• De afgelopen dagen zijn er meerdere fora waarop bestaande accounts worden overgenomen door spammers. De gebruikersnamen en wachtwoorden zijn via een hack of een lek via andere sites buitgemaakt. Via have i been pwned? kan je controleren of jouw gegeven ook zijn buitgemaakt. Wijzig bij twijfel jouw wachtwoord of schakel de twee-staps-verificatie in.

Trojan IRC/BackDoor.SdBot2.HOE

Status
Niet open voor verdere reacties.

Lazron1980

Bekend gezicht
Lid geworden
21 okt 2006
Berichten
141
Waarderingsscore
0
Hallo,

Ik heb sinds eergisteren problemen met bovenstaande. Mijn AVG Antivirus detecteerd deze met de keuze tussen vault en heal.
Als ik kies voor vault dan heb ik na 1 minuut weer de melding en heal dan blokkeert mijn PC. het infecteerde bestand is MSDHCP32.exe.

Weet niet of het daarmee te maken heeft maar eenmaal ik die melding krijg wordt mijn PC/internet gigantisch traag en kan ik niets meer doen.

Besturings systeem XP SP1 Home edition.

Op het net vind ik niet meteen iets terug ivm deze trojan.
 
Hallo Lazron1980 :welkom:

Maak en post eens een HJT logje, zullen we eens kijken of we het daarmee aangepakt krijgen, want mogelijk is het bestandje dat je opsomst slechtes een deel van de (actieve) malware.



recentste versie HJT + zetten in vaste map:

* Maak eerst op een vaste plaats (bv bij "mijn documenten") een nieuwe map aan voor hijackthis en noem deze bv. HJT
* Doe rechtermuisklik op het linkje hieronder en kies voor "Doel opslaan als..." en blader naar het net aangemaakte mapje voor hijackthis en sla het daarin op
hijackthis.exe
* Ga naar deze nieuwe HJT en dubbelklik hijackthis.exe > klik "do a system scan and save a logfile"
* kopieer heel de inhoud van dat logje dat in tekstbestand aangemaakt wordt na de scan (hijackthis.log)

logje laten encoderen door NaNo's HJT Color Coder
* plak dit in NaNo's HJT color coder in het grote veldje onderaan
http://www.niele.nl/hijackthis/index.php?v=encoder
* klik "submit"
* selecteer het "gecodeerde" logje dat je te zien krijgt
* plak het in je volgende reactie


Dan nemen we dat verder onder de loep,


Succes :)
 
Ok zal ik proberen te doen - probleem is dat mijn internet na een aantal minuten blokvast zit en mijn PC opeens serieus vertraagd.
Programmatje SVChost.exe gebruikt dan plots 99% van mijn CPU capaciteit. Met als gevolg dat alles wat ik reeds wilde downloaden van tools vastloopt. Ik blijf in ieder geval proberen.

Oh ja wat heb ik deze nacht gedaan: de 3 tools wat ik momenteel heb laten deepscannen in veilige modus: AVG antivirus; aVG anti-spyware en adware. Zij hebben allemaal enkele trojans/virussen gevonden. Daarna niet meer opgestart. Weet niet of dit veel uitgehaald zal hebben.
 
Laatst bewerkt door een moderator:
HJT is heel snel gedownload en ook het door NaNo's color coder halen duurt nog geen minuutje, dus dat zal hopelijk wel lukken, even afwachten :)

Goed dat je die ook nog hebt laten scannen !
Kan je het logje van AVG antsispyware evtl ook nog meeposten ?
dat is te vinden bij c:\program files\grisoft\avg-antispyware 7.5\reports (of "logs" oid, ik kan het hier nu even niet nakijken, maar het zal wel duideijk zijn als je ernaar aan het bladeren bent. En post dan de inhoud van het logje/report van je scan mee, samen met het HJT logje,


succes :)
 
OK thats it - succes en alvast bedankt

[spoil]The HijackThis Encoder noticed that you are using an outdated browser. -> Internet Explorer 6.0
You can download the latest version at the following location: http://www.microsoft.com/windows/ie/[/spoil]
[hijack]Logfile of HijackThis v1.99.1
scan saved at 14:11:10, on 18/11/2006
platform: windows xp (winnt 5.01.2600)
msie: internet explorer v6.00 (6.00.2600.0000)
browser: Internet Explorer 6.0
ColorCoder Build: 4021a

Running Processes:
c:\windows\system32\smss.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\system32\spoolsv.exe
c:\program files\grisoft\avg anti-spyware 7.5\guard.exe
c:\progra~1\grisoft\avgfre~1\avgamsvr.exe
c:\progra~1\grisoft\avgfre~1\avgupsvc.exe
c:\progra~1\grisoft\avgfre~1\avgemc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\svchost.exe
c:\windows\system32\mspmspsv.exe
c:\windows\explorer.exe
c:\windows\mixer.exe
c:\program files\thomson\speedtouch usb\dragdiag.exe
c:\program files\support.com\bin\tgcmd.exe
c:\progra~1\grisoft\avgfre~1\avgcc.exe
c:\program files\quicktime\qttask.exe
c:\windows\system32\msexecp32.exe
c:\program files\grisoft\avg anti-spyware 7.5\avgas.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\msexecp32.exe
c:\program files\adobe\acrobat 5.0\distillr\acrotray.exe
c:\program files\internet explorer\iexplore.exe
c:\documents and settings\michael djalti\bureaublad\hjt\hijackthis.exe

