Explorer.exe probleem - Privacy en beveiliging

donderdag 30 juni 2005 22:14

Acties:

Verwijderd

Topicstarter

Ik heb een infectie gehad met de spyware van 'SPGuard' en heb deze via verschillende richtlijnen uit andere posts op het internet en GoT verwijderd.

Nu kan ik echter geen gebruik meer maken van explorer.exe.

Wat bedoel ik hiermee:
Als ik de pc opstart en ik kies een gebruiker om mee in te loggen krijg ik een leeg bureaublad, als ik via taakbeheer (wat ik wel nog kan oproepen) explorer terug start, dan krijg ik een taakbalk die na +- 10secs weer wegvalt.

Ik heb wel via diskette een hijack this log kunnen plaatsen.

Graag had ik enige raad of een oplossing gehad voor mijn probleem.

Hijack this log:

Logfile of HijackThis v1.99.1
Scan saved at 21:43:10, on 30/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
A:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://pac.pandora.be:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\system32\Utility.exe \1008
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\TELENE~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\system32\msmsgs.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Telenet EasyCare.lnk = C:\Program Files\Telenet EasyCare\bin\matcli.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

donderdag 30 juni 2005 22:50

Acties:

Boegie

We besiemelen mekoar

Deze

code:

1	O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

klinkt als een Backdoor.Win32.Wootbot.gen

Gooi dat bestand maar eens door jottiscan

Onnodig en kan dus weg:

code:

1	O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)

vrijdag 1 juli 2005 02:27

Acties:

pasta

Ondertitel

Boegie schreef op donderdag 30 juni 2005 @ 22:50:
Deze
code:
1
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
klinkt als een Backdoor.Win32.Wootbot.gen

Gooi dat bestand maar eens door jottiscan

Gezien de locatie en de filename zou ik denken dat het MSN Messenger is die zichzelf in de achtergrond opstart.

Ik weet niet waar je die informatie vandaan haalt, maar het klopt hoogstwaarschijnlijk niet.

Onnodig en kan dus weg:

code:

1	O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)

Het is een bekende bug van HJT dat het af en toe de file missing melding geeft. Ik zou eerder de volgende entries even controleren:

code:

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\system32\Utility.exe \1008
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\TELENE~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\system32\msmsgs.exe
O4 - Global Startup: Telenet EasyCare.lnk = C:\Program Files\Telenet EasyCare\bin\matcli.exe

De bestanden scannen kan op de locatie die Boegie al aangaf, Jotti's online malware scan

Signature

zaterdag 2 juli 2005 11:50

Acties:

Verwijderd

Ik heb zelf ook een virus van Explorer.exe

Ik krijg steeds een schermpje met:
Explorer.exe

In explorer.exe is een fout opgetreden en moet worden afgesloten. Onze excuses voor het ongemak.
U was bezig met een bewerking. Deze gegevens zijn mogelijk verloren gegaan.
Vertel microsoft over dit probleem.
Wij hebben een foutenrapport gemaakt die u kunt verzenden zodat wij weten hoe Explorer.exe moet worden verbeterd. blablabla

Weet iemand hoe ik hier vanaf kom? Ik ben echt een leek. En daarom hoop ik ook gewoon op een bestandje te kunnen downloaden. Dat zou me heel erg deugd doen.
bij voorbaat dank.

zaterdag 2 juli 2005 12:22

Acties:

magnifor

pasta schreef op vrijdag 01 juli 2005 @ 02:27:
Het is een bekende bug van HJT dat het af en toe de file missing melding geeft. Ik zou eerder de volgende entries even controleren:
code:
1
2
3
4
5
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\system32\Utility.exe \1008
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\TELENE~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\system32\msmsgs.exe
O4 - Global Startup: Telenet EasyCare.lnk = C:\Program Files\Telenet EasyCare\bin\matcli.exe
De bestanden scannen kan op de locatie die Boegie al aangaf, Jotti's online malware scan

En deze natuurlijk:

code:

1	O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe

Hij is wel het zelfde als

code:

1	O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\system32\msmsgs.exe

maar toch. Moet je niet vergeten te verwijderen mocht het een virus zijn natuurlijk.

zaterdag 2 juli 2005 15:51

Acties:

Verwijderd

weet iemand ook al een oplossing voor mijn probleem?
nu kom ik zelfs niet meer op internet, en virusscanners hebben ook geen zin om te gebruiken want dat duurt dan 4 uur om te scannen en dan loopt het vast door de lange duur

zaterdag 2 juli 2005 15:58

Acties:

vr6-only

Blub Blub

volgens is hij niet meer te redden,,,fresh install misschien ?

It ain't stupid if it works!

zaterdag 2 juli 2005 15:59

Acties:

EricJH

Verwijderd schreef op zaterdag 02 juli 2005 @ 15:51:
weet iemand ook al een oplossing voor mijn probleem?
nu kom ik zelfs niet meer op internet, en virusscanners hebben ook geen zin om te gebruiken want dat duurt dan 4 uur om te scannen en dan loopt het vast door de lange duur

Doe eens een gratis online virus test met de Housecall van Trend Micro: http://housecall.trendmicro.com/housecall/start_corp.asp .

Op spyware scannen met: Microsoft antispyware beta, Ad Aware, Spybot Search and Destroy en de trial versie van Spy Sweeper.

Mocht je systeem echt niet vooruit te branden zijn hang dan je hard disk in andermans computer. Laat de andere computer de hard disk scannen. Dan moet je wel achteraf zelf ook nog een keer scannen om alle achtergebleven registersleutels te verwijderen.

zaterdag 2 juli 2005 16:32

Acties:

EricJH

Verwijderd schreef op zaterdag 02 juli 2005 @ 16:12:
[...]

housecall heb ik gedaan maar die liep steeds op het eind vast of de verbinding viel weg na 4 uur. en spyware liep ook helaas vast. tevens kom ik nu niet meer op internet waardoor ik bij een vriend zit

Zet dan tijdelijk jouw HD in zijn systeem en laat zijn scanners jouw HD schoonvegen.

zaterdag 2 juli 2005 16:57

Acties:

Verwijderd

EricJH schreef op zaterdag 02 juli 2005 @ 16:32:
[...]

Zet dan tijdelijk jouw HD in zijn systeem en laat zijn scanners jouw HD schoonvegen.

n

klinkt als een goed idee.
alleen deze vriend weet niet hoe dat moet, en die ander die dat wel weet heeft het nogal druk met klussen in zijn nieuwe huis.

zaterdag 2 juli 2005 17:42

Acties:

EricJH

Verwijderd schreef op zaterdag 02 juli 2005 @ 16:57:
[...]

n

klinkt als een goed idee.
alleen deze vriend weet niet hoe dat moet, en die ander die dat wel weet heeft het nogal druk met klussen in zijn nieuwe huis.

Het is niet zo moeilijk.

Ieder moederbord heeft 2 IDE kanalen waar je HD's en CD/DVD spelers op aan kunt sluiten. Op ieder kanaal kunnen twee HD en/of CD/DVD spelers worden aangesloten. Op ieder kanaal heeft het ene apparaat de functie Master en de ander Slave. De tern Master wil zeggen dat de computer bij het opstarten naar beide Masters kijkt of er een Operating Systeem op staat om vanaf op te starten.

Het is nu zaak jouw harde schijf als Slave op één van beide kanalen aan te sluiten. Welk kanaal maakt niet uit. Aan de achterkant van de HD kun je door een jumper de HD als Master, Slave en bij Western Digital drives als single instellen, Vaak staat er bovenop de HD een tekening welke jumper settings bij welke instelling horen. Zoniet dan moet je dat even op de site van de fabrikant nazoeken.

Om na te gaan welke apparaten in zijn systeem Master en Slave zonder de betreffende HD's en/of CD/DVD spelers los te schroeven doe je het volgende:
Ga bij het opstarten de BIOS door op Del of F8 te drukken (het staat ook in het BIOS scherm). De info staat meestal onder Standard CMOS Features ( of iets wat hierop lijkt). Ga weer uit de BIOS met exit withoug saving.

Nu weet je genoeg om je HD aan te sluiten. Als alles goed gaat vind Windows dan je HD, installeert de drivers en moet dan opnieuw opgestart worden. Dan ben je klaar om de HD te laten scannen.

maandag 4 juli 2005 13:31

Acties:

Verwijderd

ok hier is mijn logfile van hijack. Kan iemand daar iets mee?

Logfile of HijackThis v1.99.1
Scan saved at 12:52:35, on 07/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SKDAEMON.EXE
c:\windows\system32\bmmcgo.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\microsoft hardware\dnetc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\MSASP32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\SKSMAILD.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\MSASP32.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\HelpCtr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\system32\restore\rstrui.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\dwwin.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Van Dam\Local Settings\Temp\HijackThis.exe
C:\DOCUME~1\VANDAM~1\LOCALS~1\Temp\88.tmp\THNALL~1.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O1 - Hosts: 80.69.74.15 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SuperBar - {7E745B94-AC01-4AB5-A03F-A5B6D477B20B} - C:\Program Files\SuperBar\SuperBar.Dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\pwikj.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Windows Update Files] C:\Program Files\microsoft hardware\dnetc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [JVM0.14] C:\WINDOWS\System32\pomvsgey.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [vqgmio] c:\windows\system32\bmmcgo.exe r
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
O4 - HKLM\..\Run: [SpySpotter] C:\PROGRA~1\SPYSPO~1\SpySpotter.exe -onreboot
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html
O9 - Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} - http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM32\SHDOCVW.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (HKCU)
O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll
O15 - Trusted Zone: http://groups.msn.com
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.84/users/kick/web/axe/x.chm::/update.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com.../1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/(...)ousecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.../MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/...sengersetupdownloader.cab
O16 - DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/do(...)my/yiebio5_0_2_7.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn(...)howdown.cab31267.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotte(...)potterCabInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8307C8B-3B3C-4534-91AD-E862773B2BF6}: NameServer = 69.50.176.196 195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{B40E2C53-6EBF-4FF8-9D28-80BFD9B0BCCC}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0EC358E-6DD2-411B-BD6D-02C81D9F38F7}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O20 - Winlogon Notify: style2 - C:\WINDOWS\q1071701_disk.dll
O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

maandag 4 juli 2005 14:09

Acties:

pasta

Ondertitel

Verwijderd schreef op maandag 04 juli 2005 @ 13:31:
ok hier is mijn logfile van hijack. Kan iemand daar iets mee?

Je kunt er zelf ook iets mee, door alle entries langs te gaan en door een beetje te googlen op filenames. Ik ben in een aardige bui vandaag en help je mee.

code:

1 2	Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Update XP eens, het verbaast me dat je nog niet geïnfecteerd bent met Blaster of Sasser oid.

code:

1	c:\windows\system32\bmmcgo.exe

Google biedt geen resultaten op de filename, scan het eens op Jotti's online malware scan.

code:

1	C:\Program Files\microsoft hardware\dnetc.exe

Vreemd, deze hoort normaliter niet hier te staan. Ben je zelf lid van een Distributed.Net team? Zo nee, abuse melden (in de folder staat meestal ook een dnetc.ini met team instellingen, waaronder emailadres en proxy) bij Floppus of bij distributed.net melden.

code:

1	C:\WINDOWS\System32\MSASP32.exe

Google meldt bij de eerste 2 resultaten dat het een variant van Backdoor.Win32.SDBot is, scan het voor de zekerheid eens op Jotti's online malware scan.

code:

1	C:\Program Files\Internet Explorer\iexplore.exe

Het is aan te raden om IE af te sluiten als je HijackThis gebruikt.

code:

1	C:\WINDOWS\System32\MSASP32.exe

Daar is ie weer

code:

