Computer gehijacked - Privacy en beveiliging

donderdag 2 juni 2005 12:41

Acties:

Topicstarter

Ik vrees dat mijn computer is gehijacked. Tijdens het internetten regent het virusmaldingen en vreemde programma's verzoeken om toegang tot Internet. Ook het openen van "Deze Computer"gaat ontzettend traag. Dit is mijn HijackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 12:35:43, on 2-6-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\javacu32.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Hitman Pro\srhelper.exe
C:\WINDOWS\system32\appdw32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Trash\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xvcua.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xvcua.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xvcua.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xvcua.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xvcua.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xvcua.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xvcua.dll/sp.html#93256
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {7E397AF9-83B5-CF28-F260-4576822567B8} - C:\WINDOWS\system32\appmw.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [appdw32.exe] C:\WINDOWS\system32\appdw32.exe
O4 - HKLM\..\RunOnce: [javacu32.exe] C:\WINDOWS\javacu32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Hitman Pro SurfRight Helper] "C:\Program Files\Hitman Pro\srhelper.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\apimn.exe (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Ik heb al getracht om bepaalde bestanden weg te halen, maar deze komen gewoon weer terug. Ik heb HitmanPro gedraaid en andere spywareremovers. Uiteraard heb ik ook AVG op virussen laten scannen. Ik blijf echter problemen houden. Kan iemand mij aub helpen? Ik hoop maar dat ik niet mijn harde schijf hoef te formatteren

donderdag 2 juni 2005 12:43

Acties:

andreict

scan eens een keer met microsoft antispyware...te vinden met google

donderdag 2 juni 2005 12:43

Acties:

dailyleaf

...

In veilige modes HMP2 draaien en je virusscanner zou goed moeten werken.

(opstarten met F8 en kiezen voor veilige modes)

Mijn post is interessanter dan mijn Sig..

donderdag 2 juni 2005 12:49

Acties:

DropjesLover

Dit dus ->

probeer anders op te starten in veilige modus (in loggen met admin-rechten) en alle bestandjes die je niet weg kreeg (en waarvan je denkt dat t n virus is) handmatig te verwijderen.

wel eerst na gaan welke bestanden het zijn en ff in n txt bestandje zetten, kun je ze makkelijk terugvinden als je in veilige modus bent...

suc6!

BThGvNeOA
Bond Tegen het Gebruik van Nutteloze en Onbekende Afkortingen!
Gewoon uitschrijven wat je bedoelt is zo moeilijk niet... PR (persoonlijk record?), ICE/M/A (verbrandingsmotor?), kdv (kinderdagverblijf), DA (dierenarts?)etc...,

donderdag 2 juni 2005 12:58

Acties:

Caeruleus

Als ik google naar appdw32.exe dan kom ik wat narigheid tegen, misschien zou je daar eens naar moeten kijken

no animals were harmed during the production of this message

donderdag 2 juni 2005 13:04

Acties:

niels88

Voer de hijackthis-log in bij deze site: http://www.hijackthis.de/en

Kun je precies zien wat fout is

donderdag 2 juni 2005 13:07

Acties:

Verwijderd

code:

C:\WINDOWS\System32\UAService7.exe - Unknown
C:\WINDOWS\javacu32.exe - Unknown
C:\Program Files\Hitman Pro\srhelper.exe - Unknown
C:\WINDOWS\system32\appdw32.exe - Unknown
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xvcua.dll/sp.html#93256 - Nasty
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xvcua.dll/sp.html#93256 - Nasty
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xvcua.dll/sp.html#93256 - Nasty
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xvcua.dll/sp.html#93256 - Nasty
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xvcua.dll/sp.html#93256 - Nasty
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xvcua.dll/sp.html#93256 - Nasty
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xvcua.dll/sp.html#93256 - Nasty
R3 - Default URLSearchHook is missing - Nasty
O2 - BHO: Class - {7E397AF9-83B5-CF28-F260-4576822567B8} - C:\WINDOWS\system32\appmw.dll - Unknown
O4 - HKLM\..\Run: [appdw32.exe] C:\WINDOWS\system32\appdw32.exe - Possibly nasty
O4 - HKLM\..\RunOnce: [javacu32.exe] C:\WINDOWS\javacu32.exe - Possibly nasty
O4 - HKCU\..\Run: [Hitman Pro SurfRight Helper] "C:\Program Files\Hitman Pro\srhelper.exe" - Unknown
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\apimn.exe (file missing) - Unknown
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe - Unknown
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe - Unknown

dit komt eruit

edit: heb het even voor de TS gedaan aangezien het feit ik niks beters te doen had

[ Voor 3% gewijzigd door Verwijderd op 02-06-2005 13:07 ]

donderdag 2 juni 2005 13:07

Acties:

Dj-sannieboy

Nee.... beter!

Misschien handig om naar SP2 te upgraden..

Maar eerst de troep er van af halen.. scan je pc eens met je virusscanner, Spybot S&D, Microsoft AS en CWSchredder.. eerst gewoon in Windows en daarna nog eens in Veilige modus..
En haal je logfile eens door http://www.hijackthis.de/en heen... (zag dat iemand me voor was)

[ Voor 18% gewijzigd door Dj-sannieboy op 02-06-2005 13:07 ]

donderdag 2 juni 2005 13:31

Acties:

Verwijderd

doe eerst effe een online scan http://bitdefender.secyber.net/BITDEFENDER/scan/ bij Intellingen al files aan vinken.

vrijdag 3 juni 2005 09:18

Acties:

ruftman

Topicstarter

Hartstikke bedankt voor de hulp tot nu toe. Vanwege drukte ben ik tot nu toe helaas niet in staat geweest om het een en ander uit te proberen. Zo gauw ik bij mijn eigen PC in de buurt ben, ga ik ermee aan de slag.