vreemde berichten

• 

  nel

  09-11-2005 22:06

  hoi hoi

  ik krijg vreemde berichten in me scherm, en een waarschuwing van windows dat ik naar een bepaalde website moet gaan, maar dat is hel raar, want op die website word gevraagt om geld over te maken! ik geloof er dus niks van en denk dat ik een virus heb. ik heb alles gedaan uit de rode link, en hier is me logje, alvast hartstikke bedankt voor het nakijken, groetjes nel

  Logfile of HijackThis v1.99.1

  Scan saved at 21:54:01, on 9-11-2005

  Platform: Windows XP SP1 (WinNT 5.01.2600)

  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

  Running processes:

  C:\WINDOWS\System32\smss.exe

  C:\WINDOWS\system32\winlogon.exe

  C:\WINDOWS\system32\services.exe

  C:\WINDOWS\system32\lsass.exe

  C:\WINDOWS\System32\Ati2evxx.exe

  C:\WINDOWS\system32\svchost.exe

  C:\WINDOWS\System32\svchost.exe

  C:\WINDOWS\system32\spoolsv.exe

  C:\WINDOWS\system32\Ati2evxx.exe

  C:\WINDOWS\Explorer.EXE

  C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

  C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

  C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe

  C:\Program Files\Lexmark 5200 series\lxbtbmgr.exe

  C:\Program Files\Lexmark 5200 series\lxbtbmon.exe

  C:\WINDOWS\System32\security.exe

  C:\WINDOWS\System32\ctfmon.exe

  C:\Program Files\MSN Messenger\MsnMsgr.Exe

  C:\PROGRA~1\Grisoft\AVG6\avgserv.exe

  C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

  C:\WINDOWS\System32\svchost.exe

  C:\Program Files\Internet Explorer\iexplore.exe

  C:\WINDOWS\System32\rsvp.exe

  C:\Documents and Settings\USER\Local Settings\Temporary Internet Files\Content.IE5\YLQBU3MB\hijackthis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/

  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

  O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

  O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

  O4 - HKLM\..\Run: C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

  O4 - HKLM\..\Run: C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

  O4 - HKLM\..\Run: C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP

  O4 - HKLM\..\Run: “C:\Program Files\Lexmark 5200 series\lxbtbmgr.exe”

  O4 - HKLM\..\Run: rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16

  O4 - HKLM\..\Run: “C:\Program Files\Lexmark Fax Solutions\fm3032.exe” /s

  O4 - HKLM\..\Run: C:\WINDOWS\system32\NeroCheck.exe

  O4 - HKLM\..\Run: security.exe

  O4 - HKLM\..\RunServices: security.exe

  O4 - HKCU\..\Run: C:\WINDOWS\System32\ctfmon.exe

  O4 - HKCU\..\Run: “C:\Program Files\MSN Messenger\MsnMsgr.Exe” /background

  O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

  O8 - Extra context menu item: &Google Zoeken - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

  O8 - Extra context menu item: &Woord vertalen in het Nederlands - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

  O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

  O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

  O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

  O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

  O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by110fd.bay110.hotmail.msn.com/resources/MsnPUpld.cab

  O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129324531640

  O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129324511203

  O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

  O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by110fd.bay110.hotmail.msn.com/activex/HMAtchmt.ocx

  O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)

  O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

  O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

  O23 - Service: AVG6 Service (AvgServ) - GRISOFT s.r.o - C:\PROGRA~1\Grisoft\AVG6\avgserv.exe

  O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbtcoms.exe

  O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

  Rapporteren
• 

  nel

  09-11-2005 22:57

  ik heb ook nog een scan gedaan met microtrend, en dan komt deze WORM_RBOT.COH tevoorschijn, maar hij kan m niet verwijderen omdat t programma in werking is.

  Rapporteren
• 

  nel

  09-11-2005 23:06

  nog even een vraagje, als ik na het opnieuw opstarten de f8 knop ingedrukt houd om in de veilige modus te komen, lukt dit niet, is er mischien nog een andere manier om in de veilige modus te komen? groetjes nel.

  Rapporteren
• 

  Piet

  09-11-2005 23:10

  http://www.virushelp.nl/partners/veilig/

  Rapporteren
• 

  nel

  09-11-2005 23:18

  ik kan daar niks vinden over een alternatieve manier om in de veilige modus te komen, piet? groetjes nel

  Rapporteren
• 

  Piet

  09-11-2005 23:27

  Sorry verkeerde link

  Rapporteren
• 

  lucas

  09-11-2005 23:28

  Moment ik kijk even voor je

  Rapporteren
• 

  nel

  09-11-2005 23:42

  het liefst met netwerkmogenlijkheden… ik wil niet zeuren hoor.

  Rapporteren
• 

  lucas

  10-11-2005 00:17

  Hoi Nel,

  Je hebt last van de worm W32.HLLW.Lavits. Ik adviseer je om je e-mail even uit te doen. Tot het moment dat de infectie verwijderd is

  http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.lavits.html

  1. Zet Hijack in een eigen gecreerde map bijvoorbeeld C:\Hijack. Je hebt Hijack nu in een tijdelijke (temp) map staan. Zo kunnen je backups verloren gaan.

  2. Zet in configuratiescherm-mapoptie's eerst een vinkje bij “verborgen bestanden en mappen weergeven” en haal het vinkje weg bij “extensie's voor bekende bestandstypen verbergen”,klik op toepassen en ok

  3. Start op veilige modus uitleg

  4. Start alléén hijack,vink alleen de onderstaande regels aan en klik op “fix checked”

  O4 - HKLM\..\Run: security.exe

  O4 - HKLM\..\RunServices: security.exe

  5. Leeg (N.B. leegmaken, dus niet verwijderen) onderstaande mappen voor elke gebruiker:

  C:\Documents and Settings\\Local Settings\Temp <=== deze map!

  C:\Documents and Settings\\Local Settings\Temporary Internet Files <=== deze map!

  C:\Documents and Settings\\Local Settings\Temporary Internet Files\content.ie5 <= als deze map niet wordt weergegeven, ga dan naar de map temporary internet files en type er \content.ie5 achter in de adresbalk en klik enter.

  C:\Windows\Temp <=== deze map!

  6. Doe de volgende online scans.

  www.pandasoftware.com/products/activescan/com/activescan_principal.htm

  www.kaspersky.com/virusscanner

  7. Als je niet achter een router zit adviseer ik je een firewall te installeren.

  8. Verder adviseer ik je SP2 te installeren

  Geef aan hoe het met je problemen is

  Lucas

  Rapporteren
• 

  pablo

  10-11-2005 16:39

  laat dit bestand ook even verwijderen in veilige modus

  C:\WINDOWS\System32\security.exe

  paul

  Rapporteren