HijackThis log en een paar vragen

[amazone]

Hierbij de log van mijn HP (Compaq) portable met XP professional Service Pack 3

Een paar vragen/opmerkingen:

Ik zie onder O4 4 maal CTFMON.EXE. Bij mijn Vista pc zag ik dat niet. Misschien is dit typisch XP. Ik ben wel de enige gebruiker van het systeem.

O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

Button onderzoek : zie ik niet bij Internet Explorer tenzij hier het vakje bedoeld word waar je iets in kan typen om te zoeken bij Google, Wikepedia enz.

Ik heb even gekeken bij invoegtoepassingen en zie daar:

Lastpass (OK)

Onderzoek met 2 boeken en vergrootglas???? zie die knop nergens

Verbindingsproblmemen vaststellen : OK kan nuttig zijn)

Discuss ??????????? weet niet wat dat is

En Windows messenger.

Ik dacht die messenger van mijn pc gegooid te hebben. Ik heb de invoegtoepassing uitgeschakeld en weer HijackThis log gemaakt. De entry blijft. Had wel de pc niet terug gestart.

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

Wat betreft de programma's, die met Windows opstarten ben ik nogal maniakaal.

Ik ga regelmatig kijken naar Opstarten in Systeemconfiguratie en haal daar de vinkjes weg van o.a Adobe, Reader, jushed (java) en ook bij Ati2mdxx

Blijkbaar starten er toch nog van ati en java services op.

Maar vooral die Canon entry verveelt mij. Ik heb een canon camera maar verbind die zelden met de pc. Ik zag in mijn opstarten ook nooit een vermelding van een canon programma. Nu ontdek ik hier dus een service, die toch altijd draait?

hijackthis.log

[kape]

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd:

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O20 - AppInit_DLLs:

Klik op 'Fix checked' om de items te verwijderen.

Download MBAM (Malwarebytes Anti-Malware)

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".

Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.

Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.

Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.

Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder).

Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook.

MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen.

Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

En dan je vraagjes :

- die CTFMON kan je perfect uit je opstart halen = toepassing van Office voor alternatieve tekstinvoer (vreemde talen o.a.) - zie HIER bij MS voor wat meer info.

- die services van Canon en Java zou je perfect kunnen uitschakelen - zeker indien je deze niet permanent gebruikt.

Verder zit er weinig overbodigs in dat logje. De aanduidingen van Messenger worden nu met de fix van HijackThis verwijderd.

[amazone]

Kape,

Bedankt. Heb de door jouw aangegeven items gefixet met HijackThis.

Heb via services Java en Canon uitgeschakeld.

Die Ctfmon weghalen is mij niet gelukt.

Ik ben gestopt toen ik aan Stap 2 kwam:

Daar staat achteraan :

1. Selecteer onder Geïnstalleerde services één voor één de vermelde invoeritems en klik elke keer op Verwijderen om het item te verwijderen.. Alle items moeten worden verwijderd, één voor één, met uitzondering van de volgende invoerservice:
   

Engels (Verenigde Staten) – standaardtoetsenbord Verenigde Staten 101

Ik heb bij mij naast Engels ook Nederlands Belgisch punt en ik weet dat dat laatste belangrijk was.

Ik vraag mij af of the uitleg van MS niet bedoeld is voor Engelstaligen.

Ook nog een vraag : Ik gebruik Word vaak voor Engels en Frans en wil zeker de spellingscontrole behouden. Heeft die ctfmon daar invloed op???

Heb MBam laten lopen maar er is niets gevonden dus log niet bijgevoegd (mail via andere pc)

[kape]

Dan halen we die ctfmon toch gewoon uit je opstart weg op een veilige manier !

Download Codestuff Starter

Start Codestuff Starter op

Selecteer het tabblad Automatisch Opstarten en vink volgende items uit. Deze programma’s worden onnodig mee opgestart.

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

Dit ctfmon heb je specifiek nodig indien je talen gebruikt met andere lettertekens (bvb. Russisch, Chinees, e.d.). Bij Westerse talen mag het uitschakelen uit de opstart geen invloed hebben.

[amazone]

Om te beginnen alweer dank voor hulp en uitleg.

Just for the sake of it hierbij nog een blad met uitleg.

Er bleef een ctfmon terugkomen.

Ik heb dat zo opgelost:

Configuratiescherm>Landinstellingen>Talen > Details en vinkje gezet bij Geavanceerde tekstservices uitschakelen

Dankzij jouw uitleg weet ik dat ik nu geen chinees en russisch meer zal kunnen lezen op het internet.

Je mag deze topic als opgelost beschouwen .[ATTACH]7788[/ATTACH]

CTFMON PROBLEEM.doc