mijn pc gehijackt?-opgelost-

[HenriG]

Geacht forum;
Ik vermoed dat mijn PC is gehijackt. En waarom vermoed ik dat.?
Ik kreeg vanmorgen een e-mail afkomstig van Incasso Lamans decoraties verzonden door een zekere j.lamans ( jeroen lamans ) Ik zou een factuur niet hebben voldaan en werd gedreigd met een deurwaardersprocedure.
Nu ken ik de afzender in het geheel niet en heb nooit iets besteld of laten decoreren.
Voor de factuur moest ik op een link klikken.
De mail had alleen een aanhef : Hallo.....
Omdat ik wilde reageren heb ik eerst op de link geklikt om de factuur te downloaden.
Bij de derde poging de factuur in te zien kreeg van mijn internetsecurity een melding dat van deze website niet veel werd gedownload.
Vervolgens heb ik de afzender jeroen Lamans een mail proberen te sturen maar kreeg gelijk een antwoord terug dat emailadres niet bestond.En toen sloeg de schrik mij op mijn hart.. Ik heb het bericht niet gedownload maar wel op de link geklikt en kwam, op een website met de mededeling " under construction.".

Omdat ik het vermoeden heb te zijn gehijackt of iets dergelijks, heb ik mijn back-up
( image ) van twee dagen geleden uit voorzorg teruggezet

Voor alle zekerheid voeg ik hierbij een Hijjackthis log.

Kunt u mij aub adviseren hoe (eventueel ) verder te handelen.

Bij voorbaat dank

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:40:32, on 29-11-2014
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v10.0 (10.00.9200.17148)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Microsoft Security Client\msseces.exe
C:\Program Files\Samsung\AllShare\AllShareAgent.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Windows\system32\DllHost.exe
C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\HIJACKTHIS\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O2 - BHO: SimpleAdblock Class - {FFCB3198-32F3-4E8B-9539-4324694ED664} - C:\Program Files\Common Files\Simple Adblock\SimpleAdblock.dll
O4 - HKLM\..\Run: [MSC] "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [AllShareAgent] C:\Program Files\Samsung\AllShare\AllShareAgent.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Gadwin PrintScreen] "C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe" /nosplash
O4 - HKCU\..\Run: [] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
O4 - HKUS\S-1-5-21-3911869780-2635650765-2488592341-1004\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-3911869780-2635650765-2488592341-1004\..\Run: [Gadwin PrintScreen] "C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe" /nosplash (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-3911869780-2635650765-2488592341-1004\..\Run: [KiesPreload] C:\Program Files\Samsung\Kies\Kies.exe /preload (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-3911869780-2635650765-2488592341-1004\..\Run: [] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-3911869780-2635650765-2488592341-1004\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'UpdatusUser')
O4 - HKUS\S-1-5-18\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'Default user')
O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} - http://verkopen.marktplaats.nl/js/widge ... oader5.cab
O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} (Photodex Presenter AX control) -
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Program Files\Common Files\Acronis\CDP\afcdpsrv.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Samsung AllShare PC (SamsungAllShareV2.0) - Samsung Electronics Co., Ltd. - C:\Program Files\Samsung\AllShare\AllShareDMS\AllShareDMS.exe
O23 - Service: SimpleSlideShowServer - Samsung Electronics Co., Ltd. - C:\Program Files\Samsung\AllShare\AllShareSlideShowService.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: UMVPFSrv - Logitech Inc. - C:\Program Files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe

--
End of file - 6549 bytes

[verhaegen]

op dergelijke mails mag men niet reageren , en al zeker niets in aanklikken en ook géén mails proberen te ....
men moet dergelijke mails gewoon verwijderen (deleten)
je moet niet zo bang zijn van mails die met deurwaarders dreigen hoor

[HenriG]

Dank voor uw reactie.
Kunt u, of iemand anders naar mijn Hijacklog kijken.
Normaliter delete ik dergelijke berichten gelijk maar weet niet waarom ik toch de mail heb geopend.
Kunt u of iemand anders op het forum mij laten weten welke risico's ik nu loop en wat kan ik doen om te voorkomen dat de crimineel in pc kan komen?

Alvast hartelijk dank.

met vriendelijke groet.

[pcekspeer]

@Henri G

Moei me niet met de logjes.

-Als je een eerdere image teruggezet hebt, zal die mail niet veel meer kunnen uitrichten. Maar je hebt wel gereageerd op die mail, zodoende de afzender weet al zeker dat je een actief account hebt en hij kent het... Dus, nooit reageren op mails afkomstig van derden die je NIET kent.
Welk gebruik je Telenet-webmail of een ander ? Daar kan je ook al aangeven dat de genoemde mail onder "SPAM" hoort te staan.
In Win Live Mail kan je dergelijke mails ook toevoegen aan de lijst met geblokkeerde afzenders via Beveiligingsopties.

-Win7 is geïnstalleerd en dan hoort de browser Int.Expl. (afgekort=IE) versie 11 te zijn, op jouw pc staat nog versie IE10.
Wordt WinUpdates automat. geüpdatet ?

Klik eens op START - klik in de rechter kolom op Configuratiescherm - klik op Win Update.
Als er updates worden aangeboden, installeer die dan.
Nadien klik je in de linker kolom op :

Als er updates worden aangeboden, installeer die dan.

-Open nadien IE en klik in de menubalk op HELP en klik vervolgens op Over Int.Expl.. Wordt versie 11 aangegeven ?

Als dat zo is, IE nog instellen als stand.progr., net als Live Mail. Als je niet weet hoe dat te doen, gewoon vragen hé.
Als nog steeds IE10 wordt vermeld, laat maar horen hé.

-Bij het wekelijks onderhoud van je pc, maak je ook gebruik van MBAM en AdwCleaner ? En zeker deze 2 als eerste gebruiken bij het minste vermoeden van onregelmatigheden.
Heb je die laten scannen/verwijderen ?

[HenriG]

pcekspeer hartelijk dank voor uw reactie.
Waarom ik op de mail heb gereageerd, snap ik zelf ook niet. Gewoonlijk reageer ik nooit op mails van derden die ik niet ken. Maar het is toch gebeurt. Heel dom.!!
Ik heb nu IE 11 geïnstalleerd en heb de don't track me ook ingeschakeld.
Is goed toch?
Mijn emailprovider is ziggo. Zal morgen eens bellen met hun helpdesk en vragen of en zo ja wat ik kan doen, ( mogelijk een ander e-mailadres.?? )
Heb MBAM en AdwareCleaner nog niet laten scannen. Ga dat zo ff dioen.
Doe ook aan internetbankieren. Loop ik nu risicio's en kunnen eventuele andere wachtwoorden worden gestolen??
Hoor heel graag van U.
Met vriendelijke groet

[pcekspeer]

@HenriG

IE11 is dus OK.
--Heb je ook gelezen dat je best IE11 instelt als standaardprogr. ? Idem voor Win Live Mail als je die gebruikt. Gebruik je Live Mail ?

--Ziggo en spam :
https://www.ziggo.nl/klantenservice/int ... ernet/spam
Zou ziggo 's zondags telefon. te bereiken zijn ?

--Ander e-mailadres : zou daar nog even mee wachten : je moet iedereen ook hiervan nog in kennis stellen... en niemand vergeten...
Misschien houd de afzender het wel voor bekeken als je niet meer reageert en hij bij de geblokkeerde afzenders staat vermeld.

--Internetbankieren : neen, daar loop je nu niet meer risico dan voorheen hoor. Je inbox van mail kan mogelijk wel nog wat probeersels krijgen van deze afzender, maar daar kan je iets aan doen hé zoals hierboven aangegeven. Zo grote zorgen moet je je niet maken hoor.
Wachtwoorden heeft hij niet bemachtigd, dat lukt niet op die manier. Enkel maar je mailadres, al kan dat nog enige tijd vervelend zijn. Maar, dat zal wel ophouden.

--Laat die 2 genoemde scanners maar wekelijks hun opruiming (indien nodig) doen. Hoe vaker ze scannen, des te minder kans krijgt malware natuurlijk om zich te nestelen op je pc.

De afzender zal wel ooit iets te maken gehad hebben met klingel.be, dat heden zelfs niet meer bestaat ? Of gebruikt gegevens/documenten van klingel.be


Je kan hier ook het voorval aanbrengen, waarom niet, :
https://www.ecops.be/webforms/Default.aspx?Lang=NL

[hjb]

"Mijn emailprovider is ziggo"

kan je als belg daar een email-adres hebben?
is ziggo niet uitsluitend nederland?

[verhaegen]

natuurlijk heb ik de log bekeken alvorens u te antwoorden hoor
die log is niets mis mee
je bent niet onveiliger , dan voor je die mail ontvangen en gelezen hebt
er is dus niets aan uw situatie veranderd ( aan de laptop)

[HenriG]

Verhaegen; Dank voor uw reactie.

