Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[98 se] hijackthis file

Pagina: 1
Acties:

zondag 24 juli 2005 14:30

Acties:

Verwijderd

Topicstarter
Toen ik deze morgen opstond bleek broerlief op wat xxx sites gesurfd te hebben met ie.
Met als resultaat dat - er blijkbaar een of andere gold virusscanner en ps spyware op pc geinstalleerd werden - de homepage van internet explorer veranderd werd (niet blank maar zo leuke info van dit kunnen we allemaal bij u zien): http://tricke.freeserverhost.net/hijack this.jpg
- de achtergrond van de desktop veranderd
- aantal icoontjes bij in de taskbar
- in msconfig ook nieuwe items die starten

Dit heb ik ondertussen allemaal gedaan:
- de uninstaller gebruikt die meekwam met de spyware( die zogezegde virusscanners)
- in regedit: bij windows run-> verdachte (lees nieuwe): regels gedelete
bij internet explorer -> de homepage teruggezet maar die blijft terugkomen
- xoftspy gedownload en laten lopen: die vond 50 verdachte regels
- de file intell32 gedelete die stond onder windows system
- nu een file met hijack this gemaakt.:

Logfile of HijackThis v1.99.1
Scan saved at 11:45:49, on 24-jul-05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\DMI\WIN32\BIN\WIN32SL.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\DMI\WIN32\BIN\DMIWDOG.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\DMI\WIN32\BIN\HPCOMPC.EXE
C:\PROGRAM FILES\MOUSEWAREPRO\MWPROENG.EXE
C:\DMI\WIN32\BIN\CLIIP32.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\DMI\WIN32\BIN\HPALERT.EXE
C:\DMI\WIN32\BIN\HPTRAYICON.EXE
C:\PROGRAM FILES\CD-WRITER PLUS\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\POPROXY.EXE
C:\PROGRAM FILES\ANI\ANIWZCS2 SERVICE\WZCSLDR2.EXE
C:\PROGRAM FILES\D-LINK\AIRPLUS G\AIRGCFG.EXE
C:\PROGRAM FILES\TELEMETER 3.0\TELEMETER3.EXE
C:\WINDOWS\SYSTEM32\SVCNT.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
C:\GAMES\NEORAGE X\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocsv.dll/API32.htm#ID=347;065D
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocsv.dll/asst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = and now something completely different
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.telenet.be:8080
R3 - Default URLSearchHook is missing
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: (no name) - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file)
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [MWProEng] C:\PROGRAM FILES\MOUSEWAREPRO\MWProEng.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [HP Tray Icon] C:\DMI\Win32\Bin\HPTrayIcon.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\CD-WRI~1\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Norton eMail Protect] C:\PROGRAM FILES\NORTON ANTIVIRUS\POProxy.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] c:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [Telemeter 3.0] "C:\Program Files\Telemeter 3.0\telemeter3.exe"
O4 - HKLM\..\Run: [Fast Start] C:\WINDOWS\system32\svcnt.exe home
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [HPLAUNCH] C:\DMI\Win32\Bin\HPLaunch.exe -init
O4 - HKLM\..\RunOnce: [Setup] "C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\RBBM6M6V\FUJITSUNETCOBOL70[1].EXE" /k /l1033 /t"C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\RBBM6M6V" /e"c:\windows\TEMP\_is1394" /w /v" SETUPEXEDIR=C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\RBBM6M6V" /c
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab28578.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.../MineSweeper.cab28578.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v5.cab
O16 - DPF: Dexia netbanking - http://netbanking.dexia.b...ared/Applet//DexiaIIA.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn...tatsPAClient.cab31267.cab
O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://messenger.zone.msn.com/binary/ZAxRcMgr.cab
O16 - DPF: {665585FD-2068-4C5E-A6D3-53AC3270ECD4} (FileSharingCtrl Class) - http://appdirectory.messe...ng/en/filesharingctrl.cab
O16 - DPF: {11010101-1001-1111-1000-110112345678} - mk:@mSItSTORE:Mhtml:FiLE://C:\html.mHT!http://205.177.122.27/docs/xxx/html.chm::/html.exe
O21 - SSODL: OLE Module - {0656A137-B161-CADD-9777-E37A75727E78} - (no file)

zondag 24 juli 2005 14:50

Acties:
  • Sassie
  • Registratie: November 1999
  • Laatst online: 13:07

Sassie

Je zou eerst even kunnen proberen om de boel nog wat meer op te schonen.
Draai AdAware, Spybot S&D eens in de veilige modus (en evt ook Spyware Doctor). En doe dan meteen ook eens een scan met je virusscanner (of een online virusscanner zoals Trendmicro's Housecall) en gooi al je tijdelijke bestanden en tijdelijke internetbestanden leeg.
(het is jammer dat het om Win 98 gaat want anders had ik je hitmanpro en ms antipsyware aan kunnen raden)

Als je dat gedaan hebt zien we wel verder. Wat je nu ook al wel kunt doen is bijvoorbeeld zoeken op GoT en mbv google of er al niet meer mensen met hetzelfde probleem zitten en misschien al een oplossing hebben.

[ Voor 26% gewijzigd door Sassie op 24-07-2005 15:21 ]

zondag 24 juli 2005 20:07

Acties:

Verwijderd

Topicstarter
Sassie schreef op zondag 24 juli 2005 @ 14:50:
Je zou eerst even kunnen proberen om de boel nog wat meer op te schonen.
Draai AdAware, Spybot S&D eens in de veilige modus (en evt ook Spyware Doctor). En doe dan meteen ook eens een scan met je virusscanner (of een online virusscanner zoals Trendmicro's Housecall) en gooi al je tijdelijke bestanden en tijdelijke internetbestanden leeg.
(het is jammer dat het om Win 98 gaat want anders had ik je hitmanpro en ms antipsyware aan kunnen raden)

Als je dat gedaan hebt zien we wel verder. Wat je nu ook al wel kunt doen is bijvoorbeeld zoeken op GoT en mbv google of er al niet meer mensen met hetzelfde probleem zitten en misschien al een oplossing hebben.
Ondertussen het volgende ondernomen:
-> scan met online panda -> vond 20 tal verdachte bestanden
-> smitRem geinstalleerd
-> adaware geinstalleerd
-> in veilige modus opgestart en bij hijackthis alle verdachte bestanden gedelete
dan smitrem en adaware laten lopen
-> daarna antivir geinstalleerd.


hijackthis geeft nu het volgende:

Logfile of HijackThis v1.99.1
Scan saved at 19:45:37, on 24-jul-05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\DMI\WIN32\BIN\WIN32SL.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\DMI\WIN32\BIN\DMIWDOG.EXE
C:\DMI\WIN32\BIN\HPCOMPC.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\DMI\WIN32\BIN\CLIIP32.EXE
C:\DMI\WIN32\BIN\HPALERT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\MOUSEWAREPRO\MWPROENG.EXE
C:\DMI\WIN32\BIN\HPTRAYICON.EXE
C:\PROGRAM FILES\CD-WRITER PLUS\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\ANI\ANIWZCS2 SERVICE\WZCSLDR2.EXE
C:\PROGRAM FILES\D-LINK\AIRPLUS G\AIRGCFG.EXE
C:\PROGRAM FILES\TELEMETER 3.0\TELEMETER3.EXE
C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAM FILES\MESSENGER PLUS! 3\MSGPLUS.EXE
C:\GAMES\NEORAGE X\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = and now something completely different
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.telenet.be:8080
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [MWProEng] C:\PROGRAM FILES\MOUSEWAREPRO\MWProEng.exe
O4 - HKLM\..\Run: [HP Tray Icon] C:\DMI\Win32\Bin\HPTrayIcon.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\CD-WRI~1\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] c:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [Telemeter 3.0] "C:\Program Files\Telemeter 3.0\telemeter3.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [HPLAUNCH] C:\DMI\Win32\Bin\HPLaunch.exe -init
O4 - HKLM\..\RunOnce: [Setup] "C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\RBBM6M6V\FUJITSUNETCOBOL70[1].EXE" /k /l1033 /t"C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\RBBM6M6V" /e"c:\windows\TEMP\_is1394" /w /v" SETUPEXEDIR=C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\RBBM6M6V" /c
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab28578.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.../MineSweeper.cab28578.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v5.cab
O16 - DPF: Dexia netbanking - http://netbanking.dexia.b...ared/Applet//DexiaIIA.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn...tatsPAClient.cab31267.cab
O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://messenger.zone.msn.com/binary/ZAxRcMgr.cab
O16 - DPF: {665585FD-2068-4C5E-A6D3-53AC3270ECD4} (FileSharingCtrl Class) - http://appdirectory.messe...ng/en/filesharingctrl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

[ Voor 4% gewijzigd door Verwijderd op 24-07-2005 20:09 ]

zondag 24 juli 2005 21:13

Acties:
  • Sassie
  • Registratie: November 1999
  • Laatst online: 13:07

Sassie

Dit vind ik nogal verdacht:
code:
1

O4 - HKLM\..\RunOnce: [Setup] "C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\RBBM6M6V\FUJITSUNETCOBOL70[1].EXE" /k /l1033 /t"C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\RBBM6M6V" /e"c:\windows\TEMP\_is1394" /w /v" SETUPEXEDIR=C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\RBBM6M6V" /c

Download CCleaner ff en ruim daarmee ff oa je tijdelijke internetbestanden op.

Voor de rest ziet je log er redelijk schoon uit. Wat zijn je problemen nu nog dan?

zondag 24 juli 2005 21:23

Acties:

Verwijderd

Topicstarter
Sassie schreef op zondag 24 juli 2005 @ 21:13:
Dit vind ik nogal verdacht:
code:
1

O4 - HKLM\..\RunOnce: [Setup] "C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\RBBM6M6V\FUJITSUNETCOBOL70[1].EXE" /k /l1033 /t"C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\RBBM6M6V" /e"c:\windows\TEMP\_is1394" /w /v" SETUPEXEDIR=C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\RBBM6M6V" /c

Download CCleaner ff en ruim daarmee ff oa je tijdelijke internetbestanden op.

Voor de rest ziet je log er redelijk schoon uit. Wat zijn je problemen nu nog dan?
Diene regel kwam bij het installeren van een belastingprogramma.(geschreven in cobol)
smitRem deed ongeveer hetzelfde geloof ik (ook tijdelijke bestanden leegmaken,..).
Op het eerste zicht doet ie het terug prima.
Wat mij betreft mag er een slotje op.
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq