Archief - virus probleem (hijack log)

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
T

TechnoGuardian

Legacy Member
ok ik heb dus een probleem mijn virusscanner zegt constant dat ik een virus heb en als ik dan een test uitvoer vind hij niks :wtf:

nu heb ik dus een hijack log gemaakt hopelijk kan iemand mij hiermee helpen :-)

Logfile of HijackThis v1.97.7
Scan saved at 15:49:25, on 4-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ANTIVI~1\AVG6\avgserv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\REMOTE~1\VGA STORE.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Appz\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\StartupMonitor.exe
C:\Appz\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\ANTIVI~1\AVG6\avgcc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ISP Monitor\isp.exe
C:\Program Files\LookNMeet\Agent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Appz\SpywareGuard\sgmain.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Appz\SpywareGuard\sgbhp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Appz\Winamp\winamp.exe
C:\Documents and Settings\Techno Inside\Bureaublad\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.pandora.be:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: AdsManager Class - {D1C8F9CE-563E-11D8-813C-005022E14DE2} - C:\Program Files\LookNMeet\AddAPI.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Appz\SpywareGuard\dlprotect.dll
O2 - BHO: System - {D1C8F9CE-563E-11D8-813C-005022E14DE2} - C:\Program Files\LookNMeet\AddAPI.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: TeamNewLog - {CE9A919F-2C74-EDB7-F74A-B2455A1D813E} - C:\PROGRA~1\WIPEIN~1\drive does.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Appz\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [Mix manager] C:\PROGRA~1\REMOTE~1\VGA STORE.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CXMon] "C:\Appz\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Appz\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVG_CC] C:\ANTIVI~1\AVG6\avgcc32.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ISPMonitor] C:\Program Files\ISP Monitor\isp.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [LookNMeet] C:\Program Files\LookNMeet\Agent.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Appz\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Appz\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\Appz\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: LookNMeet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for ¸æ¢: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: FortisCzPc - https://www.fortisbanking.be/FortisCzPC.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://www.telenet.be/gamezone/classes/ExentCtl.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/7d90ae05585062/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38092.4349189815
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {C9A703E2-3145-11D8-813C-005022E14DE2} (Installer Class) - http://www.looknmeet.be:8080/lnm_v4/agent/LNMAgentInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28177.cab
j

j .

Legacy Member
O3 - Toolbar: TeamNewLog - {CE9A919F-2C74-EDB7-F74A-B2455A1D813E} - C:\PROGRA~1\WIPEIN~1\drive does.dll
toolbar in IE, onbekend op inet, verwijderen als je niet weet wat het is

O4 - HKLM\..\Run: [Mix manager] C:\PROGRA~1\REMOTE~1\VGA STORE.exe ook onbekend, weet je wat het is?

Overbodig:
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe zoekt naar updates voor java
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE om iets van creative labs te registreren

Verder is het log in orde (tenzij een systeembestand zelf is aangetast). Krijg je geen specifieke waarschuwing van je antivirus?
T

TechnoGuardian

Legacy Member
deze foutmelding krijg ik elkes keer

virus infected:
file c:\system volume information\_restore{83522A9D-CAAD-49E7-B464-5DD8DF8AAC9}\RP161\A0037310.exe

vertel mich nu es wa da is want das beetje chinees voor mij zenne :crazy: :eek:
p

pyRomAni@c

Legacy Member
TechnoGuardian zei:
deze foutmelding krijg ik elkes keer

virus infected:
file c:\system volume information\_restore{83522A9D-CAAD-49E7-B464-5DD8DF8AAC9}\RP161\A0037310.exe

vertel mich nu es wa da is want das beetje chinees voor mij zenne :crazy: :eek:
Klik om te vergroten...

als je dat scant met virusscanner kan je het virus er daarna toch met virusscanner verwijderen doe dat dan of ben ik nou dom :confused:
T

TechnoGuardian

Legacy Member
jaja als ik da nu es kon scannen ja

als ik die map zoek bij zoeken vind die de map nog nie eens :s

anders was het ook wel opgelost hoor :-)
P

Prior

Legacy Member
bij mijn weten peins ik dat ge dat niet kunt scannen, die exe file ligt in uw systeem , ergens op nen apart stuk van uw harde schijf peins ik, ge weet wel , bij "defragmentatie tool ziet ge iconen van systeem files da niet zichtbaar is in uw gewone mappen"

ma als gij nu es gaat naar opties in uw windows verkenner of Deze computer en ge kiest bij opties, folder opties, doe ne keer een vinkje zetten bij "show hidden folders and files"

krijgt ge dan et zo niet te zien?
indien zoja, scan het, gaat het nie, shift+delete en verwijder et manueel

indien nog niet werken: enigste wat ik zou doen is : full format c: :unsure:
j

j .

Legacy Member
Dat is de map van systeemherstel van XP. Je hebt een virus in een backup.

Ga naar start>configuratiescherm>systeem>systeemherstel en vink systeemherstel op alle stations uitschakelen aan. Herstart. Let wel, je bent dan al je herstelpunten kwijt.

Scan nu in veilige modus, het virus zal nu normaal verwijderd worden.

Als alles in orde is, systeemherstel terug aanzetten en een herstelpunt maken.
T

TechnoGuardian

Legacy Member
ja das dus het probleem hé ik scan maar die vind niks maar als die ff opstaat krijg ik die waarschuwing

heb nu systeemherstel uitgezet en opnieuw opgestart en daarna maar een herstelpunt gemaakt

we zulle zien of het is gelukt hé

ik hou jullie op de hoogte :baard:
T

TechnoGuardian

Legacy Member
ok thx man geen problemen meer gehad ik hoop dat het zo gaat blijven
:applause: :applause: :applause:
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan