Mivercon Security Forum

Hallo Richard,
Telkens wanneer ik de PC afsluit, reboot ie telkens opnieuw.
Als ik de pwr button indruk tijdens de herinitialisatie, sluit de PC wel af.
In het BIOS staat alles normaal.
Ik heb tijdens het opstarten F8 gedrukt, en reboot na systeemcrash uitgeschakeld en kreeg vervolgens een blue screen met volgende vermelding:

STOP c000021a
Onherstelbare systeemfout
Systeemproces windows logon process is onverwacht afgebroken met de status :
0x00000000 (0x00000000 0x00000000)
Het systeem is afgesloten.

Waarna ik de PC met de drukknop kan uitschakelen.
Ik stop daarna de installatie-CD van Win XP home in de CD-ROM speler en start opnieuw op. Ik selecteer de R(eparatie) optie, maar krijg dan de vraag voor een administrator paswoord.
Ik herinner me niet dat Windows tijdens de installatie om zulk een paswoord vroeg, dus ik raak niet in de herstelprocedure.

De computer start dus na afsluiten nog steeds uit zichzelf terug op.
Wat kan ik hier doen?

Bedankt voor enige uitleg (indien mogelijk.)

PS
Het probleem deed zich gisteren voor het eerst voor nadat voordien alles normaal functioneerde.

Adri

Citaat:Ik stop daarna de installatie-CD van Win XP home in de CD-ROM speler en start opnieuw op. Ik selecteer de R(eparatie) optie, maar krijg dan de vraag voor een administrator paswoord.
Ik herinner me niet dat Windows tijdens de installatie om zulk een paswoord vroeg, dus ik raak niet in de herstelprocedure.

Wat gebeurd er als je het het password "blanco" laat en gewoon met enter de procedure probeert voort te zetten.
Als er geen password is ingesteld voor het Administrator account kan je normaliter met een enter doorgaan met de herstel procedure.

(04-12-2009 16:10)Maxstar schreef: [ -> ]

Citaat:Ik stop daarna de installatie-CD van Win XP home in de CD-ROM speler en start opnieuw op. Ik selecteer de R(eparatie) optie, maar krijg dan de vraag voor een administrator paswoord.
Ik herinner me niet dat Windows tijdens de installatie om zulk een paswoord vroeg, dus ik raak niet in de herstelprocedure.

Wat gebeurd er als je het het password "blanco" laat en gewoon met enter de procedure probeert voort te zetten.
Als er geen password is ingesteld voor het Administrator account kan je normaliter met een enter doorgaan met de herstel procedure.

Dan gebeurt er niets, ik zit in een "systeemscherm" en kan alleen nog verder door opnieuw te starten. (ctrl-alt-del)

Heb je al geprobeerd on via de veilige modus een systeemherstelpunt terug te zetten.

Adri, dit gebeurt vaak wanneer iets corrupt is. Het heropstarten van de pc na het afsluiten is een reactie van Windows om de fout te herstellen.
Zijn er bepaalde programma's/drivers die je onlangs hebt geïnstalleerd of geupdate wanneer dit probleem begonnen is?

(06-12-2009 10:31)miekiemoes schreef: [ -> ]Adri, dit gebeurt vaak wanneer iets corrupt is. Het heropstarten van de pc na het afsluiten is een reactie van Windows om de fout te herstellen.
Zijn er bepaalde programma's/drivers die je onlangs hebt geïnstalleerd of geupdate wanneer dit probleem begonnen is?

Het antwoord is tweeerlei:
1) Het opstarten in de laatst gekende goede start werkt niet, start nog steeds op.
2) En ja er zijn programma's opnieuw geïnstalleerd omdat ik de PC helemaal opnieuw heb dienen te installeren. Maar er zijn geen programma's bij die niet voordien reeds deel uitmaakten van het programmapaket.
Het is dus niet dadelijk duidelijk welk programma hiervoor verantwoordelijk zou kunnen zijn.
Ik heb hier wel een HiJack gedraaid indien dit meer licht op de zaak kan werpen.
Bedankt voor de moeite in elk geval.

Hoi,

Doe even het volgende..

* Download DDS en bewaar het op je bureaublad.
Schakel programma's uit die scripts blokkeren, zoals je Antivirus
Dubbelklik dds.scr om de tool te starten.
Daarna zal DDS.txt openen.
Klik Yes voor de Optional Scan. Dit zal het bestand Attach.txt maken.
Kopieer en plak beide logs in je volgende post Het is beter om hiervoor twee posts te maken aangezien beide logs niet in één post zullen passen.

(07-12-2009 09:25)miekiemoes schreef: [ -> ]Hoi,

Doe even het volgende..

* Download DDS en bewaar het op je bureaublad.
Schakel programma's uit die scripts blokkeren, zoals je Antivirus
Dubbelklik dds.scr om de tool te starten.
Daarna zal DDS.txt openen.
Klik Yes voor de Optional Scan. Dit zal het bestand Attach.txt maken.
Kopieer en plak beide logs in je volgende post Het is beter om hiervoor twee posts te maken aangezien beide logs niet in één post zullen passen.

Hier het eerste "Attach"


UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT

DDS (Ver_09-12-01.01)

Microsoft Windows XP Home Edition
Boot Device: \Device\HarddiskVolume1
Install Date: 2/12/2009 10:55:12
System Uptime: 12/07/2009 8:05:00 (3552 hours ago)

Motherboard: ASUSTek Computer INC. | | M2NPV-VM
Processor: AMD Athlon™ 64 X2 Dual Core Processor 4200+ | Socket AM2 | 2266/206mhz

==== Disk Partitions =========================

A: is Removable
C: is FIXED (NTFS) - 55 GiB total, 36,631 GiB free.
D: is FIXED (NTFS) - 125 GiB total, 51,973 GiB free.
E: is FIXED (NTFS) - 43 GiB total, 23,766 GiB free.
F: is FIXED (NTFS) - 10 GiB total, 8,653 GiB free.
G: is CDROM ()
H: is CDROM ()

==== Disabled Device Manager Items =============

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: PC Camera
Device ID: USB\VID_0AC8&PID_301B\5&35186B6D&0&2
Manufacturer:
Name: PC Camera
PNP Device ID: USB\VID_0AC8&PID_301B\5&35186B6D&0&2
Service:

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: DVC 130
Device ID: USB\VID_2304&PID_021D\5&19AD3C1F&0&4
Manufacturer:
Name: DVC 130
PNP Device ID: USB\VID_2304&PID_021D\5&19AD3C1F&0&4
Service:

==== System Restore Points ===================

RP1: 2/12/2009 10:58:46 - Controlepunt van systeem
RP2: 2/12/2009 12:01:38 - Windows Installer KB893803v2 is geïnstalleerd.
RP3: 2/12/2009 12:17:23 - Windows XP Service Pack 2 is geïnstalleerd.
RP4: 2/12/2009 12:23:36 - Installed Kaspersky Anti-Virus 2010.
RP5: 2/12/2009 12:28:27 - Installed Windows XP KB888111WXPSP2.
RP6: 2/12/2009 12:28:54 - Geïnstalleerd SoundMAX
RP7: 2/12/2009 12:29:03 - Geïnstalleerd SoundMAX
RP8: 2/12/2009 12:47:05 - Installed NVIDIA ForceWare Network Access Manager
RP9: 2/12/2009 12:56:15 - Configured NVIDIA ForceWare Network Access Manager
RP10: 2/12/2009 13:04:28 - Software Distribution Service 3.0
RP11: 2/12/2009 13:15:38 - Software Distribution Service 3.0
RP12: 2/12/2009 13:56:33 - Software Distribution Service 3.0
RP13: 2/12/2009 14:15:45 - Software Distribution Service 3.0
RP14: 2/12/2009 14:16:24 - Software Distribution Service 3.0
RP15: 2/12/2009 14:36:49 - Software Distribution Service 3.0
RP16: 2/12/2009 14:45:09 - Software Distribution Service 3.0
RP17: 3/12/2009 8:11:00 - Installed Adobe Reader 9.1 - Nederlands.
RP18: 3/12/2009 9:01:16 - Installed Microsoft Office Enterprise 2007
RP19: 3/12/2009 11:28:40 - Printerstuurprogramma hp deskjet 5550 series is geïnstalleerd
RP20: 3/12/2009 12:10:40 - Software Distribution Service 3.0
RP21: 3/12/2009 13:03:56 - Installed Serif PhotoPlus SE
RP22: 3/12/2009 14:21:20 - Revo Uninstaller's restore point - Serif PhotoPlus SE
RP23: 3/12/2009 14:21:34 - Removed Serif PhotoPlus SE
RP24: 3/12/2009 14:45:39 - Installed Serif PhotoPlus SE
RP25: 4/12/2009 6:54:50 - Software Distribution Service 3.0
RP26: 4/12/2009 7:06:31 - Geïnstalleerd Athlon 64 Processor Driver
RP27: 5/12/2009 8:54:31 - Controlepunt van systeem
RP28: 6/12/2009 9:18:01 - Controlepunt van systeem

==== Installed Programs ======================

2007 Microsoft Office Suite Service Pack 1 (SP1)
Acoustica CD/DVD Label Maker
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1 - Nederlands
Ahead Nero Burning ROM
Athlon 64 Processor Driver
AusLogics Disk Defrag
Beveiligingsupdate voor Windows Internet Explorer 7 (KB938127-v2)
Beveiligingsupdate voor Windows Internet Explorer 7 (KB974455)
Beveiligingsupdate voor Windows Media Player (KB952069)
Beveiligingsupdate voor Windows Media Player (KB954155)
Beveiligingsupdate voor Windows Media Player (KB968816)
Beveiligingsupdate voor Windows Media Player (KB973540)
Beveiligingsupdate voor Windows XP (KB923561)
Beveiligingsupdate voor Windows XP (KB923789)
Beveiligingsupdate voor Windows XP (KB946648)
Beveiligingsupdate voor Windows XP (KB950762)
Beveiligingsupdate voor Windows XP (KB950974)
Beveiligingsupdate voor Windows XP (KB951066)
Beveiligingsupdate voor Windows XP (KB951376-v2)
Beveiligingsupdate voor Windows XP (KB951748)
Beveiligingsupdate voor Windows XP (KB952004)
Beveiligingsupdate voor Windows XP (KB952954)
Beveiligingsupdate voor Windows XP (KB955069)
Beveiligingsupdate voor Windows XP (KB956572)
Beveiligingsupdate voor Windows XP (KB956744)
Beveiligingsupdate voor Windows XP (KB956802)
Beveiligingsupdate voor Windows XP (KB956803)
Beveiligingsupdate voor Windows XP (KB956844)
Beveiligingsupdate voor Windows XP (KB957097)
Beveiligingsupdate voor Windows XP (KB958644)
Beveiligingsupdate voor Windows XP (KB958687)
Beveiligingsupdate voor Windows XP (KB958869)
Beveiligingsupdate voor Windows XP (KB959426)
Beveiligingsupdate voor Windows XP (KB960225)
Beveiligingsupdate voor Windows XP (KB960803)
Beveiligingsupdate voor Windows XP (KB960859)
Beveiligingsupdate voor Windows XP (KB961371-v2)
Beveiligingsupdate voor Windows XP (KB961501)
Beveiligingsupdate voor Windows XP (KB969059)
Beveiligingsupdate voor Windows XP (KB969947)
Beveiligingsupdate voor Windows XP (KB970238)
Beveiligingsupdate voor Windows XP (KB971486)
Beveiligingsupdate voor Windows XP (KB971557)
Beveiligingsupdate voor Windows XP (KB971633)
Beveiligingsupdate voor Windows XP (KB971657)
Beveiligingsupdate voor Windows XP (KB971961)
Beveiligingsupdate voor Windows XP (KB973354)
Beveiligingsupdate voor Windows XP (KB973507)
Beveiligingsupdate voor Windows XP (KB973525)
Beveiligingsupdate voor Windows XP (KB973869)
Beveiligingsupdate voor Windows XP (KB974112)
Beveiligingsupdate voor Windows XP (KB974455)
Beveiligingsupdate voor Windows XP (KB974571)
Beveiligingsupdate voor Windows XP (KB975025)
Beveiligingsupdate voor Windows XP (KB975467)
Big Fish Games Client
Easy CD-DA Extractor 12
FreshDiagnose
GOM Player
Great Secrets: Da Vinci
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix voor Windows XP (KB952287)
Hotfix voor Windows XP (KB976098-v2)
hp deskjet 5550 series Installatie ongedaan maken
HP PrecisionScan LTX
hp print screen utility
Jewel Match
Kaspersky Anti-Virus 2010
Liong: The Lost Amulets
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Access MUI (English) 2007
Microsoft Office Access Setup Metadata MUI (English) 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (English) 2007
Microsoft Office Groove MUI (English) 2007
Microsoft Office Groove Setup Metadata MUI (English) 2007
Microsoft Office InfoPath MUI (English) 2007
Microsoft Office OneNote MUI (English) 2007
Microsoft Office Outlook MUI (English) 2007
Microsoft Office PowerPoint MUI (English) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (English) 2007
Microsoft Office Publisher MUI (English) 2007
Microsoft Office Shared MUI (English) 2007
Microsoft Office Shared Setup Metadata MUI (English) 2007
Microsoft Office Word MUI (English) 2007
Microsoft Software Update for Web Folders (English) 12
Mozilla Firefox (3.5.5)
Mozilla Thunderbird (2.0.0.23)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
Mystery Case Files: Huntsville ™
Mystery Case Files: Return to Ravenhearst ™
NVIDIA Drivers
NVIDIA ForceWare Network Access Manager
NVIDIA nView Desktop Manager
Revo Uninstaller 1.71
Route 66
Safecracker
Serif PhotoPlus SE
Skype web features
Skype™ 4.1
SoulSeek 157 NS 13c
SoundMAX
The Omega Stone: Riddle of the Sphinx II
Tiptel 118 USB Phone
upapp
Update voor Windows Internet Explorer 7 (KB976749)
Update voor Windows XP (KB951978)
Update voor Windows XP (KB967715)
Update voor Windows XP (KB968389)
Update voor Windows XP (KB973687)
Update voor Windows XP (KB973815)
WebFldrs XP
Windows Internet Explorer 7
Windows XP Service Pack 3
WinRAR archiver
WinZip
Zuma Deluxe

==== End Of File ===========================

(07-12-2009 09:25)miekiemoes schreef: [ -> ]Hoi,

Doe even het volgende..

* Download DDS en bewaar het op je bureaublad.
Schakel programma's uit die scripts blokkeren, zoals je Antivirus
Dubbelklik dds.scr om de tool te starten.
Daarna zal DDS.txt openen.
Klik Yes voor de Optional Scan. Dit zal het bestand Attach.txt maken.
Kopieer en plak beide logs in je volgende post Het is beter om hiervoor twee posts te maken aangezien beide logs niet in één post zullen passen.

en Hier het tweede "DDS"


DDS (Ver_09-12-01.01) - NTFSx86
Run by Adri at 8:38:44,92 on ma 07/12/2009
Internet Explorer: 7.0.5730.13
Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.3262.2787 [GMT 1:00]

AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: ActiveArmor Firewall *disabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}

============== Running Processes ===============

C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost -k DcomLaunch
svchost.exe
C:\WINXP\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
svchost.exe
C:\WINXP\system32\svchost.exe -k imgsvc
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINXP\system32\spool\drivers\w32x86\3\hpztsb06.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\system32\ctfmon.exe
C:\Program Files\Tiptel 118 USB Phone\tiptel 118 USB phone.exe
D:\Program Files\WinZip\WZQKPICK.EXE
D:\Programs\Thunderbird\thunderbird.exe
D:\Programs\Firefox\firefox.exe
D:\Program Files\Kasperski 2010\klwtblfs.exe
C:\WINXP\system32\wscript.exe
D:\Download\dds.scr

============== Pseudo HJT Report ===============

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: IEVkbdBHO Class: {59273ab4-e7d3-40f9-a1a8-6fa9cca1862c} - d:\program files\kasperski 2010\ievkbd.dll
uRun: [ctfmon.exe] c:\winxp\system32\ctfmon.exe
mRun: [SoundMax] "c:\program files\analog devices\soundmax\Smax4.exe" /tray
mRun: [nwiz] nwiz.exe /install
mRun: [NvCplDaemon] RUNDLL32.EXE c:\winxp\system32\NvCpl.dll,NvStartup
mRun: [AVP] "d:\program files\kasperski 2010\avp.exe"
mRun: [High Definition Audio Property Page Shortcut] HDAShCut.exe
mRun: [SoundMAXPnP] c:\program files\analog devices\core\smax4pnp.exe
mRun: [HPDJ Taskbar Utility] c:\winxp\system32\spool\drivers\w32x86\3\hpztsb06.exe
mRun: [NeroCheck] c:\winxp\system32\NeroCheck.exe
mRun: [NvMediaCenter] RUNDLL32.EXE c:\winxp\system32\NvMcTray.dll,NvTaskbarInit
dRun: [CTFMON.EXE] c:\winxp\system32\CTFMON.EXE
StartupFolder: c:\docume~1\alluse~1\menust~1\progra~1\opstar~1\tiptel~1.lnk - c:\program files\tiptel 118 usb phone\tiptel 118 USB phone.exe
StartupFolder: c:\docume~1\alluse~1\menust~1\progra~1\opstar~1\winzip~1.lnk - d:\program files\winzip\WZQKPICK.EXE
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
IE: {4248FE82-7FCB-46AC-B270-339F08212110} - {4248FE82-7FCB-46AC-B270-339F08212110}
IE: {CCF151D8-D089-449F-A5A4-D9909053F20F} - {CCF151D8-D089-449F-A5A4-D9909053F20F}
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
Notify: klogon - c:\winxp\system32\klogon.dll
Notify: winvct32 - winvct32.dll

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\adri\nieuw\applic~1\mozilla\firefox\profiles\6by014cr.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/
FF - component: d:\programs\firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: d:\programs\adobe\reader\browser\nppdf32.dll
FF - HiddenExtension: Java Console: No Registry Reference - d:\programs\firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----
d:\programs\firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

============= SERVICES / DRIVERS ===============

R0 kl1;Kl1;c:\winxp\system32\drivers\kl1.sys [2009-5-24 128016]
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\winxp\system32\drivers\klbg.sys [2008-12-15 33808]
R1 KLIF;Kaspersky Lab Driver;c:\winxp\system32\drivers\klif.sys [2009-12-2 296976]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\winxp\system32\drivers\klim5.sys [2009-5-13 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\winxp\system32\drivers\klmouflt.sys [2009-5-16 19472]
S2 AVP;Kaspersky Anti-Virus;d:\program files\kasperski 2010\avp.exe [2009-5-25 303376]

=============== Created Last 30 ================

2009-12-04 06:11:02 12800 ----a-w- c:\winxp\BS_DEF.sys
2009-12-04 06:08:48 0 d-----r- c:\winxp\AsDmiHtm
2009-12-04 06:06:37 43008 ----a-w- c:\winxp\system32\drivers\AmdK8.sys
2009-12-04 06:06:06 0 d-----w- c:\program files\AMD
2009-12-03 13:28:39 37376 ----a-w- c:\winxp\system32\winvct32.dll
2009-12-03 12:04:30 0 d-----w- c:\docume~1\adri\nieuw\applic~1\Serif
2009-12-03 11:47:39 0 d-----w- c:\docume~1\adri\nieuw\applic~1\FreshDiagnose
2009-12-03 11:31:04 0 d-----w- c:\docume~1\alluse~1\applic~1\Soulseek
2009-12-03 10:32:54 89184 ----a-w- c:\winxp\system32\drivers\imagedrv.sys
2009-12-03 10:32:54 57344 ----a-w- c:\winxp\system32\ImageDrive.cpl
2009-12-03 10:32:49 38912 ----a-w- c:\winxp\system32\picn20.dll
2009-12-03 10:32:48 569344 ----a-w- c:\winxp\system32\imagr5.dll
2009-12-03 10:32:48 544768 ----a-w- c:\winxp\system32\imagx5.dll
2009-12-03 10:32:48 283920 ----a-w- c:\winxp\system32\ImagXpr5.dll
2009-12-03 10:32:47 155648 ----a-w- c:\winxp\system32\NeroCheck.exe
2009-12-03 10:28:55 45056 ----a-w- c:\winxp\system32\prnunins.exe
2009-12-03 10:28:49 807 ----a-w- c:\winxp\hpinfo.lnk
2009-12-03 10:28:45 0 d-----w- c:\program files\hp deskjet 5550 series
2009-12-03 10:28:38 147512 ----a-w- c:\winxp\system32\hpzlnt06.dll
2009-12-03 10:26:01 306688 ----a-w- c:\winxp\IsUninst.exe
2009-12-03 08:15:13 0 d-----w- c:\winxp\Easy CD-DA Extractor 12.0
2009-12-03 08:12:50 299552 ----a-w- c:\winxp\wmsysprx.prx
2009-12-03 08:11:16 0 d-----w- c:\docume~1\adri\nieuw\applic~1\Acoustica
2009-12-03 08:09:56 348160 ----a-w- c:\winxp\system32\msvcr71.dll
2009-12-03 08:01:53 0 d-----w- c:\winxp\SHELLNEW
2009-12-03 07:29:50 0 d-----w- c:\docume~1\adri\nieuw\applic~1\Auslogics
2009-12-02 21:50:56 69 ----a-w- c:\winxp\winhelp.ini
2009-12-02 21:50:56 537 ----a-w- c:\winxp\mahjongg32.cfg
2009-12-02 21:28:59 81 ----a-w- c:\winxp\Scrabman.INI
2009-12-02 13:47:09 56 ---ha-w- c:\winxp\system32\ezsidmv.dat
2009-12-02 13:23:14 0 d-----w- c:\winxp\system32\nl-nl
2009-12-02 13:23:13 0 d-----w- c:\winxp\system32\nl
2009-12-02 13:23:13 0 d-----w- c:\winxp\system32\bits
2009-12-02 13:23:13 0 d-----w- c:\winxp\l2schemas
2009-12-02 13:20:57 0 d-----w- c:\winxp\network diagnostic
2009-12-02 12:13:19 0 d-----w- c:\docume~1\adri\nieuw\applic~1\nView_Wallpaper
2009-12-02 12:07:27 203136 -c----w- c:\winxp\system32\dllcache\rmcast.sys
2009-12-02 12:07:24 455296 -c----w- c:\winxp\system32\dllcache\mrxsmb.sys
2009-12-02 12:07:21 333952 -c----w- c:\winxp\system32\dllcache\srv.sys
2009-12-02 12:07:14 272640 -c----w- c:\winxp\system32\dllcache\bthport.sys
2009-12-02 12:05:41 1315328 -c----w- c:\winxp\system32\dllcache\msoe.dll
2009-12-02 12:05:35 691712 -c----w- c:\winxp\system32\dllcache\inetcomm.dll
2009-12-02 12:04:57 218624 -c----w- c:\winxp\system32\dllcache\wordpad.exe
2009-12-02 12:04:33 0 d-----w- c:\winxp\system32\PreInstall
2009-12-02 12:03:53 147456 -c----w- c:\winxp\system32\dllcache\schannel.dll
2009-12-02 11:59:23 337408 -c----w- c:\winxp\system32\dllcache\netapi32.dll
2009-12-02 11:53:46 604140 --sha-w- c:\winxp\system32\drivers\ISwift3.dat
2009-12-02 11:48:13 43609 ----a-w- c:\winxp\system32\nvapps.nvb
2009-12-02 11:48:00 0 d-----w- c:\winxp\nview
2009-12-02 11:48:00 0 d-----w- c:\winxp\NV13961172.TMP
2009-12-02 11:47:53 3535520 -c--a-w- c:\winxp\system32\dllcache\nv4_mini.sys
2009-12-02 11:47:23 1024 ----a-w- C:\.rnd
2009-12-02 11:47:18 22 ----a-w- c:\winxp\FileName
2009-12-02 11:30:27 21684 ----a-w- c:\winxp\Ascd_log.ini
2009-12-02 11:27:25 5810 ----a-r- c:\winxp\system32\drivers\ASACPI.sys
2009-12-02 11:27:09 5824 ----a-w- c:\winxp\system32\drivers\ASUSHWIO.SYS
2009-12-02 11:24:08 95259 ----a-w- c:\winxp\system32\drivers\klick.dat
2009-12-02 11:24:08 108059 ----a-w- c:\winxp\system32\drivers\klin.dat
2009-12-02 11:17:36 0 d-----w- c:\winxp\ServicePackFiles
2009-12-02 11:17:21 19528 ----a-w- c:\winxp\000001_.tmp
2009-12-02 11:17:14 26488 ----a-w- c:\winxp\system32\spupdsvc.exe
2009-12-02 11:17:12 0 d-----w- c:\winxp\EHome
2009-12-02 11:09:22 0 d-----w- c:\winxp\pss
2009-12-02 11:03:01 8 ----a-w- c:\winxp\system32\nvModes.dat
2009-12-02 11:00:02 0 d-----w- c:\docume~1\alluse~1\applic~1\NVIDIA Corporation
2009-12-02 10:32:51 0 d-----w- c:\docume~1\alluse~1\applic~1\Kaspersky Lab Setup Files
2009-12-02 10:31:05 0 d-----w- c:\docume~1\alluse~1\applic~1\Kaspersky Lab
2009-12-02 10:31:05 0 d-----w- c:\docume~1\alluse~1\applic~1\Easy CD-DA Extractor
2009-12-02 10:31:02 0 d-----w- c:\docume~1\alluse~1\applic~1\BigFishGamesCache
2009-12-02 10:13:36 0 d--h--w- c:\documents and settings\all users\Sjablonen
2009-12-02 10:13:36 0 d-----w- c:\documents and settings\all users\Favorieten
2009-12-02 10:13:36 0 d-----w- c:\documents and settings\all users\Bureaublad
2009-12-02 10:13:36 0 d-----r- c:\documents and settings\all users\Menu Start
2009-12-02 10:13:36 0 d-----r- c:\documents and settings\all users\Documenten
2009-12-02 09:52:25 0 d-sh--w- c:\documents and settings\all users\DRM
2009-12-02 06:03:58 0 d-----w- c:\program files\Messenger
2009-12-01 04:30:11 0 d-----w- c:\program files\Plus500
2009-11-07 09:55:16 0 d-----w- c:\program files\eToro

==================== Find3M ====================

2009-12-04 06:47:38 53652 ----a-w- c:\winxp\system32\perfc013.dat
2009-12-04 06:47:38 364644 ----a-w- c:\winxp\system32\perfh013.dat
2009-12-02 11:59:44 128016 ----a-w- c:\winxp\system32\drivers\kl1.sys
2009-12-02 09:50:41 21748 ----a-w- c:\winxp\system32\emptyregdb.dat
2009-09-11 14:20:53 136192 ----a-w- c:\winxp\system32\msv1_0.dll

============= FINISH: 8:38:51,95 ===============

Hoi,

Deïnstalleer deze eve,: "NVIDIA ForceWare Network Access Manager"
Want dit is een soort firewall in Nvidia waar het idd geweten is dat deze veel problemen kan veroorzaken.

(07-12-2009 10:28)miekiemoes schreef: [ -> ]Hoi,

Deïnstalleer deze eve,: "NVIDIA ForceWare Network Access Manager"
Want dit is een soort firewall in Nvidia waar het idd geweten is dat deze veel problemen kan veroorzaken.

Hallo Mikiemoes,
Is gebeurd, maar ik krijg nog steeds dat bluescreen en de PC sluit niet af.

STOP c000021a
Onherstelbare systeemfout
Systeemproces windows logon process is onverwacht afgebroken met de status : 0x00000000 (0x00000000 0x00000000)
Het systeem is afgesloten.

Hoi,

Kan je me even dit bestand doorsturen?

C:\Windows\system32\winvct32.dll

Upload het hier: http://www.bleepingcomputer.com/submit-m...?channel=8

Daarna, * Download MBAM (Malwarebytes' Anti-Malware) via hier of hier.

Dubbelklik op mbam-setup.exe om het programma te installeren.
• Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".
• Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.
• Indien je MalwareBytes al eerder hebt gebruikt, klik de update tab om die eerst te laten updaten. - Belangrijke stap!
• Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.
• Het scannen kan een tijdje duren, dus wees geduldig.
• Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
• Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.
• Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder)
• De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM.
• Kopieer en plak de inhoud van het logje in je volgend antwoord, samen met een nieuw HijackThis log.
  
Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken.
Daarna zal het vragen om de Computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Trouwens, je praat hier over een nieuwe installatie. Dit is toch wel heel vreemd, want ik denk niet dat je eerder hebt geformatteerd voor de nieuwe installatie, want dat bestand die ik je laat uploaden lijkt me één van deze dialers die 3 jaar geleden actief was...
Tenzij deze nu terug in de omloop zijn en je hier waarschijnlijk gekraakte/illegale software gebruikt die zo de nodige troep met zich heeft meegebracht.

Dit is inderdaad één van die oude nebuler varianten waarmee je te maken hebt. Deze komt mee met illegale software, dus vraag ik me af of je hier een oude crack / of illegale versie van bepaalde software hebt gebruikt.
Zo zie je maar weer, illegale software brengt niets dan problemen.
Je zal ook je paswoorden moeten wijzigen nadien, want deze kunnen inmiddels al geweten zijn.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:33:56, on 7/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINXP\system32\spool\drivers\w32x86\3\hpztsb06.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\system32\ctfmon.exe
C:\Program Files\Tiptel 118 USB Phone\tiptel 118 USB phone.exe
D:\Program Files\WinZip\WZQKPICK.EXE
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\wuauclt.exe
C:\WINXP\System32\svchost.exe
D:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\WINXP\system32\NOTEPAD.EXE
D:\Programs\Firefox\firefox.exe
D:\Program Files\Kasperski 2010\klwtblfs.exe
D:\Program Files\HIJACK THIS\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Program Files\Kasperski 2010\ievkbd.dll
O4 - HKLM\..\Run: [SoundMax] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kasperski 2010\avp.exe"
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINXP\system32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Tiptel 118 USB Phone.lnk = C:\Program Files\Tiptel 118 USB Phone\tiptel 118 USB phone.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: &Virtual keyboard - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\WINXP\system32\shdocvw.dll
O9 - Extra button: URLs c&heck - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\WINXP\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/sh...wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Program Files\Kasperski 2010\avp.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe

--
End of file - 4377 bytes

Malwarebytes' Anti-Malware 1.42
Database versie: 3308
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

7/12/2009 11:29:47
mbam-log-2009-12-07 (11-29-47).txt

Scan type: Snelle Scan
Objecten gescand: 102644
Verstreken tijd: 3 minute(s), 27 second(s)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 1
Registersleutels geïnfecteerd: 2
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 1

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:
C:\WINXP\system32\winvct32.dll (Trojan.Agent) -> Delete on reboot.

Registersleutels geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winvct32 (Trojan.Dialer) -> Quarantined and deleted successfully.

Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:
C:\WINXP\system32\winvct32.dll (Trojan.Agent) -> Delete on reboot.

De nieuwe installatie gebeurde doordat de HD waarop WinXP zich bevond crashte en niet langer toegankelijk was. Ik heb dan op de tweede HD waar zich alle data bevond en dus niet geformatteerd mocht worden, WinXP opnieuw geïnstalleerd. Mogelijk bevindt (bevond??) zich ergens wel een illegale versie, dat moet ik even uitzoeken.
Groeten

(07-12-2009 12:20)miekiemoes schreef: [ -> ]Dit is inderdaad één van die oude nebuler varianten waarmee je te maken hebt. Deze komt mee met illegale software, dus vraag ik me af of je hier een oude crack / of illegale versie van bepaalde software hebt gebruikt.
Zo zie je maar weer, illegale software brengt niets dan problemen.
Je zal ook je paswoorden moeten wijzigen nadien, want deze kunnen inmiddels al geweten zijn.

Tja, daar zit ik dan mee... Hoe kom ik er achter welk programma dat probleem veroorzaakte? Is dat te achterhalen misschien?
Die nebuler kwam in geen enkele scan naar voor, heeft die een specifieke naam?

Kan je even mijn stappen uitvoeren met malwarebytes?

Citaat:Hoe kom ik er achter welk programma dat probleem veroorzaakte?

Iedere illegale software/cracks die je gebruikt kan de oorzaak daarvan zijn.

(07-12-2009 15:41)miekiemoes schreef: [ -> ]Kan je even mijn stappen uitvoeren met malwarebytes?

Citaat:Hoe kom ik er achter welk programma dat probleem veroorzaakte?

Iedere illegale software/cracks die je gebruikt kan de oorzaak daarvan zijn.

Hallo Mikiemoes,

Ik zou graag je stappen uitvoeren, maar welke? Ik heb reeds voordien in een post het rapport van Malwarebytes geplakt, verder heb ik niets vernomen, kan je dat even toelichten aub?
Wat betreft de cracks : recentelijk is er geen geïnstalleerd die voordien gedurende jaren zonder probleem werkte (ik denk hier dan aan Nero...).
Groeten

Sorry, mijn fout. Ik had je vorige post gemist met de log/scan die je al uitgevoerd had.
Ik veronderstel dat je de pc al opnieuw hebt opgestart? Krijg je nog altijd "windows logon processr" fout?

(07-12-2009 19:05)miekiemoes schreef: [ -> ]Sorry, mijn fout. Ik had je vorige post gemist met de log/scan die je al uitgevoerd had.
Ik veronderstel dat je de pc al opnieuw hebt opgestart? Krijg je nog altijd "windows logon processr" fout?

Na die stappen was er niets gewijzigd. Ik heb inmiddels op het forum waar ik die DLL postte gezien dat er aangeraden werd Spybot Search& Destroy te draaien.
Ik heb dat inmiddels gedaan, en de PC sluit terug normaal af.
Er komen na het detecteren van de backdoor enz... bestanden nog enkele cookies in voor. Van Nebuler is geen sprake geweest. Ik heb S&D de bestanden laten verwijderen, en ik heb het onderdeel "Immuniseren" gedraaid voor de browser (firefox). Gisterennacht sloot alles dus normaal af.
Ik draai S&D deze ochtend opnieuw en er zaten weer enkele cookies in (o.a. tradedoubler). Ook stond er een vermelding dat het register gewijzigd was voor de firewall vermelding. Ik heb geen software-firewall maar een hardware oplossing, namelijk een Level One router. Dit item heb ik terug laten zetten omdat XP zeurde over "geen firewallbescherming active Armor uitgeschakeld. Ik wil die helemaal niet, maar schijn hem niet van het systeem verwijderd te krijgen (komt samen met NVIDIA bij installatie).

Lange uitleg om te zeggen dat voorlopig alles weer bij het oude is.
Bedankt Mikiemoes voor de tijd die je hierin stak, als je nog een andere suggestie zou hebben verneem ik dat graag, anders wacht ik verder af wat er gebeurt.
Vriendelijke groeten

Je hoeft je helemaal geen zorgen te maken over cookies, deze komen altijd terug.