virus

roy

14-11-2005 22:00

Hoi,
ik had een virus trojan hrse dialer 23.ax
maar nu niet meer zegt avg
toch krijg ik steeds rare opstartpagina's
mijn engels is nog niet zo goed
maar dit is een voorbeeld
Detected SPYware! System error #384
__________________________________________________________________________
Your IP address is (hier staat t nr). Using this address a remote computer has gained anaccess to your computer and probably is collecting the information about the sites you've visited and the files contained in the folder Temporary Internet Files. Attention! Ask for help or install the software for deleting secret information about the sites you visited.
__________________________________________________________________________
Your computer is full of evidences!
ISP of transmission: CHELLO
Your IP address:
They know you're using: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; {6BB0AA78-7E94-D4B5-EA32-0C98F6F9956A})
Your computer is: Windows 98
Risk status for further investigation: VERY HIGH RISK
To protect from the Spyware - click here
To prevent information transmission - click here
To delete the history of your activity, click here
en rechts onder staan rode kruisjes die om de paar sec zeggen: yur comp is infected etc.
Maar hij is zo traag dat ik bijna niets kan doen
ik begon met online scannen met trend micro
Dat vind ik een goeie online scanner maar die loopt de hele nacht en is dan nog niet klaar
heel raar
ik zal ook een log file sturen en ben erg blij als u me opweg kan helpen.
Logfile of HijackThis v1.99.1
Scan saved at 21:58:55, on 14-11-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\paytime.exe
C:\Program Files\Java\jre1.5.0_02\bin\jucheck.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\tool2.exe
C:\winstall.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\Documents and Settings\roy\Bureaublad\opruimmap\hijackthis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AzEntretien Class - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - %SystemRoot%\azentretien.dll (file missing)
O4 - HKLM\..\Run: “C:\Program Files\MessengerPlus! 3\MsgPlus.exe”
O4 - HKLM\..\Run: C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM\..\Run: C:\PROGRA~1\VBouncer\VirtualBouncer.exe
O4 - HKLM\..\Run: C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU\..\Run: “C:\Program Files\Logitech\Video\ManifestEngine.exe” boot
O4 - HKCU\..\Run: “C:\Program Files\MessengerPlus! 3\MsgPlus.exe” /WinStart
O4 - HKCU\..\Run: “C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe”
O4 - HKCU\..\Run: C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: C:\winstall.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Zoeken - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Woord vertalen in het Nederlands - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120562715905
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4608/mcfscan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O21 - SSODL: SysTray.Exys - {7368D5FC-6F5C-4f5b-B964-E67214F67852} - C:\WINDOWS\System32\phgmigec.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cm95\command.exe (file missing)
de bovenste secure heb ik al proberen te fixen maar ze komen ook steeds terug
ook heb ik de secure al weggedaan maar ook dat werkt niet
lucas

14-11-2005 22:04

Waarom heb jij je windows niet up to date
Lucas
lucas

14-11-2005 22:18

Nou Roy ben je nog wakker ?
Doe eerst dit maar even
http://www.prikpagina.nl/read.php?f=123&i=154389&t=154372
Haal je updates op en plaats hier het Ewido logje + een Hijack logje.
Lucas
roy

14-11-2005 23:18

oke ik ben aan het scannen maar alles gaat vrij sloom
hij geeft ook een fout bij IE explorer
Avondsmurf

14-11-2005 23:34

Heb je nu eerst die Windows Updates gehaald………….. die zijn verschrikkelijk belangrijk………….. Smurfie
roy

15-11-2005 00:18

Ik heb servicepack 2 niet ik weet niet of mijn comp daar niet te oud voor is
maar misschien doe ik t morgen toch
Ik ga zometeen nog even updaten
nu moet ik m eerst weer goed proberen te krijgen
als ik teveel doe loopt ie vast.
zo te zien nogal wat rotzooi en virussen
Ik denk door het downloaden van een crack of zoiets.
ewido-log
———————————————————
ewido security suite - Scan rapport
———————————————————
+ Gemaakt op: 0:16:18, 15-11-2005
+ Rapport samenvatting: A79DA3F1
+ Scan resultaten:
HKLM\SOFTWARE\KMiNT21 -> Spyware.DesktopSpyAgent : Schoongemaakt met een backup
c:\program files\common files\microsoft shared\web folders\ibm00006.dll -> TrojanSpy.Small.dg : Schoongemaakt met een backup
c:\program files\common files\microsoft shared\web folders\ibm00006.dll -> TrojanSpy.Small.dg : Fout gedurende het schoonmake
c:\program files\common files\microsoft shared\web folders\ibm00006.dll -> TrojanSpy.Small.dg : Fout gedurende het schoonmake
c:\program files\common files\microsoft shared\web folders\ibm00006.dll -> TrojanSpy.Small.dg : Fout gedurende het schoonmake
c:\program files\common files\microsoft shared\web folders\ibm00006.dll -> TrojanSpy.Small.dg : Fout gedurende het schoonmake
c:\program files\common files\microsoft shared\web folders\ibm00006.dll -> TrojanSpy.Small.dg : Fout gedurende het schoonmake
c:\program files\common files\microsoft shared\web folders\ibm00006.dll -> TrojanSpy.Small.dg : Fout gedurende het schoonmake
c:\program files\common files\microsoft shared\web folders\ibm00006.dll -> TrojanSpy.Small.dg : Fout gedurende het schoonmake
C:\WINDOWS\tool2.exe -> Not-A-Virus.Hoax.Renos.x : Schoongemaakt met een backup
C:\WINDOWS\tool2.exe -> Not-A-Virus.Hoax.Renos.x : Fout gedurende het schoonmake
C:\winstall.exe -> Not-A-Virus.Hoax.Renos.x : Schoongemaakt met een backup
c:\program files\common files\microsoft shared\web folders\ibm00006.dll -> TrojanSpy.Small.dg : Fout gedurende het schoonmake
c:\program files\common files\microsoft shared\web folders\ibm00002.dll -> TrojanSpy.Small.dg : Schoongemaakt met een backup
C:\WINDOWS\azentretien.dll -> Spyware.AzSearch : Fout gedurende het schoonmake
c:\program files\common files\microsoft shared\web folders\ibm00006.dll -> TrojanSpy.Small.dg : Fout gedurende het schoonmake
c:\program files\common files\microsoft shared\web folders\ibm00006.dll -> TrojanSpy.Small.dg : Fout gedurende het schoonmake
C:\Documents and Settings\Administrator\Cookies\administrator@ad.yieldmanager.txt -> Spyware.Cookie.Yieldmanager : Schoongemaakt met een backup
C:\Documents and Settings\Administrator\Cookies\administrator@doubleclick.txt -> Spyware.Cookie.Doubleclick : Schoongemaakt met een backup
C:\Documents and Settings\Administrator\Cookies\administrator@paypopup.txt -> Spyware.Cookie.Paypopup : Schoongemaakt met een backup
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\J9UEIB95\AppWrap.exe -> Spyware.AdURL : Schoongemaakt met een backup
C:\Documents and Settings\LocalService\Cookies\system@ad.yieldmanager.txt -> Spyware.Cookie.Yieldmanager : Schoongemaakt met een backup
C:\Documents and Settings\LocalService\Cookies\system@atdmt.txt -> Spyware.Cookie.Atdmt : Schoongemaakt met een backup
C:\Documents and Settings\LocalService\Cookies\system@ehg-ypcorp.hitbox.txt -> Spyware.Cookie.Hitbox : Schoongemaakt met een backup
C:\Documents and Settings\LocalService\Cookies\system@fastclick.txt -> Spyware.Cookie.Fastclick : Schoongemaakt met een backup
C:\Documents and Settings\LocalService\Cookies\system@hitbox.txt -> Spyware.Cookie.Hitbox : Schoongemaakt met een backup
C:\Documents and Settings\LocalService\Cookies\system@perf.overture.txt -> Spyware.Cookie.Overture : Schoongemaakt met een backup
C:\Documents and Settings\LocalService\Cookies\system@rotator.adjuggler.txt -> Spyware.Cookie.Adjuggler : Schoongemaakt met een backup
C:\Documents and Settings\LocalService\Cookies\system@statse.webtrendslive.txt -> Spyware.Cookie.Webtrendslive : Schoongemaakt met een backup
C:\Documents and Settings\LocalService\Cookies\system@www.epilot.txt -> Spyware.Cookie.Epilot : Schoongemaakt met een backup
C:\drsmartload.exe -> Spyware.SmartLoad : Schoongemaakt met een backup
C:\installer.exe -> Spyware.Look2Me : Schoongemaakt met een backup
C:\mte3ndi6odoxng.exe -> Spyware.ISearch : Schoongemaakt met een backup
