About:Blank - Hijackthis log

[anoniem]

Onderstaand log komt van de PC van een kennis. Een aantal dingen kan ik wel herkennen, maar about:blank krijg ik niet weg. Kan iemand mij adviseren ? Logfile of HijackThis v1.97.7 Scan saved at 12:44:17, on 10-10-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\apigx.exe C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\apvxdwin.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\Program Files\Windows SyncroAd\SyncroAd.exe C:\WINDOWS\system32\sdkkx.exe C:\Documents and Settings\Ton\Application Data\tsbn.exe C:\Program Files\Windows SyncroAd\WinSync.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe C:\Program Files\Web_Rebates\WebRebates1.exe C:\Program Files\Web_Rebates\WebRebates0.exe E:\hijac\HijackThis.exe C:\Program Files\Outlook Express\msimn.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxwba.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxwba.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxwba.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxwba.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxwba.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jxwba.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxwba.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {D1F54785-3008-D469-EAF6-3608BE22CDCC} - C:\WINDOWS\system32\winam.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [sdkkx.exe] C:\WINDOWS\system32\sdkkx.exe O4 - HKCU\..\Run: [Teau] C:\Documents and Settings\Ton\Application Data\tsbn.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: Onderzoek (HKLM) O9 - Extra button: Corel Network monitor worker (HKLM) O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: Corel Network monitor worker (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKCU) O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll O14 - IERESET.INF: START_PAGE_URL=http://www.superweb.nl O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6 O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093035265700 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38181.4400925926 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab

[anoniem]

Kijk heel even,

[anoniem]

Je hebt last van homesearch, Download: http://users.pandora.be/marcvn/tools/get_active_services.zip Pak hem uit op je c: schijf, run hem en je krijgt active.txt, post die in je volgende post samen met een nieuwe hijackthislog, daarna moet je de computer niet meer opnieuw opstarten. Mail me ook een exemplaar van active.txt door naar: pino_roelt_gewoon at lycos punt nl (gewoon even een normaal adres van maken) Greetz D,

[anoniem]

Succes Guy met deze lastige. ;)

[anoniem]

Hier onder het resultaat. Ik kreeg er wel een Windows Scripting Host foutmelding voor. These are the Current Active Services: NETWORK SECURITY SERVICE (NSS): O?’ŽrtñåȲ$Ó C:\WINDOWS\apigx.exe /s APPLICATION LAYER GATEWAY-SERVICE: ALG C:\WINDOWS\System32\alg.exe WINDOWS AUDIO: AudioSrv C:\WINDOWS\System32\svchost.exe -k netsvcs COMPUTER BROWSER: Browser C:\WINDOWS\System32\svchost.exe -k netsvcs SERVICES VOOR CRYPTOGRAFIE: CryptSvc C:\WINDOWS\system32\svchost.exe -k netsvcs DHCP CLIENT: Dhcp C:\WINDOWS\System32\svchost.exe -k netsvcs SERVICE VOOR HET RAPPORTEREN VAN FOUTEN: ERSvc C:\WINDOWS\System32\svchost.exe -k netsvcs COM+-GEBEURTENISSYSTEEM: EventSystem C:\WINDOWS\System32\svchost.exe -k netsvcs COMPATIBILITEIT VOOR SNELLE GEBRUIKERSWISSELING: FastUserSwitchingCompatibility C:\WINDOWS\System32\svchost.exe -k netsvcs HELP EN ONDERSTEUNING: helpsvc C:\WINDOWS\System32\svchost.exe -k netsvcs SERVER: lanmanserver C:\WINDOWS\System32\svchost.exe -k netsvcs WORKSTATION: lanmanworkstation C:\WINDOWS\System32\svchost.exe -k netsvcs MESSENGER: Messenger C:\WINDOWS\System32\svchost.exe -k netsvcs NETWORK CONNECTIONS: Netman C:\WINDOWS\System32\svchost.exe -k netsvcs NETWORK LOCATION AWARENESS (NLA): Nla C:\WINDOWS\System32\svchost.exe -k netsvcs VERBINDINGSBEHEER VOOR RAS: RasMan C:\WINDOWS\System32\svchost.exe -k netsvcs TASK SCHEDULER: Schedule C:\WINDOWS\System32\svchost.exe -k netsvcs SECONDARY LOGON: seclogon C:\WINDOWS\System32\svchost.exe -k netsvcs SYSTEM EVENT NOTIFICATION: SENS C:\WINDOWS\system32\svchost.exe -k netsvcs INTERNET CONNECTION FIREWALL (ICF) / INTERNET CONNECTION SHARING (ICS): SharedAccess C:\WINDOWS\System32\svchost.exe -k netsvcs SHELL HARDWARE DETECTION: ShellHWDetection C:\WINDOWS\System32\svchost.exe -k netsvcs SYSTEM RESTORE-SERVICE: srservice C:\WINDOWS\System32\svchost.exe -k netsvcs TELEPHONY: TapiSrv C:\WINDOWS\System32\svchost.exe -k netsvcs TERMINAL SERVICES: TermService C:\WINDOWS\System32\svchost.exe -k netsvcs THEMA'S: Themes C:\WINDOWS\System32\svchost.exe -k netsvcs DISTRIBUTED LINK TRACKING CLIENT: TrkWks C:\WINDOWS\system32\svchost.exe -k netsvcs UPLOADBEHEER: uploadmgr C:\WINDOWS\System32\svchost.exe -k netsvcs WINDOWS TIME: W32Time C:\WINDOWS\System32\svchost.exe -k netsvcs WINDOWS MANAGEMENT INSTRUMENTATION: winmgmt C:\WINDOWS\system32\svchost.exe -k netsvcs AUTOMATISCHE UPDATES: wuauserv C:\WINDOWS\system32\svchost.exe -k netsvcs WIRELESS ZERO CONFIGURATION-SERVICE: WZCSVC C:\WINDOWS\System32\svchost.exe -k netsvcs DNS CLIENT: Dnscache C:\WINDOWS\System32\svchost.exe -k NetworkService EVENT LOG: Eventlog C:\WINDOWS\system32\services.exe PLUG AND PLAY: PlugPlay C:\WINDOWS\system32\services.exe TCP/IP NETBIOS HELPER: LmHosts C:\WINDOWS\System32\svchost.exe -k LocalService SSDP DISCOVERY-SERVICE: SSDPSRV C:\WINDOWS\System32\svchost.exe -k LocalService WEBCLIENT: WebClient C:\WINDOWS\System32\svchost.exe -k LocalService MACHINE DEBUG MANAGER: MDM "C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE" PANDA PROCESS PROTECTION SERVICE: PavPrSrv "C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe" PANDA ANTI-VIRUS SERVICE: PAVSRV "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe" IPSEC-SERVICES: PolicyAgent C:\WINDOWS\System32\lsass.exe PROTECTED STORAGE: ProtectedStorage C:\WINDOWS\system32\lsass.exe SECURITY ACCOUNTS MANAGER: SamSs C:\WINDOWS\system32\lsass.exe PANDA IMANAGER SERVICE: PSIMSVC "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe" REMOTE PROCEDURE CALL (RPC): RpcSs C:\WINDOWS\system32\svchost -k rpcss PRINT SPOOLER: Spooler C:\WINDOWS\system32\spoolsv.exe WINDOWS IMAGE ACQUISITION (WIA): stisvc C:\WINDOWS\System32\svchost.exe -k imgsvc

[anoniem]

[quote:b8debaf8d2="miekiemoes"]Succes Guy met deze lastige. ;)[/quote:b8debaf8d2] Weet dat hij lastig is, ik wil straks eigenlijk zelf een fix procedure in elkaar zetten maar voordat de ts dat uitvoert wil ik eigenlijk dat Marc of Andre even groen licht geeft. :wink: edit: ik ga bezig

[anoniem]

Print dit even uit en lees het door, als je vragen hebt stel je die. Voer de hele procedure in een keer uit. 1) Download cwshredder: http://www.computercops.biz/downloads-cat-14.html gebruik hem nog niet. 2) Download about:buster, http://tools.zerosrealm.com/AboutBuster.zip unzip hem naar c:\about:buster controleer of je hem kan updaten. (als je kan updaten update je hem ook) 3) Laat alle verborgen files weergeven: http://users.pandora.be/marcvn/spyware/1117602.htm 4) Download dit regfiletje, save hem op je bureaublad: http://i.1asphost.com/pcguy/Peter%20Vooges.reg 5) Herstart in veilige modus: http://users.pandora.be/marcvn/spyware/1378056.htm 6) Ga naar taakbeheer, tabje processen en kill deze: [list:bc99322067][b:bc99322067] SyncroAd.exe WebRebates0.exe" sdkkx.exe tsbn.exe apigx.exe[/b:bc99322067][/list:u:bc99322067] 7) ga naar configuratiescherm --> software en deinstaleer indien mogelijk: [list:bc99322067][b:bc99322067]syncroad windows syncroad webrates[/b:bc99322067][/list:u:bc99322067] 8 ) Ga naar start --> uitvoeren, tik in: "services.msc" zoek deze service op: [b:bc99322067]NETWORK SECURITY SERVICE (NSS)[/b:bc99322067] dubbelklik erop, er verschijnt een venster daarin bij opstarttype stel je in: uitgeschakeld, klik op toepassen en daarna op ok (let op dat je de goede neemt, schakel alleen deze uit) 9) Sluit alle vensters en laat hijackthis deze repareren: [list:bc99322067][b:bc99322067]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxwba.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxwba.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxwba.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jxwba.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jxwba.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jxwba.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jxwba.dll/sp.html#29126 O2 - BHO: (no name) - {D1F54785-3008-D469-EAF6-3608BE22CDCC} - C:\WINDOWS\system32\winam.dll O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [sdkkx.exe] C:\WINDOWS\system32\sdkkx.exe O4 - HKCU\..\Run: [Teau] C:\Documents and Settings\Ton\Application Data\tsbn.exe O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O14 - IERESET.INF: START_PAGE_URL=http://www.superweb.nl O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6 O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab [/b:bc99322067][/list:u:bc99322067] 10) Dubbelklik op Peter Vooges.reg en bevestig met ja op de gegevens aan het register toe te voegen, 11) Verwijder onderstaande items indien aanwezig: [list:bc99322067][b:bc99322067] C:\WINDOWS\apigx.exe <--- deze file C:\WINDOWS\jxwba.dll <--- deze file C:\WINDOWS\system32\winam.dll <--- deze file C:\Program Files\Windows SyncroAd <--- deze map C:\Program Files\Web_Rebates <--- deze map C:\WINDOWS\system32\sdkkx.exe <--- deze file C:\Documents and Settings\Ton\Application Data\tsbn.exe <--- dit bestand[/b:bc99322067][/list:u:bc99322067] 12) Ga naar start --> uitvoeren, tik in: "[b:bc99322067]%temp%[/b:bc99322067]" Leeg de map die je krijgt 13) Ga naar start --> configuratiescherm --> internet opties --> tabje algemeen --> bij tijdelijke internet bestanden klik je op: "bestanden verwijderen" 14) bij die opties op het tabje programma's klik je op "webinstellingen herstellen" 15) Draai coolwebshredder (runnen, dan fix knop) 16) Run 2 scans met about:buster, sla de logjes die je krijgt op 17) Herstart in gewone modus 18 ) Draai een online virusscan: http://www.bitdefender.com/scan/licence.php 19) Plaats een nieuwe hijackthislog en een nieuwe get_active_services log. Wacht even met deze procedure, aangezien dit mijn 1e homesearch is die ik helemaal zelf doe wil ik graag eerst groen licht hebben van Marc of Andre. (Rieske en Mieke ook goed hoor als jullie het ook weten :wink:)

