hijackthislog about:blank

anoniem · 10 februari 2005

Ik vrees de about:blank infectie. Dat is alvast het adres van mijn hardnekkige startpagina. Ook last van een irritante toolbar en pornografische favorieten. Antivir vond tijdens draaien van Adaware 2 virussen (zijn verwijderd). [b:3b165b128f]Logfile of HijackThis v1.99.0[/b:3b165b128f] Scan saved at 16:17:02, on 9/02/05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS.000\SYSTEM\KERNEL32.DLL C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE C:\WINDOWS.000\SYSTEM\MPREXE.EXE C:\WINDOWS.000\SYSTEM\mmtask.tsk C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS.000\SYSTEM\DDHELP.EXE C:\WINDOWS.000\EXPLORER.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS.000\DESKTOP\SPYWARE REMOVALS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Name - {627B1900-7AA4-11D9-ABFE-00E0ED06A261} - C:\WINDOWS.000\SYSTEM\MSTMJ.DLL O2 - BHO: (no name) - {2A77CCA1-7AAF-11D9-ABFE-00E0D8B7588B} - C:\WINDOWS.000\SYSTEM\MFKA.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS.000\SYSTEM\IESP2.DLL O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\RunServices: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [EnsoniqMixer] starter.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Koppelingspagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL O12 - Plugin for .spop: C:\PROGRA~1\Intern~1\Plugins\NPDocBox.dll O12 - Plugin for .php: C:\PROGRA~1\Intern~1\PLUGINS\nppdf32.dll O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {58172624-85DD-4482-9E64-02ADCA637E96} - http://www.kungfuchess.com/activex/web665.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {F7E7FE39-7298-442F-97CE-B7A5E9AFE12D} (Info Class) - http://www0.spelpunt.nl/idtool.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.156,195.225.176.31 Alvast bedankt, Guft.

anoniem · 20 februari 2005

Post even een nieuwe hijackthislog Guft. Nog last van de hijacker?

anoniem · 20 februari 2005

Nog steeds last. Logfile of HijackThis v1.99.1 Scan saved at 14:38:36, on 20/02/05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS.000\SYSTEM\KERNEL32.DLL C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE C:\WINDOWS.000\SYSTEM\MPREXE.EXE C:\WINDOWS.000\SYSTEM\mmtask.tsk C:\WINDOWS.000\EXPLORER.EXE C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS.000\SYSTEM\SPOOLSRV32.EXE C:\WINDOWS.000\SYSTEM\SPOOLSRV32.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS.000\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS.000\DESKTOP\SPYWARE REMOVALS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///c:/govaerts.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS.000\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [Srv32 spool service] C:\WINDOWS.000\System\spoolsrv32.exe O4 - HKCU\..\Run: [Srv32 spool service] C:\WINDOWS.000\System\spoolsrv32.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Koppelingspagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL O12 - Plugin for .spop: C:\PROGRA~1\Intern~1\Plugins\NPDocBox.dll O12 - Plugin for .php: C:\PROGRA~1\Intern~1\PLUGINS\nppdf32.dll O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab Guft.

anoniem · 20 februari 2005

Zorg dat alle [url=http://users.pandora.be/marcvn/spyware/1117602.htm]verborgen bestanden weergegeven worden[/url]. Start de computer in [url=http://users.pandora.be/marcvn/spyware/1378056.htm]veilige modus[/url]. Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren: [b:68180f9691] O4 - HKLM\..\Run: [Srv32 spool service] C:\WINDOWS.000\System\spoolsrv32.exe O4 - HKCU\..\Run: [Srv32 spool service] C:\WINDOWS.000\System\spoolsrv32.exe [/b:68180f9691] Verwijder de volgende bestanden indien aanwezig: C:\WINDOWS.000\System\spoolsrv32.exe Reboot de computer, en doe een online-scan. Herstart de computer, run HijackThis opnieuw en post een nieuwe log. De about:blank infectie is niet te zien in de log.

anoniem · 20 februari 2005

Zoals gevraagd een overzicht van de laatst gewijzigde bestanden in de map 'system'. [img:61b9cc7b65]http://img197.exs.cx/img197/4437/system2tx.jpg[/img:61b9cc7b65] Bij uitvoeren van Trendmicro online virusscan kreeg ik volgende foutmelding. Misschien niet onbelangrijk omdat je eerder achter dit bestand (printvr.txt) vroeg. [img:61b9cc7b65]http://img197.exs.cx/img197/6075/foutmelding9fa.jpg[/img:61b9cc7b65] Dan maar de online scan van symantec gedaan. De twee gevonden virussen/trojans heb ik niet kunnen verwijderen, ik zou niet weten hoe. Ze zijn er dus nog steeds. Wel viel het me op, dat één van de geïnfecteerde bestanden tevens bij de laatst gewijzigde bestanden van 'system' was. (nl. srpcsrv32.dll) [img:61b9cc7b65]http://img221.exs.cx/img221/3990/virusscan5je.jpg[/img:61b9cc7b65] Ik heb je instructies m.b.t. hijackthis uitgevoerd. Hierbij een nieuwe log. De about:blank infectie is er inderdaad niet in te zien, toch weet ik dat deze niet verdwenen is. Net zoals voordien merk ik aan het openen van IE en aan de vele 'Iexplore' in het taakbeheer dat deze infectie zal terugkomen. [b:61b9cc7b65]Logfile of HijackThis v1.99.1[/b:61b9cc7b65] Scan saved at 16:39:00, on 20/02/05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS.000\SYSTEM\KERNEL32.DLL C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE C:\WINDOWS.000\SYSTEM\MPREXE.EXE C:\WINDOWS.000\SYSTEM\mmtask.tsk C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE C:\WINDOWS.000\SYSTEM\DDHELP.EXE C:\WINDOWS.000\SYSTEM\SPOOL32.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS.000\EXPLORER.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS.000\DESKTOP\SPYWARE REMOVALS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///c:/govaerts.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS.000\SYSTEM\QTTASK.EXE" -atboottime O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Koppelingspagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL O12 - Plugin for .spop: C:\PROGRA~1\Intern~1\Plugins\NPDocBox.dll O12 - Plugin for .php: C:\PROGRA~1\Intern~1\PLUGINS\nppdf32.dll O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab Alvast bedankt voor je inzet & geduld, Guft.

anoniem · 20 februari 2005

Guft, Ga naar start - uitvoeren en tik in: [code:1:893df74569]regedit /e c:\regkey.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce"[/code:1:893df74569] Zoek c:\regkey.txt en post de inhoud. Zoek nog eens naar printvr.txt

anoniem · 20 februari 2005

Inhoud van regkey.txt: [quote:60359908b3]REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce][/quote:60359908b3] Printvr.txt niet gevonden. Guft.

anoniem · 20 februari 2005

Zorg dat alle [url=http://users.pandora.be/marcvn/spyware/1117602.htm]verborgen bestanden weergegeven worden[/url]. Laat het bestand C:\WINDOWS.000\SYSTEM\dwjnl.exe eens scannen bij jotti: http://virusscan.jotti.org/ Meldt het resultaat. Download CCleaner: http://www.filehippo.com/download_ccleaner.html Installeer het. Nog niet gebruiken. Open een klablokbestand. Kopieer onderstaande code in dit kladblokbestand. Ga naar Bestand - Opslaan als. Bij "Opslaan in" kies je: Bureaublad Bij "Bestandsnaam" zet je: fix.reg Bij "Opslaan als type" selecteer je: Alle bestanden (*.*). Klik op de knop Opslaan. [code:1:66774a07ce] REGEDIT4 [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\New Windows] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [/code:1:66774a07ce] Start de computer in [url=http://users.pandora.be/marcvn/spyware/1378056.htm]veilige modus[/url]. Start de computer in veilige modus. Dubbelklik op fix.reg file en laat de wijzigingen aan het register toevoegen. Verwijder het bestand: C:\WINDOWS.000\System\srpcsrv32.dll Start Ccleaner. Herstart de computer. Laat ons weten hoe de situatie nu is. Als er iets niet lukt, meldt dat dan ook. Kijk eens in de system-map, bij de laatst gewijzigde bestanden. Nog iets nieuw te zien?

anoniem · 20 februari 2005

Bitdefender en Kaspersky zagen iets kwaadaardigs in dwjnl.exe. AntiVir No viruses found (1.27 seconds taken) Avast No viruses found (3.01 seconds taken) AVG Antivirus No viruses found (0.39 seconds taken) [b:65659dc3c1]BitDefender Trojan.Downloader.Gen (probable variant) (0.46 seconds taken) [/b:65659dc3c1] ClamAV No viruses found (0.58 seconds taken) Dr.Web No viruses found (0.86 seconds taken) F-Prot Antivirus No viruses found (0.09 seconds taken) Fortinet No viruses found (0.39 seconds taken) [b:65659dc3c1]Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.alj (0.98 seconds taken) [/b:65659dc3c1]mks_vir No viruses found (0.24 seconds taken) NOD32 No viruses found (1.32 seconds taken) Norman Virus Control No viruses found (0.49 seconds taken) Geen veranderingen in 'system' buiten het verdwijnen van srpcsrv32.dll wat de bedoeling was. Guft. edit: situatie nog steeds hetzelfde, startpagina zal wsl terugkomen.

anoniem · 20 februari 2005

Mocht je het nog niet gedaan hebben, C:\WINDOWS.000\SYSTEM\dwjnl.exe kan je weggooien. Post nog eens een hijackthislog en logje van Startdreck. Zoek nog eens een keer naar: printvr.txt

anoniem · 20 februari 2005

StartDreck (build 2.1.7 public stable) - 2005-02-20 @ 19:58:08 (GMT +01:00) Platform: Windows 98 SE (Win 4.10.2222 A) Internet Explorer: 6.0.2800.1106 Logged in as at SUS GOVAERTS »Registry »Run Keys »Current User »Run »RunOnce »Default User »Run »RunOnce »Local Machine »Run *AVGCtrl=C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min *EnsoniqMixer=starter.exe *QuickTime Task="C:\WINDOWS.000\SYSTEM\QTTASK.EXE" -atboottime »RunOnce »RunServices »RunServicesOnce **vhm=rundll32 C:\WINDOWS.000\PRINTVR.TXT,DllGetClassObject »RunOnceEx »RunServicesOnceEx »Files »System/Drivers »Running Processes +FFCF96C1=C:\WINDOWS.000\SYSTEM\KERNEL32.DLL +FFC04265=C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE +FFC057E5=C:\WINDOWS.000\SYSTEM\MPREXE.EXE +FFC03A05=C:\WINDOWS.000\SYSTEM\mmtask.tsk +FFC0C081=C:\WINDOWS.000\RUNDLL32.EXE +FFC00CE1=C:\WINDOWS.000\EXPLORER.EXE +FFC0BCD9=C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE +FFC072BD=C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE +FFC21C75=C:\WINDOWS.000\SYSTEM\DDHELP.EXE +FFC2B301=C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE +FFC312E1=C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE +FFC26E79=C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE +FFC42DDD=C:\WINDOWS.000\SYSTEM\PSTORES.EXE +FFC6A8D5=C:\WINDOWS.000\SYSTEM\SPOOL32.EXE +FFC50D91=C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE +FFC3493D=C:\WINDOWS.000\DESKTOP\STARTDRECK\STARTDRECK.EXE +FFC54295=C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE »Application specific ************ Logfile of HijackThis v1.99.1 Scan saved at 20:00:48, on 20/02/05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS.000\SYSTEM\KERNEL32.DLL C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE C:\WINDOWS.000\SYSTEM\MPREXE.EXE C:\WINDOWS.000\SYSTEM\mmtask.tsk C:\WINDOWS.000\EXPLORER.EXE C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS.000\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE C:\WINDOWS.000\SYSTEM\PSTORES.EXE C:\WINDOWS.000\SYSTEM\SPOOL32.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS.000\DESKTOP\SPYWARE REMOVALS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///c:/govaerts.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS.000\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\RunServices: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [EnsoniqMixer] starter.exe O4 - HKLM\..\RunServices: [QuickTime Task] "C:\WINDOWS.000\SYSTEM\QTTASK.EXE" -atboottime O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Koppelingspagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL O12 - Plugin for .spop: C:\PROGRA~1\Intern~1\Plugins\NPDocBox.dll O12 - Plugin for .php: C:\PROGRA~1\Intern~1\PLUGINS\nppdf32.dll O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab Guft.

anoniem · 20 februari 2005

Guft, Ben je vertrouwd in de DOS-omgeving? hernoem het bestand [b:1d416bd3d1] C:\WINDOWS.000\PRINTVR.TXT[/b:1d416bd3d1] in dos naar [b:1d416bd3d1] c:\windows.000\aaa.old[/b:1d416bd3d1] Herstart de computer. Maak een nieuwe log met startdreck. Post deze. Geef wat feedback over de situatie. Zoek nu het bestand c:\windows.000\aaa.old en mail me dat even door: marckieATbluemedicine.be (AT vervang je door @)

anoniem · 20 februari 2005

M@rc, ik ben niet vertrouwd met 'dos'. hoewel het bestand 'printvr.txt' ook in startdreck opduikt kan ik het zelf nergens vinden. Guft.

anoniem · 20 februari 2005

Laten we proberen (is bij mij ook lang geleden) Boot van een opstartdiskette Je krijgt dan a: Tik in: c: druk op enter tik in: cd windows.000 druk op enter cd system druk op enter ren printvr.txt aaa.old enter herstart de computer.

anoniem · 20 februari 2005

Dat laatste zonder de opstartdiskette uiteraard. ;)

anoniem · 20 februari 2005

commando even aangepast windows.000

anoniem · 20 februari 2005

Sorry M@rc, maar ook opstarten van een opstartdiskette is nieuw voor mij. Geen idee hoe ik dit moet doen. :oops: :oops: :oops: Ik heb wel even geprobeerd via start>programma's>ms-dos prompt. Met onderstaand gevolg. [img:df757e0ae4]http://img12.exs.cx/img12/3374/msdos5rh.jpg[/img:df757e0ae4] Guft.

anoniem · 20 februari 2005

edit: een commandolijn teveel hierboven. Je moet niet in de sys dir zijn, maar in de Windowsmap. Zat ik even te slapen. (gelukkig wordt dit topic gevolgd - thanx Sjaak.) Je kan opnieuw proberen in de windows dos. De commando's zijn Tik in: c: druk op enter tik in: cd windows.000 druk op enter ren printvr.txt aaa.old enter Lukt het niet dan doe je dit: Lees hier hoe je een opstartdiskette maakt: http://www.schoonepc.nl/instal/startdisk.html Als je de opstartdiskette hebt, stop je deze in de a-drive en herstart je de computer. Het kan zijn dat de pc nu start van de diskette. Anders zorg dat je pc eerst start van de a -drive en dan pas van de c-drive of cd rom (is een instelling in je BIOS).

anoniem · 21 februari 2005

Niet gelukt, ook via opstartdiskette blijft printvr.txt onvindbaar. Heb je instructies gevolgd. Na normale heropstart kwam deze melding: [img:a019cb983b]http://img202.exs.cx/img202/5324/printvr4jg.jpg[/img:a019cb983b] Ik vertrek morgen op skireis. Misschien laten we het best een weekje rusten. Alvast bedankt voor de tot nu toe gedane moeite, Guft.

anoniem · 21 februari 2005

Hallo Guft, Die foutmelding klinkt positief.. Open een klablokbestand. Kopieer onderstaande code in dit kladblokbestand. Ga naar Bestand - Opslaan als. Bij "Opslaan in" kies je: Bureaublad Bij "Bestandsnaam" zet je: fix.reg Bij "Opslaan als type" selecteer je: Alle bestanden (*.*). Klik op de knop Opslaan. [code:1:3f879357be] REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [/code:1:3f879357be] Dubbelklik op de .fixreg file en laat de wijzigingen aan het register toevoegen. Herstart de computer. Hoe is de situatie nu?

anoniem · 21 februari 2005

Hoera!! Voor het eerste zicht op beterschap. Bij openen IE, heb ik niet het gevoel dat een andere pagina zich wil opdringen. Iexplore is ook het taakbeheer verdwenen. Ik durf nog niet te hard juichen maar momenteel ziet het er erg rooskleurig uit. Ontzettend bedankt, Guft. Na de reis laat ik weten hoe de zaken er terug voor staan. laten we hopen...

hijackthislog about:blank

Vraag

Link naar reactie

Beste reacties voor deze vraag

Populaire dagen

Beste reacties voor deze vraag

Populaire dagen

86 antwoorden op deze vraag

Aanbevolen berichten

Link naar reactie

Link naar reactie

Link naar reactie

Link naar reactie

Link naar reactie

Link naar reactie

Link naar reactie

Link naar reactie

Link naar reactie

Link naar reactie

Link naar reactie

Link naar reactie

Link naar reactie

Link naar reactie

Link naar reactie

Link naar reactie

Link naar reactie

Link naar reactie

Link naar reactie

Link naar reactie

Om een reactie te plaatsen, moet je eerst inloggen

Populaire leden

Leden

Recente topics