jo gaste , mijn pcke doet laatste tijd beetje vaag , dus maar is late scanne door hijackthis... Kdenk vooral diene wwSecure nzo , da da spyware is ^^ --> Kan mis zijn hoor ;P

Logfile of HijackThis v1.99.1
Scan saved at 4:10:02, on 30/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Common Files\{AC40A204-09CC-2067-0909-051124040020}\Update.exe
C:\Documents and Settings\Eigenaar\Application Data\?ppPatch\??oolsv.exe
C:\Program Files\MSI\Core Center\CoreCenter.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wwSecure.exe
C:\Program Files\SPYWAREfighter\spfprc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\svchost.exe
D:\~~~=( STEAM )=~~~\steam.exe
C:\Documents and Settings\Eigenaar\Bureaublad\bo\srobot.exe
C:\Program Files\Silkroad\sro_client.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\FNTS~1\cmd.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Documents and Settings\Eigenaar\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - {0A42CD3E-27D8-7854-8972-0D12E041BC95} - C:\WINDOWS\system32\ehnwmz.dll
O2 - BHO: (no name) - {0A42CD3E-27D8-7854-8972-0D12E041BC95} - C:\WINDOWS\system32\ehnwmz.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [ClockGen] "C:\Documents and Settings\Eigenaar\Bureaublad\ClockGen.exe" -i p=0
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [spywarefighterguard] C:\Program Files\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [VoipBuster] "C:\Program Files\VoipBuster.com\VoipBuster\voipbuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Imee] "C:\WINDOWS\FNTS~1\cmd.exe" -vt tzt
O4 - HKCU\..\Run: [Ioint] C:\Documents and Settings\Eigenaar\Application Data\?ppPatch\??oolsv.exe
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe
O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{91A2C593-4BA5-4B02-88DA-74C535AF2112}: NameServer = 85.255.116.102,85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.102 85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\..\{91A2C593-4BA5-4B02-88DA-74C535AF2112}: NameServer = 85.255.116.102,85.255.112.170
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.102 85.255.112.170
O17 - HKLM\System\CS2\Services\Tcpip\..\{91A2C593-4BA5-4B02-88DA-74C535AF2112}: NameServer = 85.255.116.102,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.102 85.255.112.170
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O20 - Winlogon Notify: winzwr32 - C:\WINDOWS\SYSTEM32\winzwr32.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Program Files\SPYWAREfighter\spfprc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe

Willen jullie eens zien of jullie er iets aan kunne doen ? ;P
Thx , Jonathan

Hoi jonathan,

we zijn uw logje aan het controleren! Zodra ik een fix heb plaats ik deze hier.
Bedankt voor uw geduld.

Grtz,

Rosty.

Hoi jonathangevaert,

Ik zie dat je "spywarefighterguard" gebruikt en deze is gerelateerd met Spyware_Fighter (http://www.spywarewarrior.com/rogue_anti-spyware.htm)
Ik raad je dus aan om deze via Start -- configuratiescherm -- software te verwijderen!!

Je kan beter deze instructies opslaan omdat je pc zal moeten herstarten.
Download en installeer AVG Anti-Spyware (http://www.ewido.net/en/download/).

Na de installatie, open AVG Anti-Spyware:
* onder "Status", klik op Change state naast "Resident shield". (wijzig van active naar inactive!)
* onder "Update", klik op de Start update knop.
* onder "Scanner", tab "Settings":
- onder "How to act?", klik op "Recommended actions" en selecteer Quarantine. (ZEER BELANGRIJK!)
* onder "Reports", selecteer Automatically generate report after every scan en verwijder het vinkje bij Only if threats were found

Sluit AVG Anti-Spyware. Laat het nog niet scannen.


* Download Combofix (http://download.bleepingcomputer.com/sUBs/combofix.exe) naar je bureaublad.
Dubbelklik combo.exe
Volg de instructies.
Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.
Wanneer de fix gedaan heeft en na herstart, zal de log combofix.txt openen. Bewaar die waar je ze makelijk terugvind, ik heb deze nodig.

Download Wareoutfix van één van deze twee site's:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe
sla het op op je bureaublad en laat het runnen. klik dan op Next, dan op Install, wees zeker dat "Run fixit" is aangevinkt en klik op Finish. de fix zal beginnen; volg de instructies die je krijgt. er zal gevraagd worden of je je pc wilt herstarten; doe dit ook. Je computer zal nu wat trager opstarten, dit is normaal

Wanneer je pc is herstart, volg de instructies die je krijgt. nadat al hijackthis openen. klik dan op Scan, en vink volgende regels aan( indien aanwezig):
R3 - URLSearchHook: (no name) - {0A42CD3E-27D8-7854-8972-0D12E041BC95} - C:\WINDOWS\system32\ehnwmz.dll
O2 - BHO: (no name) - {0A42CD3E-27D8-7854-8972-0D12E041BC95} - C:\WINDOWS\system32\ehnwmz.dll
O4 - HKCU\..\Run: [Imee] "C:\WINDOWS\FNTS~1\cmd.exe" -vt tzt
O4 - HKCU\..\Run: [Ioint] C:\Documents and Settings\Eigenaar\Application Data\?ppPatch\??oolsv.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{91A2C593-4BA5-4B02-88DA-74C535AF2112}: NameServer = 85.255.116.102,85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.102 85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\..\{91A2C593-4BA5-4B02-88DA-74C535AF2112}: NameServer = 85.255.116.102,85.255.112.170
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.102 85.255.112.170
O17 - HKLM\System\CS2\Services\Tcpip\..\{91A2C593-4BA5-4B02-88DA-74C535AF2112}: NameServer = 85.255.116.102,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.102 85.255.112.170
O20 - Winlogon Notify: winzwr32 - C:\WINDOWS\SYSTEM32\winzwr32.dll
Als je Spywarefighterguard verwijderd hebt mag je ook volgende regels aanvinken:
O4 - HKLM\..\Run: [spywarefighterguard] C:\Program Files\SPYWAREfighter\spftray.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Program Files\SPYWAREfighter\spfprc.exe

klik dan op 'Fix Checked'. sluit daarna HijackThis, en klik op 'OK' om verder te gaan.
Start op in veilige modus (http://www.hijackthis.nl/veiligemodus.html).
Verwijder volgende mappen/bestanden indien aanwezig:
C:\Program Files\Common Files\{AC40A204-09CC-2067-0909-051124040020} <-- map
C:\Program Files\SPYWAREfighter <-- map (indien je beslist hebt te verwijderen!!)
C:\WINDOWS\system32\ehnwmz.dll <-- bestand
C:\WINDOWS\SYSTEM32\winzwr32.dll <-- bestand
C:\WINDOWS\FNTS~1\cmd.exe <-- bestand

Start AVG Anti-Spyware.
* Klik op Scan en kies Complete System Scan.
Na de scan; volg onderstaande instructies :
BELANGRIJK : Klik niet op de "Save Scan Report" knop vooraleer je de "Apply all Actions" knop hebt aangeklikt !
* Draag er zorg voor dat Set all elements to: op Quarantine staat (1),
zoniet klik op de link en kies Quarantine in de popup menu. (2)
(Dit geldt niet voor cookies, deze worden onveranderlijk gedelete !)
* Onderaan het venster klik op de Apply all Actions knop. (3)
http://home.scarlet.be/~topalex/ewidoscan.jpg
* Wanneer je de melding krijgt 'All actions have been applied', klik je onderaan op de knop Save Report.
* Klik in het menu bovenaan op Reports. Kopieer het rapport van de scan en plaats dat hier in je volgende bericht.


Herstart je PC in normale mode.
Tenslotte, post de inhoud van het logje C:\fixwareout\report.txt,het rapport van AVG Anti-Spyware, de combofix log en een nieuw hijackthis logje.
NOTE: het kan zijn dat je meerdere posts nodig hebt!!

Grtz,

Rosty.