PDA

Volledige versie bekijken : log eens nakijken pls



<|-S@D-|-Z3rO>
19 mei 2005, 18:59
io, had dus een probleem bij software gepost. heb een virus (keylogger trojan, heb al verschillende mensen met enige pc kennis aangesproken en ze kunnen mij niet helpen) da ni weg gaat en er zei iemand download hijackthis en post uw log op da forum. heb het dus gedownload en dit zijn de resultaten (gekopieerd uit da kladblok bestand da'k kreeg) kijk goed naar 04 en de 2 van 020. die zijn namelijk door het virus besmet volgens norton. (mdmm.dll weet ik zeker en bij een scan geeft hij explorer ook aan, ik gebruik wel al een tijdje mozilla)

Logfile of HijackThis v1.99.1
Scan saved at 17:56:52, on 19/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Documents and Settings\Van den Eede\Bureaublad\HijackThis.exe
C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\Program Files\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dyfixcuaonu.com/yUBTPoxmCFtLEbdDymKH0jUP6JJJZW3cihpcRKbr952VLju1Pv 9oY1bNExMTQSr0.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ehadjepgjvkwjthexgmiheyvd.com/yUBTPoxmCFv1BgXat9X2hljg/7LhT_W5qdDsVgRek6Q.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.easywebsearch.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.easywebsearch.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.easywebsearch.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.gnyjpzynnfpvuuzhqpo.org/yUBTPoxmCFv1BgXat9X2hoEqf9016raDqdDsVgRek6Q.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.pandora.be:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5FD6695A-CA0E-F6D1-0CBA-6A5246924476} - C:\DOCUME~1\VANDEN~1\APPLIC~1\OPENCI~1\Forkpeak.ex e
O2 - BHO: Fast cdrom admin - {6F41873C-5844-FE50-A83D-B6D350074A7B} - C:\PROGRA~1\OPENCI~1\coolfirst.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Multi stupid - {6A40C16B-9F6B-8F4E-5031-0E2B2ADCA4E2} - C:\PROGRA~1\OPENCI~1\coolfirst.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [fgmozngtsu] C:\WINDOWS\System32\efprboyh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AdminDefyWebUp] C:\Documents and Settings\All Users\Application Data\More new admin defy\FACEEXIT.exe
O4 - HKLM\..\Run: [mdmm] C:\WINDOWS\System32\mdmm.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [Meet type] C:\DOCUME~1\VANDEN~1\APPLIC~1\PINGIN~1\managergrid link.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Gelijkwaardige pagina's - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - http://s7.blingblingcontent.com/toolbarcash/activex/easywebinstaller.ocx
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - http://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://www.e-sexcash.com/plugin/019/neukjejufsufnl.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - Winlogon Notify: explorer - C:\WINDOWS\SYSTEM32\explorer.dll
O20 - Winlogon Notify: mdmm - C:\WINDOWS\SYSTEM32\mdmm.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

ik hoop dat jullie me kunnen helpe.

(btw: alsek pc opzet hebbek 2 mogelijkheden voor een reboot scherm, heb een nieuw gedownload, maar mijn keyboard en muis werken dan nog ni dus meot ik 30sec wachten, weet iemand hoe ik dit kan veranderen?)

shimbayi
19 mei 2005, 20:18
Opstarten in veilige modus en de volgende regels uit je log verwijderen. In veilige modus eveneens de bestanden verwijderen die in deze regels vermeld worden. Opnieuw opstarten en een nieuwe log posten om te zien of alles weg is.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dyfixcuaonu.com/yUBTPoxmCFtL...bNExMTQSr0.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ehadjepgjvkwjthexgmiheyv...dDsVgRek6Q.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.easywebsearch.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.easywebsearch.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.easywebsearch.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.gnyjpzynnfpvuuzhqpo.org/...dDsVgRek6Q.html
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5FD6695A-CA0E-F6D1-0CBA-6A5246924476} - C:\DOCUME~1\VANDEN~1\APPLIC~1\OPENCI~1\Forkpeak.ex e
O2 - BHO: Fast cdrom admin - {6F41873C-5844-FE50-A83D-B6D350074A7B} - C:\PROGRA~1\OPENCI~1\coolfirst.dll (file missing)
O3 - Toolbar: Multi stupid - {6A40C16B-9F6B-8F4E-5031-0E2B2ADCA4E2} - C:\PROGRA~1\OPENCI~1\coolfirst.dll (file missing)
O4 - HKLM\..\Run: [fgmozngtsu] C:\WINDOWS\System32\efprboyh.exe
O4 - HKLM\..\Run: [AdminDefyWebUp] C:\Documents and Settings\All Users\Application Data\More new admin defy\FACEEXIT.exe
O4 - HKLM\..\Run: [mdmm] C:\WINDOWS\System32\mdmm.exe
O4 - HKCU\..\Run: [Meet type] C:\DOCUME~1\VANDEN~1\APPLIC~1\PINGIN~1\managergrid link.exe
10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - http://s7.blingblingcontent.com/too...ebinstaller.ocx
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - http://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://www.e-sexcash.com/plugin/019/neukjejufsufnl.exe
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JA...loadManager.ocx
O20 - Winlogon Notify: explorer - C:\WINDOWS\SYSTEM32\explorer.dll
O20 - Winlogon Notify: mdmm - C:\WINDOWS\SYSTEM32\mdmm.dll

<|-S@D-|-Z3rO>
19 mei 2005, 20:22
hoe doe ik da in veilige modus?

shimbayi
19 mei 2005, 22:21
Bij het opstarten van de computer op F8 drukken als je onderaan het scherm de witte balk ziet. Op die manier start je op in veilige modus. Daar run je hijackthis en verwijder je de regels die ik vermeld en ook de bestanden die vermeld worden in die regels.

<|-S@D-|-Z3rO>
21 mei 2005, 11:20
kan geen een bestand van die dinges vinden om te verwijderen :s kan er iemand zegge waar da die ongeveer staan want HKCU enzo vind ik niet.

shimbayi
21 mei 2005, 15:19
Die zal je ook niet vinden. Je moet degene verwijderen die bij O2, O3, O4 en O20 staan. Het kan zijn dat je verborgen systeembestanden ook moet weergeven om ze te kunnen zien.

<|-S@D-|-Z3rO>
22 mei 2005, 12:02
merci voor de hulp maar ik heb mijn pc binnengedaan in een winkel, in veilige modus kreeg ik mdmm.dll enzo ook niet verwijdert. volgens die mensen zit het op de harde schijf ofzo en ze gingen die eruit halen hebben ze gezegt. ma toch bedankt voor de hulp :).