1	C:\WINDOWS\system32\restore\rstrui.exe

Was je soms bezig met een System Restore terwijl je deze scan deed? Zo ja, dan valt deze entry te negeren, zo nee dan even scannen op Jotti's online malware scan.

code:

1	C:\DOCUME~1\VANDAM~1\LOCALS~1\Temp\88.tmp\THNALL~1.EXE

Omdat er door 8.3 filenames niet duidelijk is welk proces het is, heb ik er niet naar gezocht. Ik zou je wel willen adviseren om het even te scannen op Jotti's online malware scan

code:

1	F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

Nail.exe is hier al enkele malen voorbij gekomen. Ik zou je willen aanraden om die topics even door te nemen, alsmede de instructies op Google.

code:

1	O1 - Hosts: 80.69.74.15 auto.search.msn.com

Als ik een tracert uitvoer naar auto.search.msn.com dan kom ik op een ander IP uit (80.239.201.30). Entry kan dus weg.

code:

1	O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

Deze entry kan zonder problemen weg.

code:

1	O3 - Toolbar: SuperBar - {7E745B94-AC01-4AB5-A03F-A5B6D477B20B} - C:\Program Files\SuperBar\SuperBar.Dll (file missing)

Als het bestand nog bestaat, even scannen op Jotti's online malware scan.

code:

1	O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\pwikj.dll

En hetzelfde geldt voor dit bestand.

code:

1	O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A

Vreemd, volgens Google is dit een overblijfsel van de installatie van DirectX 6. Het zou verder geen problemen moeten opleveren als je het verwijdert.

code:

1	O4 - HKLM\..\Run: [Windows Update Files] C:\Program Files\microsoft hardware\dnetc.exe

Tenzij je deze zelf hebt geïnstalleerd (gezien de locatie en de regentry verwacht ik van niet), kan het weg.

code:

1	O4 - HKLM\..\Run: [JVM0.14] C:\WINDOWS\System32\pomvsgey.exe

Google biedt niets op de filename, scan het eens op Jotti's online malware scan.

code:

1 2	O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe O4 - HKLM\..\Run: [vqgmio] c:\windows\system32\bmmcgo.exe r

Als het blijkt dat deze 2 files malware zijn, dan mogen ze verwijderd worden.

code:

1	O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

Google wijst erop dat het met spyware te maken kan hebben. Scan het bestand eens op Jotti's online malware scan.

code:

1	O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe

Als blijkt dat MSASP32.exe malware is, deze entry verwijderen.

code:

1	O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"

Het is niet echt nodig om dit proces tijdens opstarten al te laten draaien. Verwijderen als je het wilt dus.

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

code:

1	O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe

4x is scheepsrecht?

code:

1	O9 - Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} - http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing)

Lijkt mij heel erg naar spyware te neigen, verwijder het maar.

code:

1
2

O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (HKCU)

Goh, ironisch genoeg geeft Google bij het eerste resultaat al aan dat het malware is. Scan het voor de zekerheid nog maar op Jotti's online malware scan

code:

1	O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

Potentiële exploit, valt aan te raden om te fixen.

code:

1	O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.84/users/kick/web/axe/x.chm::/update.exe

En hier heb je de reden waarom je het moet fixen.

code:

1	O16 - DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll

Dit lijkt wel heel erg op een dialer. Fixen dus.

code:

O17 - HKLM\System\CCS\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8307C8B-3B3C-4534-91AD-E862773B2BF6}: NameServer = 69.50.176.196 195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{B40E2C53-6EBF-4FF8-9D28-80BFD9B0BCCC}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0EC358E-6DD2-411B-BD6D-02C81D9F38F7}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DE0911A-986D-466B-84F6-45AFBC41E601}: NameServer = 69.50.176.196,195.225.176.110

Als ik de IP-adressen laat tracen, dan komen ze in beide gevallen uit op een Amerikaans domein. Tenzij je in Amerika zit, lijkt me dit niet echt de bedoeling.

code:

1	O20 - Winlogon Notify: style2 - C:\WINDOWS\q1071701_disk.dll

Google biedt niets op de filename, scannen kan op Jotti's online malware scan.

code:

1	O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Google geeft bij de eerste link aan dat het malware is (Trojan.Win32.Stervis.b). Scan het bestand eens op Jotti's online malware scan voor de zekerheid.

Dit is nogal een lijst. Misschien moet je er eens aan denken om over te stappen naar een andere virusscanner, icm met een up-to-date Windows XP en een goede firewall.

Ook zou ik je willen aanraden om de volgende keer wat meer moeite te doen. Je kwakt hier nu zomaar je log neer met de vraag wie het kan oplossen. Zo werkt het hier normaal niet. Zie ook Beveiliging en Virussen - Nieuw topic starten en Beveiliging en Virussen - Policy.

Signature

maandag 4 juli 2005 14:33

Acties:

Verwijderd

Hey heel erg bedankt in ieder geval.
Op zich zou ik het zelf ook wel willen uitzoeken maar ik heb er echt geen verstand van. En het is zeker geen laksheid omdat ik al 4 dagen bezig ben op de pc om het proberen te herstellen.
En ik kan ook niet alles scannen en opzoeken omdat mijn internet het dus niet zo goed doet.

maandag 4 juli 2005 14:33

Acties:

EricJH

Ik gebruik vaak www.hijackthis.de om een eerste schifiting te maken tussen de "goeden" en de portentieel "slechten".

maandag 4 juli 2005 14:35

Acties:

Verwijderd

Als ik al die dingen die jij net hebt gepost laat fixen en verwijderen. Is de kans dan groot dat ik overval vanaf ben en dat de pc het weer normaal doet?
Ik denk dat ik gewoon die dingen die jij hebt gepost laat fixen, en god zege de greep.

maandag 4 juli 2005 15:54

Acties:

Verwijderd

Ik had ook problemen en heb gewoon alles leeggemaakt met hijackthis, nu staat er helemaal niks in mn log en helemaal geen problemen meer.

maandag 4 juli 2005 16:05

Acties:

EricJH

Verwijderd schreef op maandag 04 juli 2005 @ 14:35:
Als ik al die dingen die jij net hebt gepost laat fixen en verwijderen. Is de kans dan groot dat ik overval vanaf ben en dat de pc het weer normaal doet?
Ik denk dat ik gewoon die dingen die jij hebt gepost laat fixen, en god zege de greep.

Als je boek fixt scan dan met de eerder door mij genoemde scanners je computer nog eens grondig. Dan ben je hoogstwaarschijnlijk weer helemaal schoon. (Helaas moet je een paar antispyware scanners naaste elkaar gebruiken daar ze niet allemaal dezelfde dingen vinden).

En update je Windows, zoals Pasta al aangeeft naar Service Pack 2 en de updates die daarna komen. Dan ben je een stuk beter beveiligd. Overweeg ook een andere browser te gebruiken. Denk aan Opera of Firefox.

Bescherm Internet Explorer met Spywareblaster en Spyware Blocklist. Die voeden blacklists aan Internet Explorer met te blokkeren spyware.

Verwijderd schreef op maandag 04 juli 2005 @ 15:54:
Ik had ook problemen en heb gewoon alles leeggemaakt met hijackthis, nu staat er helemaal niks in mn log en helemaal geen problemen meer.

Helemaal niks meer of geen malware meer? Als er helemaal niets meer in de log staat werkt volgens mij Windows niet echt meer omdat je dan diverse Windows processen genekt hebt.....

[ Voor 17% gewijzigd door EricJH op 04-07-2005 16:07 ]

maandag 4 juli 2005 16:29

Acties:

Verwijderd

Lees dit eens door. http://www.viruslist.com/en/weblog?weblogid=166508324

Some important factors: dedicated anti-spyware solutions can't detect or disinfect infected files, the system is still (partly) infected even after such solutions have been run. Therefore Windows(explorer.exe) may not start properly.

Kan in sommige gevallen zelfs al zo zijn als de malware nog niet verwijderd is, brakke infectionroutine.