(r1) - hkcu\software\microsoft\internet explorer\main,search bar = h**p://www.belcast.be/nl/search/ie5.html
(r1) - hkcu\software\microsoft\internet explorer\main,search page = h**p://www.skynet.be/search
(r1) - hklm\software\microsoft\internet explorer\main,default_page_url = h**p://www.belgacom.net
(r1) - hkcu\software\microsoft\internet connection wizard,shellnext = h**p://www.hogent.be/
(r0) - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername = koppelingen
(o2) - bho: acroiehlprobj class - {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 5.0\acrobat\activex\acroiehelper.ocx
(o3) - toolbar: &radio - {8e718888-423f-11d2-876e-00a0c9082467} - c:\windows\system32\msdxm.ocx
(o4) - HKLM\..\Run: [nvcpldaemon] rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup
(o4) - HKLM\..\Run: [c-media mixer] mixer.exe /startup
(o4) - HKLM\..\Run: [microsoft works portfolio] c:\program files\microsoft works\wkssb.exe /allusers
(o4) - HKLM\..\Run: [microsoft works update detection] c:\program files\microsoft works\wkdetect.exe
(o4) - HKLM\..\Run: [nwiz] nwiz.exe /install
(o4) - HKLM\..\Run: [nerofiltercheck] c:\windows\system32\nerocheck.exe
(o4) - HKLM\..\Run: [speedtouch usb diagnostics] "c:\program files\thomson\speedtouch usb\dragdiag.exe" /icon
(o4) - HKLM\..\Run: [tgcmd] "c:\program files\support.com\bin\tgcmd.exe" /server /startmonitor
(o4) - HKLM\..\Run: [avg7_cc] c:\progra~1\grisoft\avgfre~1\avgcc.exe /startup
(o4) - HKLM\..\Run: [quicktime task] "c:\program files\quicktime\qttask.exe" -atboottime
(o4) - HKLM\..\Run: [ms windows executor process] msexecp32.exe
(o4) - HKLM\..\Run: [!avg anti-spyware] "c:\program files\grisoft\avg anti-spyware 7.5\avgas.exe" /minimized
(o4) - hklm\..\runservices: [ms windows executor process] msexecp32.exe
(o4) - HKCU\..\Run: [nvmediacenter] rundll32.exe c:\windows\system32\nvmctray.dll,nvtaskbarinit
(o4) - HKCU\..\Run: [ms windows executor process] msexecp32.exe
(o4) - Global Startup: acrobat assistant.lnk = c:\program files\adobe\acrobat 5.0\distillr\acrotray.exe
(o4) - Global Startup: adobe gamma loader.lnk = c:\program files\common files\adobe\calibration\adobe gamma loader.exe
(o9) - extra button: onderzoekscentrum - {9455301c-cf6b-11d3-a266-00c04f689c50} - c:\program files\common files\microsoft shared\reference 2001\eroproj.dll
(o9) - extra button: (no name) - {cd67f990-d8e9-11d2-98fe-00c0f0318afe} - (no file)
(o9) - extra button: messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
(o9) - extra 'tools' menuitem: windows messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
(o14) - iereset.inf
: start_page_url=h**p://www.belgacom.net
(o16) - dpf: {bff1950d-b1b4-4ae8-b842-b2ccf06d9a1b} (zylom games player) - h**p://game05.zylom.com/activex/zylomgamesplayer.cab
(o16) - dpf: {deb21ad3-fda4-42f6-b57d-ee696a675ee8} (ipsuploader control) - h**p://as.photoprintit.de/ips-opdata/74914091/activex/ipsuploader.cab
(o16) - dpf: {fb90ba05-66e6-4c56-bcd3-d65b0f7eba39} (foto.com speeduploader 1.0 control) - h**p://express.foto.com/sfuploader/speeduploader.cab
(o17) - hklm\system\ccs\services\tcpip\..\ {0bf04b88-dd77-4032-ba7c-57a8ca4b09a0} : nameserver = 195.238.2.22 195.238.2.21
(o17) - hklm\system\cs1\services\tcpip\..\ {0bf04b88-dd77-4032-ba7c-57a8ca4b09a0} : nameserver = 195.238.2.22 195.238.2.21
(o18) - protocol: msnim - {828030a1-22c1-4009-854f-8e305202313f} - "c:\progra~1\msnmes~1\msgrapp.dll" (file missing)
(o23) - Service: avg anti-spyware guard - anti-malware development a.s. - c:\program files\grisoft\avg anti-spyware 7.5\guard.exe
(o23) - Service: avg7 alert manager server (avg7alrt) - grisoft, s.r.o. - c:\progra~1\grisoft\avgfre~1\avgamsvr.exe
(o23) - Service: avg7 update service (avg7updsvc) - grisoft, s.r.o. - c:\progra~1\grisoft\avgfre~1\avgupsvc.exe
(o23) - Service: avg e-mail scanner (avgems) - grisoft, s.r.o. - c:\progra~1\grisoft\avgfre~1\avgemc.exe
(o23) - Service: nvidia display driver service (nvsvc) - nvidia corporation - c:\windows\system32\nvsvc32.exe[/hijack]
 
Hallo Lazron1980 :)


Doe volgende stappen eens :


Beeindig met de process manager van HJT volgende processen :
* Open HJT > neem rechtsonder het knopje "config" > dan knopje "misc tools" > dan knopje "open process manager"
* Klik een voor een volgende processen aan en klik telkens bij elk van hen op *kill process*
* Op de vraag "are you sure..." --> "ja"
c:\windows\system32\msexecp32.exe
c:\windows\system32\msexecp32.exe


Fix met Hijackthis volgende sleutels
* Enkel deze regels aanvinken
* Even alle open sites (ook deze) sluiten
* Dan op het knopje "fix checked" klikken
(o4) - HKLM\..\Run: [ms windows executor process] msexecp32.exe
(o4) - hklm\..\runservices: [ms windows executor process] msexecp32.exe
(o4) - HKCU\..\Run: [ms windows executor process] msexecp32.exe

(o9) - extra button: (no name) - {cd67f990-d8e9-11d2-98fe-00c0f0318afe} - (no file)


Herstart de PC


Download en gebruik rdrivrem.zip
http://www.atribune.org/downloads/rdrivrem.zip
* downloaden en opslaan naar bv bureaublad
* na download uitpakken (rechtermuisklik > uitpakken)
* open het uitgepakte mapje rdrivrem
* dubbelklik rdrivrem.bat
* volg de instructies op het scherm
* als het tooltje afgelopen is, zal er een tekstebestandje aangemaakt worden in de uitgepakte map rdriverem. Post hiervan de inhoud mee in je volgende reactie.


Samen met een nieuw HJTlogje


Succes :)
 
alvast bedankt hier volgt alles:

[spoil]The HijackThis Encoder noticed that you are using an outdated browser. -> Internet Explorer 6.0
You can download the latest version at the following location: http://www.microsoft.com/windows/ie/[/spoil]
[hijack]Logfile of HijackThis v1.99.1
scan saved at 17:34:31, on 18/11/2006
platform: windows xp (winnt 5.01.2600)
msie: internet explorer v6.00 (6.00.2600.0000)
browser: Internet Explorer 6.0
ColorCoder Build: 4021a

Running Processes:
c:\windows\system32\smss.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\system32\spoolsv.exe
c:\windows\explorer.exe
c:\program files\grisoft\avg anti-spyware 7.5\guard.exe
c:\progra~1\grisoft\avgfre~1\avgamsvr.exe
c:\program files\thomson\speedtouch usb\dragdiag.exe
c:\program files\support.com\bin\tgcmd.exe
c:\progra~1\grisoft\avgfre~1\avgupsvc.exe
c:\progra~1\grisoft\avgfre~1\avgcc.exe
c:\progra~1\grisoft\avgfre~1\avgemc.exe
c:\program files\adobe\acrobat 5.0\distillr\acrotray.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\svchost.exe
c:\windows\system32\mspmspsv.exe
c:\windows\system32\wuauclt.exe
c:\windows\system32\wuauclt.exe
c:\documents and settings\michael djalti\bureaublad\hjt\hijackthis.exe

(r1) - hkcu\software\microsoft\internet explorer\main,search bar = h**p://www.belcast.be/nl/search/ie5.html
(r1) - hkcu\software\microsoft\internet explorer\main,search page = h**p://www.skynet.be/search
(r1) - hklm\software\microsoft\internet explorer\main,default_page_url = h**p://www.belgacom.net
(r1) - hkcu\software\microsoft\internet connection wizard,shellnext = h**p://www.hogent.be/
(r0) - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername = koppelingen
(o2) - bho: acroiehlprobj class - {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 5.0\acrobat\activex\acroiehelper.ocx
(o3) - toolbar: &radio - {8e718888-423f-11d2-876e-00a0c9082467} - c:\windows\system32\msdxm.ocx
(o4) - HKLM\..\Run: [nvcpldaemon] rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup
(o4) - HKLM\..\Run: [nwiz] nwiz.exe /install
(o4) - HKLM\..\Run: [nerofiltercheck] c:\windows\system32\nerocheck.exe
(o4) - HKLM\..\Run: [speedtouch usb diagnostics] "c:\program files\thomson\speedtouch usb\dragdiag.exe" /icon
(o4) - HKLM\..\Run: [tgcmd] "c:\program files\support.com\bin\tgcmd.exe" /server /startmonitor
(o4) - HKLM\..\Run: [avg7_cc] c:\progra~1\grisoft\avgfre~1\avgcc.exe /startup
(o4) - Global Startup: acrobat assistant.lnk = c:\program files\adobe\acrobat 5.0\distillr\acrotray.exe
(o4) - Global Startup: adobe gamma loader.lnk = c:\program files\common files\adobe\calibration\adobe gamma loader.exe
(o9) - extra button: messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
(o9) - extra 'tools' menuitem: windows messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
(o14) - iereset.inf
: start_page_url=h**p://www.belgacom.net
(o16) - dpf: {193c772a-87be-4b19-a7bb-445b226fe9a1} (ewidoonlinescan control) - h**p://download.ewido.net/ewidoonlinescan.cab
(o16) - dpf: {bb21f850-63f4-4ec9-bf9d-565bd30c9ae9} (a-squared scanner) - h**p://ax.emsisoft.com/asquared.cab
(o16) - dpf: {bff1950d-b1b4-4ae8-b842-b2ccf06d9a1b} (zylom games player) - h**p://game05.zylom.com/activex/zylomgamesplayer.cab
(o16) - dpf: {deb21ad3-fda4-42f6-b57d-ee696a675ee8} (ipsuploader control) - h**p://as.photoprintit.de/ips-opdata/74914091/activex/ipsuploader.cab
(o16) - dpf: {fb90ba05-66e6-4c56-bcd3-d65b0f7eba39} (foto.com speeduploader 1.0 control) - h**p://express.foto.com/sfuploader/speeduploader.cab
(o17) - hklm\system\ccs\services\tcpip\..\ {0bf04b88-dd77-4032-ba7c-57a8ca4b09a0} : nameserver = 195.238.2.22 195.238.2.21
(o17) - hklm\system\cs1\services\tcpip\..\ {0bf04b88-dd77-4032-ba7c-57a8ca4b09a0} : nameserver = 195.238.2.22 195.238.2.21
(o23) - Service: avg anti-spyware guard - anti-malware development a.s. - c:\program files\grisoft\avg anti-spyware 7.5\guard.exe
(o23) - Service: avg7 alert manager server (avg7alrt) - grisoft, s.r.o. - c:\progra~1\grisoft\avgfre~1\avgamsvr.exe
(o23) - Service: avg7 update service (avg7updsvc) - grisoft, s.r.o. - c:\progra~1\grisoft\avgfre~1\avgupsvc.exe
(o23) - Service: avg e-mail scanner (avgems) - grisoft, s.r.o. - c:\progra~1\grisoft\avgfre~1\avgemc.exe
(o23) - Service: nvidia display driver service (nvsvc) - nvidia corporation - c:\windows\system32\nvsvc32.exe[/hijack]


RDrivRem Log 17:33:13,01 za 18/11/2006

~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~

~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~


klopt dit alles wat ik deed?
 
ja dat klopt dat dit alles is :)



je HJT logje ziet er verder clean uit, mooi !


Doe nu volgende eens :


Download en gebruik Killbox
Killbox
* Kies bij download voor "Opslaan" en sla op op een plaats waar je het gemakkelijk kan terugvinden, bv in de map "program files" of op het bureaublad
* Dubbelklik "Killbox.exe"
* Kopieer onderstaande regel en plak hem bij het veldje "Full Path of File to Delete "
c:\windows\system32\msexecp32.exe
* Selecteer dan de optie "Delete on Reboot"
* Klik op de knop die eruitziet als een rode ronde met een witte X in
* Bevestig dat het bestand wegmag en dan je wil heropstarten
* Exit en heropstarten

Hoe gaat het verder met je pc ? Loopt hij al wat vlotter ? krijg e evtl nog meldingen oid ?



succes :)
 
Dacht even dat alles goed ging maar daarnet terug dezelfde melding gekregen maar nu gevonden in TFTP2244.exe.

Hieronder een nieuw hijack-logje:

[hijack]Logfile of HijackThis v1.99.1
scan saved at 20:55:22, on 18/11/2006
platform: windows xp (winnt 5.01.2600)
msie: internet explorer v6.00 (6.00.2600.0000)
browser: Mozilla Firefox 2.0
ColorCoder Build: 4021a


Running Processes:
c:\windows\system32\smss.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\explorer.exe
c:\windows\system32\spoolsv.exe
c:\program files\thomson\speedtouch usb\dragdiag.exe
c:\program files\support.com\bin\tgcmd.exe
c:\progra~1\grisoft\avgfre~1\avgcc.exe
c:\windows\system32\msexecp32.exe
c:\program files\adobe\acrobat 5.0\distillr\acrotray.exe
c:\program files\grisoft\avg anti-spyware 7.5\guard.exe
c:\progra~1\grisoft\avgfre~1\avgamsvr.exe
c:\progra~1\grisoft\avgfre~1\avgupsvc.exe
c:\progra~1\grisoft\avgfre~1\avgemc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\svchost.exe
c:\windows\system32\mspmspsv.exe
c:\windows\system32\wuauclt.exe
c:\program files\mozilla firefox\firefox.exe
c:\windows\system32\wuauclt.exe
c:\documents and settings\michael djalti\bureaublad\hjt\hijackthis.exe

(r1) - hkcu\software\microsoft\internet explorer\main,search bar = h**p://www.belcast.be/nl/search/ie5.html
(r1) - hkcu\software\microsoft\internet explorer\main,search page = h**p://www.skynet.be/search
(r1) - hklm\software\microsoft\internet explorer\main,default_page_url = h**p://www.belgacom.net
(r1) - hkcu\software\microsoft\internet connection wizard,shellnext = h**p://www.hogent.be/
(r0) - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername = koppelingen
(o2) - bho: acroiehlprobj class - {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 5.0\acrobat\activex\acroiehelper.ocx
(o3) - toolbar: &radio - {8e718888-423f-11d2-876e-00a0c9082467} - c:\windows\system32\msdxm.ocx
(o4) - HKLM\..\Run: [nvcpldaemon] rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup
(o4) - HKLM\..\Run: [nwiz] nwiz.exe /install
(o4) - HKLM\..\Run: [nerofiltercheck] c:\windows\system32\nerocheck.exe
(o4) - HKLM\..\Run: [speedtouch usb diagnostics] "c:\program files\thomson\speedtouch usb\dragdiag.exe" /icon
(o4) - HKLM\..\Run: [tgcmd] "c:\program files\support.com\bin\tgcmd.exe" /server /startmonitor
(o4) - HKLM\..\Run: [avg7_cc] c:\progra~1\grisoft\avgfre~1\avgcc.exe /startup
(o4) - HKLM\..\Run: [ms windows executor process] msexecp32.exe
(o4) - hklm\..\runservices: [ms windows executor process] msexecp32.exe
(o4) - HKCU\..\Run: [ms windows executor process] msexecp32.exe
(o4) - Global Startup: acrobat assistant.lnk = c:\program files\adobe\acrobat 5.0\distillr\acrotray.exe
(o4) - Global Startup: adobe gamma loader.lnk = c:\program files\common files\adobe\calibration\adobe gamma loader.exe
(o9) - extra button: messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
(o9) - extra 'tools' menuitem: windows messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
(o14) - iereset.inf
: start_page_url=h**p://www.belgacom.net
(o16) - dpf: {193c772a-87be-4b19-a7bb-445b226fe9a1} (ewidoonlinescan control) - h**p://download.ewido.net/ewidoonlinescan.cab
(o16) - dpf: {bb21f850-63f4-4ec9-bf9d-565bd30c9ae9} (a-squared scanner) - h**p://ax.emsisoft.com/asquared.cab
(o16) - dpf: {bff1950d-b1b4-4ae8-b842-b2ccf06d9a1b} (zylom games player) - h**p://game05.zylom.com/activex/zylomgamesplayer.cab
(o16) - dpf: {deb21ad3-fda4-42f6-b57d-ee696a675ee8} (ipsuploader control) - h**p://as.photoprintit.de/ips-opdata/74914091/activex/ipsuploader.cab
(o16) - dpf: {fb90ba05-66e6-4c56-bcd3-d65b0f7eba39} (foto.com speeduploader 1.0 control) - h**p://express.foto.com/sfuploader/speeduploader.cab
(o17) - hklm\system\ccs\services\tcpip\..\ {0bf04b88-dd77-4032-ba7c-57a8ca4b09a0} : nameserver = 195.238.2.22 195.238.2.21
(o17) - hklm\system\cs1\services\tcpip\..\ {0bf04b88-dd77-4032-ba7c-57a8ca4b09a0} : nameserver = 195.238.2.22 195.238.2.21
(o23) - Service: avg anti-spyware guard - anti-malware development a.s. - c:\program files\grisoft\avg anti-spyware 7.5\guard.exe
(o23) - Service: avg7 alert manager server (avg7alrt) - grisoft, s.r.o. - c:\progra~1\grisoft\avgfre~1\avgamsvr.exe
(o23) - Service: avg7 update service (avg7updsvc) - grisoft, s.r.o. - c:\progra~1\grisoft\avgfre~1\avgupsvc.exe
(o23) - Service: avg e-mail scanner (avgems) - grisoft, s.r.o. - c:\progra~1\grisoft\avgfre~1\avgemc.exe
(o23) - Service: nvidia display driver service (nvsvc) - nvidia corporation - c:\windows\system32\nvsvc32.exe[/hijack]
 
Heb alles nogmaals gedaan en mijn windows geupdate en heropgestart.
Vooraleer ik een connectie maak met internet lijk de hjt logje clean - ik laat nog iets weten.
 
hmmz dat klinkt toch nog niet helemaal zoals het hoort .. :(
en dat de eerder gefixte regels dan terug er staan, duidt er op dat er wschl toch nog iets actief is dat het terug activeert/ophaalt


zou je volgende logjes eens kunnen maken ? :

combofix.exe
* rechtermuisklik op bovenstaand linkje > kies : doel/koppeling opslaan als
* sla op naar je bureaublad
* dubbelklik na download "combofix.exe "
* volg de instructies. (indien je een melding krijgt van je virusscanner ivm een mogelijk riskant .vbs script, sta dit toe, het .vbs script hoort bij combofix en is ongevaarlijk)
Tijdens het runnen van de fix (na ingeven van Y(es)), NIET in het venster klikken, want dit zal je pc doen vasthangen.
* wanneer de fix gedaan is, zal schijfopruiming nog even van start gaan.
* daarna opent het logje ervan (combofix.txt)
* kopieer de inhoud hiervan, en haal het even ook door NaNo's Color coder (inhoud van het logje kopieren en in het veldje onderaan op de pagina van NaNo's color coder site plakken > forum mode aanvinken > go > resultaat selecteren/kopiren
* en post het resultaat mee in je volgende reactie


alsook dit logje :


* Download gmer.zip, en pak het uit op je Bureaublad.
http://www.gmer.net/gmer.zip
* Dubbelklik op (het uitgepakte) gmer.exe om het te starten.
* Wanneer je de vraag krijgt om je systeem te scannen, klik je op "ja".
* klikdan op het tabblad "Rootkit".
* NA de scan: Klik op de knop "Copy" (rechts beneden)
* plak het resultaat in een nieuwe reactie hier


Dat gaat mogelijk niet in 1 postje passen, verdeel het in dat geval over meerdere postjes



Succes :)
 
Hier het GERM logje

[hijack]gmer 1.0.12.11889 - h**p://www.gmer.net
rootkit scan 2006-11-18 22:53:08
windows 5.1.2600


---- kernel code sections - gmer 1.0.12 ----

.text
ntoskrnl.exe!keinitializeinterrupt + b79 804d4f8e 1 byte
.text
ntdll.dll!ntclose 77f4b458 5 bytes jmp 72033a2a
.text
ntdll.dll!ntcreateprocess 77f4b5b8 5 bytes jmp 72033bb5
.text
ntdll.dll!ntcreateprocessex 77f4b5c8 5 bytes jmp 72033a99
.text
ntdll.dll!ntcreatesection 77f4b5e8 5 bytes jmp 72033a48

---- devices - gmer 1.0.12 ----

device \driver\atapi \device\ide\ideport0 irp_mj_internal_device_control [f7a376c1] prosync1.sys
device \driver\atapi \device\ide\idedevicep0t0l0-4 irp_mj_internal_device_control [f7a376c1] prosync1.sys
device \driver\atapi \device\ide\ideport1 irp_mj_internal_device_control [f7a376c1] prosync1.sys
device \driver\atapi \device\ide\idedevicep0t1l0-c irp_mj_internal_device_control [f7a376c1] prosync1.sys
device \driver\atapi \device\ide\idedevicep1t0l0-17 irp_mj_internal_device_control [f7a376c1] prosync1.sys
device \driver\prohlp02 \device\prohlp02 irp_mj_create e1013f80
device \driver\prohlp02 \device\prohlp02 irp_mj_close e1013f80
device \driver\prohlp02 \device\prohlp02 irp_mj_device_control e1013f80

---- registry - gmer 1.0.12 ----

reg \registry\machine\software\classes\clsid\ {793a0cd2-18b8-b505-d2705730ed7730b5} \ {224f5fe7-6ab9-e5aa-092a0b3f1e7e0249} \ {e87c09aa-1a97-d30e-8c0d3efe96a56ba8} @whrubftnut3jmxqxkmksxobada1 0x01 0x00 0x01 0x00 ...
reg \registry\machine\software\classes\clsid\ {860f37d0-88b9-eafe-0da223fc9f2d4b17} \ {92b5fde0-c227-b1b3-6d9fe8922dcbdaed} \ {28d3da4d-49f1-e4d4-1516d5318029455a} @whrubftnut3jmxqxkmksxobada1 0x01 0x00 0x01 0x00 ...
reg \registry\machine\software\classes\clsid\ {ee14e6f1-2126-b92d-85c1e367ed532b77} \ {b41dacd9-ca91-c5ab-b721af64407c4fee} \ {02a113e6-1fe6-618b-b5a2df9fb3ccbd20} @whrubftnut3jmxqxkmksxobada1 0x01 0x00 0x01 0x00 ...

---- files - gmer 1.0.12 ----

file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\mz632923\ads[4].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\mz632923\google[1]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\mz632923\hotmail[2]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\mz632923\ligne_recherche[1].js
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\mz632923\search[1].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\mz632923\search[2].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\mz632923\search[3].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\mz632923\search[4].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\mz632923\showfolder[1].z
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sva74lef\categorydisplay[1].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sva74lef\dscn4066[1].jpg
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sva74lef\images[1].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sva74lef\search[1]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sva74lef\search[2]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sva74lef\search[2].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sva74lef\search[3].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sva74lef\search[4].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sva74lef\[1]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sva74lef\[2]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sva74lef\[3]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sva74lef\[4]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sva74lef\[5]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sva74lef\[6]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sx89qzs1\bann_dhtml[1].js
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sx89qzs1\categorydisplay[1].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sx89qzs1\google[1]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sx89qzs1\hotmail[2]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sx89qzs1\hotmail[3]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sx89qzs1\images[1].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sx89qzs1\productdisplay[1].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sx89qzs1\search[1].
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sx89qzs1\search[1].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sx89qzs1\search[2].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sx89qzs1\search[3].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sx89qzs1\search[4].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sx89qzs1\[1]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\sx89qzs1\[2]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wha7etq9\categorydisplay[1].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wha7etq9\desktop.ini
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wha7etq9\dscn4083[1].jpg
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wha7etq9\fagocytose[1]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wha7etq9\google[1]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wha7etq9\images[1].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wha7etq9\images[2].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wha7etq9\images[3].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wha7etq9\index[1].css
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wha7etq9\loadbalancing[1].jsp
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wha7etq9\search[1].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wr4v6r2n\350x100grenadinesyahoo[1].swf
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wr4v6r2n\bullet_free_2[1].gif
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wr4v6r2n\desktop.ini
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wr4v6r2n\dscn4080[1].jpg
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wr4v6r2n\hotmail[1]
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wr4v6r2n\images[1].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wr4v6r2n\images[2].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wr4v6r2n\page16[1].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wr4v6r2n\page6[1].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wr4v6r2n\pixel_hr[1].gif
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wr4v6r2n\search[1].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wr4v6r2n\search[2].htm
file c:\documents and settings\steffy denorme\local settings\temporary internet files\content.ie5\wr4v6r2n\search[3].htm

---- eof - gmer 1.0.12 ----[/hijack]
 
en de combofix

en de combofix


[hijack]combofix 06.11.9 - running from: "c:\documents and settings\michael djalti\bureaublad"

((((((((((((((((((((((((((((((( files created from 2018-10-06 to 2018/11/2006 ))))))))))))))))))))))))))))))))))


no new files created in this timespan


(((((((((((((((((((((((((((((((((((((((((((((((( find3m report )))))))))))))))))))))))))))))))))))))))))))))))))))))




(((((((((((((((((((((((((((((((((((((((((( reg loading points ))))))))))))))))))))))))))))))))))))))))))))))))

*note* empty entries are not shown

[hkey_local_machine\software\microsoft\windows\currentversion\run]
"nvcpldaemon"="rundll32.exe c:\\windows\\system32\\nvcpl.dll,nvstartup"
"nwiz"="nwiz.exe /install"
"nerofiltercheck"="c:\\windows\\system32\\nerocheck.exe"
"speedtouch usb diagnostics"="\"c:\\program files\\thomson\\speedtouch usb\\dragdiag.exe\" /icon"
"tgcmd"="\"c:\\program files\\support.com\\bin\\tgcmd.exe\" /server /startmonitor "
"avg7_cc"="c:\\progra~1\\grisoft\\avgfre~1\\avgcc.exe /startup"
"ms windows executor process"="msexecp32.exe"

[hkey_local_machine\software\microsoft\windows\currentversion\run\optionalcomponents]

[hkey_local_machine\software\microsoft\windows\currentversion\run\optionalcomponents\imail]
"installed"="1"

[hkey_local_machine\software\microsoft\windows\currentversion\run\optionalcomponents\mapi]
"nochange"="1"
"installed"="1"

[hkey_local_machine\software\microsoft\windows\currentversion\run\optionalcomponents\msfs]
"installed"="1"

[hkey_local_machine\software\microsoft\windows\currentversion\runonce]
"wextract_cleanup0"="rundll32.exe c:\\windows\\system32\\advpack.dll,delnoderundll32 \"c:\\docume~1\\michae~1\\locals~1\\temp\\ixp000.tmp\\\""

[hkey_local_machine\software\microsoft\windows\currentversion\runservices]
"ms windows executor process"="msexecp32.exe"

[hkey_current_user\software\microsoft\internet explorer\desktop\components]
"deskhtmlversion"=dword:00000110
"deskhtmlminorversion"=dword:00000005
"settings"=dword:00000001
"generalflags"=dword:00000005

[hkey_current_user\software\microsoft\internet explorer\desktop\components\0]
"source"="about:home"
"subscribedurl"="about:home"
"friendlyname"="mijn huidige introductiepagina"
"flags"=dword:00000002
"position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"currentstate"=hex:04,00,00,40
"originalstateinfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"restoredstateinfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[hkey_users\.default\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="c:\\windows\\system32\\ctfmon.exe"
"avg7_run"="c:\\progra~1\\grisoft\\avgfre~1\\avgw.exe /runonce"
"ms windows executor process"="msexecp32.exe"

[hkey_users\s-1-5-18\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="c:\\windows\\system32\\ctfmon.exe"
"avg7_run"="c:\\progra~1\\grisoft\\avgfre~1\\avgw.exe /runonce"
"ms windows executor process"="msexecp32.exe"

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
" {438755c2-a8ba-11d1-b96b-00a0c90312e1} "="preloader van browseui"
" {8c7461ef-2b13-11d2-be35-3078302c2030} "="cache-daemon voor onderdeelcategorien"

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
" {aeb6717e-7e19-11d0-97ee-00c04fd91972} "=""
" {57b86673-276a-48b2-bae7-c6dbb3020eb8} "="avg anti-spyware 7.5"

[hkey_current_user\software\microsoft\windows\currentversion\policies\explorer]
"nodrivetypeautorun"=dword:00000091

[hkey_current_user\software\microsoft\windows\currentversion\policies\explorer\run]

[hkey_local_machine\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[hkey_users\.default\software\microsoft\windows\currentversion\policies\explorer]
"nodrivetypeautorun"=dword:00000091

[hkey_users\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"nodrivetypeautorun"=dword:00000091

[hkey_local_machine\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"postbootreminder"=" {7849596a-48ea-486e-8937-a2a3009f31a9} "
"cdburn"=" {fbeb8a05-beee-4442-804e-409d6c4515e9} "
"webcheck"=" {e6fb5e20-de35-11cf-9c87-00aa005127ed} "
"systray"=" {35cec8a3-2be6-11d2-8773-92e220524153} "

[hkey_local_machine\software\microsoft\shared tools\msconfig\startupfolder]

[hkey_local_machine\software\microsoft\shared tools\msconfig\startupfolder\c:^documents and settings^all users^menu start^programma's^opstarten^intervideo wincinema manager.lnk]
"path"="c:\\documents and settings\\all users\\menu start\\programma's\\opstarten\\intervideo wincinema manager.lnk"
"backup"="c:\\windows\\pss\\intervideo wincinema manager.lnkcommon startup"
"location"="common startup"
"command"="c:\\progra~1\\interv~1\\common\\bin\\wincin~1.exe "
"item"="intervideo wincinema manager"

[hkey_local_machine\software\microsoft\shared tools\msconfig\startupfolder\c:^documents and settings^all users^menu start^programma's^opstarten^scanpanel.lnk]
"path"="c:\\documents and settings\\all users\\menu start\\programma's\\opstarten\\scanpanel.lnk"
"backup"="c:\\windows\\pss\\scanpanel.lnkcommon startup"
"location"="common startup"
"command"="c:\\progra~1\\scanpa~1\\scnpanel.exe "
"item"="scanpanel"

[hkey_local_machine\software\microsoft\shared tools\msconfig\startupreg]

[hkey_local_machine\software\microsoft\shared tools\msconfig\startupreg\c-media mixer]
"key"="software\\microsoft\\windows\\currentversion\\run"
"item"="mixer"
"hkey"="hklm"
"command"="mixer.exe /startup"
"inimapping"="0"

[hkey_local_machine\software\microsoft\shared tools\msconfig\startupreg\msmsgs]
"key"="software\\microsoft\\windows\\currentversion\\run"
"item"="msmsgs"
"hkey"="hkcu"
"command"="\"c:\\program files\\messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[hkey_local_machine\software\microsoft\shared tools\msconfig\startupreg\nvmediacenter]
"key"="software\\microsoft\\windows\\currentversion\\run"
"item"="nvmctray"
"hkey"="hkcu"
"command"="rundll32.exe c:\\windows\\system32\\nvmctray.dll,nvtaskbarinit"
"inimapping"="0"

[hkey_local_machine\software\microsoft\shared tools\msconfig\startupreg\quicktime task]
"key"="software\\microsoft\\windows\\currentversion\\run"
"item"="qttask"
"hkey"="hklm"
"command"="\"c:\\program files\\quicktime\\qttask.exe\" -atboottime"
"inimapping"="0"

[hkey_local_machine\software\microsoft\shared tools\msconfig\startupreg\winampagent]
"key"="software\\microsoft\\windows\\currentversion\\run"
"item"="winampa"
"hkey"="hklm"
"command"="\"c:\\program files\\winamp3\\winampa.exe\""
"inimapping"="0"

[hkey_local_machine\system\currentcontrolset\control\securityproviders]
"securityproviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

completion time: za 18/11/2006 22:12:18,89
c:\combofix.txt ... 18/11/2006 22:12
c:\combofix2.txt ... 18/11/2006 22:05
c:\combofix3.txt ... 18/11/2006 22:03[/hijack]
 
en voor info een nieuwe hjt log:

[hijack]Logfile of HijackThis v1.99.1
scan saved at 23:02:35, on 18/11/2006
platform: windows xp (winnt 5.01.2600)
msie: internet explorer v6.00 (6.00.2600.0000)
browser: Mozilla Firefox 2.0
ColorCoder Build: 4021a


Running Processes:
c:\windows\system32\smss.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\explorer.exe
c:\windows\system32\spoolsv.exe
c:\program files\thomson\speedtouch usb\dragdiag.exe
c:\program files\support.com\bin\tgcmd.exe
c:\progra~1\grisoft\avgfre~1\avgcc.exe
c:\windows\system32\msexecp32.exe
c:\program files\adobe\acrobat 5.0\distillr\acrotray.exe
c:\program files\grisoft\avg anti-spyware 7.5\guard.exe
c:\progra~1\grisoft\avgfre~1\avgamsvr.exe
c:\progra~1\grisoft\avgfre~1\avgupsvc.exe
c:\progra~1\grisoft\avgfre~1\avgemc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\svchost.exe
c:\windows\system32\mspmspsv.exe
c:\windows\system32\wuauclt.exe
c:\program files\mozilla firefox\firefox.exe
c:\windows\system32\j.exe
c:\documents and settings\michael djalti\bureaublad\hjt\hijackthis.exe

(r1) - hkcu\software\microsoft\internet explorer\main,search bar = h**p://www.belcast.be/nl/search/ie5.html
(r1) - hkcu\software\microsoft\internet explorer\main,search page = h**p://www.skynet.be/search
(r1) - hklm\software\microsoft\internet explorer\main,default_page_url = h**p://www.belgacom.net
(r1) - hkcu\software\microsoft\internet connection wizard,shellnext = h**p://www.hogent.be/
(r0) - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername = koppelingen
(o2) - bho: acroiehlprobj class - {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 5.0\acrobat\activex\acroiehelper.ocx
(o3) - toolbar: &radio - {8e718888-423f-11d2-876e-00a0c9082467} - c:\windows\system32\msdxm.ocx
(o4) - HKLM\..\Run: [nvcpldaemon] rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup
(o4) - HKLM\..\Run: [nwiz] nwiz.exe /install
(o4) - HKLM\..\Run: [nerofiltercheck] c:\windows\system32\nerocheck.exe
(o4) - HKLM\..\Run: [speedtouch usb diagnostics] "c:\program files\thomson\speedtouch usb\dragdiag.exe" /icon
(o4) - HKLM\..\Run: [tgcmd] "c:\program files\support.com\bin\tgcmd.exe" /server /startmonitor
(o4) - HKLM\..\Run: [avg7_cc] c:\progra~1\grisoft\avgfre~1\avgcc.exe /startup
(o4) - HKLM\..\Run: [ms windows executor process] msexecp32.exe
(o4) - hklm\..\runservices: [ms windows executor process] msexecp32.exe
(o4) - HKCU\..\Run: [ms windows executor process] msexecp32.exe
(o4) - Global Startup: acrobat assistant.lnk = c:\program files\adobe\acrobat 5.0\distillr\acrotray.exe
(o4) - Global Startup: adobe gamma loader.lnk = c:\program files\common files\adobe\calibration\adobe gamma loader.exe
(o9) - extra button: messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
(o9) - extra 'tools' menuitem: windows messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
(o14) - iereset.inf
: start_page_url=h**p://www.belgacom.net
(o16) - dpf: {193c772a-87be-4b19-a7bb-445b226fe9a1} (ewidoonlinescan control) - h**p://download.ewido.net/ewidoonlinescan.cab
(o16) - dpf: {bb21f850-63f4-4ec9-bf9d-565bd30c9ae9} (a-squared scanner) - h**p://ax.emsisoft.com/asquared.cab
(o16) - dpf: {bff1950d-b1b4-4ae8-b842-b2ccf06d9a1b} (zylom games player) - h**p://game05.zylom.com/activex/zylomgamesplayer.cab
(o16) - dpf: {deb21ad3-fda4-42f6-b57d-ee696a675ee8} (ipsuploader control) - h**p://as.photoprintit.de/ips-opdata/74914091/activex/ipsuploader.cab
(o16) - dpf: {fb90ba05-66e6-4c56-bcd3-d65b0f7eba39} (foto.com speeduploader 1.0 control) - h**p://express.foto.com/sfuploader/speeduploader.cab
(o17) - hklm\system\ccs\services\tcpip\..\ {0bf04b88-dd77-4032-ba7c-57a8ca4b09a0} : nameserver = 195.238.2.22 195.238.2.21
(o17) - hklm\system\cs1\services\tcpip\..\ {0bf04b88-dd77-4032-ba7c-57a8ca4b09a0} : nameserver = 195.238.2.22 195.238.2.21
(o23) - Service: avg anti-spyware guard - anti-malware development a.s. - c:\program files\grisoft\avg anti-spyware 7.5\guard.exe
(o23) - Service: avg7 alert manager server (avg7alrt) - grisoft, s.r.o. - c:\progra~1\grisoft\avgfre~1\avgamsvr.exe
(o23) - Service: avg7 update service (avg7updsvc) - grisoft, s.r.o. - c:\progra~1\grisoft\avgfre~1\avgupsvc.exe
(o23) - Service: avg e-mail scanner (avgems) - grisoft, s.r.o. - c:\progra~1\grisoft\avgfre~1\avgemc.exe
(o23) - Service: nvidia display driver service (nvsvc) - nvidia corporation - c:\windows\system32\nvsvc32.exe[/hijack]
 
Hmm terug eringenesteld idd .. :(


doe volgende eens


(druk de stappen best af of noteer ze ergens oid omdat ene deel van de stappen plaatsvinden in de veilige modus (= zonder internet / netwerkverbinding) dus dan kan je niet met die pc op deze pagina komen ivm de stappen)


Download ATF Cleaner van Atribune
http://www.atribune.org/ccount/click.php?id=1
Dit dient om allerlei tijdelijke, onnodige bestanden die zich opstapelen op de pc, eens goed en veilig op te schonen (enkel voor Windows 2000/XP)
* dubbelklik ATF-Cleaner.exe
* onder "main": selecteer alles
* klik dan knopje "empty selected"


Installeer AVG antispyware
installeren en de updates ophalen en de settings zo zetten zoals in onderstaand postje,
http://www.softcity.nl/showthread.php?t=22349
maar nog niet scannen,
dus tot en met "- onder Reports, selecteer automaticly ..."
Maar lees wel even dat postje verder uit zodat je een idee hebt van de scan en stappen erna als je 'm straks laat scannen in veilige modus


Herstart de PC in de veilige modus
Opstarten in veilige modus (zonder netwerkmogelijkheid) bij XP = Bij opstart, nog voor het verschijnen van het windows-logo scherm met dat vooruitgangsbalkje ed.., een 2-tal keer op de toets "F8" klikken en verder de aanwijzingen onderaan op het scherm volgen: (kiezen voor "opstarten in veilige modus") totdat je op het bureaublad uitkomt dat er wel wat anders uitziet dan dat in de normale modus (geen achtergrondafb., grotere iconen, ... )


Fix met HJT volgende regels

* Open HJT in de veilige modus
* maak een nieuwe scan
* vink daarin enkel onderstaande regels aan
* klik op fix checked
(o4) - HKLM\..\Run: [ms windows executor process] msexecp32.exe
(o4) - hklm\..\runservices: [ms windows executor process] msexecp32.exe
(o4) - HKCU\..\Run: [ms windows executor process] msexecp32.exe

Verborgen mappen/bestanden laten weergeven
Ga naar Start --> configuratiescherm --> ( 'Klassieke Weergave' ) --> Mapopties --> tabbladje "Weergave", scrollen naar bijna helemaal beneden --> "verborgen bestanden en mappen weergeven" AANduiden. Bij "Extensies voor bekende bestandstypen verbergen" het bolletje WEGdoen--> ok


verwijder de rood aangegeven bestanden van je PC
indien (nog) aanwezig:
c:\windows\system32\msexecp32.exe <--- deze .exe
c:\windows\system32\j.exe <--- deze .exe
c:\windows\system32\MSDHCP32.exe <--- deze .exe

Doe daarna, in veilige modus nog steeds, de scan met AVG antispyware
- dus AVG antispyware openen in veilige modus (als je geen bureaubladsnelkoppeling hebt ervoor, kan je het terugvinden via start > alle programma's > avg antispyware)
- tabje "scan" > complete system scan
- na de scan nog eens checken of hij alles naar qurantaine laat zetten (behalve evtl aangetroffen tracking cookies ed.. die worden standaard meteen gedelete)
- apply all actions knopje klikken
- save report klikken


Herstart dan de PC


Maak en post een nieuw HJTlogje


En het resultaat van avg antispyware
terug te vinden bij :
- dubbelklik "deze computer"
- dubbelklik de c:\
- dubbelklik "program files"
- dubbelkik "grisoft"
- dubbelklik "avg anti spyware 7.5"
- en dan daarin het mapje "logs" of "reports"
- en dan het logje van in de veilige modus openen en inhoud kopiren en meeposten in je volgende reactie


Succes :)
 
Hey,

Heb gisteren na je post alles gedaan en het logje zag er nu wel netjes uit - probleem is echter dat ik nu maar een paar seconden kan surfen vooraleer de verbinding blok zit - dus kon ik net op het forum komen maar posten lukte niet.

Weet niet of dit nog iets met de trojan te maken heeft? Heb alls gechecked - geen hardware-conflicten of zo.
PC start op (weliswaar zeer traag) mijn thompson adslmodem initialiseert zoals hij hoort te doen tot hij operationeel is.
Ik maak een verbinding alles lukt - rechtsonder de verbinding status zichtbaar - begin te surfen en daarna zit hij blok. Alles lijkt nochtans nog operationeel de modem en de verbinding. Maar eens dit punt bereikt kan ik de verbinding niet verbreken. Heb ook geprobeerd andere USB-poorten te nemen (je weet maar nooit) maar dit was bij allemaal hetzelfde.

Heb sedert het begin constant vanalles verwijderd - java -games - P2P-prog.

Komt dit u bekent voor? Voor de rest werkt hij dan naar behoren alleen de internetverbinding werkt niet ( en alle facturen zijn betaald)
(oh ja en nu zit ik op mijn werk vandaar de post)
 
Laatst bewerkt door een moderator:
Dat is raar ? Het komt me niet meteen bekend voor , maar we zullen eens zien wat het kan zijn, ik vermoed dat het nog met de malware te maken zal hebben.

Probeer volgende eens als je thuis bent :

* start > configscherm > netwerkverbindingen
* rechtermuisklik op je actieve netwerverbinding (lan) > kies "herstellen"
Helpt dat evtl al ? zal je mss ook al geprobeerd hebben, maar probeer nog eens


Kan je een nieuw HJTlogje maken en posten ? Je hoeft het dan gezien de korte tijd dat je online kan zijn telkens alvoor het blokkeert, niet eerst te coderen, zal het wel eventjes doen als het er staat (als dat lukt om het in de korte tijdspanne te posten)
Als je problemen blijft hebben, herstart de PC in de veilige modus met netwerkmogelijkheid (Bij opstart, nog voor het verschijnen van het scherm met Windows logo en vooruitgangsbalkje een 2 tal keer snel op de F8 toets klikken en uit het startmenu kiezen voor "veilige modus met netwerkmogelijkheid, en zo verder doorstarten), heb je dan ononderbroken internet ?
Kan je je HJTlogje dan eens posten ? Maak evtl ook een tweede, in de veilige modus, en post dat ook mee, alsook het avg antispyware logje (evtl avg antispyware opnieuw laten scannen in de veilige modus en dat logje meeposten)


Download en gebruik ook eens IEfix als je nog steeds last er van hebt, helpt dat ? :

http://windowsxp.mvps.org/IEFIX.htm
* na download het zip mapje uiitpakken en op iefix.exe klikken
* dan "apply" klikken
* Best de windows cdrom bij de hand houden ingeval daar om wordt (als je die niet hebt, klik dan bij die vraag gewoon ok en blader indien/wanneer er naar een bestand gevraagdwordt (bv iexplorer.exe) naar de "repair mappen die op je pc zelf staan om het gevraagde bestandje te openen, dit zijn bv de mappen c:\i386 , c:\windows\i386, c:\windows\Inf\i386, c:\windows\downloaded program files\i386) waar je naar kan bladeren om te kijken of het gevraagde bestand aanwezig is (als het niet in c:\i386 staat, ga dan kijken bij c:\windows\i386 enz..) daarin en het te openen in iefix)
* Dan gewoon ok klikken en verder laten z'n werk doen, na een paar minuutjes komt er dan op wanneer het completed is
* herstart dan de pc


