Hijack this

Hey,

De laatste tijd hoor ik steeds meer mensen over virussen die ze niet met hun virusscanner kunnen verwijderen. Mede hierom blaas ik deze thread nieuw leven in.
Ik hoop wel dat er nu kan worden doorgegaan zonder gezeur, want ik heb nu mijn HJT diploma binnen, en kan jullie dus nu goed helpen
Ik


Als jullie virussen/ongewenste toolbars/malware/etc. op jullie PC hebben, dan is dat met een hijack this log te verwijderen!

Wat is Hijack this?
Er bestaat een progje genaamd Hijack This (HJT), ontwikkeld door Merijn Bellekom en voortgezet door TrendMicro, waar uit gelezen kan worden welke spyware op je pc zit. Het toont oa. de opstart-items, services, toolbars, actieve processen, ... van de pc. Nadat je hijackthis start en op de "scan" knop drukt, komt dit in een lange lijst te staan. In deze lijst kunnen verdachte items staan, die duiden op spyware, dialers, trojans of andere malware. Welke en hoe je die moet verwijderen, hoor je van ons. Niet alle regels uit deze lijst zijn dus kwaadaardig!! De meeste (zoniet alle bij en "clean logje") regels zijn legitiem, en sommigen zelfs essentieel voor de goede werking van je windows/pc.




Is alles wat op deze lijst staat fout?
NEEN! Zie ook vorige puntje. Het programma laat alle opstart-items en actieve en geladen processen/services zien, dus ook de goede/nodige. Er staan dus ook tal van legitieme items tussen die niet "gefixt" mogen worden! HijackThis kan zelf niet bepalen wat er fout of goed is, het geeft slechts een uitdraai van oa. bepaalde sectoren in het register waar malware zich gaat nestelen, maar daar zitten dus ook de "goede" onderdelen bij.


Maak een logje met HijackThis
Download de installer van Hijackthis 2.0.2 : HJTInstall.exe (TrendMicro)
Kies bij download voor "Opslaan" en sla op naar bv. het bureaublad. (Achteraf kan je deze installer weer verwijderen)
Dubbelklik HJTInstall.exe, en volg de installatiestappen. Standaard zal HijackThis in de map c:\program files\trendmicro komen te staan, en een snelkoppeling op het bureaublad worden aangemaakt). Als de installatie voltooid is, opent HijackThis automatisch.
Klik op "Do a system scan and save a logfile".
Na enkele seconden opent een kladblokbestandje met het HJT logje. Kopieer de volledige inhoud hiervan (Bewerken > Alles selecteren, dan Bewerken > Kopiëren)
Lever er ook een uninstall log bij!

alles is gekopieerd van nationaalcomputerforum.nl


Ik zal Jullie proberen te helpen om de virussen van jullie PC's te verwijderen!

Gr Daan

 

Toch nog even zeggen, door middel van Hijack this logjes en het maken van fixes kan permanente schade aanrichten aan je computer. Ik raad je aan (als je een virus hebt en dit niet via anti spyware/malware programma's verwijderd kan worden) om naar www.nucia.nl te gaan, dit zijn mensen die een "opleiding/cursus" HJT hebben gehad en je deskundig advies kunnen geven omtrend HJT.

Zelf modereer ik op een forum waar we ook problemen gehad hebben met HJT logjes/fixes, ik spreek uit ervaring.

 

Ik kan ze zelf ook lezen hoor.. Ben hier zeer actief mee op het NCF

 

Neem aan dat dat voor Nucia Forum staat oid? Als je zo'n gecertificeerd lezer bent is 't allemaal best, maar ik hoop dat je het met me eens bent dat als elke 'noob' zomaar logjes gaat aflezen en fixes gaat maken er wat fout kan gaan met je PC.

 

denk idd dat "noobs" beter de housecall van Trend Micro kunnen gebruiken en evt later pas Hijack moeten gaan proberen,.. je kan toch vrij gemakkelijk je OS om zeep helpen

 

Denk dat het staat voor nationaalcomputerforum. Die link noemt hij in ieder geval in zijn startpost.

 

Ok, @Daan mag ik vragen of je zo'n nucia cursus gedaan hebt?

