PDA

Volledige versie bekijken : wat mag er weg?



RaZoR^911
8 juli 2004, 14:15
Ik zit hier bij ne maat zijn pc, en hij zit mee massas veel spyware:

heb net een hijackthis scan uitgevoerd, wat mag er weg?

Logfile of HijackThis v1.97.7
Scan saved at 14:13:11, on 8/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\ford beep noun\seek loud.exe
C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\sp.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Globe Software\StatBar\StatBar.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Jens\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/index.html?http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://messenger.microsoft.com/nl
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: (no name) - {9CCADB93-5779-E70E-9067-1C471723373E} - C:\PROGRA~1\FILMTI~1\greyonce.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: (no name) - {EE392A64-F30B-47C8-A363-CDA1CEC7DC1B} - c:\windows\EXPLOR~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: amen creative - {4354C295-15B4-6886-5254-BA3AD61DA4E8} - C:\PROGRA~1\FILMTI~1\greyonce.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Plansetup] C:\PROGRA~1\ford beep noun\seek loud.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [sp] C:\sp.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [StatBar] C:\Program Files\Globe Software\StatBar\StatBar.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Sibi
8 juli 2004, 14:21
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL


Die mag al zeker weg.
Voor de rest, ken ik er niet genoeg van om te zeggen wat OK is en wat niet. Daarvoor zal je ff moeten wachten op de rest vant forum.
Wat mij hier wel telkens opvalt, is dat die HiJackThis-logfiles hier altijd heel veel weergeven.
Als ik mijn systeem scan krijg ik hooguit 25 regels, meer niet. En hier zie ik altijd van die "bladzijden lange" HijackThis-scans.

*edit*
Net eens gescand--->18 regels maar (wel zonder de op het moment draaiende *.exe's hé)

Exit
8 juli 2004, 14:39
C:\sp.exe
C:\WINDOWS\htpatch.exe
C:\PROGRA~1\ford beep noun\seek loud.exe

tenzij gekend

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/index.html?http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
MOET veranderen!! => cwshredder eens draaien, of spy sweeper

---------------------
O2 - BHO: (no name) - {9CCADB93-5779-E70E-9067-1C471723373E} - C:\PROGRA~1\FILMTI~1\greyonce.dll
O2 - BHO: (no name) - {EE392A64-F30B-47C8-A363-CDA1CEC7DC1B} - c:\windows\EXPLOR~1.DLL
O3 - Toolbar: amen creative - {4354C295-15B4-6886-5254-BA3AD61DA4E8} - C:\PROGRA~1\FILMTI~1\greyonce.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Plansetup] C:\PROGRA~1\ford beep noun\seek loud.exe
---------------------
niet zekers van ....

j .
9 juli 2004, 01:47
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/index.html?http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
Ga naar http://mysearchnow.com, klik op help en download hun uninstaller(s).
(spybot of adaware krijgen het waarschijnlijk ook weg)

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe mag alleen weg als je geen hyperthreading gebruikt
O2 - BHO: (no name) - {9CCADB93-5779-E70E-9067-1C471723373E} - C:\PROGRA~1\FILMTI~1\greyonce.dll onbekend op inet, verwijderen tenzij je weet wat het is
O2 - BHO: (no name) - {EE392A64-F30B-47C8-A363-CDA1CEC7DC1B} - c:\windows\EXPLOR~1.DLL als vorige, zeer verdacht
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe weg
O4 - HKLM\..\Run: [Plansetup] C:\PROGRA~1\ford beep noun\seek loud.exe
zeer verdacht
O4 - HKCU\..\Run: [sp] C:\sp.exe weg


O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe onschuldig, mogelijk noodzakelijk

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
kan een probleem zijn, hangt af van de pc-instellingen; als alles goed werkt en er is niets verdachts meer, laten staan

N.B. Zet wat beveiliging op na afloop: zie sticky.

RaZoR^911
9 juli 2004, 09:40
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/index.html?http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
Ga naar http://mysearchnow.com, klik op help en download hun uninstaller(s).
(spybot of adaware krijgen het waarschijnlijk ook weg)

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe mag alleen weg als je geen hyperthreading gebruikt
O2 - BHO: (no name) - {9CCADB93-5779-E70E-9067-1C471723373E} - C:\PROGRA~1\FILMTI~1\greyonce.dll onbekend op inet, verwijderen tenzij je weet wat het is
O2 - BHO: (no name) - {EE392A64-F30B-47C8-A363-CDA1CEC7DC1B} - c:\windows\EXPLOR~1.DLL als vorige, zeer verdacht
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe weg
O4 - HKLM\..\Run: [Plansetup] C:\PROGRA~1\ford beep noun\seek loud.exe
zeer verdacht
O4 - HKCU\..\Run: [sp] C:\sp.exe weg


O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe onschuldig, mogelijk noodzakelijk

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
kan een probleem zijn, hangt af van de pc-instellingen; als alles goed werkt en er is niets verdachts meer, laten staan

N.B. Zet wat beveiliging op na afloop: zie sticky.


k, kzal het hem doorzeggen, mja

zen pc is wrs tweedehands gekocht omdat er al een hele casemodding aanzit als hij hem kocht, en eeh, is het normaal dat je bij een "nieuwe" pc, je scant met adaware al direct 117 bestanden vindt? :wtf:

stoofvlees
9 juli 2004, 16:17
spybot 1.3 is ook wel nog goe, ge kunt rechstreeks naar die file gaan moest ze niet via het prog weggewerkt worden.
greets

j .
9 juli 2004, 18:46
is het normaal dat je bij een "nieuwe" pc, je scant met adaware al direct 117 bestanden vindt?

Kan zijn: v.b. kazaa installeren, wat onbeschermd rondsurfen,...
Let wel, ad aware telt ook cookies mee, en je hebt vrij snel 117 "onschuldige" cookies.