[anoniem]

Dit proces moet je zeker beëindigen indien actief: apigx.exe Die hangt immers samen met de service. Gebruik dit regfiltje: http://users.pandora.be/marcvn/tools/hsfix.reg Jouw servicenaam lijkt me niet te kloppen pcguy. (controleer even) Deze moet je ook laten fixen: [b:0fdf87037b] O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab[/b:0fdf87037b] Wacht even met de online-scan tot na de nieuwe log. Als online-scan pak je best ook trendmicro. Daar ben ik zeker van dat hij de geïnfecteerde bestanden vindt. De rest ziet er goed uit.

[anoniem]

[quote:c447b5c448="M@rc"]Dit proces moet je zeker beëindigen indien actief: apigx.exe Die hangt immers samen met de service. Gebruik dit regfiltje: http://users.pandora.be/marcvn/tools/hsfix.reg Jouw servicenaam lijkt me niet te kloppen pcguy. (controleer even) Deze moet je ook laten fixen: [b:c447b5c448] O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab[/b:c447b5c448] Wacht even met de online-scan tot na de nieuwe log. Als online-scan pak je best ook trendmicro. Daar ben ik zeker van dat hij de geïnfecteerde bestanden vindt. De rest ziet er goed uit.[/quote:c447b5c448] Ik edit het even, Als ik die servicenaam vergelijk lijkt hij me hetzelfde? (Ik heb trouwens die uit de mail gepakt, die uit het mailtje is deze: [quote:c447b5c448]NETWORK SECURITY SERVICE (NSS): O? ’ŽrtñåȲ$ Ó C:\WINDOWS\apigx.exe /s[/quote:c447b5c448] en die 016, shame on me :oops: Had er overheen gekeken, evenals dat proces wat ik was vergeten te laten beeindigen, ik d8 dat ik hem erbij had geplakt. :oops:

[anoniem]

Ik heb het uitgeprint en ga er mee langs de patient. Jullie lezen het resultaat.....

[anoniem]

Het Hijackthis-log: Logfile of HijackThis v1.97.7 Scan saved at 16:52:07, on 10-10-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\apvxdwin.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe C:\WINDOWS\System32\RunDll32.exe D:\DOWNLOADS\ABOUT\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [sdkkx.exe] C:\WINDOWS\system32\sdkkx.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: Onderzoek (HKLM) O9 - Extra button: Corel Network monitor worker (HKLM) O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: Corel Network monitor worker (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKCU) O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093035265700 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38181.4400925926 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab EN HET ACTIVE SERVICE LOG: These are the Current Active Services: APPLICATION LAYER GATEWAY-SERVICE: ALG C:\WINDOWS\System32\alg.exe WINDOWS AUDIO: AudioSrv C:\WINDOWS\System32\svchost.exe -k netsvcs COMPUTER BROWSER: Browser C:\WINDOWS\System32\svchost.exe -k netsvcs SERVICES VOOR CRYPTOGRAFIE: CryptSvc C:\WINDOWS\system32\svchost.exe -k netsvcs DHCP CLIENT: Dhcp C:\WINDOWS\System32\svchost.exe -k netsvcs SERVICE VOOR HET RAPPORTEREN VAN FOUTEN: ERSvc C:\WINDOWS\System32\svchost.exe -k netsvcs COM+-GEBEURTENISSYSTEEM: EventSystem C:\WINDOWS\System32\svchost.exe -k netsvcs COMPATIBILITEIT VOOR SNELLE GEBRUIKERSWISSELING: FastUserSwitchingCompatibility C:\WINDOWS\System32\svchost.exe -k netsvcs HELP EN ONDERSTEUNING: helpsvc C:\WINDOWS\System32\svchost.exe -k netsvcs SERVER: lanmanserver C:\WINDOWS\System32\svchost.exe -k netsvcs WORKSTATION: lanmanworkstation C:\WINDOWS\System32\svchost.exe -k netsvcs MESSENGER: Messenger C:\WINDOWS\System32\svchost.exe -k netsvcs NETWORK CONNECTIONS: Netman C:\WINDOWS\System32\svchost.exe -k netsvcs NETWORK LOCATION AWARENESS (NLA): Nla C:\WINDOWS\System32\svchost.exe -k netsvcs VERBINDINGSBEHEER VOOR RAS: RasMan C:\WINDOWS\System32\svchost.exe -k netsvcs TASK SCHEDULER: Schedule C:\WINDOWS\System32\svchost.exe -k netsvcs SECONDARY LOGON: seclogon C:\WINDOWS\System32\svchost.exe -k netsvcs SYSTEM EVENT NOTIFICATION: SENS C:\WINDOWS\system32\svchost.exe -k netsvcs INTERNET CONNECTION FIREWALL (ICF) / INTERNET CONNECTION SHARING (ICS): SharedAccess C:\WINDOWS\System32\svchost.exe -k netsvcs SHELL HARDWARE DETECTION: ShellHWDetection C:\WINDOWS\System32\svchost.exe -k netsvcs SYSTEM RESTORE-SERVICE: srservice C:\WINDOWS\System32\svchost.exe -k netsvcs TELEPHONY: TapiSrv C:\WINDOWS\System32\svchost.exe -k netsvcs TERMINAL SERVICES: TermService C:\WINDOWS\System32\svchost.exe -k netsvcs THEMA'S: Themes C:\WINDOWS\System32\svchost.exe -k netsvcs DISTRIBUTED LINK TRACKING CLIENT: TrkWks C:\WINDOWS\system32\svchost.exe -k netsvcs UPLOADBEHEER: uploadmgr C:\WINDOWS\System32\svchost.exe -k netsvcs WINDOWS TIME: W32Time C:\WINDOWS\System32\svchost.exe -k netsvcs WINDOWS MANAGEMENT INSTRUMENTATION: winmgmt C:\WINDOWS\system32\svchost.exe -k netsvcs AUTOMATISCHE UPDATES: wuauserv C:\WINDOWS\system32\svchost.exe -k netsvcs WIRELESS ZERO CONFIGURATION-SERVICE: WZCSVC C:\WINDOWS\System32\svchost.exe -k netsvcs DNS CLIENT: Dnscache C:\WINDOWS\System32\svchost.exe -k NetworkService EVENT LOG: Eventlog C:\WINDOWS\system32\services.exe PLUG AND PLAY: PlugPlay C:\WINDOWS\system32\services.exe TCP/IP NETBIOS HELPER: LmHosts C:\WINDOWS\System32\svchost.exe -k LocalService SSDP DISCOVERY-SERVICE: SSDPSRV C:\WINDOWS\System32\svchost.exe -k LocalService WEBCLIENT: WebClient C:\WINDOWS\System32\svchost.exe -k LocalService MACHINE DEBUG MANAGER: MDM "C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE" PANDA PROCESS PROTECTION SERVICE: PavPrSrv "C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe" PANDA ANTI-VIRUS SERVICE: PAVSRV "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe" IPSEC-SERVICES: PolicyAgent C:\WINDOWS\System32\lsass.exe PROTECTED STORAGE: ProtectedStorage C:\WINDOWS\system32\lsass.exe SECURITY ACCOUNTS MANAGER: SamSs C:\WINDOWS\system32\lsass.exe PANDA IMANAGER SERVICE: PSIMSVC "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe" REMOTE PROCEDURE CALL (RPC): RpcSs C:\WINDOWS\system32\svchost -k rpcss PRINT SPOOLER: Spooler C:\WINDOWS\system32\spoolsv.exe WINDOWS IMAGE ACQUISITION (WIA): stisvc C:\WINDOWS\System32\svchost.exe -k imgsvc De start pagina blijft nu goed, maar ik heb van Panda al twee meldingen gehad over een trojan die geneutraliseerd werd. Ik ga nu de online scan draaien.

[anoniem]

Kijk hem door,

[anoniem]

Na die online scan doe je dit: Webrates had je verwijdert? Zo nee, probeer dat eerst. Kill dit proces: [list:26ae3dcaa9][b:26ae3dcaa9]sdkkx.exe[/b:26ae3dcaa9][/list:u:26ae3dcaa9] Sluit alle vensters, run hijackthis opnieuw en fix deze items: [list:26ae3dcaa9][b:26ae3dcaa9]O4 - HKLM\..\Run: [sdkkx.exe] C:\WINDOWS\system32\sdkkx.exe O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab[/b:26ae3dcaa9][/list:u:26ae3dcaa9] Herstart in veilige modus en laat alle bestanden weergeven, verwijder deze items indien aanwezig: [list:26ae3dcaa9][b:26ae3dcaa9]C:\WINDOWS\system32\sdkkx.exe <--- deze file C:\Program Files\Web_Rebates <--- deze map c:\counter.cab <--- deze file[/b:26ae3dcaa9][/list:u:26ae3dcaa9] Daarna herstart je in gewone modus en post je een nieuwe hijackthislog.

[anoniem]

Dit is de laatste log: Logfile of HijackThis v1.97.7 Scan saved at 18:05:09, on 10-10-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE C:\WINDOWS\Explorer.EXE C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\apvxdwin.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe C:\WINDOWS\System32\wuauclt.exe D:\DOWNLOADS\ABOUT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ajax.nl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Onderzoek (HKLM) O9 - Extra button: Corel Network monitor worker (HKLM) O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: Corel Network monitor worker (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker (HKCU) O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab

[anoniem]

The finishing touch.... Deze hijacker kan een aantal bestanden op je computer verwijderd hebben. Controleer of volgende bestanden nog aanwezig zijn: - Control.exe: Ga naar http://www.spywareinfo.com/~merijn/winfiles.html#control en download indien nodig de control.exe die bij je besturingssysteem hoort. Control.exe moet zich in de map c:\windows\system32 bevinden. - Hosts (zonder extensie): Hosts bevindt zich in \system32\drivers\etc\. Indien niet aanwezig, download je the Hoster: http://members.aol.com/toadbee/hoster.zip . Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af. - SDHelper.dll: Als je Spybot Search & Destroy gebruikt kan deze hijacker ook het bestand SDHelper.dll verwijderen. Download SDHelper.dll: http://www.spywareinfo.com/~merijn/winfiles.html#sdhelper. Plaats de file in de installatiemap van Spybot Search & Destroy. Meestal is dit C:\Program Files\Spybot - Search & Destroy. - Shell.dll: Controleer even via de verkenner of shell.dll in de system32-map staat. Indien het bestand ontbreekt, ga je naar System32\dllcache. Zoek Shell.dll, rechtsklik er op en kies voor kopiëren. Plaats het kopie in de system32-map. Als je dit alles gedaan hebt maak je de prullenbak leeg. Verwijder ook alle bestaande systeemherstelpunten: Schakel systeemherstel uit, reboot de computer en schakel systeemherstel weer in. (info: [url=http://users.pandora.be/marcvn/spyware/1852808.htm]Systeemherstel uitschakelen[/url]) en dat moet je kennis er weer tegen kunnen... groeten,

[anoniem]

Ik ga dit laatste nog even in orde maken. Je leest nog van me. :)

[anoniem]

Systeem helemaal schoon. De laatste troep (dialers) zat nog in de internet cache maar nadat ook die was opgeruimd, was het weer een schoon systeem. Bedankt voor de adviezen.