Goed gepoetst en gesopt ,nu spik en span ?

• 

  Erik

  09-11-2005 19:59

  Beste Prikborders,

  Hier een logfile van laptop die ik goed heb geschoont van een worm

  Maar ik alles goed aangepakt ?

  Alvast bedankt voor jullie moeite !

  Erik

  Logfile of HijackThis v1.99.1

  Scan saved at 19:48:50, on 9-11-2005

  Platform: Windows XP SP2 (WinNT 5.01.2600)

  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

  Running processes:

  C:\WINDOWS\System32\smss.exe

  C:\WINDOWS\system32\winlogon.exe

  C:\WINDOWS\system32\services.exe

  C:\WINDOWS\system32\lsass.exe

  C:\WINDOWS\system32\svchost.exe

  C:\WINDOWS\System32\svchost.exe

  C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

  C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

  C:\WINDOWS\system32\spoolsv.exe

  C:\WINDOWS\System32\Ati2evxx.exe

  C:\WINDOWS\system32\HPConfig.exe

  C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

  C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe

  C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE

  C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

  C:\WINDOWS\Explorer.EXE

  C:\WINDOWS\System32\svchost.exe

  C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

  C:\WINDOWS\System32\MsPMSPSv.exe

  C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

  C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

  C:\Program Files\HPQ\One-Touch\OneTouch.EXE

  C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

  C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

  C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

  C:\WINDOWS\System32\hphmon05.exe

  C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

  C:\WINDOWS\system32\carpserv.exe

  C:\Program Files\Common Files\Symantec Shared\ccApp.exe

  C:\WINDOWS\system32\ctfmon.exe

  C:\Program Files\Messenger\msmsgs.exe

  C:\Documents and Settings\Ton de Jong\Mijn documenten\software\hijackthis\hijackthis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qnl8l.hpwis.com

  R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.zonnet.nl/

  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

  O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

  O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

  O4 - HKLM\..\Run: Ati2mdxx.exe

  O4 - HKLM\..\Run: C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

  O4 - HKLM\..\Run: C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s

  O4 - HKLM\..\Run: C:\Program Files\HPQ\One-Touch\OneTouch.EXE

  O4 - HKLM\..\Run: C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

  O4 - HKLM\..\Run: C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

  O4 - HKLM\..\Run: c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

  O4 - HKLM\..\Run: “c:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe”

  O4 - HKLM\..\Run: C:\WINDOWS\System32\hphmon05.exe

  O4 - HKLM\..\Run: “C:\Program Files\Common Files\Roxio Shared\System\EngUtil.exe”

  O4 - HKLM\..\Run: “C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe”

  O4 - HKLM\..\Run: C:\Program Files\HPQ\Default Settings\cpqset.exe

  O4 - HKLM\..\Run: carpserv.exe

  O4 - HKLM\..\Run: “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”

  O4 - HKLM\..\Run: C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

  O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe

  O4 - HKCU\..\Run: “C:\Program Files\Messenger\msmsgs.exe” /background

  O4 - HKCU\..\Run: winmanagers.exe

  O4 - HKCU\..\Run: winsys32.exe

  O4 - HKCU\..\Run: ebolagmrrrxr.exe

  O4 - HKCU\..\Run: lsass2.exe

  O4 - HKCU\..\Run: svmhost.exe

  O4 - HKCU\..\Run: MSAOL32.exe

  O4 - HKCU\..\Run: winxs.exe

  O4 - HKCU\..\Run: MSASP32.exe

  O4 - HKCU\..\RunServices: ebolagmrrrxr.exe

  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll

  O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll

  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

  O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

  O14 - IERESET.INF: START_PAGE_URL=http://qnl8l.hpwis.com

  O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

  O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

  O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

  O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

  O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

  O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe

  O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

  O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe

  O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE

  O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

  O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

  O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

  O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE

  O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

  O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

  Rapporteren
• 

  Avondsmurf

  09-11-2005 20:49

  Watmij betreftis spik en span al langs geweest……. Smurfie

  Rapporteren
• 

  Erik

  09-11-2005 21:08

  Dank je wel Grote anti virus Smurf !!!

  Rapporteren
• 

  MANONNA

  09-11-2005 21:33

  Wat?

  Log schoon?

  Eg nie

  svmhost.exe

  verder kijk ik niet eens.

  Nu ben ik geen expert.maar dit is dan toch een Forbot worm.

  Rapporteren
• 

  dany

  09-11-2005 21:38

  http://www.nu.nl/news/622892/50/Website_smurfen_mag_niet_meer.html

  Daar ga je smurffie

  Rapporteren
• 

  dirk

  09-11-2005 22:00

  Onze smirf heet avondsmurf en geen smirf. ( i = u )

  Rapporteren
• 

  huib

  09-11-2005 22:14

  Je schreef:

  >>>Wat?

  Log schoon?

  Eg nie

  svmhost.exe

  verder kijk ik niet eens.<<<

  Staat nog veel meer in:(

  winmanagers.exe

  winsys32.exe

  ebolagmrrrxr.exe

  lsass2.exe

  en nog meer

  Tis voor mij te lang geleden dat ik een fix geplaats heb:( dus laat ik het over aan de experts;)

  Huib:)

  Rapporteren
• 

  pablo

  09-11-2005 22:36

  hoi huib,

  er is niets actief zo te zien

  dus je kan gewoon een eenvoudige fix plaatsen

  paul

  Rapporteren
• 

  huib

  09-11-2005 23:01

  Hoi Erik,

  Wacht op de goedkeuring van een expert voordat je de fix uitvoert!!!

  1. Zet in configuratiescherm-mapoptie's eerst een vinkje bij “verborgen bestanden en mappen weergeven” en haal het vinkje weg bij “extensie's voor bekende bestandstypen verbergen”,klik op toepassen en ok

  De rest van de fix is in veilige modus,dus dan kan je hier niet meer spieken,ik raad je aan om dit even uit te printen of op te slaan in een kladblok bestandje

  2. Start op veilige modus ( door opnieuw op te starten en tijdens de opstart regelmatig op F8 drukken).

  3. Start alléén hijack,vink alleen de onderstaande regels aan en klik op “fix checked”

  O4 - HKCU\..\Run: winmanagers.exe

  O4 - HKCU\..\Run: winsys32.exe

  O4 - HKCU\..\Run: ebolagmrrrxr.exe

  O4 - HKCU\..\Run: lsass2.exe

  O4 - HKCU\..\Run: svmhost.exe

  O4 - HKCU\..\Run: MSAOL32.exe

  O4 - HKCU\..\Run: winxs.exe

  O4 - HKCU\..\Run: MSASP32.exe

  O4 - HKCU\..\RunServices: ebolagmrrrxr.exe

  4. Leeg (N.B. leegmaken, dus niet verwijderen) onderstaande mappen voor elke gebruiker:

  C:\Documents and Settings\\Local Settings\Temp <=== deze map!

  C:\Documents and Settings\\Local Settings\Temporary Internet Files <=== deze map!

  C:\Documents and Settings\\Local Settings\Temporary Internet Files\content.ie5 <= als deze map niet wordt weergegeven, ga dan naar de map temporary internet files en type er \content.ie5 achter in de adresbalk en klik enter.

  C:\Windows\Temp <=== deze map!

  5. Start je computer opnieuw op en plaats een nieuw logje;)

  6. doe ook nog ff een online scan bij:

  http://housecall.trendmicro.com/

  Succes,

  Huib:)

  Rapporteren
• 

  Erik

  09-11-2005 23:18

  Allemaal bedankt voor de jullie moeite

  Zal nog even afwachten op andere reactie

  Erik

  Rapporteren