Bericht 21 van 52NL Computer Forum ~ Windows Van | : | Peter | Datum | : | 14-07-2005 |
Aan | : | Weskaap | MsgID | : | 2375.21 |
Onderwerp | : | SYSTEM.DRV | Forum | : | ws-nlcomputer |
Hoi Jetty,
>>Dit wordt wel een beetje maf onderhand he.<<
Inderdaad. De map is er wel degelijk, zie de titelbalk van het CMD venster.
Maak eens een logfile met Hijackthis.
http://www.merijn.org/files/hijackthis.zip is de .ZIP op te halen.
(Alleen een logfile laten maken, dus niets aanvinken en fixen!)
groeten, Peter
Bericht 22 van 52NL Computer Forum ~ Windows Van | : | Michel Uphoff (Sysop) | Datum | : | 14-07-2005 |
Aan | : | Weskaap | MsgID | : | 2375.22 |
Onderwerp | : | SYSTEM.DRV | Forum | : | ws-nlcomputer |
Hoi Jetty,
>> Pfff, wat nu :-)\ <<
Vreemd... Kan je het resultaat van het volgende eens per stap terugposten? start->uitvoeren-.cmd (enter):
cd %windir% (enter) <- Wordt C:\windows nu weergegeven?
Zo ja,
dir /AD s*Je krijgt een lijstje van mappen in de windows map die beginnen met s. Bij mij ziet het lijstje er als volgt uit:
C:\WINDOWS>dir /AD s*
De volumenaam van station C is WinXp
Het volumenummer is 78CA-B77E Map van C:\WINDOWS29-05-2005 22:54 <DIR> security
22-09-2002 13:34 <DIR> ServicePackFiles
24-11-2004 14:51 <DIR> ShellNew
11-06-2005 14:00 <DIR> SoftwareDistribution
10-11-2004 22:59 <DIR> srchasst
06-02-2005 22:50 <DIR> system
10-07-2005 12:23 <DIR> system32Zie jij ook system32 in de weergave? Zo ja, tik dan in:
CD system32 (enter)
het resultaat zou moeten zijn:
C:\WINDOWS\system32>Zie je dit ook, doe dan eens:
dir /a system.drv (enter)
het resultaat moet hier op lijken:
Map van C:\WINDOWS\system32
07-09-2001 14:00 3.360 system.drvBen benieuw wat de stapjes opleveren. Doe zeker ook even die HJT log die Peter aanraadde, wellicht hebben we met een leuk beestje te maken.
Michel Uphoff (Sysop)Homepagina
Bericht 23 van 52NL Computer Forum ~ Windows Van | : | Weskaap | Datum | : | 14-07-2005 |
Aan | : | Michel Uphoff (Sysop) | MsgID | : | 2375.23 |
Onderwerp | : | SYSTEM.DRV | Forum | : | ws-nlcomputer |
Hoi Michel,
Veel verder dan de eerste stap kom ik niet <lol>
Microsoft Windows XP [versie 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\Jetty>cd %windir%
C:\WINDOWS>dir /AD s*
De volumenaam van station C is IBM_PRELOAD
Het volumenummer is 3049-41F7
Map van C:\WINDOWS
01-06-2005 14:46 <DIR> security
02-03-2004 19:30 <DIR> ShellNew
25-08-2004 17:46 <DIR> SoftwareDistribution
11-10-2002 18:57 <DIR> srchasst
24-02-2005 22:37 <DIR> Start Menu
19-05-2004 22:25 <DIR> Sun
0 bestand(en) 0 bytes
6 map(pen) 1.245.085.696 bytes beschikbaar
C:\WINDOWS>
Geen System32 dus :-(
Ik ga ff HJ logje maken, het wordt steeds leuker!
Groet,
Jetty.
Bericht 24 van 52NL Computer Forum ~ Windows Van | : | Weskaap | Datum | : | 14-07-2005 |
Aan | : | Peter | MsgID | : | 2375.24 |
Onderwerp | : | SYSTEM.DRV | Forum | : | ws-nlcomputer |
Hoi Peter,
Hierbij het HJ logje. Moet er even bijzeggen dat Teatimer pas sinds kort weer aanstaat.
Logfile of HijackThis v1.99.0
Scan saved at 20:04:09, on 14-7-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\PackethSvc.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\IP Insight\ARMon32a.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\Program Files\CompuServe 6.0\wcs2000.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jetty\Bureaublad\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.nl/R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.planet.nl:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = reg.planet.nl;<local>
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} -
http://sib1.od2.com/common/Member/ClientInstall/7.20.0003/OCI/setup.exeO16 - DPF: {50F65670-1729-11D2-A51F-0020AFE5D502} (ForumChat) -
http://objects.compuserve.com/chat/RTCChat.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093448698265O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
http://exent.planet.nl/AoDSite/classes/ExentCtl.ocxO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cabO23 - Service: Boonty Games - Unknown - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Inverse IP InSight Client - Inverse Network Technology - C:\Program Files\IP Insight\LaunchIPI.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: Virtual NIC Service - America Online, Inc. - C:\WINDOWS\System32\PackethSvc.exe
O23 - Service: PLSRemote Service - Unknown - C:\WINDOWS\SYSTEM32\PLSRemote.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SecuROM User Access Service (V7) - Unknown - C:\WINDOWS\System32\UAService7.exe
Nou, wat een zooi weer, ik zou zeggen neem er een koud biertje bij!
Jetty.
Bericht 25 van 52NL Computer Forum ~ Windows Van | : | Michel Uphoff (Sysop) | Datum | : | 14-07-2005 |
Aan | : | Weskaap | MsgID | : | 2375.25 |
Onderwerp | : | SYSTEM.DRV | Forum | : | ws-nlcomputer |
Hoi Jetty,
>> Ik ga ff HJ logje maken <<
Doe dat maar in Veilige Mode, want ik weet vrijwel zeker dat een of ander beestje zichzelf aan het beschermen is door die map onzichtbaar te houden.
>> het wordt steeds leuker <<
Ach, computeren is zó leuk!
Kan je met Regedit om gaan? Zo ja ga dan eens kijken bij
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MsConfig\startupreg Bestaat die key, en wat vind je er in?
Michel Uphoff (Sysop)Homepagina
Gewijzigd 14/07/2005 14:17 ET CET door
Michel Uphoff (Sysop)
Bericht 26 van 52NL Computer Forum ~ Windows Van | : | Weskaap | Datum | : | 14-07-2005 |
Aan | : | Michel Uphoff (Sysop) | MsgID | : | 2375.26 |
Onderwerp | : | SYSTEM.DRV | Forum | : | ws-nlcomputer |
Er komt weer een berichtje met aanhangsel aan!
Bericht 27 van 52NL Computer Forum ~ Windows Van | : | Michel Uphoff (Sysop) | Datum | : | 14-07-2005 |
Aan | : | Weskaap | MsgID | : | 2375.27 |
Onderwerp | : | SYSTEM.DRV | Forum | : | ws-nlcomputer |
Hoi Jetty,
>> Er komt weer een berichtje met aanhangsel aan <<
Tja.. dat moet ik dan even afwachten (moet vrijgegeven worden). Ik heb ook even naar jouw HT log gekeken, en dit viel mij (naast dat vermaledijde LexBces ettertje, het actief zijn van E-mule en wat andere niet noodzakelijke maar ook niet gevaarlijke processen) op:
C:\WINDOWS\System32\drivers\CDAC11BA.EXE een programma dat meegeleverd word ter kopieerbescherming. MAAR dit programma kán de werking van CDE branders nadeling beïnvloeden. Ik denk niet dat dit de oorzaak is, maar als je het programma dat dit ding geïnstalleerd heeft niet meer gebruikt, kan je die MacroVisio SafeCast beter de-installeren via het configuratiescherm.C:\Program Files\IP Insight\ARMon32a.exe -> Onzinware dat aan Phone Home doet. Hoe kom je daar aan? Het is een "Quality of Service" dienst voor inbelnetwerken. Kijk eerst in software of je dat IP{ insight geval kan deïnstalleren. Zo nee, verwijder dan met HT dit ding, en daarna de hele map IP Insight.
C:\WINDOWS\System32\UAService7.exe, service om secuRom images toch te kunnen lezen. Ook dit ding (dat waarschijnlijk ooit met een spel is meegekomen) bemoeit zich stevig met de inhoud van cd's. Hoewel ik niet denk dat dit de veroorzaker is, zou mijn invalshoek altijd zijn: Heb ik het nodig? Nee? Weg ermee! Kijk eerst bij software of het te deïnstalleren valt.R3 - Default URLSearchHook is missing -> leftover, wegvinken in HT
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k -> onzin, wegvinken in HT
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) -> leftover, wegvinken in HT
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/7.20.0003/OCI/setup.exe -> even geen idee, maar ik zou het wegvinken en de backup van HT even bewaren.
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://exent.planet.nl/AoDSite/classes/ExentCtl.ocx-> waarschijnlijk beestje, verwijderen in HT
O23 - Service: Boonty Games - Unknown - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe (file missing) -> ex- beestje, verwijderen in HT
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE (zie eerder)
O23 - Service: Inverse IP InSight Client - Inverse Network Technology - C:\Program Files\IP Insight\LaunchIPI.exe <- zie eerder
O23 - Service: PLSRemote Service - Unknown - C:\WINDOWS\SYSTEM32\PLSRemote.exe -> Ken ik niet, maar ik weet vrijwel zeker dat je zonder kunt/wilt. HT maakt backups, dus ik zou het zondermeer wegvinken.
O23 - Service: SecuROM User Access Service (V7) - Unknown - C:\WINDOWS\System32\UAService7.exe
Zie SecuRom verhaal eerder. Laat TeaTimer maar aanstaan.
Alles afwerken in Veilige Mode en daarna een reboot naar veilige mode en met een updated spybot er nog even langs gaan.
Michel Uphoff (Sysop)Homepagina
Gewijzigd 14/07/2005 15:52 ET CET door
Michel Uphoff (Sysop)
Bericht 28 van 52NL Computer Forum ~ Windows Van | : | Weskaap | Datum | : | 14-07-2005 |
Aan | : | Michel Uphoff (Sysop) | MsgID | : | 2375.28 |
Onderwerp | : | SYSTEM.DRV | Forum | : | ws-nlcomputer |
Hoi Michel,
Ha, in ieder geval weer wat zooi opgeruimd <lol>
"
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/7.20.0003/OCI/setup.exe -> even geen idee, maar ik zou het wegvinken en de backup van HT even bewaren. " Dat is zooi van MusicStream van Planet Internet.Helaas doet de CD hety nog steeds niet :-(. Wat ik wel frappant vind is dat ik mijn virusscanner ook niet meer kan openen...Hij draait wel, maar ik kan niet bij het programma, ook het icoontje onderin de balk is weg.Dat is toch wel verdacht, of niet dan?In mijn vorige bericht (met aanhangsel) is een plaatje van de startupreg. daarin staan een bluetooth en een IPmenumap.Groetsels,Jetty.
Bericht 29 van 52NL Computer Forum ~ Windows Van | : | Peter | Datum | : | 14-07-2005 |
Aan | : | Weskaap | MsgID | : | 2375.29 |
Onderwerp | : | SYSTEM.DRV | Forum | : | ws-nlcomputer |
Jetty,
Aanvulling op de aanwijzingen die Michel al gaf:
In normale modus eventueel nogmaals die ATTRIB regel in een dos-venster uitvoeren.
Als je Windows in Veilige Mode opstart, zie je dan wel de map C:\Windows\system32 ?
Je gebruikt een oude versie van HijackThis. De nieuwste is v1.99.1
Windows XP Service Pack 2 is niet geinstalleerd, incl. een aantal andere updates waarschijnlijk.
(Windows Update pas uitvoeren als dit probleem verdwenen is!)
groetjes, Peter
Bericht 30 van 52NL Computer Forum ~ Windows Van | : | Michel Uphoff (Sysop) | Datum | : | 14-07-2005 |
Aan | : | Weskaap | MsgID | : | 2375.30 |
Onderwerp | : | SYSTEM.DRV | Forum | : | ws-nlcomputer |
Hoi Jetty,
>> Dat is toch wel verdacht, of niet dan? <<
Jazeker, en er is een dikke kans dat een of andere Trojan dit flikt. Vraag is natuurlijk welke. Als je weggevinkt hebt in HT wat ik heb aangeraden, is het verstandig na een herstart weer een log te maken. Komt een van de verwijderde ettertjes zondermeer terug, dan handelt het hier hoogstwaarschijnlijk om zo'n kreng. Als dat iets is wat lijkt op p2pnetworking.exe dan kan het kloppen dat jouw system32 map onzichtbaar is want dat kreng en zijn malafide familieleden flikken dat. Loop dus HT zorgvuldig na in normale mode. Ik hoop niet dat het een zichzelf herstellend beestje is, want dan ben je nog even bezig. Ik ga er echter morgen 2 weken tussenuit, dus hopenlijk kan een ander hier je dan verder helpen.
Michel Uphoff (Sysop)Homepagina
Gewijzigd 14/07/2005 17:14 ET CET door
Michel Uphoff (Sysop)