Hijack this

Discussie in 'PC, Handheld & Algemeen' gestart door Daantjuhh14, 28 jan 2009.

  1. Daantjuhh14

    Daantjuhh14 Guest

    Hey,

    De laatste tijd hoor ik steeds meer mensen over virussen die ze niet met hun virusscanner kunnen verwijderen. Mede hierom blaas ik deze thread nieuw leven in.
    Ik hoop wel dat er nu kan worden doorgegaan zonder gezeur, want ik heb nu mijn HJT diploma binnen, en kan jullie dus nu goed helpen:)
    Ik



    Als jullie virussen/ongewenste toolbars/malware/etc. op jullie PC hebben, dan is dat met een hijack this log te verwijderen!

    Wat is Hijack this?
    Er bestaat een progje genaamd Hijack This (HJT), ontwikkeld door Merijn Bellekom en voortgezet door TrendMicro, waar uit gelezen kan worden welke spyware op je pc zit. Het toont oa. de opstart-items, services, toolbars, actieve processen, ... van de pc. Nadat je hijackthis start en op de "scan" knop drukt, komt dit in een lange lijst te staan. In deze lijst kunnen verdachte items staan, die duiden op spyware, dialers, trojans of andere malware. Welke en hoe je die moet verwijderen, hoor je van ons. Niet alle regels uit deze lijst zijn dus kwaadaardig!! De meeste (zoniet alle bij en "clean logje") regels zijn legitiem, en sommigen zelfs essentieel voor de goede werking van je windows/pc.




    Is alles wat op deze lijst staat fout?
    NEEN! Zie ook vorige puntje. Het programma laat alle opstart-items en actieve en geladen processen/services zien, dus ook de goede/nodige. Er staan dus ook tal van legitieme items tussen die niet "gefixt" mogen worden! HijackThis kan zelf niet bepalen wat er fout of goed is, het geeft slechts een uitdraai van oa. bepaalde sectoren in het register waar malware zich gaat nestelen, maar daar zitten dus ook de "goede" onderdelen bij.


    Maak een logje met HijackThis
    Download de installer van Hijackthis 2.0.2 : HJTInstall.exe (TrendMicro)
    Kies bij download voor "Opslaan" en sla op naar bv. het bureaublad. (Achteraf kan je deze installer weer verwijderen)
    Dubbelklik HJTInstall.exe, en volg de installatiestappen. Standaard zal HijackThis in de map c:\program files\trendmicro komen te staan, en een snelkoppeling op het bureaublad worden aangemaakt). Als de installatie voltooid is, opent HijackThis automatisch.
    Klik op "Do a system scan and save a logfile".
    Na enkele seconden opent een kladblokbestandje met het HJT logje. Kopieer de volledige inhoud hiervan (Bewerken > Alles selecteren, dan Bewerken > Kopiëren)
    Lever er ook een uninstall log bij!

    alles is gekopieerd van nationaalcomputerforum.nl


    Ik zal Jullie proberen te helpen om de virussen van jullie PC's te verwijderen!

    Gr Daan
     
    Laatst bewerkt door een moderator: 6 okt 2009
  2. Cybermaxxx

    Cybermaxxx It just a game!

    Berichten:
    667
    Leuk Bevonden:
    0
    Toch nog even zeggen, door middel van Hijack this logjes en het maken van fixes kan permanente schade aanrichten aan je computer. Ik raad je aan (als je een virus hebt en dit niet via anti spyware/malware programma's verwijderd kan worden) om naar www.nucia.nl te gaan, dit zijn mensen die een "opleiding/cursus" HJT hebben gehad en je deskundig advies kunnen geven omtrend HJT.

    Zelf modereer ik op een forum waar we ook problemen gehad hebben met HJT logjes/fixes, ik spreek uit ervaring.
     
  3. Daantjuhh14

    Daantjuhh14 Guest

    Ik kan ze zelf ook lezen hoor..:) Ben hier zeer actief mee op het NCF
     
  4. Cybermaxxx

    Cybermaxxx It just a game!

    Berichten:
    667
    Leuk Bevonden:
    0
    Neem aan dat dat voor Nucia Forum staat oid? Als je zo'n gecertificeerd lezer bent is 't allemaal best, maar ik hoop dat je het met me eens bent dat als elke 'noob' zomaar logjes gaat aflezen en fixes gaat maken er wat fout kan gaan met je PC.
     
  5. Delphiki

    Delphiki Active Member

    Berichten:
    19.061
    Leuk Bevonden:
    467
    denk idd dat "noobs" beter de housecall van Trend Micro kunnen gebruiken en evt later pas Hijack moeten gaan proberen,.. je kan toch vrij gemakkelijk je OS om zeep helpen
     
  6. Nitram

    Nitram BiA!

    Berichten:
    1.501
    Leuk Bevonden:
    0
    Denk dat het staat voor nationaalcomputerforum. Die link noemt hij in ieder geval in zijn startpost.
     
  7. Cybermaxxx

    Cybermaxxx It just a game!

    Berichten:
    667
    Leuk Bevonden:
    0
    Ok, @Daan mag ik vragen of je zo'n nucia cursus gedaan hebt?
     
  8. Daantjuhh14

    Daantjuhh14 Guest

    Jup NCF staat idd voor Nationaalcomputerforum.
    Ik heb geen Nucia cursus gedaan, maar wij leren dit ook op school(ICT opleiding)
     
  9. Danger

    Danger XBW Groentje

    Berichten:
    2.146
    Leuk Bevonden:
    0
    Ik heb me zelf ook ooit verdiept in het Hijack This fenomeen. Super programma, handig, duidelijk en efficiënt. Met behulp van Google en Castlecops kan je vrijwel alle spyware/trojans aan. Zelf gebruik ik Hijack This wel eens voor mijn eigen pc en help ik vrienden met flink geïnfecteerde pc's. Mensen op internet adviseren durf ik niet (meer) aan. Hijack This is namelijk een vaardigheid die je moet bijhouden wil je het effectief kunnen blijven uitoefenen. Je kennis is na een halfjaar alweer out-dated. Daarom raad ik iedereen ook altijd aan Nucia/Spywareinfo o.i.d. te gebruiken voor log-analysatie. Hijack This is leuk om te leren, soort van puzzeltjes die je elke keer weer oplost! Als je enigzins interesse in computers/spyware removal hebt is het leuk om je erin te verdiepen!
     
  10. ErroX

    ErroX Active Member

    Berichten:
    5.059
    Leuk Bevonden:
    2
    iig nooit zelf zomaar kloten als je dr de ballen verstand van hebt. Hoe vaak ik mensen wel niet zie met PC's met allerlei tools als ccleaner (redelijk onschuldig maar toch..), 'automatische' registry cleaners en tools zoals hijack this dus. En voor je een actie uitvoerd zeker weten dat je een goeie back-up hebt. Want in 99,999999% van de gevallen heeft de normale Jan geen back-up. Cd's branden, externe disk maar beste nog altijd wel ook al je shit op je Gmail zetten (grote bestanden gaat wat lastiger, maar hoe vaak ik klanten niet moet helpen voor het overzetten van een werkstuk of scriptie nadat de disk is gecrashed of problemen veroorzaakt door zaken als spyware)
     
  11. Daantjuhh14

    Daantjuhh14 Guest

    Bumpje, kan een mod de berichten hierboven verwijderen, zodat het topic weer schoon is?
     
  12. pgrferrari

    pgrferrari ¯¯¯¯¯¯¯¯¯¯¯

    Berichten:
    1.006
    Leuk Bevonden:
    0
    Als eerste heb Malwarebytes laten scannen.
    Dit is een volledige scan.

    Malwarebytes' Anti-Malware 1.41
    Database versie: 2915
    Windows 5.1.2600 Service Pack 3

    6-10-2009 18:14:05
    mbam-log-2009-10-06 (18-13-58).txt

    Scan type: Volledige Scan (C:\|D:\|)
    Objecten gescand: 203847
    Verstreken tijd: 54 minute(s), 55 second(s)

    Geheugenprocessen geïnfecteerd: 0
    Geheugenmodulen geïnfecteerd: 0
    Registersleutels geïnfecteerd: 0
    Registerwaarden geïnfecteerd: 1
    Registerdata bestanden geïnfecteerd: 0
    Mappen geïnfecteerd: 0
    Bestanden geïnfecteerd: 0

    Geheugenprocessen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Geheugenmodulen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Registersleutels geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Registerwaarden geïnfecteerd:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> No action taken.

    Registerdata bestanden geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Mappen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Bestanden geïnfecteerd:
    (Geen kwaadaardige items gevonden)


    Dit is mijn Hijack this log:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:14:52, on 6-10-2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.2107:cool:
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\IoctlSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\AVG\AVG8\avgam.exe
    C:\PROGRA~1\AVG\AVG8\avgrsx.exe
    C:\PROGRA~1\AVG\AVG8\avgnsx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\PROGRA~1\AVG\AVG8\avgtray.exe
    C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.61.3.3:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
    O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
    O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
    O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [EPSON Stylus DX9400F Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICFE.EXE /FU "C:\WINDOWS\TEMP\E_S337.tmp" /EF "HKCU"
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Netwerkservice')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
    O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
    O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

    --
    End of file - 6747 bytes


    Ik hoop dat je er wat aan hebt Daan, en me kan helpen.

    Alvast vriendelijk bedankt! :thumbs:
     
  13. Daantjuhh14

    Daantjuhh14 Guest

    Hey,

    Verwijder de volgende regels:
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

    En over dat MBAM logje, Je moet die regel wel verwijderen, of kon dit niet?

    Groetjees:)
     
  14. Danger

    Danger XBW Groentje

    Berichten:
    2.146
    Leuk Bevonden:
    0
    Waarom moet hij die 016 verwijderen in jou mening?
     
  15. Daantjuhh14

    Daantjuhh14 Guest

    Omdat het bestand niet meer nodig is.:)
     
  16. Danger

    Danger XBW Groentje

    Berichten:
    2.146
    Leuk Bevonden:
    0
    In welke zin dan niet? Het is gewoon een legit bestand welke gerelateerd is aan Adobe. De nofile is een dode registeryentry die inderdaad overbodig is om te laten staan maar waarom zou je je legitieme bestanden verwijderen?

    Want dan zou je deze er bijv ook uit kunnen rammen:

    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

    In ieder geval lost het verwijderen van deze 2 entry's het probleem niet op. Waar het probleem zit kan ik ook niet vinden :+.
     
  17. Daantjuhh14

    Daantjuhh14 Guest

    Nee, idd ik kan niks vinden in het logje. MBAM vind wel wat, maar die verwijderd hij niet toch?
     
  18. Danger

    Danger XBW Groentje

    Berichten:
    2.146
    Leuk Bevonden:
    0
    Nieuw logje (na het opnieuw opstarten van de computer) als er nog problemen zijn. Ben benieuwd.

    En wat betreft MBAM, op die geinfecteerde registersleutel is "no action taken", onderneem even actie en laat 'm verwijderen door MBAM.
     
    Laatst bewerkt: 7 okt 2009
  19. pgrferrari

    pgrferrari ¯¯¯¯¯¯¯¯¯¯¯

    Berichten:
    1.006
    Leuk Bevonden:
    0
    Ik had gelijk de geinfecteerde registersleutel verwijderd hoor :)

    Dus ik weet niet wat ik moet doen.

    Is het noodzakelijk om die 2 dingen van Hijack this te verwijderen?
     
  20. Daantjuhh14

    Daantjuhh14 Guest

    Niet noodzakelijk, maar je kunt het het beste wel doen..
     

Deel Deze Pagina