Pcekspeer.
Ja hoor de helpdesk van Ziggo is 7 dagen van de week bereikbaar.
De spamfilter van ziggo is leuk maar heeft één nadeel. Hoe strenger je deze instelt hoe groter het risico dat mails van goede bekenden ook als spam worden gezien en gelijk worden verwijderd. Een aparte map waar spam door de provider naar toe wordt gestuurd bestaat en dat ontneemt mij de mogelijkheid eerst zelf te controleren of de berichten ook daadwerkelijk spam zijn.
Ik gebruik weliswaar de gratis versie van spamfighter. Ik overweeg nu maar een betaalde versie te nemen.


mvrgrt

[verhaegen]

het is geweten en een vaststaand feit , dat in het verleden spamfighter zelf de oorzaak was , van vele reklame en dubieuse mail

persoonlijk betrouw ik hem nog altijd niet

[pcekspeer]

@Henri

spamfighter gratis of betalend = te mijden en heb je ook niet echt nodig...
Hoofdzaak : gezond verstand en vreemde, verdachte mail al zeker niet openen, dat hebben we toch zelf ook in de hand. Gelijk welke beveiligingssoftware kan nooit 100% beveiliging garanderen, want dan zouden alle problemen opgelost zijn de dag van vandaag, toch ?
Maar bij ziggo moet het toch ook mogelijk zijn om mail die naar de map SPAM werd omgeleid, in te zien ?
Bij Telenet-webmail :

Raadpleeg die en als er mail in terecht gekomen is waarvan jij oordeelt dat het zeker géén spam betreft, kan je die aanvinken en markeren als GEEN SPAM, voortaan heeft dergelijke mail vrije doorgang naar je inbox.
Wat er rest is dus voor jouzelf wel degelijk spam.

Microsoft blokkeert 10 miljoen spam-berichten per... minuut :
http://www.techsupportforum.com/forums/ ... 09098.html
Gebruik je Win Live Mail ?

Nog iets waar je aandacht aan kan geven, zeer recent ?
https://www.security.nl/posting/410189/ ... iefstal%29

[zwaluw64]

Hehe, Eindelijk kan ik hier inloggen. Ik ben nieuw namelijk op deze site. Maar ik las via google uw bericht over ene JEROEN LAMAN, en zijn mailtje met incassobureau dreigingen enz.
Ik heb net als u geklikt op de link van dit mailtje om te zien over welke rekening hij het had. Weliswaar meteen weer uitgeklikt, maar ik zit nu net als u met een onzekerheid of ik nu nog wel veilig kan internetbankieren.
Normaal gesproken klik ik nooit zoiets aan,. U ook niet zegt u. Des te meer een teken hoe geraffineerd deze bedrieger te werk gaat.
Uit de antwoorden maak ik op dat ik mij niet zoveel zorgen hoef te maken, mits ik goede scans uitvoer en let op updates. Mijn begrip over computers reikt niet heel ver hoor. Maar al deze veiligheidsnormen neem ik wel in acht.
Echter , als je leest hoe hackers te werk gaan, begrijp ik, dat zij in verborgen bestandjes kunnen gaan nestelen om gegevens van je te weet te komen.
Maar aangezien ik via de ing met tancodes al mijn financiele verkeer regel, hoop ik toch niet zo'n risico te lopen.
Heel vervelend dit.

[HenriG]

Pcekspeer,

Ik gebruik outlook 2007.
Zojuist weer met de helpdesk gebeld en hier is mij verteld dat de door server aangemerkte spamberichten in de map met ongewenste email terecht komt.
Ik heb daarom de het spamfilter op streng ingesteld.
De praktijk zal moeten uitmaken hoe dit werkt.

Ik begrijp nog steeds niet dat ik zo dom ben geweest om het mailtje van de crimineel te openen zeker omdat ik heel goed weet wat de consequenties kunnen zijn.

Om met spreekwoord te beëindigen. een ezel stoot zich niet twee keer aan dezelfde steen wil ik nogmaals bedanken voor het meedenken en uw hulp.,

Met vriendelijke groet

HenriG

[verhaegen]

toch is het te begrijpen hoor
dat men der eens op klikt
dat is nu eenmaal de aard van een mens , altijd nieuwsgierig
ik ken dat maar al te goed hoor , en begrijp dergelijks

[HenriG]

Dank voor uw reactie en begrip.

mvrgrt
Henri