Archief - Iexplorer proces tweemaal?

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.

mastroop

Legacy Member
Op mijn broer zijn pc draaien er 2 processen genaamd iexplore.exe op gebruikersnaam administrator. Die pakken een goeie 13 mb geheugen in maar ze dienen tot niets. En depc is juist geformateerd en die processen staan er nu weer. En we gebruiken firefox :s

Heb hijackthis gedraaid nu heb ik eventueel hulp nodig om mij te zeggen wa re mis is en wa ik moet wegdoen of veranderen.

Hijackthislog:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\program files\valve\steam\steam.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.219\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wzdarnsaexswxy.com/2bdYEt_yWnHvRBctZxGYDfOhjr1pXfrtNRQidg_SdHQjg2hBcjRd3iovMMAnLzRQ.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qgsmjfltzvdcwclmbfzvpv.com/2bdYEt_yWnFTbZORTFfwRW5yiUKJysxGGh6S8O2pHNw.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {625C06DE-3730-FD2E-BB03-9A169E805594} - C:\DOCUME~1\ADMINI~1\APPLIC~1\ANTEHI~1\great support.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [acid load math skip] C:\Documents and Settings\All Users\Application Data\DVD 1 ACID LOAD\Chic Bat.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [skip4] C:\DOCUME~1\ADMINI~1\APPLIC~1\NEWMED~1\Datasettingsenc.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

T€RM!N4T0R

Legacy Member
Je log ziet er clean uit maar deze kennek nie:

O2 - BHO: (no name) - {625C06DE-3730-FD2E-BB03-9A169E805594} - C:\DOCUME~1\ADMINI~1\APPLIC~1\ANTEHI~1\great support.exe
O4 - HKLM\..\Run: [acid load math skip] C:\Documents and Settings\All Users\Application Data\DVD 1 ACID LOAD\Chic Bat.exe
O4 - HKCU\..\Run: [skip4] C:\DOCUME~1\ADMINI~1\APPLIC~1\NEWMED~1\Datasetting senc.exe

Wacht op andere reacties, maar ik vermoed dat die BHO weg mag.

mastroop

Legacy Member
Yo hier de broer van mastroop

ik weet hoe ik die dingen weg moet doen
en voor diegene die dat niet weten en ook zoiets kwijt willen
lees het volgende:

- ga naar verkenner en klik op zoeken en typ de naam in
- als gevonden schrijf je eventueel op waar het zich bevind
- herstart je computer en duw op F8 tot wanneer erop komt
dat je kunt kiezen tussen veilige modus en normaale (ik kies veilige met internet...)
- nadat het opgestart is ga je naar de locatie die je hebt opgeschreven en verwijder dan de bestanden, herstart je computer gelijk je altijd doet en normaal zouden de ongewenste processen weg zijn.

Hierbij zeg ik danku aan mijn broer voor de hulp

Exit

Legacy Member
log clean?????

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wzdarnsaexswxy.com/2bdYE...ovMMAnLzRQ.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qgsmjfltzvdcwclmbfzvpv.c...Gh6S8O2pHNw.php
O2 - BHO: (no name) - {625C06DE-3730-FD2E-BB03-9A169E805594} - C:\DOCUME~1\ADMINI~1\APPLIC~1\ANTEHI~1\great support.exe ** plek voor veel spyware**
O4 - HKLM\..\Run: [acid load math skip] C:\Documents and Settings\All Users\Application Data\DVD 1 ACID LOAD\Chic Bat.exe ** zeer verdacht **
O4 - HKCU\..\Run: [skip4] C:\DOCUME~1\ADMINI~1\APPLIC~1\NEWMED~1\Datasetting senc.exe ** plek voor veel spyware **

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

welke versie hijackthis is dees log?

MeXto

Legacy Member
Tis versie 1.99.1

En nu hebben we die iexplore wel weggekregen maar komen er andere bij. Hier de nieuwe hijackthis log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\program files\valve\steam\steam.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\DOCUME~1\ADMINI~1\APPLIC~1\NEWMED~1\DATASE~1.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\DOCUME~1\ALLUSE~1\APPLIC~1\DVD1AC~1\CHICBA~1.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hnxyrirhbleayxhdhgyzt.ne...hjr1pXfrtNRQidg_SdHTMLmZqOEYIUSovMMAnLzRQ.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qgsmjfltzvdcwclmbfzvpv.com/2bdYEt_yWnFTbZORTFfwRW5yiUKJysxGGh6S8O2pHNw.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {625C06DE-3730-FD2E-BB03-9A169E805594} - C:\DOCUME~1\ADMINI~1\APPLIC~1\ANTEHI~1\great support.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [acid load math skip] C:\Documents and Settings\All Users\Application Data\DVD 1 ACID LOAD\Chic Bat.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [skip4] C:\DOCUME~1\ADMINI~1\APPLIC~1\NEWMED~1\Datasettingsenc.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

st3ph3n

Legacy Member
Analyse van uw laatste log:

Malware processen:
C:\DOCUME~1\ADMINI~1\APPLIC~1\NEWMED~1\DATASE~1.EX E
C:\DOCUME~1\ALLUSE~1\APPLIC~1\DVD1AC~1\CHICBA~1.EX E

Te fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hnxyrirhbleayxhdhgyzt.ne...SovMMAnLzRQ.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qgsmjfltzvdcwclmbfzvpv.c...Gh6S8O2pHNw.php
O2 - BHO: (no name) - {625C06DE-3730-FD2E-BB03-9A169E805594} - C:\DOCUME~1\ADMINI~1\APPLIC~1\ANTEHI~1\great support.exe
O4 - HKLM\..\Run: [acid load math skip] C:\Documents and Settings\All Users\Application Data\DVD 1 ACID LOAD\Chic Bat.exe
O4 - HKCU\..\Run: [skip4] C:\DOCUME~1\ADMINI~1\APPLIC~1\NEWMED~1\Datasetting senc.exe

Start de pc op in Veilige Modus, voer HiJackThis uit en verwijder bovenstaande zaken. Daarna kan je terug opstarten in Normale Modus.

Steven
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan