Archief - computer infected!!! pleaze help

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.

humpty hump

Legacy Member
Logfile of HijackThis v1.99.1
Scan saved at 21:08:00, on 5/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Program Files\SpyAxe\spyaxe.exe
C:\Program Files\SpyAxe\spyaxe.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\macromed\flash\GetFlash.exe
C:\Documents and Settings\Wimpie\My Documents\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.telenet.be
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.telenet.be
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telenet Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.telenet.be:8080
O1 - Hosts: 69.50.166.11 google.co.uk
O1 - Hosts: 69.50.166.11 google.es
O1 - Hosts: 69.50.166.11 google.com.au
O1 - Hosts: 69.50.166.12 www.go.com
O1 - Hosts: 69.50.166.12 go.com
O1 - Hosts: 69.50.166.13 astalavista.com
O1 - Hosts: 69.50.166.13 www.astalavista.com
O1 - Hosts: 69.50.166.13 astalavista.box.sk
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp875E.tmp
O4 - HKLM\..\RunServices: [WinProfile] sndcfg16.exe
O8 - Extra context menu item: Download with NetPumper - C:\Program Files\NetPumper\AddUrl.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Microsoft AntiSpyware helper - {32EDB87C-29F6-43A5-9C61-13D59ECCC3EE} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {32EDB87C-29F6-43A5-9C61-13D59ECCC3EE} - (no file) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45AEB4AD-AA5B-4B83-A4FF-2EF6B78BB91E}: NameServer = 85.255.116.21,85.255.112.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{D667885A-9A6A-4460-ACE5-021334D82590}: NameServer = 85.255.116.21,85.255.112.210
O17 - HKLM\System\CS1\Services\Tcpip\..\{45AEB4AD-AA5B-4B83-A4FF-2EF6B78BB91E}: NameServer = 85.255.116.21,85.255.112.210
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Jurgenv1

Legacy Member
Het is zeer belangrijk dat je álle stappen zorgvuldig uitvoert en dat ook in deze volgorde doet. Print de instructies even uit of sla ze op in een tekstbestandje, want als je straks in veilige modus bent kun je deze site niet raadplegen (want dan heb je geen internetverbinding).


1. Download smitRem.exe en sla dit op op het Bureaublad.
Dubbelklik op het bestand om het uit te pakken naar zijn eigen map op het Bureaublad.

2. Download roguescanfix.exe, en sla het op op je Bureaublad.
Dubbelklik op roguescanfix.exe om het installeren.

3. Download, installeer en update de gratis trial versie van Ewido anti-malware
  • Tijdens de installatie, onder "Additional Options", haal je de vinkjes weg bij "Install background guard" en "Install scan via context menu".
  • Als je Ewido voor de eerste keer runt, zul je een foutmelding krijgen "Database could not be found!". Klik dan op OK. Dit is normaal.
  • In het hoofdscherm van Ewido, klik je op update in het linker menu, en vervolgens op de Start update knop.
  • Als de updates gedaan zijn, zal er op de statusbalk beneden "Update successful" staan.
  • Sluit Ewido. Laat het nog niet scannen
4. Start de computer in veilige modus.
(Kijk hier eventueel voor uitleg.)

De stappen 5 t/m 7 nu in veilige modus uitvoeren!

5. Open de SmitRem map, die op je bureaublad staat.

Dubbelklik op RunThis.bat om het programma uit te voeren.
Volg de instructies op het scherm. Wacht tot het helemaal klaar is - dit kan een poosje duren, wees geduldig.
(Schrik niet als je taakbalk e.d. even verdwijnen, dat is normaal.)

6. Open Ewido Security Suite
  • klik op Scanner
  • Klik op complete system scan
  • Laat het programma je pc scannen (NB: de scan kan lang duren!)
Tijdens de scan zal je gevraagd worden of je gevonden bestanden wilt verwijderen. Klik dan op OK
Als de scan beëindigd is, zul je een knop zien: Bewaar rapport
  • Klik op Bewaar rapport
  • Sla het rapport op op je bureaublad
  • Sluit Ewido af
7. Ga naar Start -> configuratiescherm -> vormgeving en thema's (als dat er niet staat moet je even op "Categorieweergave" klikken) -> bureaublad -> bureaublad aanpassen -> Website -> verwijder alles wat daar eventueel staat (behalve "Mijn huidige pagina").

8. Herstart de computer in 'normale modus'.

9.Open daarna de map roguescanfix, en dubbelklik op run.bat.
De icoontjes zullen van je Bureaublad verdwijnen, en daarna terug verschijnen. Dit is normaal.
Wacht tot je de boodschap ""Completed script execution" krijgt, en klik dan op OK.
Klik vervolgens op "Exit" om bfu af te sluiten.
Tot slot: klik op "OK" om de uninstaller van Spyfalcon en/of Spywarequake te starten, en klik dan op "uninstall".
OPGELET: Je zal ook een vraag krijgen of je de pc nu opnieuw wil opstarten. Zorg er eerst voor dat de uninstallers hun werk hebben gedaan, en klik dan pas op "JA".

9. Plaats hier in je volgende bericht
  1. het log van SmitRem (dat is C:\smitfiles.txt);
  2. het rapport van de Ewido scan;
  3. een nieuw HijackThis-log.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan