Spyware/BargainBuddy No disinfected D:\WINDOWS\system32\exdl.exe
Spyware:spyware/bargainbuddy No disinfected D:\WINDOWS\system32\exclean.exe
Virus:W32/Sdbot.ETQ.worm Disinfected D:\WINDOWS\system32\eraseme_20256.exe
Adware:adware/dloader No disinfected D:\WINDOWS\system32\msblank.html
Virus:W32/Sdbot.ETQ.worm Disinfected D:\WINDOWS\system32\eraseme_68824.exe
Spyware:Spyware/ISTBar No disinfected D:\WINDOWS\dragon.fluidhosts.net.html
Adware:Adware/WUpd No disinfected D:\WINDOWS\blank.html
Adware:Adware/SAHAgent No disinfected D:\WINDOWS\foclne6l.exe
Virus:W32/Sdbot.ETQ.worm Disinfected D:\WINDOWS\SYSWIN32.EXE
Adware:adware/mediatickets No disinfected D:\WINDOWS\mtu.bat
Spyware:Spyware/ISTBar No disinfected D:\Documents and Settings\De Kenneth\Local Settings\Temp\fmeCa1n.exe
Spyware:Spyware/Dyfuca No disinfected D:\Documents and Settings\De Kenneth\Local Settings\Temp\optimize.exe
Spyware:Spyware/BargainBuddy No disinfected D:\Documents and Settings\De Kenneth\Local Settings\Temp\bb.exe
Adware:Adware/SurfAccuracy No disinfected D:\Documents and Settings\De Kenneth\Local Settings\Temp\uninstall.exe
Adware:Adware/nCase No disinfected D:\Documents and Settings\De Kenneth\Local Settings\Temp\180sainstallersilsais1.exe
Spyware:Spyware/ISTBar No disinfected D:\Documents and Settings\De Kenneth\Local Settings\Temp\sidefind.exe
Adware:Adware/SAHAgent No disinfected D:\Documents and Settings\De Kenneth\Local Settings\Temp\sahagent.exe
Adware:adware/apropos No disinfected D:\Documents and Settings\De Kenneth\Local Settings\Temp\cfout.txt
Adware:Adware/nCase No disinfected D:\Documents and Settings\De Kenneth\Local Settings\Temp\res15.tmp
Adware:Adware/SAHAgent No disinfected D:\Documents and Settings\De Kenneth\Local Settings\Temp\4T9H4O3S.dll
Virus:W32/Sdbot.ETQ.worm Disinfected D:\Documents and Settings\De Kenneth\Local Settings\Temp\1F3.tmp
Adware:adware/sahagent No disinfected D:\Documents and Settings\De Kenneth\Local Settings\Temp\isearchtech1007.sah
Virus:W32/Gaobot.JOD.worm Disinfected D:\Documents and Settings\De Kenneth\Local Settings\Temp\1C9.tmp
Adware:Adware/SAHAgent No disinfected D:\Documents and Settings\De Kenneth\Local Settings\Temp\umqltg4cl_.exe
Adware:Adware/SAHAgent No disinfected D:\Documents and Settings\De Kenneth\Local Settings\Temp\update.exe
Spyware:Spyware/XXXToolbar No disinfected D:\Documents and Settings\De Kenneth\Bureaublad\hijackthis\backups\backup-20050826-215828-944
Spyware:Spyware/XXXToolbar No disinfected D:\Documents and Settings\De Kenneth\Bureaublad\hijackthis\backups\backup-20050831-171114-759
Spyware:Spyware/BargainBuddy No disinfected D:\Program Files\Microsoft AntiSpyware\Quarantine\36C12ACD-6E8E-4A93-B673-B3B418\745066FD-8E0B-42D0-BE00-51F988
Spyware:Spyware/Dyfuca No disinfected D:\Program Files\Internet Optimizer\optimize.exe
Adware:Adware/nCase No disinfected D:\Program Files\180searchassistant\saishook.dll
Adware:Adware/SideFind No disinfected D:\Program Files\SideFind\sfbho.dll
Adware:Adware/nCase No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP4\A0014088.inf
Spyware:Spyware/BargainBuddy No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP15\A0025954.exe
Spyware:Spyware/BargainBuddy No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP15\A0027025.exe
Spyware:Spyware/BargainBuddy No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP16\A0028157.exe
Spyware:Spyware/ISTBar No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP17\A0031200.EXE
Spyware:Spyware/BargainBuddy No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP17\A0031201.exe
Spyware:Spyware/ISTBar No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP17\A0031239.dll
Spyware:Spyware/BargainBuddy No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038472.srg
Adware:Adware/nCase No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038473.dll
Adware:Adware/SurfAccuracy No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038479.exe
Adware:Adware/SurfAccuracy No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038481.exe
Spyware:Spyware/BargainBuddy No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038482.exe
Spyware:Spyware/BargainBuddy No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038483.exe
Spyware:Spyware/BargainBuddy No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038485.dll
Spyware:Spyware/BargainBuddy No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038486.exe
Adware:Adware/ExactSearch No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038487.exe
Adware:Adware/SideFind No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038492.dll
Spyware:Spyware/Dyfuca No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038493.exe
Adware:Adware/ExactSearch No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038494.exe
Adware:Adware/ExactSearch No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038495.vxd
Spyware:Spyware/BargainBuddy No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038497.exe
Spyware:Spyware/BargainBuddy No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038499.exe
Spyware:Spyware/BargainBuddy No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038500.srg
Spyware:Spyware/YourSiteBar No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038501.dll
Spyware:Spyware/SurfSideKick No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038572.exe
Spyware:Spyware/ISTBar No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038573.exe
Virus:W32/Sdbot.ETQ.worm Disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038577.EXE
Spyware:Spyware/YourSiteBar No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038578.dll
Spyware:Spyware/BargainBuddy No disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038579.exe
Virus:W32/Gaobot.JOD.worm Disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038587.exe
Virus:W32/Sdbot.ETQ.worm Disinfected D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0038588.exe

jurgenv
3 September 2005, 17:32
* rechtermuisklik op 'deze computer'==>eigenschappen==>tabblad 'systeemherstel'==> vink AAN: 'systeemherstel op alle stations uitschakelen'

* herstart je pc

* vink terug UIT: 'systeemherstel op alle stations uitschakelen'

* download en installeer ccleaner (http://www.majorgeeks.com/downloadget.php?id=4191&file=11&evp=a12d758b021af1a4f0a6bfe45b0c7a82)
nog niet gebruiken

* start je pc in veilige modus (http://users.pandora.be/marcvn/spyware/1378056.htm)

* Maak verborgen mappen en bestanden zichtbaar:
Start -> configuratiescherm -> mapopties -> weergave
dan het vinkje weghalen bij "beveiligde systeembesturingsbestanden verbergen"
onderaan dit lijstje plaats je een vinkje bij "verborgen bestanden en mappen weergeven" en je sluit af met OK te klikken.

* verwijder volgende mappen:

D:\Program Files\Internet Optimizer
D:\Program Files\180searchassistant
D:\Program Files\SideFind
D:\Documents and Settings\De Kenneth\Bureaublad\hijackthis\backups\backup-20050826-215828-944
D:\Documents and Settings\De Kenneth\Bureaublad\hijackthis\backups\backup-20050831-171114-759
D:\Program Files\Microsoft AntiSpyware\Quarantine\36C12ACD-6E8E-4A93-B673-B3B418\745066FD-8E0B-42D0-BE00-51F988

* verwijder volgende bestanden:

D:\WINDOWS\system32\exdl.exe
D:\WINDOWS\system32\exclean.exe
D:\WINDOWS\system32\msblank.html
D:\WINDOWS\system32\eraseme_68824.exe
D:\WINDOWS\dragon.fluidhosts.net.html
D:\WINDOWS\blank.html
D:\WINDOWS\foclne6l.exe
D:\WINDOWS\mtu.bat

* open ccleaner en klik rechtsonderaan op 'opschonen'

* start je pc weer normaal en doe terug een scan me panda en post terug het resultaat hier met een nieuw hijackthis logje