antivirus.startpagina.nl

Keylogger

  • Anonymous avatar

    Marcare Corona

    Hallo ik krijg nu ineens een bericht van zonealarm of een programma mijn toetsaanslagen en mijn muisklikken mag vastleggen. Dat heb ik natuurlijk geweigerd, en gelijk gescand met ad-aware, spybot s&d, norton anti virus 2005 in de veilige modus (allemaal de recentste versies en volledig up to date) Ze hebben allemaal niks gevonden. Vandaar dat ik dit logje plaats. Kan iemand me vertellen of er iets verdachts tussen zit. Alvast bedankt voor de tijd en moeite.

    Logfile of HijackThis v1.99.1

    Scan saved at 12:54:09, on 20-10-2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\Explorer.EXE

    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

    C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

    C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Program Files\Common Files\LightScribe\LSSrvc.exe

    C:\Program Files\Norton AntiVirus\navapsvc.exe

    C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

    C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

    C:\windows\system\hpsysdrv.exe

    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

    C:\HP\KBD\KBD.EXE

    C:\WINDOWS\ALCXMNTR.EXE

    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

    C:\Program Files\Common Files\Symantec Shared\ccApp.exe

    C:\Program Files\Azureus\Azureus.exe

    C:\Program Files\Java\jre1.5.0_05\bin\javaw.exe

    C:\Program Files\Windows Media Player\wmplayer.exe

    C:\WINDOWS\system32\svchost.exe

    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

    K:\hijackthis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.nld.chello.nl/ssi/welcome/welcome.php?url=search

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.nld.chello.nl/ssi/welcome/welcome.php?url=home&src=ie

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door chello broadband n.v.

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.arnhem.chello.nl:8080

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

    O4 - HKLM\..\Run: C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

    O4 - HKLM\..\Run: c:\windows\system\hpsysdrv.exe

    O4 - HKLM\..\Run: C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

    O4 - HKLM\..\Run: C:\HP\KBD\KBD.EXE

    O4 - HKLM\..\Run: C:\WINDOWS\SMINST\RECGUARD.EXE

    O4 - HKLM\..\Run: ALCXMNTR.EXE

    O4 - HKLM\..\Run: C:\WINDOWS\system32\ps2.exe

    O4 - HKLM\..\Run: c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

    O4 - HKLM\..\Run: “C:\Windows\Creator\Remind_XP.exe”

    O4 - HKLM\..\Run: C:\Program Files\chello\ChelloDesktop.exe

    O4 - HKLM\..\Run: C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

    O4 - HKLM\..\Run: C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

    O4 - HKLM\..\Run: “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”

    O4 - HKLM\..\Run: “C:\Program Files\Norton AntiVirus\CfgWiz.exe” /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE “REBOOT”

    O4 - HKCU\..\Run: “C:\Program Files\Messenger\msmsgs.exe” /background

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

    O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

    O9 - Extra button: Verbindingshelp - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

    O9 - Extra ‘Tools’ menuitem: Verbindingshelp - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O14 - IERESET.INF: START_PAGE_URL=http://home.nld.chello.nl/ssi/welcome/welcome.php?url=home&src=ie

    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

    O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

  • Anonymous avatar

    Erik

    Heb je ook de naam van het bewuste programma :? of de exacte melding van ZA.

    Even iets anders:

    Heb je al recovery cd's gemaakt van je systeem :? Dat is wel zo handig.

    Start -> PC Help & Tools -> Recovery CD Creator

  • Anonymous avatar

    Marcare Corona

    Toen ik de melding van zonealarm zag en iets las over een keylogger heb ik gelijk op nee gedrukt zonder eerst naar de naam van het programma te bekijken.

    En nee ik heb nog geen recovery cd's gemaakt, want ik heb dit systeem net een dag en ben hem nog helemaal aan het inrichten en aanpassen.

  • Anonymous avatar

    Erik

    OK,

    Ik denk dat het met die keylogger dan ook wel mee zal vallen, Je logje is iig schoon :-)

    Ik gebruik zelf geen ZA maar vermoed dat de melding wel in een logje terug te vinden is. Kijk eens in ZA of je dat kan vinden. Mischien weet iemand anders hier waar het precies staat.

  • Anonymous avatar

    Erik

    Ik vermoed dat het deze entry is, is de realtek “Audio monitor” is totaal ongevaarlijk maar verzameld wel bepaalde informatie.

    http://www.sysinfo.org/startuplist.php?filter=ALCXMNTR.EXE

    Vink in HJT alleen deze regel aan klik op fix checked:

    O4 - HKLM\..\Run: ALCXMNTR.EXE

    Als het goed is ben je nu van die melding af.

  • Anonymous avatar

    Marcare Corona

    Bedankt voor de info, ik ga het gelijk doen.