 

Jup NCF staat idd voor Nationaalcomputerforum.
Ik heb geen Nucia cursus gedaan, maar wij leren dit ook op school(ICT opleiding)

 

Ik heb me zelf ook ooit verdiept in het Hijack This fenomeen. Super programma, handig, duidelijk en efficiënt. Met behulp van Google en Castlecops kan je vrijwel alle spyware/trojans aan. Zelf gebruik ik Hijack This wel eens voor mijn eigen pc en help ik vrienden met flink geïnfecteerde pc's. Mensen op internet adviseren durf ik niet (meer) aan. Hijack This is namelijk een vaardigheid die je moet bijhouden wil je het effectief kunnen blijven uitoefenen. Je kennis is na een halfjaar alweer out-dated. Daarom raad ik iedereen ook altijd aan Nucia/Spywareinfo o.i.d. te gebruiken voor log-analysatie. Hijack This is leuk om te leren, soort van puzzeltjes die je elke keer weer oplost! Als je enigzins interesse in computers/spyware removal hebt is het leuk om je erin te verdiepen!

 

iig nooit zelf zomaar kloten als je dr de ballen verstand van hebt. Hoe vaak ik mensen wel niet zie met PC's met allerlei tools als ccleaner (redelijk onschuldig maar toch..), 'automatische' registry cleaners en tools zoals hijack this dus. En voor je een actie uitvoerd zeker weten dat je een goeie back-up hebt. Want in 99,999999% van de gevallen heeft de normale Jan geen back-up. Cd's branden, externe disk maar beste nog altijd wel ook al je shit op je Gmail zetten (grote bestanden gaat wat lastiger, maar hoe vaak ik klanten niet moet helpen voor het overzetten van een werkstuk of scriptie nadat de disk is gecrashed of problemen veroorzaakt door zaken als spyware)

 

Bumpje, kan een mod de berichten hierboven verwijderen, zodat het topic weer schoon is?

 

Als eerste heb Malwarebytes laten scannen.
Dit is een volledige scan.

Malwarebytes' Anti-Malware 1.41
Database versie: 2915
Windows 5.1.2600 Service Pack 3

6-10-2009 18:14:05
mbam-log-2009-10-06 (18-13-5.txt

Scan type: Volledige Scan (C:\|D:\|)
Objecten gescand: 203847
Verstreken tijd: 54 minute(s), 55 second(s)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 1
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> No action taken.

Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Dit is mijn Hijack this log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:14:52, on 6-10-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.2107
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.61.3.3:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX9400F Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICFE.EXE /FU "C:\WINDOWS\TEMP\E_S337.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--
End of file - 6747 bytes

Ik hoop dat je er wat aan hebt Daan, en me kan helpen.

Alvast vriendelijk bedankt!

 

Hey,

Verwijder de volgende regels:
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

En over dat MBAM logje, Je moet die regel wel verwijderen, of kon dit niet?

Groetjees

 

Waarom moet hij die 016 verwijderen in jou mening?

 

Omdat het bestand niet meer nodig is.

 

In welke zin dan niet? Het is gewoon een legit bestand welke gerelateerd is aan Adobe. De nofile is een dode registeryentry die inderdaad overbodig is om te laten staan maar waarom zou je je legitieme bestanden verwijderen?

Want dan zou je deze er bijv ook uit kunnen rammen:

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

In ieder geval lost het verwijderen van deze 2 entry's het probleem niet op. Waar het probleem zit kan ik ook niet vinden .

 

Nee, idd ik kan niks vinden in het logje. MBAM vind wel wat, maar die verwijderd hij niet toch?

 

Nieuw logje (na het opnieuw opstarten van de computer) als er nog problemen zijn. Ben benieuwd.

En wat betreft MBAM, op die geinfecteerde registersleutel is "no action taken", onderneem even actie en laat 'm verwijderen door MBAM.

 

Ik had gelijk de geinfecteerde registersleutel verwijderd hoor

Dus ik weet niet wat ik moet doen.

Is het noodzakelijk om die 2 dingen van Hijack this te verwijderen?

 

Niet noodzakelijk, maar je kunt het het beste wel doen..