PDA

Volledige versie bekijken : pc reboot om de 2 min!



cro-magg
4 april 2007, 13:24
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:04:05, on 4/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Jonas Eylenbosch\Bureaublad\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 3907 bytes

Zie ook voor meer info:
http://games.telenet.be/forum/showthread.php?t=490956

Help plz

Jurgenv1
4 april 2007, 13:31
* Download Dr.Web CureIt naar je bureaublad:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Dubbelklik drweb-cureit.exe en sta het toe om de express scan te starten.
Dit zal de bestanden scannen die momenteel in het geheugen geladen zijn en wanneer er iets gevonden wordt, klik de Yes to all knop bij de vraag 'cure it?'. Dit is enkel een korte scan.
Eenmaal de korte scan is beeïndigd, Klik Options > Change Settings
Kies de "Scan"-tab en verwijder het vinkje bij "Heuristic analyse"
Terug in het hoofdvenster kan je de drives selecteren die je wilt laten scannen.
Selecteer hier alle drives. Een rood bolletje zal dan tevoorschijn komen op de drives die je laat scannen.
Klik daarna de groene pijl rechts om de scan te starten.
Klik 'Yes to all' wanneer er gevraagd wordt om cure of move uit te voeren.
Wanneer de scan gedaan is, kijk of je volgende icoontje kan aanklikken dat staat naast hetgeen gevonden werd: http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif
Indien wel, klik erop en daarna klik op het icoontje er net onder en kies: Move incurable zoals je zal zien in volgende afbeelding:
http://users.telenet.be/bluepatchy/miekiemoes/images/move.gif
Dit zal de bestanden verplaatsen naar volgende map %userprofile%\DoctorWeb\quarantaine-folder indien het niet gedesinfecteerd kan worden. (dit in het geval dat we samples nodig hebben)
Na bovenstaande te selecteren, in het menu bovenaan van Dr.Web CureIt, klik file en kies save report list. Bewaar de log op je bureaublad.
Sluit daarna Dr.Web Cureit.
Herstart je computer!! Belangrijke stap, want het kan zijn dat Dr.Web Cureit bestanden zal verplaatsen/verwijderen tijdens herstart.
Na het herstarten, Kopieer en plak de inhoud van die log die je eerder hebt bewaard in je volgende post met een nieuw hijackthis logje.

cro-magg
4 april 2007, 13:42
euh exuseer maar, wat is mijn probleem (virus? biosupdate nodig?...) en gaat dit het oplossen? Dat scannen kan misschien moeilijk worden aangezien hij al na 2 min reboot..

ik zal het deze avond proberen, want ik ben al van deze morgen bezig met zoeken naar een oplossing en ik moet nog wat studeren

Jurgenv1
4 april 2007, 14:24
Probeer dan in veilige modus?

cro-magg
4 april 2007, 14:42
Ok zal ik doen,
maar wat is het probleem?

Jurgenv1
4 april 2007, 15:06
Ok zal ik doen,
maar wat is het probleem?
Dat zoeken we nu uit...

cro-magg
5 april 2007, 00:17
dr web:

kprof c:\windows\system32 Trojan.NtRootKit.219 Deleted.
poof c:\windows\system32 Trojan.NtRootKit.218 Deleted.
d2.exe C:\Documents and Settings\Jonas Eylenbosch\Local Settings\Temp Trojan.Packed.74 Deleted.
d3.exe C:\Documents and Settings\Jonas Eylenbosch\Local Settings\Temp Trojan.PWS.LDPinch.1607 Deleted.
d4.exe C:\Documents and Settings\Jonas Eylenbosch\Local Settings\Temp Trojan.Spambot Deleted.
newset2.exe\data001 C:\WINDOWS\newset2.exe Trojan.Sklog
newset2.exe\data002 C:\WINDOWS\newset2.exe Trojan.NtRootKit.218
newset2.exe\data003 C:\WINDOWS\newset2.exe Trojan.NtRootKit.219
newset2.exe C:\WINDOWS Archive contains infected objects Moved.
koos.exe C:\WINDOWS\system32 Trojan.Sklog Deleted.
uvnx.exe C:\WINDOWS\system32 Trojan.PWS.LDPinch.1607 Deleted.
ndis.sys C:\WINDOWS\system32\drivers Trojan.Spambot Deleted.


en vervolgens:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23:31:09, on 4/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Jonas Eylenbosch\Bureaublad\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 3801 bytes


Nu reboot de pc niet meer maar in de log staan nu wel zeker 20 foutmeldingen op rij, incl de foutmelding van in het begin! De bijkomende meldingen gaan over mijn netwerk adapter (TCP/IP, ..)
Ik raak niet meer op t net en bij apparatenbeheer staan er foutmeldingen bij mijn 'netwerkkaart onderdelen'..

Is de kaart of de driver stuk ofzo?
Help pls!

Jurgenv1
5 april 2007, 13:35
Ik stel voor dat je eens een antivirus installeert: AVG Free antivirus (http://free.grisoft.com/softw/70free/setup/avg75free_428a818.exe), antivir (http://www.free-av.com/) en Avast! Home edition (http://files.avast.com/iavs4pro/setupdut.exe) zijn er een paar van. :) Voor Avast moet je wel nog eens gratis registreren (http://www.avast.com/i_kat_207.php?lang=ENG#register-form) voor je de antivirus kan gebruiken, zie hier (http://www.avast.com/eng/download-avast-home.html) voor meer info.

Daarna is het zeer belangrijk dat je de definitie's van je antivirus update, zodat je beschermd bent tegen de nieuwste bedreigingen.

Doe dan eens een volledige scan met je AV in veilige modus en laat het alles verwijderen wat het vindt.

cro-magg
5 april 2007, 14:11
mja hoe kan ik een update doen als ik niet op t internet kan?
*edit : ik heb gescanned zonder update en er zijn geen virussen gevonden..
wat nu?

Jurgenv1
5 april 2007, 15:15
De driver eens herinstalleren van je netwerkdriver?

cro-magg
5 april 2007, 15:20
onder netwerkadapter staat een hele lijst..raar
hoe doe ik dat het best, ik heb reeds de diskette met de driver gevonden
moet ik eerst het 'mogelijk beschadigde stuurprog' verwijderen?

Jurgenv1
5 april 2007, 15:29
onder netwerkadapter staat een hele lijst..raar
hoe doe ik dat het best, ik heb reeds de diskette met de driver gevonden

Kijk bij de eigenschappen van je netwerkadapter en klik op 'stuurprogramma bijwerken'

cro-magg
5 april 2007, 16:04
ik heb het geprobeerd maar het werkt niet
dit staat dus onder netwerkadapters in apparaatbeheer:
-direct parallel
- realtek RTL8139 family PCI fast ethernet NIC
- realtek RTL8139 family PCI fast ethernet NIC- minipoort
-WAN- minipoort (IP)
- WAN- minipoort (IP) - pakketplanner minipoort
-WAN- minipoort (IP)()
-WAN- minipoort (IP)()
-WAN- minipoort (IP)()

overal staan er ! bij en overal staat bij de uitleg: stuurprog ontbreekt of is beschadigd (CODE 39)

cro-magg
5 april 2007, 18:35
ik heb de netwerkkaart ook al eens uitgehaald in terug ingestoken maar nog steeds dezelfde fouten..
Als ik niet snel oplossing vind ga ik nog moeten formatteren zeker?
Zou het niet kunnen dat door het verwijderen van die trojans drivers beschadigd geraakt zijn? Volgens mij is de pc nu virusvrij..

Jurgenv1
5 april 2007, 20:45
ik heb de netwerkkaart ook al eens uitgehaald in terug ingestoken maar nog steeds dezelfde fouten..
Als ik niet snel oplossing vind ga ik nog moeten formatteren zeker?
Zou het niet kunnen dat door het verwijderen van die trojans drivers beschadigd geraakt zijn? Volgens mij is de pc nu virusvrij..
Zou kunnen... Anders kan je eens langsgaan bij de support afdeling van de netwerkkaart? Maar met een format zou je er makkelijker moeten vanaf komen.

cro-magg
19 april 2007, 18:35
ik heb de pc dus geformatteerd, alles lijkt terug te werken
k heb overigens een log gemaakt:

Logfile of HijackThis v1.99.1
Scan saved at 18:31:35, on 19/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe


Alles Oke zo?

Jurgenv1
19 april 2007, 18:36
Deze is natuurlijk clean. :) Nu nog antivirus en firewall installeren.

cro-magg
19 april 2007, 18:49
ik heb reeds adaware en avira antivir geinst,
met firewalls heb ik niet zoveel ervaring,
is dat ook een prog dat je kan dwnld (of gaat over winxp firewall?)?

Jurgenv1
19 april 2007, 18:54
zonealarm free is alvast een goeie en gratis firewall.

cro-magg
19 april 2007, 19:25
bedankt!

en toch, bij systeembeheer in het logboek van het systeem staat toch telkens weer die fout (telkens dubbel)..

AMLI: ACPI BIOS probeert op het ongeldige I/O-poortadres 0xcfc te lezen, dat in het beschermde 0xcf8 - 0xcff-adresbereik ligt. Dit leidt mogelijk tot een instabiel systeem. Neem voor technische ondersteuning contact op met de leverancier van het systeem.

Wat hiermee toch aanvangen?

Jurgenv1
19 april 2007, 19:40
Ik denk dat je beter een topic start in het software forum met dat probleem. :)