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00002.dll -> TrojanSpy.Small.dg : Schoongemaakt met een backup
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00004.dll -> TrojanSpy.Small.dg : Schoongemaakt met een backup
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00006.dll -> TrojanSpy.Small.dg : Schoongemaakt met een backup
C:\WINDOWS\770r9gji.exe -> Adware.Saha : Schoongemaakt met een backup
C:\WINDOWS\loadadv728.exe -> TrojanDownloader.Small.bfy : Schoongemaakt met een backup
C:\WINDOWS\system32\2j2s91gf.dll -> Adware.Saha : Schoongemaakt met een backup
C:\WINDOWS\system32\aaaamon9.exe -> Spyware.UrlSpy : Schoongemaakt met een backup
C:\WINDOWS\system32\agdiosrv.dll -> Spyware.Look2Me : Schoongemaakt met een backup
C:\WINDOWS\system32\amstream.exe -> Spyware.UrlSpy : Schoongemaakt met een backup
C:\WINDOWS\system32\azesearch4.ocx -> Spyware.AzSearch : Schoongemaakt met een backup
C:\WINDOWS\system32\csbjmon.dll -> Spyware.Look2Me : Schoongemaakt met een backup
C:\WINDOWS\system32\cvgbkend.dll -> Spyware.Look2Me : Schoongemaakt met een backup
C:\WINDOWS\system32\czl3d32.dll -> Spyware.Look2Me : Schoongemaakt met een backup
C:\WINDOWS\system32\djauth.dll -> Spyware.Look2Me : Schoongemaakt met een backup
C:\WINDOWS\system32\en24l1fq1.dll -> Spyware.Look2Me : Schoongemaakt met een backup
C:\WINDOWS\system32\h62olgf3162.dll -> Spyware.Look2Me : Schoongemaakt met een backup
C:\WINDOWS\system32\hr0605dse.dll -> Spyware.Look2Me : Schoongemaakt met een backup
C:\WINDOWS\system32\i6jqlg1516.dll -> Spyware.Look2Me : Schoongemaakt met een backup
C:\WINDOWS\system32\j46m0ej1eho.dll -> Spyware.Look2Me : Schoongemaakt met een backup
C:\WINDOWS\system32\l44q0eh5eh4.dll -> Spyware.Look2Me : Schoongemaakt met een backup
C:\WINDOWS\system32\lv2m09f1e.dll -> Spyware.Look2Me : Schoongemaakt met een backup
C:\WINDOWS\system32\lvnm0951e.dll -> Spyware.Look2Me : Schoongemaakt met een backup
C:\WINDOWS\system32\lvnq0955e.dll -> Spyware.Look2Me : Schoongemaakt met een backup
C:\WINDOWS\system32\m628lgfu1628.dll -> Spyware.Look2Me : Schoongemaakt met een backup
C:\WINDOWS\system32\n6p4lg7q16.dll -> Spyware.Look2Me : Schoongemaakt met een backup
C:\WINDOWS\Temp\bw2.com -> Spyware.AdURL : Schoongemaakt met een backup
C:\WINDOWS\tool2.exe -> Not-A-Virus.Hoax.Renos.x : Schoongemaakt met een backup
C:\WINDOWS\__delete_on_reboot__azentretien.dll -> Spyware.AzSearch : Schoongemaakt met een backup
C:\winstall.exe -> Not-A-Virus.Hoax.Renos.x : Schoongemaakt met een backup
::Einde rapport
hijack tlf
Logfile of HijackThis v1.99.1
Scan saved at 0:17:46, on 15-11-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\paytime.exe
C:\Program Files\Java\jre1.5.0_02\bin\jucheck.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\paytime.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\dwwin.exe
C:\WINDOWS\explorer.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Documents and Settings\roy\Bureaublad\opruimmap\hijackthis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=explorer.exe “C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00005.exe”
O2 - BHO: AzEntretien Class - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - %SystemRoot%\azentretien.dll (file missing)
O4 - HKLM\..\Run: “C:\Program Files\MessengerPlus! 3\MsgPlus.exe”
O4 - HKLM\..\Run: C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM\..\Run: C:\PROGRA~1\VBouncer\VirtualBouncer.exe
O4 - HKLM\..\Run: C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU\..\Run: “C:\Program Files\Logitech\Video\ManifestEngine.exe” boot
O4 - HKCU\..\Run: “C:\Program Files\MessengerPlus! 3\MsgPlus.exe” /WinStart
O4 - HKCU\..\Run: C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: “C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00005.exe”
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Zoeken - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Woord vertalen in het Nederlands - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120562715905
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4608/mcfscan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O21 - SSODL: SysTray.Exys - {7368D5FC-6F5C-4f5b-B964-E67214F67852} - C:\WINDOWS\System32\phgmigec.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cm95\command.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
alvast erg bedankt voor de tips
lucas

15-11-2005 01:45

Hoi Roy,
Je mist niet alleen SP2 maar ook SP1 Is hier wel sprake van een legale windows versie
Alvorens deze fix uit te voeren verzoek ik je te wachten op de reactie van een ervaren loglezer
1. Download de killbox en pak hem uit naar je bureaublad
www.downloads.subratam.org/KillBox.zip
2. Start de killbox en zet een vinkje bij “delete on reboot” kopieer de vet gedrukte tekst:
C:\Program Files\CMSystem\
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
C:\Program Files\winCMAPP\
c:\secure32.html
c:\windows\SvcProc.exe
C:\WINDOWS\system32\bho.dll
C:\WINDOWS\system32\ichckupd.exe
C:\WINDOWS\system32\italkjiv.dll
C:\WINDOWS\system32\nsp1812.dll
C:\WINDOWS\system32\pkshifjn.dll
C:\WINDOWS\system32\pshwr.exe
C:\winstall.exe
3 Open “file” in het killboxmenu bovenaan en kies: Paste from clipboard
Het bovenstaande vetgedrukte zal staan in het “Full Path of File to Delete”-veld.
Er is een klein pijltje naast dat veld. Als je daarop klikt zal je al die bovenstaande lijntjes ( indien bestanden aanwezig ) die je gekopieerd hebt zien staan ( dat is tenminste de bedoeling )
Daarna klik je op de rode knop met het wit kruisje erin,klik in beide popschermpjes op JA, de pc zal nu herstarten,zoniet doe het dan handmatig!
4. Zet in configuratiescherm-mapoptie's eerst een vinkje bij “verborgen bestanden en mappen weergeven” en haal het vinkje weg bij “extensie's voor bekende bestandstypen verbergen” en bij “beschermde besturingsbestanden verbergen (aanbevolen)”,klik op toepassen en ok
Verwijder de volgende mappen (voorzover aanwezig)
C:\Program Files\CMSystem\
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
C:\Program Files\winCMAPP\
C:\secure32.html
C:\windows\SvcProc.exe
C:\WINDOWS\system32\bho.dll
C:\WINDOWS\system32\ichckupd.exe
C:\WINDOWS\system32\italkjiv.dll
C:\WINDOWS\system32\nsp1812.dll
C:\WINDOWS\system32\pkshifjn.dll
C:\WINDOWS\system32\pshwr.exe
C:\winstall.exe
5. Leeg je temp file's,de mappen vet gedrukte mappen leegmaken, niet verwijderen!:
C:\Documents and Settings\\Local Settings\Temp\
C:\Documents and Settings\gebruikersnaam\Local Settings\Temporary Internet Files
C:\Documents and Settings\gebruikersnaam\Local Settings\Temporary Internet Files\content.ie5 <= als deze map niet weergegeven word ga dan naar de map temporary internet files en type dan \content.ie5 erachter in de adresbalk en klik enter
Doe de volgende online scans:
http://www.pandasoftware.com/products/activescan.htm
http://uk.trendmicro-europe.com/consumer/housecall/housecall_launch.php
Plaats na de herstart van de computer een nieuw hijack logje en een startuplistlogje.
Lucas
Erik

15-11-2005 11:49

Het was al laat zie ik :-)
Ik denk niet dat dit gaat lukken.
Stap 2 & 4 lijken mij hetzelfde.
Paytime.exe staat er niet bij
Probeer het maar eens met HJT, Nailfix en L2MFix.
lucas

15-11-2005 12:29

Ok zoek ik vanavond even uit bedankt Erik
lucas

15-11-2005 21:23

Erik,
Misschien mis ik iets, waar leid jij uit af dat er sprake is van een nail infectie
Lucas

virus

roy

lucas

lucas

roy

Avondsmurf

roy

lucas

Erik

lucas

lucas