Vraag & Antwoord

Beveiliging & privacy

highjackthis file na dikke misere

Anoniem
Lodyx
44 antwoorden
 • Onlangs heb ik een probleem aan de orde gesteld op een ander forum. Helaas zonder resultaat. Inmiddels stapelen de foutmeldingen zich op en loopt alles vast. Zelfs bij opstart in de veilige modus. De foutmeldingen zijn:
  a. Can't run 16-bit Windows program. Insufficient memory to run this application. (Ik heb geen ide over welk program dit gaat).
  b. Smart Sweep/Internet Sweer is unable to start the WOW monitor.
  c. Dr Watson Post mortem Debugger has encountered a problem and needs to close. (Na het indrukken van OK loopt de pc vast.)
  d. Daar komt nog bij dat ik de prullenbak niet kan legen. Melding: the file or directory Dh2 is corrupted and unreadable.

  Om (goed) te beginnen hieronder een highjack logfile. Ik zal het zeer op prijs stellen wanneer een expert hierover zijn oordeel wil geven. Hartelijk dank bij voorbaat.

  Logfile of HijackThis v1.99.1
  Scan saved at 11:30:28, on 18-11-2005
  Platform: Windows XP SP2 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\system32\ctfmon.exe
  C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
  C:\WINDOWS\System32\cisvc.exe
  C:\Program Files\ewido\security suite\ewidoctrl.exe
  C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
  C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
  C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
  C:\Program Files\Dantz\Retrospect\retrorun.exe
  C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\fxssvc.exe
  C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
  C:\Program Files\Common Files\Symantec Shared\ccApp.exe
  C:\Program Files\Microsoft Hardware\Mouse\point32.exe
  C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
  C:\WINDOWS\MXOALDR.EXE
  C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  C:\Program Files\QuickTime\qttask.exe
  C:\Program Files\iTunes\iTunesHelper.exe
  C:\WINDOWS\system32\CTHELPER.EXE
  C:\Program Files\Skype\Phone\Skype.exe
  C:\Program Files\iPod\bin\iPodService.exe
  C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
  C:\Program Files\Norton SystemWorks\Norton CleanSweep\csinsmnt.exe
  C:\Program Files\Caere\PageKeeper30\system\PKJobs.exe
  C:\WINDOWS\system32\ntvdm.exe
  C:\Program Files\SpywareGuard\sgmain.exe
  C:\OPLIMIT\ocrawr32.exe
  C:\Program Files\Caere\PageKeeper30\SYSTEM\PKTOPASS.EXE
  C:\Program Files\Caere\PageKeeper30\SYSTEM\PKSlapi.exe
  C:\Program Files\SpywareGuard\sgbhp.exe
  C:\WINDOWS\explorer.exe
  C:\Program Files\Internet Explorer\iexplore.exe
  C:\WINDOWS\system32\cidaemon.exe
  C:\Program Files\Messenger\msmsgs.exe
  C:\Documents and Settings\Administrator\My Documents\Hijackthis logfiles\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.meteofrance.com/FR/mameteo/prevVille.jsp?LIEUID=FR83139
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://proxy.planet.nl:8080
  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
  O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
  O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
  O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
  O2 - BHO: PosHelp - {CDEEC43D-3572-4E95-A2A5-F519D29F00C0} - C:\Program Files\Advanced Searchbar\advancedsearchbar.dll
  O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
  O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
  O3 - Toolbar: Advanced Searchbar - {57F02779-3D88-4958-8AD3-83C12D86ADC7} - C:\Program Files\Advanced Searchbar\advancedsearchbar.dll
  O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
  O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
  O4 - HKLM\..\Run: [POINTER] C:\Program Files\Microsoft Hardware\Mouse\point32.exe
  O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
  O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
  O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
  O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
  O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [KPN SMS mail] "C:\Program Files\KPN SMS mail\eSMS Executive Windows.exe Silent"
  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
  O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
  O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
  O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
  O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
  O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE
  O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
  O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
  O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
  O4 - Global Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Program Files\Norton SystemWorks\Norton CleanSweep\csinsmnt.exe
  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
  O4 - Global Startup: PageKeeper Jobs.lnk = C:\Program Files\Caere\PageKeeper30\system\PKJobs.exe
  O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
  O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
  O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
  O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
  O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
  O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
  O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
  O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
  O9 - Extra button: Advanced Searchbar - {57F02779-3D88-4958-8AD3-83C12D86ADC7} - C:\Program Files\Advanced Searchbar\advancedsearchbar.dll
  O9 - Extra 'Tools' menuitem: Advanced Searchbar - {57F02779-3D88-4958-8AD3-83C12D86ADC7} - C:\Program Files\Advanced Searchbar\advancedsearchbar.dll
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
  O15 - Trusted IP range: 67.15.24.53
  O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
  O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
  O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/terraexplorer/install/TEInstallPlugIn.cab
  O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
  O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030523/qtinstall.info.apple.com/drakken/nl/win/QuickTimeInstaller.exe
  O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
  O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
  O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
  O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.hema.nl/site/xupload/XUpload.ocx
  O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab
  O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
  O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
  O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
  O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
  O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
  O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
  O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
  O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
  O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
  O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Program Files\Dantz\Retrospect\retrorun.exe
  O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
  O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
  O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
  O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
 • ik zou op het eerste gezicht zeggen een hardware fout
  zowel je hd als je memory lijkt niet goed meer te zijn
  voor de hd draai eens scandisk en daarna defrag
  voor de memory kan je memtest draaien (wordt vaker genoemt voor een link, even zoeken op het forum)
 • Hallo Jape

  De volgende regels mag je in hijackthis aanvinken en verwijderen door nadien op de "Fix checked" knop te drukken:
  [b:9b768f2d37]R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
  O15 - Trusted IP range: 67.15.24.53[/b:9b768f2d37]

  Verder zie ik geen problemen in je log, daarom zou het inderdaad wel eens een hardwarematig probleem kunnen zijn.

  Test je HD eens: http://www.duxcw.com/faq/hd/diag.htm

  Of doe eens een memtest: http://www.memtest86.com
  Je kunt het progje vanaf een diskette booten, het programma moet enkele uren draaien en er mag [b:9b768f2d37]geen enkele[/b:9b768f2d37] fout gevonden worden.

  Groeten smeenk :wink:
 • Masters Smeenk en Sjouwer bedankt.

  De highjackthis operatie heb ik uitgevoerd. De aanbevolen tests van harddisk en memory gaan voor deze digitale stuntelaar nog net iets te snel.

  Van de informatie op de aangegeven website kan ik helaas voor dit specifieke geval geen brood bakken. En dat je het progje (?) in een memtest vanaf een diskette kunt booten is voor mij nog even potjeslatijn. Het spijt me, maar ik vertrouw op uw begrip. Jaren geleden (when we were young and handsome) moet u ook met minder kennis van zaken begonnen zijn. En u ziet dat dat toch allemaal op z'n pootjes terecht is gekomen.

  Vertel het me svp. Dank en groet, Jape
 • Kan je wat met onderstaande uitleg:

  1. Download dit bestandje: http://www.memtest86.com/memt31a.zip

  2. Pak het uit(unzip het) op een floppydisk.

  3. Dubbelklik op install.bat en laat het installeren op A: (als dat je diskettestation is)

  4. Laat die diskette in het station zitten en herstart de computer, het programma begint vanaf de diskette te draaien.

  5. Laat het programma enkele uren draaien, indien er fouten gevonden worden zullen er geheugenreepjes vervangen dienen te worden.

  Groeten smeenk :wink:
 • Al weer wat geleerd. Dank zij heer Smeenk. U bent een prima tutor. De memtest is O.K. lijkt me (zonder enige kennis van zaken :lol: ). Alle (12) tests 0 errors. Alleen de problemen blijven. Heb vijf keer moeten herstarten. Zelfs in de veilige modus blijft Dr Watson Postmortem Debugger roet in het eten gooien. Waarna alles vastloopt.

  Daarbij wordt steeds verwezen naar twee bestanden die ik met de zoekfunctie volstrekt niet kan vinden. Het gaat om C:\Document~1\Locals~1\Temp\WER1420.dir00\drwtsn 32.exe.mdmp en om C:\Document~1\Locals~1\Temp\WER1420.dir00\appcombat.txt

  Kunt u hier wat mee? Of zijn we nu toe aan de eerder door u genoemde HD test? Wilt u daar dan een korte voorzet voor geven?

  Dank en groet, Jape
 • Het zijn foutmeldingsbestanden van Windows, de laatste is bestemd om opgestuurd te worden naar Microsoft als foutmeldingsrapport.

  Als je die zou kunnen vinden zou je misschien de oorzaak kunnen ontdekken, het lijken in ieder geval enrstige fouten te zijn :-?

  Groeten smeenk :wink:
 • Ik heb gezocht tot ik een ons woog (nou ja, 76 kilo :lol: dan), maar niets gevonden. Zijn daar nog andere manieren voor dan de zoekfunctie in de verkenner?

  Groet, Jape
 • Als je weer een foutmelding krijgt, druk dan eens op "Details".
  Daarna met de muis de tekst die je krijgt selecteren.
  Rechtsklikken en kopiëren kiezen.
  Daarna een kladblok bestand openen en voor plakken kiezen.
  De inhoud van het kladblokbstand hier ook in een bericht plakken.

  Groeten smeenk :wink:
 • Hallo mijnheer Smeenk,

  Eigenlijk had ik dat al gedaan in dit topic (zie boven). Maar als ik de indrukwekkende lijst met tips en adviezen zie, waarmee u ons brokkenpiloten dagelijks op de been houdt :D , kan ik begrijpen dat u dat even is ontgaan.

  De Dr Watson Postmortem Debugger meldingen die ik telkens weer ontvang verwijzen in "Details" naar 2 bestanden: C:\Document~1\Locals~1\Temp\WER1420.dir00\drwtsn 32.exe.mdmp en naar C:\Document~1\Locals~1\Temp\WER1420.dir00\appcombat.txt Die bestanden zijn onvindbaar.

  Bij de overige twee foutmeldingen komt geen "Details" voor. Deze luiden:

  a. "Can't run 16-bit Windows program. Insufficient memory to run this application." (telkens bij het opstarten)
  b. "Cannot remove folder Dh2. The file is corrupted or unreadable." (bij het legen van de recycle bin)

  Ik hoop dat u (wederom) raad weet :o .

  Groet, Jape
 • [quote:abab2ed9a5="Jape"]Can't run 16-bit Windows program. Insufficient memory to run this application.[/quote:abab2ed9a5]Toch lijkt dit op problemen met het geheugen(memory) te duiden.

  en als je naar Start – Uitvoeren gaat en de volgende regel kopieert:[code:1:abab2ed9a5]C:\Document~1\Locals~1\Temp\WER1420.dir00\appcombat.txt[/code:1:abab2ed9a5]deze hier plakken en op "OK" klikken. Als het bestand aanwezig is zal het nu in kladblok geopend worden.
 • Net wat u dacht. Een licht geval van geheugenstoornis misschien :( . De ontvangen melding luidt dat het bestand: " … refers to a location that is unavalable. It could be on a hard drive on this computer, or on a network. En verderop de melding: "If it still cannot be located, the information might have been moved to a different location."

  Voor de zekerheid heb ik op de door u aangegeven manier alle schijven onderzocht, maar telkens die domme melding dat de locatie niet beschikbaar zou zijn. Brengt dit u wat verder bij de (mogelijke) oorzaak?

  Groet, Jape
 • Kleine aanvulling. Zojuist bij opstart van CCleaner kwam Dr Watson Postmortem weer langs en liep alles vast. Wel heb ik dit maal de eerste melding (details) genoteerd. Misschien kunt u daar wat mee:

  Event Type: BEX P1: drwtsn32.exe P2: 5.1.2600.0 P3: 3b7d84a2 P4: dbghelp.dll P5: 5.1.2600.2180 P6: 4110969a P7: 0001295d P8: c0000409 P9: 00000000

  Bovendien kwam na nog drie keer Dr Watson het bericht: "Smart Sweep/Internet Sweep is unable to start the WOW monitor."

  Ik hoop niet dat u een hekel aan al dit getrut met deze pc krijg. Dat heb ik zelf al wel! :cry:
 • [quote:22ac27fec5="Jape"]Ik hoop niet dat u een hekel aan al dit getrut met deze pc krijg. Dat heb ik zelf al wel! :cry:[/quote:22ac27fec5]Jape, ik weet niet of het verstandig is om hier zelf verder mee te gaan, als je nog data hebt die je behouden wilt dan zou ik proberen die te backuppen en dan kan je beter die PC ergens ter reparatie aanbieden.

  Als je zelf wat probeerd, aan de hand van tips, die u van mij(of iemand anders op dit forum) verkrijgt en het gaat plotseling fout, dan sta je met lege handen, als je die PC ergens ter reparatie aanbiedt kan je misschien van tevoren daarover wel afspraken maken, mocht er iets fout gaan.

  Het is moeilijk in te schatten wat de fout is bij uw systeem, het lijkt mij echter behoorlijk destructief :-?

  Groeten smeenk :wink:
 • Heer Smeenk, u bent een man naar m'n hart :lol: . Maar al te vaak zie ik op andere forums adviezen, die de problemen alleen maar blijken te verergeren. Vaak wordt er zomaar iets flitsends geroepen en zit het slachtoffer met de gebakken peren. Daarom waardeer ik uw laatste eerlijke en verstandige overweging zeer.

  Aan de andere kant hebt u me (als volstrekte beginner) met al uw eerdere tips en adviezen wel meer kennis en begrip bijgebracht. Daarmee ben ik eerst nog even met Norton Utilities aan de slag gegaan. Ik weet dat menig nerd niet veel op heeft met Norton, maar dan hier een warm pleidooi voor de makers.

  Het dikke probleem was dat Dr Watson Postmortem Debugger telkens met een melding kwam, waarna de pc vast liep. Daarbij werd verwezen naar 2 bestanden die volstrekt onvindbaar waren. Welnu, ik heb eerst Norton DiskDokter een diagnose laten maken van alle schijven. Daarbij bleken op de schijven C en H meerdere verminkte (truncated) bestanden te zitten. Door vervolgen met "Fix Errors"en "Enable free space testing" DiskDokter nogmaals te laten draaien lijken alle fouten hersteld. Dat wil zeggen ik ontvang geen Dr Watson berichten meer en de pc loopt niet meer vast. Wel verloopt het opstarten traag en in twee fasen. In eerste instantie kan ik geen enkel commando geven. Na enige tijd verdwijnt de werkbalk om even later weer tevoorschijn te komen, waarna alles prima functioneert.

  Omdat die Dr Watson me onderhand nachtmerries bezorgde heb ik nog even gegoogeld. Dat leverde o.m. onderstaande informatie uit het Nerd Network Forum. Daaruit zou blijken dat er (ook) een virus in het spel is. Tevens wordt aangegeven hoe deze te verwijderen. Omdat ik de waarde van dit advies en van de aanbevolen programma's (nog) niet kan beoordelen, stel ik uw mening zeer op prijs. (Sorry voor de lange tekst :roll: .)

  Groet, Jape

  Dr Watson Postmortem Debugger errors

  (This error should ONLY occur on Windows XP SP2 Machines)

  First, I would like to congratulate you on getting infected by one of the largest, most dangerous viruses for Windows XP (And other OS's, but it will do devastating things to XP SP2 Machines)

  First, what is this virus? It is called the AceBot trojan virus.

  So, DrWatson Postmortem Debugger is the mask for the virus? NO. NO it is not. DrWatson is a program that originated in Windows 3.x for finding software bugs and minor problems with Windows. In Windows XP it now provides a critical role in finding problems in software to submit to Microsoft.

  I have seen this trojan virus 2 times, one on a Windows 98 machine, and one on a Windows XP SP2 machine. It takes various forms, some forms in which I have identified as positive links are:

  mscf.exe
  ipdo32.exe
  protect32.exe
  protect32.dll
  ntip32.dll

  Now, there may be other forms, but those I have identified as positive forms of this error.

  Please use common sense, I have gotten bombed with emails, messages, and these posts, I do not mind helping you, but some people need to help me help them.

  Like network security services running, Google the filename, does it come up with a legit Process name? Or does it come back with 2 or 3 entries, or no entries? Then use the steps I explained to kill those files.

  Look at file names, these things love latching onto either mscf.exe, or they throw 32 somewhere into their name. I really want to help everyone, but this is self explanatory, and I want to help the people who simply cannot figure it out.

  Now, what exactly causes the DrWatson Postmortem Debugger error? It’s pretty simple. The makers of the virus have ILLEGALLY violated Microsoft's Copyright Policies, they use the Microsoft Logo, and alerts for Windows XP SP2.

  So, what happens is, this virus adds itself as a Network Security Service (usually this is where you will find mscf.exe) which 100% interferes with SP2's Security Service (The thing that comes up and says your virus protection isn’t found, or updates or off, or your firewall is off). Basically, the virus HiJacks the SP2 Alert's job. It shows stuff like "Spyware activity detected" and "Your firewall may be turned off" as a spoof.

  How does this virus work????

  It works off at least 2 executable files, and a Browser Helper Object (BHO). The BHO Seems to be the main cause of instability in SP2 systems. The executables are what keep the BHO on there, so you need to kill the trifecta in order to collapse the pyramid of doom

  Thus, as soon as this program tries running, it makes your system unstable, when you open any explorer type program (IE Control Panel, My Computer, Internet Explorer) your system will crash.

  Also, it is adware, spyware, and a downloader, all in one. So its got everything! (That you don’t want).

  ================
  REMOVAL OF THIS VIRUS
  ================

  I would like to congratulate you again, you earned yourself a one way ticket to HELL. This is not an easy process, but again, this is what you get for illegally downloading music and movies, or looking at porn, or getting serial numbers from a website.

  First thing you NEED to do, is go into safe mode and run the following programs:

  Spybot Search And Destroy 1.3
  (http://www.thenerdnetwork.net/downloads/utilities/spybotsd13.exe)

  AdAware SE Personal
  (http://www.thenerdnetwork.net/downloads/utilities/aawsepersonal.exe)

  SpySweeper
  (http://www.thenerdnetwork.net/downloads/utilities/ssfsetup1_1754201930.exe)

  Panda ActiveScan
  (http://www.pandasoftware.com)

  Now, the above programs do not actually remove this problem, but I imagine your infected with everything else as well.

  For this next step, you will need 2 programs to slay the beast, they are:

  KillBox (I love whoever made this, they are GREAT)
  (http://www.thenerdnetwork.net/downloads/utilities/KillBox.zip)
  *This program can be fatal to your system if used wrong

  HiJackThis
  (http://www.thenerdnetwork.net/downloads/utilities/HijackThis.exe)

  Do a System Scan with HiJackThis.

  It will produce a large list of stuff that will most likely boggle your mind.

  Look for the following lines:

  BHO : (no name) {MD5 NUMBER} - C:\WINDOWS\system32\ntip32.dll
  O23 : Service : Network Security Service (NSS) - Unknown - C:\WINDOWS\system32\mscf.exe
  O4 - HKLM\..\Run: [ipdo32.dll] C:\WINDOWS\system32\ipdo32.exe

  Now, of course, there are variations, since viruses replicate themselves, Post your HiJackThis Logs if you are experiencing this problem and need help.

  There are VARIATIONS. The file names are not exactly as listed above, unless the randomness actually came back to it. So You need to find the problems, learn legit programs, from non legit. 32 is a BIG hit with this virus, you find something named 32 running, GOOGLE it. You will find the answer; I can sift thru logs quickly because I’m a computer technician and pretty much know what files with 32 in it are legit.

  Now, Open up KillBox, and change the setting to Kill on Reboot. Now, type in each file location ONE AT A TIME, and click the Red 'X', it will ask if you want to delete it on reboot, click yes, and it will ask you to reboot, click NO!

  After all the files are marked for deletion, put checks next to the 3 objects it found in HiJackThis, including the NSS, and remove them with HiJackThis, at the end, it will ask you to reboot, DO IT. On rebooting, the virus has been stir fried to a golden crisp and eaten up by a hungry foreigner, then shit out.

  Now, go install Service Pack 2 (if you uninstalled it).

  IF YOU WERE INFECTED! PLEASE REPORT THIS ISSUE TO MICROSOFT! THEY ARE HAVING THEIR COPYRIGHTS INFRINGED UPON AND I ALREADY TALKED TO THEIR LEGAL TEAM ABOUT IT, PLEASE SUPPORT MICROSOFT'S ATTEMPTS IN SUING THE CREATORS!

  Hope this helps.

  Dan

  Another method has been posted by a user. It has NOT been tested by me. But it may be worth a shot for some people.

  ===================================================
  By accident, I solved the Dr. Watson error.

  Step one - Create a new user in windows xp that is different from your logon. You must have administrator rights.

  Step two - Copy and paste ALL of your directories, files, documents etc from your old user account into your new user account.

  Step three - test to make sure that you have transferred every over.

  Step four - delete your old user account.

  Step five - right click on a file that previously activated the virus.

  Step six - have a nice day because you will find that the virus is gone.
 • Allemaal goede programma's:

  Spybot search & Destroy
  AdAware
  SpySweeper

  Vooralsnog zijn er geen aanwijzingen dat het hier om een virus gaat, in het HijackThis-log waren geen sleutels van malware zichtbaar.
  De hierbovengenoemde programma's kunt u best wel even downloaden en daarna even updaten en dan uw systeem er mee scannen.

  Ook die online scan met Panda kan je best wel even doen, post eventueel het logje van Panda in je volgende bericht.

  Je zou ook de Windows schijfcontrole eens kunnen laten draaien: Dubbelklik op "Deze computer" – Rechtsklik op de C-schijf en kies voor "Eigenschappen" – Kies nu voor de tab "Extra" en bij "Status van Foutcontrole" voor "Nu controleren" – selecteer het controletype "Uitgebreid" – klik op de knop "Opties" en selecteer het keuzerondje "Systeem- en gegevensgebieden" bevestig dit met "OK" – Zorg dat er een vinkje staat bij "Fouten automatisch repareren" en klik daarna op "Uitvoeren".

  Groeten smeenk :wink:
 • Heer Smeenk,

  Spybot, AdAware en SpySweeper hebben gedraaid en het nodige gevonden. AdAware: "43 critical objects". SpySweeper: "34 sporen, zeer hoog risico". Bij gebrek aan voldoende kennis heb ik nog niets durven verwijderen. Bij het opladen was het weer raak met Dr Watson :cry: .

  Daarna Windows schijfcontrole en Panda on line scan uitgevoerd. Het Panda logje vindt u hierbij.

  Vriendelijke groet, Jape
 • De gevonden sporen door Spybot, AdAware en Spy Sweeper kan je gerust verwijderen hoor :wink:
  Het Panda logje mag je hier wel in je topic posten.

  Groeten smeenk.
 • Sorry Smenk,

  Logje vergeten. Alsnog hierbij.
  Bedoelt u dat ik na de scans echt ALLES kan verwijderen? :o

  Groet, Jape


  Incident Status Location

  Adware:adware/startpage.amb Not desinfected C:\Documents and Settings\Administrator\Favorites\Internet
  Adware:Adware/Gator Not desinfected D:\Oude Programma's\Common Files\CMEII\GStore.dll
 • Ja hoor, dit zijn echt heel veilige programma's en ja kan deze echt alle gevonden sporen laten verwijderen, zoek ook die 2 zaken die Panda vond en verwijder die ook.

  Herstart nadien je computer en meldt of er nog problemen zijn :wink:

  Groeten smeenk.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.