Succes :)
 
nu lukt het nog dus hier de log:

[hijack]Logfile of HijackThis v1.99.1
scan saved at 18:23:32, on 20/11/2006
platform: windows xp (winnt 5.01.2600)
msie: internet explorer v6.00 (6.00.2600.0000)
browser: Mozilla Firefox 2.0
ColorCoder Build: 4021a


Running Processes:
c:\windows\system32\smss.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\explorer.exe
c:\windows\system32\spoolsv.exe
c:\program files\thomson\speedtouch usb\dragdiag.exe
c:\program files\support.com\bin\tgcmd.exe
c:\progra~1\grisoft\avgfre~1\avgcc.exe
c:\program files\adobe\acrobat 5.0\distillr\acrotray.exe
c:\program files\grisoft\avg anti-spyware 7.5\guard.exe
c:\progra~1\grisoft\avgfre~1\avgamsvr.exe
c:\progra~1\grisoft\avgfre~1\avgupsvc.exe
c:\progra~1\grisoft\avgfre~1\avgemc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\svchost.exe
c:\program files\webroot\spy sweeper\spysweeper.exe
c:\windows\system32\mspmspsv.exe
c:\windows\system32\wuauclt.exe
c:\documents and settings\michael djalti\bureaublad\hjt\hijackthis.exe

(r1) - hkcu\software\microsoft\internet explorer\main,search bar = h**p://www.belcast.be/nl/search/ie5.html
(r1) - hkcu\software\microsoft\internet explorer\main,search page = h**p://www.skynet.be/search
(r1) - hklm\software\microsoft\internet explorer\main,default_page_url = h**p://www.belgacom.net
(r1) - hkcu\software\microsoft\internet connection wizard,shellnext = h**p://www.hogent.be/
(r1) - hkcu\software\microsoft\windows\currentversion\internet settings,autoconfigurl = pac.telenet.be:8080
(r0) - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername = koppelingen
(o2) - bho: acroiehlprobj class - {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 5.0\acrobat\activex\acroiehelper.ocx
(o3) - toolbar: &radio - {8e718888-423f-11d2-876e-00a0c9082467} - c:\windows\system32\msdxm.ocx
(o4) - HKLM\..\Run: [nvcpldaemon] "rundll32.exe" c:\windows\system32\nvcpl.dll,nvstartup
(o4) - HKLM\..\Run: [nwiz] "nwiz.exe" /install
(o4) - HKLM\..\Run: [nerofiltercheck] c:\windows\system32\nerocheck.exe
(o4) - HKLM\..\Run: [speedtouch usb diagnostics] "c:\program files\thomson\speedtouch usb\dragdiag.exe" /icon
(o4) - HKLM\..\Run: [tgcmd] "c:\program files\support.com\bin\tgcmd.exe" /server /startmonitor
(o4) - HKLM\..\Run: [avg7_cc] "c:\progra~1\grisoft\avgfre~1\avgcc.exe" /startup
(o4) - Global Startup: acrobat assistant.lnk = c:\program files\adobe\acrobat 5.0\distillr\acrotray.exe
(o9) - extra button: messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
(o9) - extra 'tools' menuitem: windows messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
(o14) - iereset.inf
: start_page_url=h**p://www.belgacom.net
(o16) - dpf: {193c772a-87be-4b19-a7bb-445b226fe9a1} (ewidoonlinescan control) - h**p://download.ewido.net/ewidoonlinescan.cab
(o16) - dpf: {bb21f850-63f4-4ec9-bf9d-565bd30c9ae9} (a-squared scanner) - h**p://ax.emsisoft.com/asquared.cab
(o16) - dpf: {bff1950d-b1b4-4ae8-b842-b2ccf06d9a1b} (zylom games player) - h**p://game05.zylom.com/activex/zylomgamesplayer.cab
(o16) - dpf: {deb21ad3-fda4-42f6-b57d-ee696a675ee8} (ipsuploader control) - h**p://as.photoprintit.de/ips-opdata/74914091/activex/ipsuploader.cab
(o16) - dpf: {fb90ba05-66e6-4c56-bcd3-d65b0f7eba39} (foto.com speeduploader 1.0 control) - h**p://express.foto.com/sfuploader/speeduploader.cab
(o20) - winlogon notify: wrnotifier - c:\windows\system32\wrlogonntf.dll
(o23) - Service: avg anti-spyware guard - anti-malware development a.s. - c:\program files\grisoft\avg anti-spyware 7.5\guard.exe
(o23) - Service: avg7 alert manager server (avg7alrt) - grisoft, s.r.o. - c:\progra~1\grisoft\avgfre~1\avgamsvr.exe
(o23) - Service: avg7 update service (avg7updsvc) - grisoft, s.r.o. - c:\progra~1\grisoft\avgfre~1\avgupsvc.exe
(o23) - Service: avg e-mail scanner (avgems) - grisoft, s.r.o. - c:\progra~1\grisoft\avgfre~1\avgemc.exe
(o23) - Service: nvidia display driver service (nvsvc) - nvidia corporation - c:\windows\system32\nvsvc32.exe
(o23) - Service: webroot spy sweeper engine (webrootspysweeperservice) - webroot software, inc. - c:\program files\webroot\spy sweeper\spysweeper.exe[/hijack]

en report van avg anti spyware

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

A V G A n t i - S p y w a r e - S c a n R e p o r t

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -



+ C r e a t e d a t : 2 0 : 5 0 : 3 1 1 7 / 1 1 / 2 0 0 6



+ S c a n r e s u l t :







N o t h i n g f o u n d .







: : R e p o r t e n d




rest moet ik nog proberen als hij vastzit - bedankt voor de hulp in ieder geval
 
dat ziet er verder toch helemaal clean uit idd :)
(had evtl nog gekunnen dat er iets was met de "winsocks" en dan is dat ook af te lezen uit een HJT logje, maar dat ziet er verder toch goed uit en ook de avg scan heeft niets te melden

We zullen even afwachten dan hoe het verder verloopt met je verbinding dan. :)

(Je Windows is ok niet echt up-to-date, dat zal nu wel niet met het probleem te maken hebben wschl, maar het is (indien mogelijk) wel aan te raden om minstens SP1 te installeren voor Windows XP, omdat dat vele lekken, problemen, .. patcht, en je Windows ook stukken veiliger maakt)
 
Hey , tja chaos hoor. Even uitleggen als ik een hjtlog aanmaak na de opstart en voor mijn internetconnectie is de log clean wacht ik totdat internet vastzit dan ziet het logje eruit als bovenstaande met die microsoft vermelding bij de O4 sleutels . Ik eb deze nog willen posten maar het lukte me nooit - telkens bij het opslaan van mijn post zat deze vast. Ook adaware had weer vanalles gevonden.Ook systeemherstel lukte niet (had ik nog ergens gelezen)

Nu omdat ik toch al alles van mijn PC had gehaald en op mijn externe harde schijf had staan heb ik deze maar geformatteerd en henstalleerd.
Ik moest zeker woensdag online kunnen voor mijn werk dus was het de enige oplossing voor mij.

Vindt he nu wel jammer dat we dit niet hebben kunnen oplossen - wie weet zijn er misschien nog met dit probleem. Weet je die MSexecp32.exe stond bij HJack weer als operationeel maar kon deze niet meer verwijderen.

In ieder geval bedankt voor de snelle hulp telkens
 
Laatst bewerkt door een moderator:
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan