Bericht 1 van 36NL Computer Forum ~ Windows Van | : | Pimmetje | Datum | : | 29-04-2005 |
Aan | : | Allen | MsgID | : | 2226.1 |
Onderwerp | : | hijackthis.log | Forum | : | ws-nlcomputer |
Hallo allemaal,
Na een aantal pogingen om deze log van hijackthis als bijlage mee te sturen, dan maar op deze manier. Als bijlage meesturen is helaas jammerlijk mislukt. Geen idee wat ik fout doe. Maar willen jullie (Michel??) eens kijken naar deze log? Wat ik verder nog wil weten, is het volgende: Deze log is gemaakt bij ingelogd zijn als beheerder, maar de vraag is, of zo'n log ook nog gemaakt moet worden bij de tweede gebruiker, die beperkte rechten heeft, of wordt bij het opschonen hiervan al een hele boel troep bij de tweede gebruiker ook verwijderd?
Alvast weer bedankt en
Logfile of HijackThis v1.99.1
Scan saved at 8:59:11, on 27-4-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\msiexec.exe
C:\Documents and Settings\Mark Tigelaar\Mijn documenten\software\hijackthis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=NL_NL&c=Q304&bd=pavilion&pf=laptopR1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=NL_NL&c=Q304&bd=pavilion&pf=laptopR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: HP View - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Program Files\HP\Digital Imaging\bin\hpdtlk02.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PImenu] C:\Program Files\PImenu\PImenu.exe
O4 - HKCU\..\Run: [BackupNotify] C:\Program Files\HP\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=NL_NL&c=Q304&bd=pavilion&pf=laptop
O16 - DPF: {B0A2C7FC-8666-44D6-A990-2FCE3B933341} (ING Bank Autorisatiescherm) -
https://secure.ingbank.nl/download/DigiSign.cabO23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Gear-beveiligingsvoorziening (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod-voorziening (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exeGroetjes
Pim
----------------------------------------------------------------------
SuSE Linux 8.2, Xampp en af en toe eens W-XP SP2
Bekijk bericht volledig
Bericht 2 van 36NL Computer Forum ~ Windows Van | : | Michel Uphoff (Sysop) | Datum | : | 29-04-2005 |
Aan | : | Pimmetje | MsgID | : | 2226.2 |
Onderwerp | : | hijackthis.log | Forum | : | ws-nlcomputer |
Hoi Pim,
>> of wordt bij het opschonen hiervan al een hele boel troep bij de tweede gebruiker ook verwijderd <<
Het is nogal een waslijst, het zal eens geen HP zijn..
waarin het volgende opvalt:
Er wordt erg veel gestart, waar ik vraagtekens bij de noodzaak ervan zet. Ik zie twee actieve virusscanners en een firewall (wordt het modem gebruikt, of een router?), erg veel rommel van HP, en ook Sun Java VM staat met overbodige startups actief. Verder ziek ik een waarschijnlijk overbodige muisdriver van Logitech (xp heeft die iha niet nodig), en touchpad software (die mogelijk gebruikt moet worden als dat touchpad gebruikt wordt).
Het beste ga je eerst naar software, en deinstalleer je een van de twee virusscanners, en alle software die niet echt gebruikt wordt. Herstarten.
Daarna schakel je via Msconfig de opstart (indien nog aanwezig) uit van:
nwiz.exe (nVidia, onnodig)
jusched.exe (Sun Java updater, onnodig)
iTunesHelper.exe (Waarschijnlijk onnodig)
qttask.exe (onnodig)
EabServr.exe (als de quick launch button niet gebruikt worden)
sgtray.exe (Sonic updater, onnodig)
hphupd05.exe (HP updater, onndodig)
hphmon05.exe (HP monitor, waarschijnlijk onnodig)
cpqset.exe (HP tooltje, onnodig)
HPWuSchd2.exe (Nog een update onderdeel, onnodig)
Logi_MwX.Exe (Muis tool, waarschijnlijk onnodig)
mmtask.exe (Musicmatch Jukebox rommeltje, waarschijnlijk onnodig)
hpcmpmgr.exe (Nog een onduidelijk ding van HP, waarschijnlijk onnodig)
ctfmon.exe (Tool van Office, waarschijnlijk niet gebruikt)
PImenu.exe (Videotooltje, waarschijnlijk onnodig)
backupnotify.exe (HP rommeltje, onnodig)
hpqtra08.exe (HP systemtray tooltje, waarschijnlijk onnodig)
EasyShare.exe (Kodak Easyshare rommeltje, waarschijnlijk onnodig)
NkbMonitor.exe (Nikon monitor, waarschijnlijk onnodig)
Hierna eerst herstarten en testen of notebook, evt. printers en scanners e.d. nog werken zoals gewenst. Zo nee, zet via Msconfig de benodigde vinkjes weer aan. Nog even niets verwijderen via HJT, met Msconfig heb je de kans een onterecht uitgevinkte autostarter weer te activeren.
Als alles werkt zoals gewenst, maak dan een nieuwe HJT log, want er is -vast en zeker- veel méér..
.
Misschien is het leuk vóór je gaat uitmesten eerst even het totale harddiskgebruik op te schrijven, en via Ctrl-Shift-Esc taakbeheer te starten waarin je onderin kan zien hoeveel Ram geheugen er gebruikt wordt. Ook de opstarttijd even noteren is leuk. Kunnen we eens kijken in hoeverre dit ding is op te krikken.
Michel Uphoff (Sysop)Homepagina
Bericht 3 van 36NL Computer Forum ~ Windows Van | : | Pimmetje | Datum | : | 29-04-2005 |
Aan | : | Michel Uphoff (Sysop) | MsgID | : | 2226.3 |
Onderwerp | : | hijackthis.log | Forum | : | ws-nlcomputer |
Hi Michel,
Die twee virusscanners. Die knul heeft Norton erbij gekregen, maar nu is zijn abonnement verlopen en heb ik er dus maar Antivir op gezet. Die is gratis<g>. Uittesten of printers, scanners het nog doen kan ik niet, want dat ding staat nu zolang bij mij thuis en ik heb 'm gewoon met netwerkkabel aan de router hangen, zonder die laptop in mijn netwerk op te nemen. Dus geen werkgroep naam gewijzigd. Maar ik ga aan de slag met jouw gegevens en ben benieuwd , waat ik zal uitkomen. OOk zal ik het een en ander opschrijven, zoals je gevraagd hebt.
Tot zover en waarschijnlijk tot volgende week, dit weekend komt er waarschijnlijk niet zo heel veel meer van, verjaardag enz..
Groetjes
Pim
----------------------------------------------------------------------
SuSE Linux 8.2, Xampp en af en toe eens W-XP SP2
Bericht 4 van 36NL Computer Forum ~ Windows Van | : | Pimmetje | Datum | : | 29-04-2005 |
Aan | : | Michel Uphoff (Sysop) | MsgID | : | 2226.4 |
Onderwerp | : | hijackthis.log | Forum | : | ws-nlcomputer |
Hi Michel,
Nou dat is me wat<g>. Nadat ik die zaken via msconfig had uitgeschakeld, kreeg ik na het inloggen een of ander herstel scherm te zien. Kennelijk was XP het er niet mee eens wat ik had gedaan. Maar ... alles terugzetten hielp niet, nadat opnieuw gestart was. Weer datzelfde scherm en wat ook raar was, de taakbalk is nu wit ipv groene start en rest blauw. Heb toch, hopelijk, niets verpest?
Dan in dat hulpscherm kun je verder het tabblad services openen. Alls is gestopt op 3 dingen na: DCOM Server Process en 2x Remote Procedure Call.
Wat Nu?
Groetjes
Pim
----------------------------------------------------------------------
SuSE Linux 8.2, Xampp en af en toe eens W-XP SP2
Bericht 5 van 36NL Computer Forum ~ Windows Van | : | Michel Uphoff (Sysop) | Datum | : | 29-04-2005 |
Aan | : | Pimmetje | MsgID | : | 2226.5 |
Onderwerp | : | hijackthis.log | Forum | : | ws-nlcomputer |
Hoi Pimmetje,
>> Die knul heeft Norton erbij gekregen, maar nu is zijn abonnement verlopen en heb ik er dus maar Antivir op gezet. <<
De-installeer Norton dan, want dat ding vreet geheugen en nu dus bijna voor niets.
Michel Uphoff (Sysop)Homepagina
Bericht 6 van 36NL Computer Forum ~ Windows Van | : | Michel Uphoff (Sysop) | Datum | : | 29-04-2005 |
Aan | : | Pimmetje | MsgID | : | 2226.6 |
Onderwerp | : | hijackthis.log | Forum | : | ws-nlcomputer |
Hoi Pimmetje,
>> Nadat ik die zaken via msconfig had uitgeschakeld, kreeg ik na het inloggen een of ander herstel scherm te zien. <<
Nee, dat is geen herstel scherm. Dat is een waarschuwing dat er zaken aangepast zijn (Ook alles aanzetten is aanpassen, logisch..). Vinkje plaatsen in niet meer waarschuwen, en dat gezeur is over.
Michel Uphoff (Sysop)Homepagina