Bericht 12 van 35NL Computer Forum ~ Windows Van | : | Michel Uphoff (Sysop) | Datum | : | 05-08-2005 |
Aan | : | Don Esteban (NLHelp) | MsgID | : | 2394.12 |
Onderwerp | : | pc uitschakelen | Forum | : | ws-nlcomputer |
Hoi Don,
>> Ik hoop dat je er wat aan hebt. <<
Aan die log te zien is er (misschien af en toe, misschien altijd) wat mis met de Dcom en de SCM. Dat wijs allebei op een mogelijk probleempje rond TCP/IP. Of dat dan vervolgens leidt tot een hanger bij afsluiten is maar de vraag. Maar het volgende is niet ondenkbaar:
Een of andere Trojan of ander stukkie ongerief heeft de IP stack of Winsock omgetimmerd. Dat stukkie ellende is inmiddels wel verwijderd, maar de normale situatie is niet hersteld, en leidt tot genoemde fouten in de log. Daarom zou ik het volgende doen:
Haal de Ewido security Suite (14 dagen trial versie) even op. Lees de rest even goed door voor je het ding installeert en updated. Laat Ewido een volledige scan doen (laat het bij meldingen backup's maken). Ben benieuwd of er nog wat extra ellende boven tafel komt, dus sla de log na het scannen even op, en hang die aan een berichtje.
Overigens ben je vergeten antwoord te geven op mijn twee vragen: Hangt de pc ook als je hem direct na een koude start (even laten uitreutelen) weer afsluit, en hangt de pc ook in veilige mode bij afsluiten?
Verder dacht ik dat jij Spybot gebruikte. Maar ik mis in de HjT log de Sdhelper.dll. Kijk de Spybot instellingen even goed door, met name het deel Host, het deel Immuniseer en het deel Tools, keuze resident. Vink daar minimaal de Sdhelper aan. Vink ook Teatimer aan als je telkens als er iets belangrijks wijzigt in je systeem je een keuze voorgeschotelt wilt krijgen om dit toe te laten danwel te weigeren. De teatimer is echter wel een tooltje dat soms lastig is, vooral als je nieuwe software installeert. Schakel het dan tevoren even met een rechtsklik op het tray icoontje uit.
Over Ewido:
Een relatief nieuwe maar zeer goede Trojan hunter, die geavanceerde technieken gebruikt om een fors aantal door Spybot, AdAware en MS antispy volledig onherkende Trojans op de sporen en uit te schakelen. Programma is puik, en de updates zijn veelvuldig. Lovende reviews, en ik heb er al menig lastig kreng zonder toestanden mee de nek omgedraaid. Let op: Een virusscanner blijft noodzakelijk, en wat ad en spyware betreft is Ewido niet the top of the bill.
Kritiek heb ik er ook op: De Plus (betaalde versie) heeft een real time protectie. Die heb ik na wat testen al uitgeschakeld, want het ding vréét geheugen en cpu power, en de TeaTimer van S&D doet hetzelfde met nog geen 1/10 van de belasting. Ook mis ik de mogelijkheid om zelf scanscenario's aan te maken en op te slaan, en is er geen mogelijkheid om e.e.a. te automatiseren.
De automatische updates van de Plus versie werken na 14 dagen niet meer. Dan wordt het betaal software, en gaat Ewido in de gratis mode, overigens nog steeds goed bruikbaar als "on demand" scanner. De updates zijn gelukkig wel handmatig op te halen.
Verder ontbreekt een goede help functie, reden voor een aantal reviewers Ewido van de eerste plaats af te halen. Zelf vind ik dit minder belangrijk wat het programma is redelijk eenvoudig te bedienen.
Omdat Ewido nogal grondig controleert, duurt het detectieproces lang, erg lang. Dat maakt Ewido niet zo geschikt voor dagelijks gebruik.
Ik gebruik Ewido dan ook als volgt:
Bij installeren vink ik de realtime scanner uit, en ook de automatische updates, dat scheelt hoopjes geheugen. Verder draai ik het programma alleen als ik een pc nader wil doorvlooien op Trojans, zeg maar als extra controle. Spybot blijft bij mij de standaard tool. Maar Ewido is erg geavanceerd, en verwijdert dus ook een fors aantal erg lastig te vinden Trojans. Aanrader.
De laatste versie van Ewido vind je
HIERDe laatste updates altijd
HIER
Michel Uphoff (Sysop)Homepagina
Bericht 13 van 35NL Computer Forum ~ Windows Van | : | Don Esteban (NLHelp) | Datum | : | 05-08-2005 |
Aan | : | Michel Uphoff (Sysop) | MsgID | : | 2394.13 |
Onderwerp | : | pc uitschakelen | Forum | : | ws-nlcomputer |
Hoi Michel,
---------------------------------------------------------
ewido security suite - Scan rapport
---------------------------------------------------------
+ Gemaakt op: 21:44:49, 5-8-2005
+ Rapport samenvatting: 144C1939
+ Scan resultaten:
HKLM\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} -> Spyware.MiniBug : Schoongemaakt met een backup
:mozilla.10:C:\Documents and Settings\Don Esteban\Application Data\Mozilla\Firefox\Profiles\tc58k619.default\cookies.txt -> Spyware.Cookie.Sitestat : Schoongemaakt met een backup
:mozilla.16:C:\Documents and Settings\Don Esteban\Application Data\Mozilla\Firefox\Profiles\tc58k619.default\cookies.txt -> Spyware.Cookie.Statcounter : Schoongemaakt met een backup
:mozilla.17:C:\Documents and Settings\Don Esteban\Application Data\Mozilla\Firefox\Profiles\tc58k619.default\cookies.txt -> Spyware.Cookie.Statcounter : Schoongemaakt met een backup
:mozilla.23:C:\Documents and Settings\Don Esteban\Application Data\Mozilla\Firefox\Profiles\tc58k619.default\cookies.txt -> Spyware.Cookie.Onestat : Schoongemaakt met een backup
:mozilla.24:C:\Documents and Settings\Don Esteban\Application Data\Mozilla\Firefox\Profiles\tc58k619.default\cookies.txt -> Spyware.Cookie.Onestat : Schoongemaakt met een backup
:mozilla.35:C:\Documents and Settings\Don Esteban\Application Data\Mozilla\Firefox\Profiles\tc58k619.default\cookies.txt -> Spyware.Cookie.Sitestat : Schoongemaakt met een backup
:mozilla.37:C:\Documents and Settings\Don Esteban\Application Data\Mozilla\Firefox\Profiles\tc58k619.default\cookies.txt -> Spyware.Cookie.Tribalfusion : Schoongemaakt met een backup
C:\Documents and Settings\Don Esteban\Cookies\don
esteban@stat.onestat[2].txt -> Spyware.Cookie.Onestat : Schoongemaakt met een backup
G:\Archief\Games\Big Money\BM Patch.exe -> Trojan.FraggleRock.155 : Schoongemaakt met een backup
G:\Archief\Games\Mummy Maze\MummyMaze Patch.exe -> Trojan.FraggleRock.155 : Schoongemaakt met een backup
::Einde rapport
>>Overigens ben je vergeten antwoord te geven op mijn twee vragen: Hangt de pc ook als je hem direct na een koude start (even laten uitreutelen) weer afsluit, en hangt de pc ook in veilige mode bij afsluiten?<<
IK zal dit mede vergeten zijn omdat ik het al eerder had uitgeprobeerd. In de veilige modus schakelt de PC dus WEL uit.
Ik ga nu afsluiten om te kijken of Ewido resultaten heeft geboekt.
(even later) Noppes dus. In de veilige modus kan ik de pc uitschakelen maar in de normale modus geen kick. Alleen altijd even een korte reutel van de HD na iedere poging.
Don
Gewijzigd 5/08/2005 16:09 ET CET door
Don Esteban (sysop NLHelp)
Bericht 14 van 35NL Computer Forum ~ Windows Van | : | Michel Uphoff (Sysop) | Datum | : | 05-08-2005 |
Aan | : | Don Esteban (NLHelp) | MsgID | : | 2394.14 |
Onderwerp | : | pc uitschakelen | Forum | : | ws-nlcomputer |
Hoi Don,
>> Noppes dus. <<
Tss,.. nu ja, je bent wel van een vieze Trojan af, de pc wordt schooner en schooner.
Ok, volgende poging: Start de pc, en sluit daarna alle tooltjes en rommeltjes af (compuserve, die connect software, Norton en wat je verder maar in de system tray kan vinden aan moois. Alleen het klokje en eventueel een luidsprekertje moeten dan zichtbaar blijven. Sluit af.
Geen resultaat? :
Ga weer die eventvwr.msc in en
wis de logboeken als in het eerdere bericht. Doe een afsluitpoging en wacht daarna 10 minuten. Open de logboeken en kijk of je er foutmeldingen in tegenkomt (zowel bij software als bij Systeem). In theorie moeten er geen foutmeldingen zijn, want je had niets gedaan in die 10 minuten. Let op, ik heb het alleen over foutmeldingen, dus niet waarschuwingen of informatie. Maar zijn ze er wél, rechtsklik dan op de fout en lees de details. In het detailvenster staat veel meer info over de fout. Klik in het detailvenster op het icoontje met twee tekstvelletjes (fout naar prikbord zenden) en plak de fout(en) in kladblok. Suur dat even op.
Mogelijk is toch die symantec security suite nonsens de dwarsligger. Je kan het als test eens
geheel deïnstalleren, en na een herstart -misschien meerdere- kijken of dat wat oplevert. Herinstalleer het ding bij voorkeur behoudend (alleen de virusscanner).
Michel Uphoff (Sysop)Homepagina
Bericht 15 van 35NL Computer Forum ~ Windows Van | : | Michel Uphoff (Sysop) | Datum | : | 06-08-2005 |
Aan | : | Don Esteban (NLHelp) | MsgID | : | 2394.15 |
Onderwerp | : | pc uitschakelen | Forum | : | ws-nlcomputer |
Hoi Don,
O ja, vergeten:
Dat verhaal met dat regedit dat actief was. Je had het programma zelf gestart? Zo nee, maak dan direct na een herstart nogmaals een HjT logje want normaal is dat zeker niet. Geen HjT logs maken als je al een tijdje met de pc gewerkt hebt, c.q. programma's hebt openstaan, maar direct na het opstarten.
Michel Uphoff (Sysop)Homepagina
Bericht 16 van 35NL Computer Forum ~ Windows Van | : | Don Esteban (NLHelp) | Datum | : | 06-08-2005 |
Aan | : | Michel Uphoff (Sysop) | MsgID | : | 2394.16 |
Onderwerp | : | pc uitschakelen | Forum | : | ws-nlcomputer |
Hoi Michel,
>> Logfile of HijackThis v1.98.2
Scan saved at 18:33:19, on 6-8-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
C:\PROGRA~1\MAILWA~2\MAILWA~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\CompuServe 6.0\cstray.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\PackethSvc.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\PROGRA~1\Webshots\webshots.scr
C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
C:\WINDOWS\REGEDIT.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Don Esteban\Bureaublad\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [MailWasher] C:\PROGRA~1\MAILWA~2\MAILWA~1.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: CompuServe 6.0-werkbalkpictogram.lnk = C:\Program Files\CompuServe 6.0\cstray.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Gelijkwaardige pagina's - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O12 - Plugin for .ssc: C:\WINDOWS\Downloaded Program Files\Ubizen\SmartStart\NPSmartStart32.dll
O15 - Trusted Zone:
http://community.compuserve.comO15 - Trusted Zone:
http://forums.compuserve.comO16 - DPF: Contains -
O16 - DPF: DownloadInformation -
O16 - DPF: InstalledVersion -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409O16 - DPF: {4692316D-32E1-4A48-A3E7-548EDE1056E3} (CLogEntry Object) -
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -
http://cams.aacb.com//AxisCamControl.ocxO16 - DPF: {B0A2C7FC-8666-44D6-A990-2FCE3B933341} (ING Bank Autorisatiescherm) -
https://secure.ingbank.nl/download/DigiSign.cabO16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) -
http://www.crtvg.es/camweb/camera.cab <<
En toen?
Don