Volledige versie bekijken : Spyware detected hijack log



Evert
29 June 2005, 22:01
Hallo,

Is er iemand die zijn geniale (a) geest kan laten dalen op onderstaand probleem ?

Probleem is het volgende: zwart scherm met WARNING YOU 'RE IN DANGER :evil:

Pop-up rechts onderaan (1 à 2)
Your computer might be at risk (geel gevarendriehoekje)
Ook melding van Windows Security Systems.
Windows Warning Internet Explorer
...
Volgende zaken heb ik gedownload en gebruikt:

Ad-Aware
CCleaner
Reg Cleaner
Spybot Se

Zoveel mogelijk van het stappen plan van spykiller en jurgenv waarvoor dank. De rest lukte me niet echt. :cry:


Hieronder is mijn laatste log gemaakt met Hijack This:

Logfile of HijackThis v1.99.1
Scan saved at 21:38:52, on 29-06-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\RealVNC\WinVNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\StayConnected\StayConnected.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\BearShare\BearShare.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.belcast.be/en/search/ie5.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.skynet.be
R3 - URLSearchHook: (no name) - {BF7D4CD8-9F30-6079-067F-FE76F2E15E65} - utsgmon.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [StayConnected] C:\Program Files\StayConnected\StayConnected.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [FLKPT] corrida.exe
O4 - HKLM\..\Run: [avpmondll] newbreed.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [keybdll] scanSYS.exe
O4 - HKCU\..\Run: [AliceSD] ParisM.exe
O4 - HKCU\..\Run: [StartCpl] AliceSD.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Gelijkwaardige pagina's - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O14 - IERESET.INF: START_PAGE_URL=http://www.skynet.be
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4519/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F29B38C6-17AB-4A61-898B-F1E126ECFB20}: NameServer = 69.50.184.85,195.225.176.31
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.50.184.85,195.225.176.31
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.50.184.85,195.225.176.31
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.184.85,195.225.176.31
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -service (file missing)



Alvast bedankt voor de moeite, :D
Evert

jurgenv
29 June 2005, 23:22
* sla dit op of print het uit want we zullen in veilige modus moeten gaan, daar zijn geen netwerkmogeijkheden beschikbaar dus zal deze pagina ook niet beschikbaar zijn


* Download en installeer Ewido trial (http://www.ewido.net/en/)
nog niet gebruiken!


* ga naar configuratiescherm==> software en de-installeer het volgende:(indien aanwezig)
BearShare
WareOut
TopAntiSpyware


* open hijackthis en vink volgende regels aan:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.belcast.be/en/search/ie5.html
R3 - URLSearchHook: (no name) - {BF7D4CD8-9F30-6079-067F-FE76F2E15E65} - utsgmon.dll (file missing)
O4 - HKLM\..\Run: [FLKPT] corrida.exe
O4 - HKLM\..\Run: [avpmondll] newbreed.exe
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [keybdll] scanSYS.exe
O4 - HKCU\..\Run: [AliceSD] ParisM.exe
O4 - HKCU\..\Run: [StartCpl] AliceSD.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F29B38C6-17AB-4A61-898B-F1E126ECFB20}: NameServer = 69.50.184.85,195.225.176.31
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.50.184.85,195.225.176.31
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.50.184.85,195.225.176.31
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.184.85,195.225.176.31
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -service (file missing)


* sluit nu alle venster en klik op 'fixed checked'

* start je pc nu in veilige modus, hoe start ik mijn pc in veilige modus? (http://users.pandora.be/marcvn/spyware/1378056.htm)


* verwijder volgende bestanden handmatig:

scanSYS.exe <==opzoeken via de zoekfunctie in windows 2000
ParisM.exe <==opzoeken via de zoekfunctie in windows 2000
AliceSD.exe <==opzoeken via de zoekfunctie in windows 2000
C:\WINNT\System32\spoolsrv32.exe <== dit bestand
C:\Program Files\WareOut\WareOut.exe <== dit bestand
C:\Program Files\WareOut <== deze map
C:\Program Files\BearShare\BearShare.exe <== dit bestand
C:\Program Files\BearShare <== deze map
corrida.exe <== opzoeken via de zoekfunctie in windows 2000
newbreed.exe <== opzoeken via de zoekfunctie in windows 2000

Blijf in veilige modus

* laat Ad-aware SE runnen, doe hierbij een full scan!

* laat ewido scannen, en bewaar het logje die je krijgt!

* laat ccleaner runnen, dit doe je door op 'opschonen' te klikken rechtsonderaan


* start je pc weer normaal en post een nieuw hijackthis logje tesamen met het logje van ewido

Evert
30 June 2005, 23:47
Jürgen,

Dank je voor het snelle antwoord. Ik print het uit en ga dit weekend de strijd aan !

Groeten,
Evert

Evert
4 December 2005, 18:53
Hallo Jürgen,

Ben er een tijdje tussen uitgeweest, maar vrees dat het probleem nog niet helemaal opgelost is. Het zwarte scherm blijft standvastig op mijn beeldscherm staan. Ik heb de vorige stappen ondernomen en de 2 logs geplaatst (hijack en ewido)

Wat kan/moet ik nu nog doen ?

HiJack Log

Logfile of HijackThis v1.99.1
Scan saved at 17:10:38, on 4-12-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\RealVNC\WinVNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\StayConnected\StayConnected.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\andre\Local Settings\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.skynet.be
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [StayConnected] C:\Program Files\StayConnected\StayConnected.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Gelijkwaardige pagina's - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O14 - IERESET.INF: START_PAGE_URL=http://www.skynet.be
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4519/mcfscan.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{B5115BB9-8FE9-44BE-88EA-F315B06279BC}: NameServer = 69.50.176.157,85.255.112.6
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

Ewido Log

---------------------------------------------------------
ewido security suite - Scan report
---------------------------------------------------------
+ Created on: 16:57:05, 4-12-2005
+ Report-Checksum: C6CCAEEB
+ Scan result:
HKLM\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07} -> Spyware.SaveNow : Cleaned with backup
HKLM\SOFTWARE\Classes\Interface\{C285D18D-43A2-4AEF-83FB-BF280E660A97} -> Spyware.SaveNow : Cleaned with backup
HKU\S-1-5-21-861567501-1935655697-854245398-1000\Software\WareOut -> Downloader.Wareout : Cleaned with backup
HKU\S-1-5-21-861567501-1935655697-854245398-1000\Software\WareOut\FirstRun -> Downloader.Wareout : Cleaned with backup
HKU\S-1-5-21-861567501-1935655697-854245398-1000\Software\WareOut\Options -> Downloader.Wareout : Cleaned with backup
HKU\S-1-5-21-861567501-1935655697-854245398-1000\Software\WareOut\Registration -> Downloader.Wareout : Cleaned with backup
C:\Documents and Settings\andre\Cookies\andre@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Cleaned with backup
C:\Documents and Settings\andre\Cookies\andre@burstnet[2].txt -> Spyware.Cookie.Burstnet : Cleaned with backup
C:\Documents and Settings\andre\Cookies\andre@burstnet[3].txt -> Spyware.Cookie.Burstnet : Cleaned with backup
C:\Documents and Settings\andre\Cookies\andre@com[1].txt -> Spyware.Cookie.Com : Cleaned with backup
C:\Documents and Settings\andre\Cookies\andre@www.burstbeacon[1].txt -> Spyware.Cookie.Burstbeacon : Cleaned with backup
C:\Documents and Settings\andre\Local Settings\Temporary Internet Files\Content.IE5\LQMV87GC\mm[1].js -> Spyware.Chitika : Cleaned with backup
C:\Program Files\Internet Explorer\rolhzltm.exe -> Downloader.Delf.og : Cleaned with backup
C:\WINNT\system32\drv2cltr.dll -> Logger.Agent.am : Cleaned with backup
C:\WINNT\system32\srpcsrv32.dll -> Downloader.Adload.g : Cleaned with backup
C:\WINNT\system32\txfdb32.dll -> Downloader.Adload.g : Cleaned with backup

::Report End


Alvast bedankt,
Evert

jurgenv
4 December 2005, 18:55
je kan beter deze instructies opslaan omdat je pc zal moeten herstarten.
download Wareoutfix van één van deze twee site's:
http://forums.subratam.org/index.php?act=Attach&type=post&id=43811
http://swandog46.geekstogo.com/Fixwareout.exe

sla het op op je bureaublad en laat het runnen. klik dan op Next, dan op Install, wees zeker dat "Run fixit" is aangevinkt en klik op Finish. de fix zal beginnen; volg de instructies die je krijgt. er zal gevraagd worden of je je pc wilt herstarten; doe dit ook. J computer zal nu wat trager opstarten, dit is normaal


Wanneer je pc is herstart, volg de instructies die je krijgt. nadat al hijackthis openen. klik dan op Scan, en vink volgende regels aan:

O17 - HKLM\System\CS2\Services\Tcpip\..\{B5115BB9-8FE9-44BE-88EA-F315B06279BC}: NameServer = 69.50.176.157,85.255.112.6

klik dan op 'Fix Checked'. sluit daarna HijackThis, en klik op 'OK' om verder te gaan

op het einde van de fix zal je je pc moeten herstarten

Tenslotte, post de inhoud van het logje C:\fixwareout\report.txt, met een nieuw hijackthis logje.