Zou iemand even naar deze Hijactlog willen kijken?

perloc 20 oktober 2011, 08:17

Reparatie comp. Deed niets meer. Bootscherm vertoonde dat het keyboard niet werd gezien.
Usb Keyboard gekocht, computer startte op maar was zéér traag!
Bovendien bleek ook de muis niet te werken.
Ik heb achereenvolgens MBAM (def files gedownload), Avast, uptodate, controleerde ondertussen ook en de Internet virusscanner ESET erop los gelaten. Bij elkaar, zijn er zo'n 150 malware items uitgehaald!!
Computer weer een reboot en blijft hangen op een Windows password. Dat is nieuw, want tevoren startte de computer gewoon op. De eigenares zegt nooit een password te hebben gebruikt!!
De user name staat wel in het Windows login venster
Ik heb Ophcrack gedownload en die zou automatisch -volgens een webside- het password moeten kraken. Maar bij opstarten gebeurde er niets. Verder heb ik PC Logon Now V2.0 erop los gelaten, die meldde dat hij het loginverster had gedelete, maar noppes, het komt gelijk weer terug.
Ik heb het sterke vermoeden dat er nog malware actief is. Heb de schijf in mijn computer gehangen en hier volgt een Hijctlog file van het geheel.
Zou iemand zo vriendelijk willen zijn er naar te kijken?
Ik zie alleen maar de C: drive. Kijkt Hijacthis ook verder, naar de andere schijf, drive H: die het probleem geeft?
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 08:01:15, on 20/10/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVAST Software\Avast\avastUI.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Lexmark 2300 Series\lxcgmon.exe
C:\Program Files\Lexmark 2300 Series\ezprint.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\NetMeter\NetMeter.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\UnsignedThemesSvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Macrium\Reflect\ReflectService.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Bandoo\Bandoo.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\FreshDevices\FreshDownload\fd.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\TrueCrypt\TrueCrypt.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O2 - BHO: BandooIEPlugin Class - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files\Bandoo\Plugins\IE\ieplugin.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdiebar.dll
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [C:\Program Files\NetMeter\NetMeter.exe] C:\Program Files\NetMeter\NetMeter.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-796845957-1580818891-839522115-1006\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Peter_2')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Verzenden naar OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FreshDownload - {9F57042F-357E-418B-87D9-3045F9473DA8} - C:\Program Files\FreshDevices\FreshDownload\fd.exe
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Peter_2\Start Menu\Programs\IMVU\Run IMVU.lnk
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - AppInit_DLLs: c:\progra~1\bandoo\bndhook.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Bandoo Coordinator - Bandoo Media Inc. - C:\PROGRA~1\Bandoo\Bandoo.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update Service (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: lxcg_device - - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - C:\Program Files\Macrium\Reflect\ReflectService.exe
O23 - Service: Unsigned Themes (UnsignedThemes) - The Within Network, LLC - C:\WINDOWS\UnsignedThemesSvc.exe
--
End of file - 9145 bytes
MVG perloc

Antwoord niet gevonden? Stel hier je vraag:

Abraham54 20 oktober 2011, 09:18

Hallo Perloc,
ik wil graag dat jij je tijdens de fix aan onderstaande regels houdt:
[color=#0000FF:3dd90c757a][list:3dd90c757a][*:3dd90c757a]Lees alle instrukties goed door.
[*:3dd90c757a]Maak je fouten bij de uitvoering van tools tijdens de fix, kan dat serieuze problemen in Windows veroorzaken.
[*:3dd90c757a]Onthou je van het gebruik van tools cq. updates anders dan die ik jou adviseer te gebruiken.
[*:3dd90c757a]Gebruik altijd één scanner per keer, nooit meerdere tegelijk gebruiken.
[*:3dd90c757a]Hou mij op de hoogte hoe jou computer op de fix reageert - goed of slecht.
[*:3dd90c757a]De fix, eenmaal gestart, moet afgewerkt worden. Zelfs indien jij denkt dat alles in orde is, zijn er mogelijk nog steeds infecties.[/list:u:3dd90c757a][/color:3dd90c757a]
[color=#FF0000:3dd90c757a]Stap •1•[/color:3dd90c757a]
Sluit alle openstaande webvensters - behalve dit venster, dat je sluit voor het moment, dat je op de knop Fix checked klikt!
Start nu HijackThis en klik op de knop Do a Scan only,
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O2 - BHO: BandooIEPlugin Class - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files\Bandoo\Plugins\IE\ieplugin.dll
O20 - AppInit_DLLs: c:\progra~1\bandoo\bndhook.dll
O23 - Service: Bandoo Coordinator - Bandoo Media Inc. - C:\PROGRA~1\Bandoo\Bandoo.exe

[list:3dd90c757a][*:3dd90c757a] zet een vinkje voor die regel(s) welke met de bovenstaande regels corresponderen
[*:3dd90c757a] Sluit nu de webbrowser en vervolgens klik je daarna op de knop Fix checked
[*:3dd90c757a] Klik hierna HijackThis op uit.[/list:u:3dd90c757a]
Start de computer na de fix opnieuw op
[color=#FF0000:3dd90c757a]Stap •2•[/color:3dd90c757a]
Download LopSD of LOPSD naar je Bureaublad.
[list:3dd90c757a][*:3dd90c757a] De-activeer bij dit tooltje je antispyware en virusscanner.
[list:3dd90c757a][*:3dd90c757a]Vista- en Windows 7 gebruikers: rechtsklik op LopSD en kies voor "Als Administrator uitvoeren"![/list:u:3dd90c757a]
[*:3dd90c757a] Kies Optie N en Enter
[*:3dd90c757a] Klik OK bij het informatie venter
[*:3dd90c757a] Kies Optie 2 en Enter
[*:3dd90c757a] Aan het eind verschijnt een log ( LopR.txt ) plaats de inhoud ervan in je volgende antwoord
[/list:u:3dd90c757a]
[color=#FF0000:3dd90c757a]Stap •3•[/color:3dd90c757a]
Welk programma: ComboFix
Waarvoor/waarom: Zeer specialistische scanner om Windows diepgaand te onderzoeken
en zo mogelijk op te schonen.
Moeilijkheidsgraad: Min of meer lastige voorbereidingsfase, dus lees alles eerst goed.
Downloadlokatie: Dit programma absoluut naar het bureaublad downloaden!
Download ComboFix via één van deze locaties:
[list:3dd90c757a][*:3dd90c757a]Bleepingcomputer
[*:3dd90c757a]ForoSpyware
[*:3dd90c757a]Geekstogo[/list:u:3dd90c757a]
Hier zie je hoe je ComboFix moet gebruiken.
Antivirusprogramma en actieve malwarescanners dienen al voor de ComboFix start gedeaktiveert zijn!
Hier en hier vindt je gegevens hoe antivirusprogramma's en spywarescanners te deaktiveren.
Voor alle duidelijkheid nogmaals: ComboFix dient vanaf het bureaublad gestart te worden.
Opmerkingen:
[list:3dd90c757a][*:3dd90c757a] Bij gebruik van Windows XP zal er mogelijk gevraagd worden, om de "Recovery Console" te installeren! Sta dit dan toe (hiervoor is een actieve internet verbinding vereist).
[*:3dd90c757a]Vista- en Windows 7 gebruikers starten Combofix op via rechtsklik met Administratorrechten.
[*:3dd90c757a]Alle openstaande programma's en webpagina's dienen afgesloten te zijn.[/list:u:3dd90c757a]
ComboFix is opgestart:
[list:3dd90c757a][*:3dd90c757a]Niet in het zwarte venster klikken, hierdoor kan ComboFix of zelfs Windows geheel "bevriezen"!
[*:3dd90c757a]Combofix sluit tijdens de scan de internet verbinding – probeer deze tussentijds niet te herstellen!
[*:3dd90c757a]Het kan voorkomen dat de computer meerdere malen opnieuw opgestart moet worden, dit is normaal.
[*:3dd90c757a]Wanneer ComboFix gereed is, zal het het een logbestand voor je maken.
[*:3dd90c757a]Post de inhoud van dit logbestand in je volgende bericht.
[*:3dd90c757a]Indien het log niet opstart, is dit terug tevinden in C:\ComboFix.txt[/list:u:3dd90c757a]
Belangrijke opmerking:
[list:3dd90c757a][*:3dd90c757a][color=Red:3dd90c757a]Indien na de scan bij het opstarten van programma's er een error wordt getoond met de melding:[/color:3dd90c757a]
[*:3dd90c757a]Illegal operation attempted on a registery key that has been marked for deletion.
[*:3dd90c757a][color=Red:3dd90c757a]Start dan de computer opnieuw op.[/color:3dd90c757a][/list:u:3dd90c757a]
[color=#FF0000:3dd90c757a]Stap •4•[/color:3dd90c757a]
Samenvattend: hierna post je in jouw volgende bericht de inhoud van de volgende logs:
[list:3dd90c757a][*:3dd90c757a] een nieuw Hijackthis-log
[*:3dd90c757a] LopSD scanlog
[*:3dd90c757a] ComboFix scanlog[/list:u:3dd90c757a]

perloc 20 oktober 2011, 14:55

Hier zijn de twee log files.
Ik heb geen vreemde dingen gezien, alles is "smooth" verlopen.
--------------------\\ Lop S&D 4.2.5-0 XP/Vista
Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.40GHz )
BIOS : Default System BIOS
USER : Peter ( Administrator )
BOOT : Normal boot
Antivirus : avast! Antivirus 5.0.100664585 (Not Activated)
Firewall : Sunbelt Kerio Personal Firewall 4.3.268 T (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:35 Go (Free:2 Go)
D:\ (Local Disk) - NTFS - Total:39 Go (Free:37 Go)
E:\ (Local Disk) - NTFS - Total:288 Go (Free:0 Go)
F:\ (CD or DVD)
G:\ (CD or DVD)
H:\ (Local Disk) - NTFS - Total:74 Go (Free:62 Go)
J:\ (Local Disk) - FAT32 - Total:9 Go (Free:9 Go)
"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [2] ( 20/10/2011|12:56 )
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ FIX
Deleted! - C:\DOCUME~1\Peter\LOCALS~1\Temp\nsw25.tmp
Deleted! - C:\DOCUME~1\Peter\LOCALS~1\Temp\nsx11.tmp
Deleted! - C:\DOCUME~1\Peter\LOCALS~1\Temp\statistics.jnl
Deleted! - C:\DOCUME~1\Peter\Cookies\peter@adultfriendfinder[2].txt
Deleted! - C:\DOCUME~1\Peter\Cookies\peter@advertising[1].txt
Deleted! - C:\DOCUME~1\Peter\Cookies\peter@r1-ads.ace.advertising[2].txt
Deleted! - C:\DOCUME~1\Peter\Cookies\peter@battlestar-galactica.bigpoint[1].txt
Deleted! - C:\DOCUME~1\Peter\Cookies\peter@bigpoint[1].txt
Deleted! - C:\DOCUME~1\Peter\Cookies\peter@bpid.bigpoint[1].txt
Deleted! - C:\DOCUME~1\Peter\Cookies\peter@eu3.battlestar-galactica.bigpoint[1].txt
-
[ Hosts file ] .. Restored!

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

--------------------\\ Listing folders in APPLIC~1
[11/07/2011|00:16] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft
[10/07/2011|15:31] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[11/07/2011|00:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\AVAST Software
[11/09/2011|11:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bandoo
[12/07/2011|08:18] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Canneverbe Limited
[10/07/2011|15:55] C:\DOCUME~1\ALLUSE~1\APPLIC~1\FaxCtr
[11/07/2011|16:27] C:\DOCUME~1\ALLUSE~1\APPLIC~1\InstallShield
[24/07/2011|06:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Macrium
[10/07/2011|15:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
[29/08/2011|16:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[08/10/2011|06:38] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
[03/10/2011|07:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\NFS Underground
[15/07/2011|21:53] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Real
[31/07/2011|10:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SafeNet Sentinel
[31/07/2011|10:55] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SPSS
[31/07/2011|14:45] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sun
[16/10/2011|09:00] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
[24/07/2011|20:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Trymedia
[11/07/2011|00:16] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft
[08/09/2011|18:45] C:\DOCUME~1\LOCALS~1\APPLIC~1\Adobe
[11/07/2011|00:16] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft
[15/07/2011|10:51] C:\DOCUME~1\Minda\APPLIC~1\Adobe
[15/07/2011|10:52] C:\DOCUME~1\Minda\APPLIC~1\AdobeUM
[15/07/2011|21:41] C:\DOCUME~1\Minda\APPLIC~1\Babylon
[04/08/2011|14:41] C:\DOCUME~1\Minda\APPLIC~1\Bandoo
[13/07/2011|07:39] C:\DOCUME~1\Minda\APPLIC~1\Identities
[13/07/2011|10:02] C:\DOCUME~1\Minda\APPLIC~1\Macromedia
[03/10/2011|08:35] C:\DOCUME~1\Minda\APPLIC~1\Malwarebytes
[03/10/2011|09:04] C:\DOCUME~1\Minda\APPLIC~1\Microsoft
[29/07/2011|10:41] C:\DOCUME~1\Minda\APPLIC~1\Real
[11/09/2011|11:17] C:\DOCUME~1\Minda\APPLIC~1\vlc
[15/07/2011|10:43] C:\DOCUME~1\Minda\APPLIC~1\WinRAR
[11/07/2011|00:16] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
[27/08/2011|16:47] C:\DOCUME~1\Peter\APPLIC~1\Adobe
[10/07/2011|19:32] C:\DOCUME~1\Peter\APPLIC~1\AdobeUM
[04/08/2011|15:17] C:\DOCUME~1\Peter\APPLIC~1\Bandoo
[12/07/2011|08:18] C:\DOCUME~1\Peter\APPLIC~1\Canneverbe Limited
[10/07/2011|16:14] C:\DOCUME~1\Peter\APPLIC~1\FaxCtr
[07/09/2011|05:58] C:\DOCUME~1\Peter\APPLIC~1\Help
[11/07/2011|00:22] C:\DOCUME~1\Peter\APPLIC~1\Identities
[11/07/2011|16:46] C:\DOCUME~1\Peter\APPLIC~1\Leadertech
[10/07/2011|18:38] C:\DOCUME~1\Peter\APPLIC~1\Macromedia
[10/07/2011|15:40] C:\DOCUME~1\Peter\APPLIC~1\Malwarebytes
[29/09/2011|09:05] C:\DOCUME~1\Peter\APPLIC~1\Microsoft
[31/07/2011|06:35] C:\DOCUME~1\Peter\APPLIC~1\Real
[11/07/2011|16:46] C:\DOCUME~1\Peter\APPLIC~1\Sonic
[04/08/2011|09:36] C:\DOCUME~1\Peter\APPLIC~1\SPSSInc
[31/07/2011|20:08] C:\DOCUME~1\Peter\APPLIC~1\Sun
[20/09/2011|05:03] C:\DOCUME~1\Peter\APPLIC~1\TrueCrypt
[10/10/2011|11:01] C:\DOCUME~1\Peter\APPLIC~1\vlc
[14/07/2011|18:20] C:\DOCUME~1\Peter\APPLIC~1\WinRAR
[14/07/2011|06:19] C:\DOCUME~1\Peter\APPLIC~1\xHarbour
[06/08/2011|14:30] C:\DOCUME~1\Peter_2\APPLIC~1\Adobe
[06/08/2011|14:30] C:\DOCUME~1\Peter_2\APPLIC~1\AdobeUM
[16/07/2011|09:26] C:\DOCUME~1\Peter_2\APPLIC~1\Babylon
[06/08/2011|14:32] C:\DOCUME~1\Peter_2\APPLIC~1\Bandoo
[01/10/2011|21:04] C:\DOCUME~1\Peter_2\APPLIC~1\dvdcss
[01/10/2011|16:53] C:\DOCUME~1\Peter_2\APPLIC~1\Eltima Software
[14/07/2011|19:04] C:\DOCUME~1\Peter_2\APPLIC~1\Identities
[19/10/2011|07:46] C:\DOCUME~1\Peter_2\APPLIC~1\IMVU
[11/09/2011|09:54] C:\DOCUME~1\Peter_2\APPLIC~1\IMVUClient
[29/08/2011|17:01] C:\DOCUME~1\Peter_2\APPLIC~1\Lionhead Studios
[15/07/2011|16:26] C:\DOCUME~1\Peter_2\APPLIC~1\Macromedia
[27/07/2011|19:12] C:\DOCUME~1\Peter_2\APPLIC~1\Malwarebytes
[03/10/2011|14:39] C:\DOCUME~1\Peter_2\APPLIC~1\Microsoft
[19/08/2011|18:22] C:\DOCUME~1\Peter_2\APPLIC~1\Mozilla
[15/07/2011|21:53] C:\DOCUME~1\Peter_2\APPLIC~1\Real
[31/07/2011|09:58] C:\DOCUME~1\Peter_2\APPLIC~1\Sun
[07/10/2011|05:34] C:\DOCUME~1\Peter_2\APPLIC~1\TrueCrypt
[29/08/2011|17:10] C:\DOCUME~1\Peter_2\APPLIC~1\vlc
[15/07/2011|21:40] C:\DOCUME~1\Peter_2\APPLIC~1\WinRAR

--------------------\\ Scheduled Tasks located in C:\WINDOWS\Tasks
[20/10/2011 12:49][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[20/10/2011 12:36][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[20/10/2011 12:35][--ah-----] C:\WINDOWS\tasks\SA.DAT
[04/08/2004 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini
--------------------\\ Listing Folders in C:\Program Files
[09/08/2011|09:12] C:\Program Files\Abbyy FineReader 6.0 Sprint
[10/07/2011|15:30] C:\Program Files\Adobe
[11/07/2011|00:30] C:\Program Files\AVAST Software
[29/08/2011|09:25] C:\Program Files\AVSMedia
[08/08/2011|08:17] C:\Program Files\Bandoo
[17/08/2011|12:48] C:\Program Files\Braingame
[16/08/2011|05:41] C:\Program Files\CDBurnerXP
[08/10/2011|06:34] C:\Program Files\Classic Menu for Office 2010
[10/07/2011|14:49] C:\Program Files\C-Media 3D Audio
[29/09/2011|08:02] C:\Program Files\Common Files
[11/07/2011|00:13] C:\Program Files\ComPlus Applications
[17/08/2011|11:10] C:\Program Files\Disney Interactive
[08/08/2011|11:29] C:\Program Files\EA GAMES
[01/10/2011|16:52] C:\Program Files\Eltima Software
[19/07/2011|09:36] C:\Program Files\ESET
[11/07/2011|15:45] C:\Program Files\Eusing Free Registry Cleaner
[10/07/2011|15:48] C:\Program Files\FreshDevices
[01/10/2011|16:17] C:\Program Files\GIMP-2.0
[11/07/2011|00:30] C:\Program Files\Google
[17/08/2011|11:11] C:\Program Files\InstallShield Installation Information
[10/07/2011|14:43] C:\Program Files\Intel
[12/07/2011|06:26] C:\Program Files\Internet Explorer
[02/08/2011|11:19] C:\Program Files\Java
[10/07/2011|16:12] C:\Program Files\Lexmark 2300 Series
[10/07/2011|15:55] C:\Program Files\Lexmark Fax Solutions
[16/10/2011|09:00] C:\Program Files\Lx_cats
[10/07/2011|15:36] C:\Program Files\Macrium
[21/09/2011|21:40] C:\Program Files\Malwarebytes' Anti-Malware
[10/07/2011|15:12] C:\Program Files\Messenger
[07/10/2011|08:02] C:\Program Files\Microsoft ActiveSync
[29/09/2011|07:53] C:\Program Files\Microsoft Analysis Services
[11/07/2011|00:17] C:\Program Files\microsoft frontpage
[18/08/2011|16:42] C:\Program Files\Microsoft Games
[29/08/2011|16:55] C:\Program Files\Microsoft Games for Windows - LIVE
[07/10/2011|08:02] C:\Program Files\Microsoft Office
[12/07/2011|06:32] C:\Program Files\Microsoft SDKs
[12/07/2011|06:38] C:\Program Files\Microsoft SQL Server
[12/07/2011|06:38] C:\Program Files\Microsoft SQL Server Compact Edition
[12/07/2011|06:38] C:\Program Files\Microsoft Synchronization Services
[12/07/2011|06:38] C:\Program Files\Microsoft Visual Studio 9.0
[12/07/2011|06:33] C:\Program Files\Microsoft.NET
[10/07/2011|15:12] C:\Program Files\Movie Maker
[12/07/2011|06:29] C:\Program Files\MSBuild
[17/07/2011|16:02] C:\Program Files\MSN
[11/07/2011|00:12] C:\Program Files\MSN Gaming Zone
[22/07/2011|05:43] C:\Program Files\need for speed 2
[10/07/2011|15:09] C:\Program Files\NetMeeting
[19/07/2011|21:17] C:\Program Files\NetMeter
[03/10/2011|12:40] C:\Program Files\Nimbuzz
[11/07/2011|00:13] C:\Program Files\Online Services
[10/07/2011|15:09] C:\Program Files\Outlook Express
[14/07/2011|18:02] C:\Program Files\Pando Networks
[15/07/2011|21:42] C:\Program Files\Real
[12/07/2011|06:29] C:\Program Files\Reference Assemblies
[11/07/2011|16:51] C:\Program Files\Sonic
[31/07/2011|10:54] C:\Program Files\SPSSInc
[16/07/2011|10:11] C:\Program Files\Starbreeze Studios
[10/07/2011|14:35] C:\Program Files\Sunbelt Software
[20/10/2011|08:00] C:\Program Files\Trend Micro
[15/07/2011|05:30] C:\Program Files\TrueCrypt
[11/07/2011|00:22] C:\Program Files\Uninstall Information
[29/08/2011|10:18] C:\Program Files\VideoLAN
[09/10/2011|10:45] C:\Program Files\Wakfu
[10/07/2011|15:12] C:\Program Files\Windows Media Player
[10/07/2011|15:09] C:\Program Files\Windows NT
[11/07/2011|00:15] C:\Program Files\WindowsUpdate
[14/07/2011|18:19] C:\Program Files\WinRAR
[11/07/2011|00:17] C:\Program Files\xerox
--------------------\\ Listing Folders in C:\Program Files\Common Files
[10/07/2011|15:32] C:\Program Files\Common Files\Adobe
[29/08/2011|09:25] C:\Program Files\Common Files\AVSMedia
[29/09/2011|08:02] C:\Program Files\Common Files\DESIGNER
[08/08/2011|11:43] C:\Program Files\Common Files\DirectX
[08/08/2011|11:33] C:\Program Files\Common Files\EasyInfo
[11/07/2011|16:27] C:\Program Files\Common Files\InstallShield
[02/08/2011|11:17] C:\Program Files\Common Files\Java
[07/10/2011|08:03] C:\Program Files\Common Files\Microsoft Shared
[11/07/2011|00:14] C:\Program Files\Common Files\MSSoap
[10/07/2011|17:06] C:\Program Files\Common Files\ODBC
[15/07/2011|21:44] C:\Program Files\Common Files\Real
[11/07/2011|00:14] C:\Program Files\Common Files\Services
[10/07/2011|17:06] C:\Program Files\Common Files\SpeechEngines
[31/07/2011|10:55] C:\Program Files\Common Files\SPSS
[10/07/2011|15:09] C:\Program Files\Common Files\System
[15/07/2011|21:43] C:\Program Files\Common Files\xing shared
--------------------\\ Process
( 44 Processes )
... OK !
--------------------\\ Searching with S_Lop
No Lop folder found !

--------------------\\ Searching for Lop Files - Folders
No Lop folder found !

--------------------\\ Searching within the Registry

..... OK !
--------------------\\ Checking the Hosts file
Hosts file CLEAN
--------------------\\ Searching for hidden files with Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-20 13:09:53
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Searching for other infections
--------------------\\ Cracks & Keygens ..
C:\DOCUME~1\Peter\Desktop\ophcrack-win32-installer-3.3.1.exe
C:\DOCUME~1\Peter\Desktop\ophcrack-xp-livecd-2.3.1.iso
C:\DOCUME~1\Peter\Local Settings\Temporary Internet Files\Content.IE5\6K14GOM6\ophcrack-4-1[1].jpg
C:\DOCUME~1\Peter\Recent\ophcrack-xp-livecd-2.3.1.iso.lnk
[F:640][D:110]-> C:\DOCUME~1\Peter\LOCALS~1\Temp
[F:468][D:0]-> C:\DOCUME~1\Peter\Cookies
[F:1916][D:5]-> C:\DOCUME~1\Peter\LOCALS~1\TEMPOR~1\content.IE5
1 - "C:\Lop SD\LopR_1.txt" - 20/10/2011|13:12 - Option : [2]
--------------------\\ Scan completed at 13:12:27
Hier de COMBO log
ComboFix 11-10-20.03 - Peter 20/10/2011 14:14:13.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1015.554 [GMT 2:00]
Running from: c:\documents and settings\Peter\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Sunbelt Kerio Personal Firewall *Enabled* {E659E0EE-10E6-49B7-8696-60F38D0EB174}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Minda\My Documents\~WRL0002.tmp
c:\documents and settings\Minda\My Documents\~WRL0004.tmp
c:\documents and settings\Minda\My Documents\~WRL2068.tmp
c:\documents and settings\Minda\My Documents\~WRL2375.tmp
c:\documents and settings\Minda\My Documents\~WRL3038.tmp
c:\documents and settings\Minda\My Documents\~WRL3133.tmp
c:\windows\system32\lsprst7.dll
c:\windows\system32\prsgrc.dll
.
.
((((((((((((((((((((((((( Files Created from 2011-09-20 to 2011-10-20 )))))))))))))))))))))))))))))))
.
.
2011-10-20 10:53 . 2011-10-20 11:12 -------- d-----w- C:\Lop SD
2011-10-20 06:00 . 2011-10-20 06:00 388096 ----a-r- c:\documents and settings\Peter\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-10-20 06:00 . 2011-10-20 06:00 -------- d-----w- c:\program files\Trend Micro
2011-10-08 04:34 . 2011-10-16 07:00 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2011-10-08 04:34 . 2011-10-08 04:34 -------- d-----w- c:\program files\Classic Menu for Office 2010
2011-10-07 06:02 . 2011-10-07 06:02 -------- d-----w- c:\program files\Microsoft ActiveSync
2011-10-03 10:40 . 2011-10-03 10:40 -------- d-----w- c:\program files\Nimbuzz
2011-10-03 07:04 . 2011-10-03 07:04 -------- d-----w- c:\documents and settings\Minda\Local Settings\Application Data\Identities
2011-10-03 06:35 . 2011-10-03 06:35 -------- d-----w- c:\documents and settings\Minda\Application Data\Malwarebytes
2011-10-02 07:13 . 2011-10-02 07:13 -------- d-----w- c:\documents and settings\Peter_2\.thumbnails
2011-10-01 14:52 . 2011-10-01 14:52 -------- d-----w- c:\program files\Eltima Software
2011-10-01 14:18 . 2011-10-02 07:16 -------- d-----w- c:\documents and settings\Peter_2\.gimp-2.6
2011-10-01 14:17 . 2011-10-01 14:17 -------- d-----w- c:\program files\GIMP-2.0
2011-09-29 06:01 . 2011-09-29 06:01 -------- d-----w- c:\documents and settings\All Users\Microsoft
2011-09-29 05:53 . 2011-09-29 05:53 -------- d-----w- c:\program files\Microsoft Analysis Services
2011-09-29 05:50 . 2011-09-29 05:50 -------- d-----r- C:\MSOCache
2011-09-25 16:11 . 2011-09-25 16:11 -------- d--h--w- c:\windows\PIF
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-16 05:43 . 2011-07-10 16:48 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-09-06 20:45 . 2011-07-10 22:30 41184 ----a-w- c:\windows\avastSS.scr
2011-09-06 20:45 . 2011-07-10 22:30 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-09-06 20:38 . 2011-07-10 22:30 442200 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-09-06 20:37 . 2011-07-10 22:30 320856 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-09-06 20:36 . 2011-07-10 22:30 34392 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-09-06 20:36 . 2011-07-10 22:30 52568 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-09-06 20:36 . 2011-07-10 22:30 110552 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-09-06 20:36 . 2011-07-10 22:30 104536 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-09-06 20:36 . 2011-07-10 22:30 20568 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-09-06 20:33 . 2011-07-10 22:30 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-08-31 15:00 . 2011-07-11 14:45 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-08-04 12:41 . 2011-08-04 12:41 42 ----a-w- c:\documents and settings\Minda\Local Settings\Application Data\GLF14.tmp
2011-08-02 09:15 . 2011-08-02 09:16 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-08-02 09:15 . 2011-07-31 12:44 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-07-30 11:44 . 2011-07-16 08:35 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-09-06 20:45 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"c:\program files\NetMeter\NetMeter.exe"="c:\program files\NetMeter\NetMeter.exe" [2007-08-11 331264]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-09-06 3722416]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
"lxcgmon.exe"="c:\program files\Lexmark 2300 Series\lxcgmon.exe" [2005-07-21 200704]
"EzPrint"="c:\program files\Lexmark 2300 Series\ezprint.exe" [2005-08-01 94208]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2011-07-15 198160]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-08-31 449608]
"LXCGCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll" [2005-07-20 73728]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxCenterServer]
2005-07-12 13:36 299008 ----a-w- c:\program files\Lexmark Fax Solutions\fm3032.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\SPSSInc\\Statistics17\\SPSSWinWrapIDE.exe"=
"c:\\Program Files\\SPSSInc\\Statistics17\\statistics.exe"=
"c:\\Program Files\\SPSSInc\\Statistics17\\statistics.com"=
"c:\\Program Files\\Microsoft Office\\Office14\\ONENOTE.EXE"=
.
R0 pssnap;Paramount Software Snapshot Filter;c:\windows\system32\drivers\pssnap.sys [5/20/2008 5:32 PM 15328]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [7/11/2011 12:30 AM 442200]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [7/11/2011 12:30 AM 320856]
R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [7/18/2006 9:02 PM 284184]
R1 khips;Kerio HIPS Driver;c:\windows\system32\drivers\khips.sys [7/18/2006 9:02 PM 91672]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [7/11/2011 12:30 AM 20568]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [7/11/2011 4:45 PM 366152]
R2 ReflectService;Macrium Reflect Image Mounting Service;c:\program files\Macrium\Reflect\ReflectService.exe [8/6/2008 8:34 PM 216032]
R2 UnsignedThemes;Unsigned Themes;c:\windows\UnsignedThemesSvc.exe [7/13/2009 10:07 AM 21096]
R2 uxpatch;uxpatch;c:\windows\system32\drivers\uxpatch.sys [7/13/2009 10:07 AM 25448]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [7/11/2011 4:45 PM 22216]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [7/11/2011 12:30 AM 136176]
S3 gupdatem;Google Update Service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [7/11/2011 12:30 AM 136176]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [1/9/2010 9:37 PM 4640000]
S3 PSMounter;Macrium Reflect Image Explorer Service;c:\windows\system32\drivers\psmounter.sys [7/8/2008 9:39 PM 31712]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0; [x]
.
Contents of the 'Scheduled Tasks' folder
.
2011-10-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-07-10 22:30]
.
2011-10-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-07-10 22:30]
.
.
------- Supplementary Scan -------
.
uStart Page = about:blank
IE: &Verzenden naar OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: {{9F57042F-357E-418B-87D9-3045F9473DA8} - c:\program files\FreshDevices\FreshDownload\fd.exe
IE: {{d9288080-1baa-4bc4-9cf8-a92d743db949} - c:\documents and settings\Peter_2\Start Menu\Programs\IMVU\Run IMVU.lnk
TCP: DhcpNameServer = 192.168.1.1
.
- - - - ORPHANS REMOVED - - - -
.
HKLM-Run-Cmaudio - cmicnfg.cpl
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-20 14:31
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCGCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Environment*]
"Licence0"="04F0D21-79D8-7A25-D702-433F"
.
Completion time: 2011-10-20 14:38:22
ComboFix-quarantined-files.txt 2011-10-20 12:38
.
Pre-Run: 6,918,909,952 bytes free
Post-Run: 10,945,216,512 bytes free
.
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - A407A53926131F4CF8DCB722CA05583F
MVG perloc

Abraham54 20 oktober 2011, 16:01

Hoi Perloc - vermoedelijk MBR-rootkits!
[color=#FF0000:144b907776]Stap •1•[/color:144b907776]
[Welk programma: Kaspersky TDSSKiller
Waarvoor/waarom: Rootkitscanner
Moeilijkheidsgraad: geen
Downloadlokatie: Dit programma absoluut naar het bureaublad downloaden of anders daar naar toe verplaatsen!
Download TDSSKiller hier.
Installatie:
[list:144b907776][*:144b907776] pak het bestand uit op je bureaublad.[/list:u:144b907776]
TDSSKiller gebruiken:
[list:144b907776][*:144b907776]Windows 2000 en Windows XP: start "TDSSKiller" middels dubbelklik op TDSSKiller.exe.
[*:144b907776]Windows Vista en Windows 7: start "TDSSKiller" middels rechtsklik op TDSSKiller.exe en dan kiezen voor Als Administrator uitvoeren.
[*:144b907776]Idien TDSSKiller met een bericht komt over een beschikbare update, dan voer je deze eerst uit.[/list:u:144b907776]

[list:144b907776][*:144b907776]Klik vervolgens op de knop "Start Scan" en volg de instructies.
[*:144b907776] Nadat de scan klaar is klik je op de knop "Report".
[*:144b907776]Er opent een kladblokbestand. Post de inhoud van dit bestand.
[list:144b907776][*:144b907776]Herstart de pc indien TDSSKiller die optie aangeeft (Reboot now).
[*:144b907776]Wanneer het opnieuw opstarten noodzakelijk is, vind je de logfile in C:\TDSSKiller.[Version]_[Date]_[Time]_log.txt[/list:u:144b907776][/list:u:144b907776]
[color=#FF0000:144b907776]Stap •2•[/color:144b907776]
Welk programma: "aswMBR.exe'
Waarvoor/waarom: MBR-Rootkitscanner
Moeilijkheidsgraad: geen
Downloadlokatie: Dit programma absoluut naar het bureaublad downloaden of anders daar naar toe verplaatsen!
Download aswMBR.exe hier.
aswMBR.exe gebruiken:
[list:144b907776][*:144b907776]Windows 2000 en Windows XP: start "aswMBR.exe" middels dubbelklik op "aswMBR.exe".
[*:144b907776]Windows Vista en Windows 7: start "aswMBR.exe" middels rechtsklik op "aswMBR.exe" en kies jij voor Als Administrator uitvoeren.[/list:u:144b907776]

[list:144b907776][*:144b907776] Klik nu in het zwarte scherm op de knop Scan
[*:144b907776] Als de melding "Scan finished successfully" komt, klik dan vervolgens op de knop Save log[/list:u:144b907776]

[list:144b907776][*:144b907776] Het makkelijkst is het, als opslaglokatie voor het log gewoon het bureaublad te kiezen.
[*:144b907776] Tevens vindt je nu op het bureaublad ook het bestand MBR.dat!
[*:144b907776] MBR.dat is een backupbestand, bewaar dat dus voorlopig.
[*:144b907776] Ook op het bureaublad staat een kladbloktekst-document genaamd aswMBR.txt
[*:144b907776] Post de inhoud van aswMBR.txt in jouw volgende bericht.[/list:u:144b907776]
[color=#FF0000:144b907776]Stap •3•[/color:144b907776]
Samenvattend: hierna post je in jouw volgende bericht de inhoud van de volgende logs:
[list:144b907776][*:144b907776] TDSSKiller-log
[*:144b907776] aswMBR.txt-log
[/list:u:144b907776]

perloc 20 oktober 2011, 19:28

Eerstens wil ik je erop opmerkzaam maken dat de HD, waar het eigelijk allemaal om begonnen is, en die ik verdenk van virus problemen de drive H: is. Die heb ik uit de probleem comp. gehaald en in mijn comp gehangen. Hij start niet op omdat er sinds het verwijderen van virussen een windows password wordt gevraagd.
Dus de MBR van mijn comp wordt wel gecontroleerd maar niet de MBR van drive H:
Ik heb al getracht om de MBR van drive H: met het commando FixMBR te repareren via de setup van WinXP CD, maar die kan ik niet starten omdat booten van CD een druk op een key vraagt en op dat moment werkt mijn USB keyboard nog niet. De CD moet auto-opstarten ZONDER een vraag op een key te drukken.
De TDSSKiller heeft geen enkele fout gevonden. Er is niet gereboot. De log file is wel te selecteren maar niet de copieën en dus niet hier te pasten.
Hier volgt de log file van die andere:
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-10-20 19:15:08
-----------------------------
19:15:08.156 OS Version: Windows 5.1.2600 Service Pack 3
19:15:08.156 Number of processors: 1 586 0x304
19:15:08.156 ComputerName: PETER-9EA2D29A5 UserName: Peter
19:15:09.687 Initialize success
19:15:10.578 AVAST engine defs: 11102001
19:15:17.562 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
19:15:17.562 Disk 0 Vendor: ST380011A 8.01 Size: 76319MB BusType: 3
19:15:17.562 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T1L0-c
19:15:17.562 Disk 1 Vendor: WDC_WD800BB-00JHC0 05.01C05 Size: 76319MB BusType: 3
19:15:19.578 Disk 0 MBR read successfully
19:15:19.578 Disk 0 MBR scan
19:15:19.640 Disk 0 Windows XP default MBR code
19:15:19.656 Disk 0 scanning sectors +156296385
19:15:19.718 Disk 0 scanning C:\WINDOWS\system32\drivers
19:15:35.515 Service scanning
19:15:36.765 Modules scanning
19:15:46.546 Disk 0 trace - called modules:
19:15:46.562 ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
19:15:47.062 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86354ab8]
19:15:47.062 3 CLASSPNP.SYS[f764afd7] -> nt!IofCallDriver -> \Device\0000005e[0x86373f18]
19:15:47.062 5 ACPI.sys[f75c1620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x8635f940]
19:15:47.359 AVAST engine scan C:\WINDOWS
19:15:51.625 AVAST engine scan C:\WINDOWS\system32
19:17:50.109 AVAST engine scan C:\WINDOWS\system32\drivers
19:18:00.031 AVAST engine scan C:\Documents and Settings\Peter
19:18:51.265 AVAST engine scan C:\Documents and Settings\All Users
19:19:15.546 Scan finished successfully
19:19:31.437 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Peter\Desktop\MBR.dat"
19:19:31.453 The log file has been saved successfully to "C:\Documents and Settings\Peter\Desktop\aswMBR.txt"
Alvast met dank voor de attentie!
perloc

Abraham54 20 oktober 2011, 19:46

Dus als ik jouw god begrijp zit dus nu de HD in jouw PC.
Laten we dan beginnen met een online scan:
Doe de ESET online scan (Klik).
[list:2cb6ffbb3e]
[*:2cb6ffbb3e]Klik op de knop ESET Online Scanner
[*:2cb6ffbb3e]Zet een vinkje bij YES, I accept the Terms of Use
[*:2cb6ffbb3e]Klik op Start
[*:2cb6ffbb3e]Sta het ActiveX control toe om te installeren.
[*:2cb6ffbb3e]Zet een vinkje bij de volgende opties:
[list:2cb6ffbb3e][*:2cb6ffbb3e]Remove found threats
[*:2cb6ffbb3e]Scan archives[/list:u:2cb6ffbb3e]
[*:2cb6ffbb3e]Klik vervolgens op [color=#0000FF:2cb6ffbb3e]"Advanced Settings"[/color:2cb6ffbb3e]
[list:2cb6ffbb3e][*:2cb6ffbb3e]Scan for potentially unwanted applications
[*:2cb6ffbb3e]Scan for potentially unsafe applications
[*:2cb6ffbb3e]Enable Anti-Stealth technology [/list:u:2cb6ffbb3e]
[*:2cb6ffbb3e]Klik op Start
[*:2cb6ffbb3e]De computer wordt nu gescand. Dit kan best lang duren, heb dus geduld.
[*:2cb6ffbb3e]is de scan klaar, klik dan op [color=#0000FF:2cb6ffbb3e]> List of found threats[/color:2cb6ffbb3e]
[*:2cb6ffbb3e]Klik vervolgens op [color=#0000FF:2cb6ffbb3e]> Export to text file....[/color:2cb6ffbb3e]
[*:2cb6ffbb3e]Als opslaglokatie Bureaublad en geef het kladblokbestand een duidelijke titel.
[*:2cb6ffbb3e]Daarna mag jij het venster sluiten omdat de scan klaar is.
[*:2cb6ffbb3e]Open vervolgens het log dat op je bureaublad staat.
[*:2cb6ffbb3e]En kopieer en plak dan de inhoud van dit log in je volgende bericht.[/list:u:2cb6ffbb3e]
N.B.: deaktiveer tijdelijk je eigen antivirus tijdens de scan, dan is de onlinescan sneller!
Het is een behoorlijke download, tenzij het hoofdbestand al in jouw Windows zit.
Dan wordt het bestand enkel geupdated!

perloc 21 oktober 2011, 04:56

Het is helaas mis gegaan. Na een paar uur draaien was het tijd om naar bed te gaan. In die tijd had hij ongeveer 15% gedaan en 2 virus gevonden.
Ik ben, zoals gezegd naar bed gegaan en vannacht werd ik wakker: geen energie. (En geen UPS!) En ook geen idee hoe laat dat was. Ik dacht gelijk aan die Eset. Dus ik heb helaas geen log file.
In de aanhef van mijn berichten had ik al gemeld dat ik voor de berichten Eset in deze configuratie (dus met die probleem HD) heb gedraaid. Toen had ESET al tegen de 100 virus eruit gehaald!
Ik zal ESET nu opstarten en dan het resultaat melden.
perloc

perloc 21 oktober 2011, 08:10

Eset opnieuw gedraaid, 2 problemen gevonden.
Hier de log file:
D:\cdbxp_setup_4.3.8.2568.exe Win32/OpenCandy application deleted - quarantined
H:\Documents and Settings\All Users\Application Data\ReviverSoft\Registry Reviver\InstallCache\{F1AA1853-A0AC-4003-9E85-AC249BEC6BAD}\Registry Reviver.msi a variant of Win32/SlowPCfighter application deleted - quarantined
MVG perloc

Abraham54 21 oktober 2011, 09:34

Hallo Perloc, af en toe slaapproblemen?
Start MBAM, eerst updaten.
Kies daarna de optie --> Volledige scan
Kies vervolgens in het keuze menu voor --> "H".
Die scan kan wel even duren, dus wees geduldig.
Post het log.

perloc 21 oktober 2011, 11:20

Het komt maar zelden voor dat ik een slaapprobleem heb, dus ik weet niet waar de vraag op is gebaseerd!
Ga rond 10 uur naar bed en ben tussen 4.30 en 5.30 wakker, al vrijwel mijn hele leven.
Hint: Wie 's nachts goed wil slapen moet overdag goed wakker zijn!!
MBAM heb ik ook voor de start van dsze threat gedaan. Dus nu opnieuw gedaan, niets gevonden.
Hier de log:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Database version: 7963
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
21/10/2011 10:23:03
mbam-log-2011-10-21 (10-23-03).txt
Scan type: Full scan (H:\|)
Objects scanned: 231999
Time elapsed: 31 minute(s), 14 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
(No malicious items detected)
MVG perloc

Abraham54 21 oktober 2011, 11:43

Ik vroeg ook of je af en toe slaapproblemen hebt en daarop heb je toch bevestigend geantwoord: soms.
En deze vind ik leuk: "Hint: Wie 's nachts goed wil slapen moet overdag goed wakker zijn!! ".
Ik heb nu een vraag aan jou: welke Ophcrack versie heb je gedownload.
Want er zijn er twee: één voor XP en de ander voor Vista!

perloc 21 oktober 2011, 16:50

Oei!!... heb ik ergens gezegd dat ik soms niet goed kan slapen? Kan me niet hetinneren! Zou het moeten terugzoeken maar ik laat het maar zo.
Wat betreft de OPHCrack versie, die is van WinXP.
Ik heb hem op de probleem computer gedraaid.
Daar vindt hij 5 items:
Aministrator: empty
Guest : empty
Help asiistant: empty
Support (en wat letters): not found
Joana : empty
Als ik die computer start komt hij met het Windows inlog screen met user name "Joana" en daar moet ik het password in voeren.
Als ik OK klik komt ie even met de foto van de dochter van Joana op het scherm en keert dan terug tot het inlogscherm.
Dus nog steeds niet opgelost.
perloc

Abraham54 22 oktober 2011, 08:58

Hoi Perloc, je zal voor het volgende de HD weer terug moeten zetten in de oorspronkelijke PC.
1) Achterdeur
In Windows XP is een achterdeur ingebouwd, die een aanmelding met Administrorrechten mogelijk maakt.
Indien u bij het PC-opstarten de funktietoets F8 indrukt en in de veiligheidsmodus opstart, verschijnt een extra Administrator-account.
Deze heeft geen wachtwoord, zodat iedereen kan inloggen.
2) Automatisch aanmelden
Windows XP kent verschillende manieren van aanmelden. Het aanmelden via het Welkomstscherm of op de klassieke manier. Sommige mensen vinden het aanmelden met gebruikersnaam of wachtwoord, of het Welkomstscherm onnodig.
Windows XP biedt de mogelijkheid om standaard met een bepaalde gebruiker automatisch aan te melden. Na het opstarten van je computer ‘rol’ je dan meteen door naar het Bureaublad. Natuurlijk kleeft er aan het automatisch aanmelden een veiligheidrisico. Iedereen die immers de computer aanzet, kan bij de gegevens van deze gebruiker. Als je dat risico voor lief neemt en automatisch wil aanmelden onder Windows, neem dan de volgende stappen.

- Ga naar Start / Uitvoeren;
- Typ in de tekstbox het commando "control userpasswords2" en druk op Enter; (zonder aanhalingstekens)
- In het scherm dat verschijnt kies je de tab Gebruikers;
- Selecteer daar de gebruiker welke zich automatisch aan mag melden op het systeem; Middels één rechtsklik met je muis;
- Vink vervolgens de optie ‘Gebruikers moeten een gebruikersnaam en wachtwoord opgeven om deze computer te kunnen gebruiken’ uit;
- Druk op de knop toepassen;
- Vul de gegevens - naam en wachtwoord - in van deze gebruiker;
- Druk twee keer op OK.

perloc 22 oktober 2011, 10:36

Ik loop aan alle kanten vast. Met een USB Keyboard heeft indrukken van de F8 toets geen zin: bij opstart reageert alleen de DEL key voor het openen van de BIOS. Dus in de Admin. mode kan ik niet komen.
In de BIOS is geen knop om de USB te activeren. Daarvoor zal ik de BIOS moeten updaten. Ik heb bij MSI gezocht, daar is een .EXE fil beschikbaar om die klus te doen. Maar, om een .EXE file te runnen moet je in Windows kunnen komen.
Misschien dat de link die jolo me zond uitkomst biedt:
Deze: http://en.kioskea.net/forum/affich-22087-xp-auto-log-off
Dat ga ik nu proberen via een Diskette.
perloc

Abraham54 22 oktober 2011, 11:44

Je zal eerst in het Bios de USB-Legacy op Enabled moeten zetten!

perloc 22 oktober 2011, 15:02

Dit is geen eenvoudig probleem.
In de BIOS komt geen USB-Legacy voor!!
Dus ik moet een BIOS-flash doen.
Maar....
Ik heb bij MSI voor mijn MOBO (PM8M-V) naar een BIOS update gezocht.
Ze hebben daarvoor LiveUpdate.exe
Nu, daar kan ik niets mee want dat is voor een werkend systeem.
Zal nog eens verder zoeken want die LiveUpdate is een geval met veel toeters en bellen. Ik heb alleen maar de BIOS flash file nodig op een diskette.
perloc

Abraham54 22 oktober 2011, 18:30

Dan mar weer het oude toetsenbord gebruiken!

perloc 22 oktober 2011, 18:46

Tja, wat moet ik dáár nu op zeggen! Het is ermee begonnen dat het originele keyboard, noch de mouse werden herkend! Het is dáárom dat ik voor Joana een USB keyboard en USB mouse heb gekocht. Die werken wel, zij het met restrictie's zoals we inmiddels weten. En omdat ik al heel wat ervaring heb met deze computers ben ik gelijk begonnen de computer op viruses te controleren temeer daar hij niet vooruit was te branden! De eerste 10 minuten gebeurde er vrijwel niets!
Dat heeft dus de befaamde (ongeveer) 150 viruses opgeleverd.
En toen díe waren verwijderd kwam dat vermaledijde inlog scherm op, waar ik nu al zowat een week mee bezig ben te trachten te verwijderen met uw en andermans hulp (oa jolo).
Maar ik vrees zo langzamerhand aan een format te moeten gaan denken. Ik heb een image, format de HD, deel deze in 2 delen, op C: Windows en Office en op D: de image terug. Als het morgenavond nog niet is opgelost dan doe ik het maar zo. Het zal de eerste keer zijn dat ik bakzijl moet halen wat betreft de reparatie van een computer.
MVG perloc

Abraham54 22 oktober 2011, 19:24

Indien standaard toetsenbord en muis al niet herkend worden, dan is het eerder een hardware dan software probleem!
En bovendien na research gedaan te hebben, vermoed ik dat Joanna zelf een wachtwoord heeft aangemaakt en vervolgens niet meer aan de consequenties daarvan gedacht heeft.

perloc 23 oktober 2011, 05:42

Toen Joana de computer heeft gebracht heb ik mijn keyboard, dus degene waar ik nu op tik, daarop aangesloten. Dat gaf de melding in het boorscherm dat er geen keynoard was aangesloten. Na een USB KB te hebben aangesloten bleek ook de muis niet te werken. Een USB mouse bracht de oplossing. Een hardware fout, inderdaad, maar niet van de periferie maar intern op het MOBO. (Zou een virus die poorten kunnen blokkeren?)
Verder heeft Joana (in het Portugees komen geen dubbele letters voor dan behalve de rr - in carro = auto) gezegd NOOIT een password te hebben ingevoerd of gebruikt. Dus dit is écht van een virus.
Zijn er geen suggestie's meer?
perloc

jolo 23 oktober 2011, 08:40

perloc:
Dat heeft dus de befaamde (ongeveer) 150 viruses opgeleverd.
Wellicht kunnen hiermee verder gaan. Met welke virusscanner had je dit gedaan? En zou je daarvan het log kunnen posten? Je zou deze kunnen proberen te vinden, met een Live CD. Zoals die Ophcrack CD. Als je die weer vanaf de probleem PC opstart, dan beëindig je Ophcrack applicatie, druk dan op een toets en de letter n gevolgd door [Enter]. Dubbelklik dan op My Documents. Daar zie je in het linker venster de mappen /media en /mnt.
Met die /media kun je de CD/DVD speler/brander mounten. En met die /mnt map kun je harddisk mounten. De partitie waarop Windows staat wordt meestal sda1 of hda1 genoemd. Zodra je de Windows partitie hebt gemount, start dan via hert Menu > Utilities > Search for Files and Folders. Klik in die applicatie op Add > Browse > /mnt > hda1 of sda1 > Selecteer eventueel een subfolder > Open. Dat logje zou je via het netwerk/usb-stick/diskette kunnen kopiëren naar de PC, die je gebruikt voor dit forum.
Als aanwijzing wat je zou kunnen zoeken, check je de site van Microsoft artikel 892893 http://support.microsoft.com/kb/892893 Of gebruik de Engelstalige hyperlink http://support.microsoft.com/kb/892893/en-us
Heb je eventueel de beschikking over een Knoppix Live CD?

perloc 23 oktober 2011, 11:12

Ik hoef het helemaal niet zo moeilijk te doen om met de probleem computer te zoeken: de virus scanner MBAM heb ik gedraaid toen ik de probleem drive in mijn eigen computer heb gehangen.
Ondertussen dat MBAM draaide keek Avast mee en ik zag vele malen dat ook hij iets vond en verwijderde (of in quanrantaine zette).
Dus ik heb die HD er weer ingehangen maar vreemd: ik kan maar 1 MBAM log vinden (zonder fouten), de laatste die ik heb gedraaid en de log op de desktop heb gezet. Er zouden veel meer MBAM logs op moeten staan, maar die zie ik niet. De logs van Avast is leeg, ook al zoiets vreemds.
Waar moet ik zoeken naar de logs van MBAM?
En ja, ik heb een Knoppix live CD en UBCD
perloc

andre@home 23 oktober 2011, 11:24

Als je dus wel in het bios kunt komen, doe eens een reset naar de default instellingen (kan me niet herinneren het gelezen te hebben).

jolo 23 oktober 2011, 11:53

Niet het mbam log, maar het log van die antivirusscanner die de 150 viruses had verwijderd. Als we weten welke bestanden zijn verwijderd, dan kan de situatie wellicht beter worden beoordeeld. Waar je die log moet zoeken, hangt af van de antivirusscanner.
Dat log opsporen hoef je inderdaad niet te doen met een Live CD. Als je die liever opzoekt vanuit je eigen PC. Dan is dit ook goed. Alleen kun je dat verplaatsen van de harddisk van de ene naar de andere PC beter niet te vaak doen. Connectors zouden daardoor slecht contact kunnen gaan maken.

perloc 23 oktober 2011, 14:26

andre@home: die BIOS reset heb ik eens gedaan maar hier niet gemeld. Dat bracht geen soelaas. Die reset was nodig omdat op een gegeven moment de melding kwam dat er iets mis was met instellingen van de uP. En hoe dát weer kwam.... er is ondertussen al zoveel gebeurd!
jolo: uit mijn herinnering: Mbam vond 17 viruses, dat is zeker, Avast heb ik niet kunnen tellen maar ik schat een 20 tal en toen heb ik de online Eset virus-scanner gedraait, die er meer dan 100 vond. Naar die log heb ik ook gezocht maar niet kunnen vinden. Achteraf wel spijt dat ik daar niet zorgvuldiger mee ben omgegaan.
Volgens mij schrijft Eset niet automatisch de log naar de HD. Die is er dus niet meer, alleen een heel recente, gevraagd te draaien door Abraham54.
perloc

jolo 23 oktober 2011, 15:11

Als ik dit goed begrepen heb, bewaard ook eset ergens een log. Als je dit echt niet meer kunt vinden, zou je wellicht handmatig met behulp van dat Microsoft artikel 892893 die ik eerder postte, kunnen checken of er bestanden zijn verwijderd/toegevoegd. En check met datzelfde artikel het Windows register. Als dit niets oplevert, lijkt een schone Windows XP installatie onvermijdelijk.

perloc 23 oktober 2011, 15:57

Het blijft erg gecompliceerd.
Wat betreft ESET, die heb ik niet gevonden via het artikel van Eset maar in C:\program files. Daar komt in de subfolder van Eset een folder "quanrantaine" voor. Daar staan 68 files gedateerd 17-10-2011 (de dag waarop ik Eset heb gedraaid) maar ik weet niet of je daar iets aan hebt. Ze zijn van deze constructie: 1597EEE83D50B90688843CD1EDD582CCC36982B.NDF
Het je daar wat aan? De de rest van de viruses is gelijk verwijderd.
Verder heb ik dat artikel 982893 bekeken voor een gedeelte. Je wordt gervraagd in het register een sleutel te veranderen. Hoe kan ik dat doen in een comp. die niet opstart! En als ik de drive in mijn computer hang (zoals die op dit moment hangt) kan ik niet bij het register. Of toch wel? Is er een manier om dan iets te vinden en te editen?
perloc

perloc 23 oktober 2011, 17:25

Wat zou er gebeuren als ik in mijn computer de probleem disk hang als opstart voor Windows? De instellingen van de hardware kloppen dan niet, maar als die opstart heb ik in ieder geval het voordeel dat ik als administrator kan inloggen of een restore point kan terugzetten.
En als ik als administrator kan inloggen kan ik ook in het register komen!
Om even duidelijk te zijn: het heeft het voordeel dat het keyboard gelijk werkt. Dat is nog steeds de bottleneck geweest waardoor ik een aantal dingen niet heb kunnen doen.
perloc

jolo 23 oktober 2011, 17:50

Ik ben niet bekend met NDF bestanden. Ik verwachte eigenlijk eset log txt bestanden, die je kunt lezen in notepad. Wat het editen van de register bestanden betreft. Check daarvoor deze hyperlink http://www.ehow.com/how_7627161_repair-registry-different-drive.html Eventueel http://technet.microsoft.com/en-us/library/cc722563.aspx
Je kunt niet zomaar Windows op een andere PC laten opstarten. Deze heeft meestal een andere chipset. En zal door de andere hardware configuratie binnen 3 dagen opnieuw geactiveerd moeten worden. Dus als je dit wilt proberen, doe je dit met een clone. Je zou via de functietoets F8 in veilige modus kunnen proberen te starten. Alleen verwacht ik dan nog steeds dat inlog probleem. Tenminste, als dit is veroorzaakt door een virus, of het verwijderen daarvan.

perloc 23 oktober 2011, 19:15

Dat log bestand is er geweest. Daar heb ik mijn info van dat er over de 100 viruses zijn gevonden door ESET. Maar het log bestand is niet opgeslagen. Dat is duidelijk.
Ik heb vele malen in een register betand dingen veranderd. Dus bij normale opening met Regedit is er geen probleem. Maar ik moet het register van de probleem HD openen die bij mij in de computer hangt.
Ik weet dat de hardware verschillend is als je een WinXP in een andere computer hangt. Wat ik zou willen weten is of de computer opstart met die HD. Dus dat wordt proberen. het zou zomaar kunnen dat je gewoon via de administrator, dus safe mode, de computer binnenkomt.
Ik verwacht ook problemen maar "niet geschoten is altijd mis", nietwaar?
Ik laat het wel weten.
Als het kan is natuurlijk de vraag of ik er wat mee ben opgeschoten....
Ik zal het laten weten.
perloc

perloc 23 oktober 2011, 19:33

Dat is snel geprobeerd.
Zonder op de F8 te drukken komt hij al in het keuze menu. En nu kan ik wel met de pijltjes kiezen en een Return geven.
Maar welk ik van de drie: - safe mode, normaal, herstel punt - ook kies, hij komt in een boot loop. Dus dit menu komt steeds terug.
Dus dat werkt ook niet.
Ik zou wel eens wat positiefs willen melden.....
perloc

perloc 24 oktober 2011, 07:17

jojlo: kijlk eens naar de volgende link item Scenario.
http://windowsxp.mvps.org/peboot.htm
Dat ga ik doen en misschien brengt dat de oplossing.
Het gaat met BartPE CD, die heb ik niet en ook niet nodig. De probleem drive hangt in deze computer en daar navigeer ik naar toe.
Maar ik heb geen UPS en ga er een kopen, want het elektriek hier wil nog wel eens uitvallen en als dat nét gebeurt als ik aan het editen ben....
perloc

perloc 24 oktober 2011, 07:20

jojlo: kijlk eens naar de volgende link item Scenario.
http://windowsxp.mvps.org/peboot.htm
Dat ga ik doen en misschien brengt dat de oplossing.
Het gaat met BartPE CD, die heb ik niet en ook niet nodig. De probleem drive hangt in deze computer en daar navigeer ik naar toe.
Maar ik heb geen UPS en ga er een kopen, want het elektriek hier wil nog wel eens uitvallen en als dat nét gebeurt als ik aan het editen ben....
perloc

Abraham54 24 oktober 2011, 10:27

Hoi Perloc, je blijft aan het doe hetzelven.
Genoemde omniband.dl zit niet in die Windows van Joanna!
En zo kan je blijven doorgaan, omdat jijzelf als het ware in een loop terechtkomt.
Red de documenten van Joanna en installeer XP helemaal opnieuw.
En zet daarna de documenten terug.
Vermits de PC van Joanna wil meewerken natuurlijk.
Je kan er overigens beter voor zorgen Hirens BootCD te krijgen.
Die heeft o.a. ook een mini-XP aan boord.

perloc 24 oktober 2011, 11:12

Doehetzelven? Ik probeer mee te denken en volg alle raad op.
Even Windows erop zetten. Dat gaat dus niet.
Als ik de WinXP CD in de la stop vraagt hij om een willekeurige key in te drukken. En dat gaat nou juist niet, want het USB keyboard wordt op dat moment nog niet herkend. Dus hoe zou ik de win CD moeten opstarten?
Ik kan me niet herinneren.......

Genoemde omniband.dl zit niet in die Windows van Joanna!
ergens gelezen te hebben. Moet dat trouwens niet Omniband.DLL zijn? En moet ik die dan in de \win\system32 folder zetten? Zo ja, zoeken we even op! En wat is het effect daarvan?
En dan een crusiale vraag: is het systeem zo verziekt dat een nieuwe installatie noodzakelijk is? Die suggestie heb ik ook nog van niemand gehoord. En hoe zou ik dat moeten doen gezien wat hierboven staat?
perloc

Abraham54 24 oktober 2011, 12:00

Het gegeven voor mij is dat de Joanna PC bijna naar de PC-hemel is.
In ieder geval kan je er feitelijk niks meer mee wegens moederbordproblemen.
Rest dus een HD met o.a. haar documenten!

perloc 24 oktober 2011, 15:31

Abarham54: Alleen CD's die automatisch opstarten werken. Geen CD's waar je een druk op een key moet geven om te starten, b.v. de WinXP CD.
Hoe krjg ik Windows geinstalleerd, dus anders gezegd, hoe krijg ik een CD die automatisch WinXP opstart. Alleen dán kan ik formatten, Windows installeren en de data files daarop terugzetten.
perloc

Abraham54 24 oktober 2011, 16:58

Omdat de systeempartitie als aktief is aangemeld, zal je of je nu Windows XP, Windows Vista, Windows 7 of Windows Preview installeert, altijd op een toets moeten drukken om de PC te laten booten van de CD-Rom.
Wat vindt jij in het bios van Joanna's PC nu allemaal wat met USB te maken heeft?
Kan je dat vermelden?

perloc 24 oktober 2011, 19:17

Daar kan ik kort over zijn: Alles!! EN HET STAAT (EN STOND!!) ALLEMAAL AAN!!
Ik moet met schaamrood op mijn kaken bekennen dat ik daar vorige keer overheen heb gezien. Het maakt echter niets uit voor de problemen die ik heb, het stond en staat allemaal aan.
Als daar zijn:
USB controller: All Enabled
USB2.0 controller: Enabled
USB Emulation ON (support USB Legacy, Keyboard, Storage)
Maar het keyboard "ziet" bij boot alleen maar de DEL key. Zou een virus dat kunnen blokkeren?
perloc

Abraham54 24 oktober 2011, 19:35

Ik zou zeggen, laat Joanna maar naar een andere PC uitkijken.
Dat ding van haar is te oud en heeft al problemen.

perloc 24 oktober 2011, 19:43

Sorry voor de wijziging. Ik heb toen ik scheef "Daar kan ik kort over zijn: niets" de Bios nog eens opgestart. Zodat er een andere uitkomst is, die echter niets bijdraagt aan de problemen. Want USB WAS volledig geactiveerd.
perloc

jolo 24 oktober 2011, 19:55

Dan zijn de BIOS instellingen van Joanna's PC in orde. Alleen wordt de discussie er intussen niet overzichtelijker op. We probeerden er toch achter te komen, of dat Microsoft artikel http://support.microsoft.com/kb/892893/en-us iets bruikbaars op leverde. Lukt het nu dus wel of niet, om het register van Joanna's PC vanuit jouw PC te editen.

Abraham54 24 oktober 2011, 20:12

Het register van een Windows die is aangesloten in een PC waarin een andere Windows aktief is, daarvan laat het register zich niet openen.
Wel kan je de Windows\System32 map openen.

perloc 24 oktober 2011, 20:19

Ook voor mij is het verwarrend.
Ik heb gezocht -dank zij de excelente zoekfunctie van WinXP- naar het woord wsaupdate.exe in de Windows directory van de probleem HD. Niet gevonden, dus dat is in ieder geval niet het probleem.
Verder heb ik met een hive load van Regedit gekeken naar de aanwezigheid van "userunit.exe, op de plaats waar het staan moet: het staat er. Tevens heb ik een copie gemaakt van een WinXP CD van userunit.exe naar de Windows system32 folder.
Met de wetenschap nu dat USB zou moeten werken heb ik mijn tweede HD gehangen in de probleem computer en zie: HIJ HERKENT HET KEYBOARD!
Dat is een doorbraak. Dus een virus op de probleem HD blokkeert, behalve de Del key, een USB keyboard. Omdat ik ook benieuwd ben of nu met een goede HD misschien ook de PS2 keyboard werkt, maar dat blijft hetzelfde: het bootscherm vertelt dat er geen keyboard is gevonden.
Dus wat ga ik nu doen, mede op aanraden van Abraham54: ik ga de HD formatten, winXP erop zetten en alle data files van Joana er weer opzetten, tesamen met een Office 2003 die ik nog heb liggen.
Daarmee zou de kous af moeten zijn.
Ik kom nog terug om te melden of alles al of niet naar wens is verlopen.
Sta nog steeds open voor jullie ondersteuning.

perloc 25 oktober 2011, 15:03

Het gaat niet goed en ik weet niet of dit het MOBO is wat iets mankeert, of de HD. Loading van de WINXP files ging van een leie dakje. Reboot duurt erg lang, wel meer dan 5 minuten voor hij door het dominorijtje is. Programma's installeren gaar redelijk goed, maar gebruiken duurt een eeuwigheid voor er wordt gereageerd.
HD is geformat in grondige mode. Duurde 1.5 uur. MBR is gereset. Dus je zou denken dat er geen virus meer in kan zitten.
Wat zou er mis zijn? Mobo ofr HD. Kan er een virus in de BIOS chip zitten genesteld?
perloc

Abraham54 25 oktober 2011, 16:37

ik heb je foutief geplaatste bericht gelezen en kan alleen concluderen dat de HD aan het afsterven is!
En geen spoken gaan zien, dat bios is echt niet geïnfecteerd.
Eerder denk ik dat de technische levensduur van die PC aan het aflopen is.

perloc 25 oktober 2011, 19:04

Om dit te testen is, wat ik nu ga doen, mijn tweede HD die in deze computer zit in de probleem computer plaatsen, daar een partitie opmaken van 20GB (dat kan wel) en daar Windows opzetten. Dan weet ik zeker dat het óf aan de HD ligt, óf toch aan het MOBO. (Die verdenk ik omdat ook de PS2 ingang van keyboard en mouse defect is.)
How about that!
perloc

Abraham54 25 oktober 2011, 19:11

Je kan het proberen natuurlijk.

perloc 25 oktober 2011, 21:24

100% zeker ben ik nog steeds niet, maar er zijn steeds meer aanwijzingen dat het MOBO de boosdoener is. Ik heb getracht met PM 8.0 om een 20GB van de 200GB af te scheiden. Na een half uur draaien liep de zaak vast: alleen een druk op de reset had nog invloed. PM opnieuw opgestart om te kijken en het zag er slecht uit: de hele 200GB zou vol zijn terwijl er zeker nog 35GB free space zou moeten zijn.
De HD weer in mijn eigen computer gehangen en die geeft de gebruikelijk tree met mijn files (veel video) en ook die 35GB free space.
Morgen zal ik Chkdsk /f /r draaien en zien of de zaak in orde is (te maken).
Er is ook nog iets anders wat ik moet controleren. Toen ik voor het eerst de kast openmaakte van de probleem comp. zag ik dat een van de aandrukhandels voor de ventilator/koelblok op de processor open stond. Die heb ik aan gedrukt. Tijdens het hele preces deze week is het verschillende maken voorgekomen dat de probl. comp. helemnaal niets meer deed. Na even wachten startte hij weer krakkemikkig op. Het zou kunnen dat de processor niet helemaal goed in de voet zit. Dat zal ik morgen ook even controleren.
perloc

perloc 26 oktober 2011, 05:44

Processor opnieuw in de voet geplaatst, maar dat brengt geen verandering in gedrag. Dus ik (i.c. Joana) zal aan een nieuw MOBO moeten...
Hartelijk dank voor alle aandacht en assistentie, speciaal Abraham54 en jolo!!
MVG perloc

Antwoord niet gevonden? Stel hier je vraag: