[XP] Explorer.exe 0xc0000005 - Privacy en beveiliging

zaterdag 23 juli 2005 10:53

Acties:

0 Henk 'm!

Banaan

Topicstarter

Na het verwijderen van spyware (hitman pro)
Had ik wat kleine probleempjes
Dus deed ik systeemherstel

Na het opstarten kreeg ik de foutmelding
0xc0000005 in explorer.exe

Overschrijven vanaf cd helpt niet

AL gedaan:
http://support.microsoft....aspx?scid=kb;en-us;170907
Got search geeft geen antwoord

888 voor ondertiteling

zaterdag 23 juli 2005 11:01

Acties:

0 Henk 'm!

TheovdS

Misschien moet je hier eens kijken.

Heb ik gevonden met de GoT search

zaterdag 23 juli 2005 11:02

Acties:

0 Henk 'm!

roelio

fruitig, en fris.

Vergelijk eens explorer.exe uit je Windows map met de versie in de Servicepackfiles map of van je XP CDROM, qua grootte enzo

AMD Phenom II X4 // 8 GB DDR2 // SAMSUNG 830 SSD // 840 EVO SSD // Daar is Sinterklaas alweer!!

zaterdag 23 juli 2005 11:04

Acties:

0 Henk 'm!

Ramoonus

Banaan

Topicstarter

limoentje schreef op zaterdag 23 juli 2005 @ 11:02:
Vergelijk eens explorer.exe uit je Windows map met de versie in de Servicepackfiles map of van je XP CDROM, qua grootte enzo

1004544 bytes ... explorer.exe (expanded vanaf de originele cd)

ik heb trouwens xp pro sp2

edit:
microsoft.com staat ook niets van waarde
ik heb zojuist systeemherstel gedaan zoals ie voor de vorige herstel was
dit helpt ook niets

wat me wel opvalt is dat svchost een waarde van 99% continue heeft

de preciese foutmelding is:
kkan de toepassing niet juist initialiseren (0xc0000005). Klik op OK om de toepassing te beeindigen

Eventuele vertaling voor latere gotters:
Explorer.exe. application error
The application failed to initialize properly (0xc0000005).
Click on OK to terminate the application.

volgens mij is het dit
http://forums.us.dell.com...si_virus&message.id=41628

[ Voor 62% gewijzigd door Ramoonus op 23-07-2005 11:22 ]

888 voor ondertiteling

zaterdag 23 juli 2005 14:51

Acties:

0 Henk 'm!

roelio

fruitig, en fris.

Na je systeemherstel al overnieuw gescanned met Hijackthis, Hitman en eventueel MS Antispyware?

AMD Phenom II X4 // 8 GB DDR2 // SAMSUNG 830 SSD // 840 EVO SSD // Daar is Sinterklaas alweer!!

zaterdag 23 juli 2005 16:38

Acties:

0 Henk 'm!

Verwijderd

/me gokt Virus.Win32.Nsag.a - of mogelijk zelfs al Nsag.b.

quote: http://www.viruslist.com/en/weblog?weblogid=166508324
Disinfection of Virus.Win32.Nsag.a:

* Make sure Kaspersky Anti-Virus is up to date.
* Perform a full system scan and disinfect or delete all objects detected as infected.
* Navigate to %sysdir% (Most likely C:\Windows\System32)
* Find wininet.dll and rename it to wininet.dl
* Wait a few moments. A new, clean version of wininet.dll should appear
* Reboot the system and disinfect or delete the infected wininet.dl file

zondag 24 juli 2005 08:57

Acties:

0 Henk 'm!

Ramoonus

Banaan

Topicstarter

limoentje schreef op zaterdag 23 juli 2005 @ 14:51:
Na je systeemherstel al overnieuw gescanned met Hijackthis, Hitman en eventueel MS Antispyware?

hitman en MSA had ik al gedaan

ik doe nu hijackthis
download url: http://80.237.140.193/downloads/hijackthis_199.zip
http://www.merijn.org/files/hijackthis.zip

ik heb pc cillin (zat bij mn mobo) zal die het ook doen?

ik denk niet dat het dat andere virus is
het begon allemaal zo:
ik ging naar een site
opeens viel mn browser uit
ik zette mn browser aan
viel weer uit ... diverse programmas in mn taakbalk
MS Antispyware zag diverse rare programmas ... blockte die ook
Mijn bureaublad verdween
Rare snelkoppelingen hier en daar

[ Voor 5% gewijzigd door Ramoonus op 24-07-2005 08:59 ]

888 voor ondertiteling

zondag 24 juli 2005 09:35

Acties:

0 Henk 'm!

Ramoonus

Banaan

Topicstarter

hier heb ik wat aan
met de hand na de scan ongedaan maken

. To delete the value from the registry
Important: Symantec strongly recommends that you back up the registry before making any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify the specified subkeys only. For instructions refer to the document: How to make a backup of the Windows registry.

Click Start > Run.
Type regedit
Click OK.

Note: If the registry editor fails to open the threat may have modified the registry to prevent access to the registry editor. Security Response has developed a tool to resolve this problem. Download and run this tool, and then continue with the removal.

Navigate to the subkey:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager

In the right pane, delete the values:

"AllowProtectedRenames" = "1"
"PendingFileRenameOperations" = "\??\%System%\oleadm32.dll !\??\%System%\wininet.dll"

Navigate to the subkey:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

In the right pane, delete the value:

"WindowsFZ" = "[path to executable file]"

Navigate to the subkey:

HKEY_CURRENT_USER\Control Panel\Desktop

In the right pane, delete the values:

"WallpaperStyle" = "0"
"Wallpaper" = "%System%\wp.bmp"

Navigate to the subkey:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

In the right pane, delete the values:

"NoDispAppearancePage" = "1"
"NoDispBackgroundPage" = "1"

Navigate to the subkey:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

In the right pane, delete the value:

"NoActiveDesktopChanges" = "1"

Navigate to and delete the registry keys:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet update
HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}

Exit the Registry Editor.

[ Voor 97% gewijzigd door Ramoonus op 24-07-2005 09:38 ]

888 voor ondertiteling

zondag 24 juli 2005 09:54

Acties:

0 Henk 'm!

Ramoonus

Banaan

Topicstarter

ok ik heb hitman En AVG Free beide laten scannen
Bleken wat kleine deeltjes van andere zooi op te zitten.

Ik heb wininet.dll hernoemt
Vanaf de originele xp setup cd heb ik wininet.dl_ expanded

pc reboot

explorer.exe start zonder foutmelding
maar mijn taakbalk en bureaublad etc komen niet tevoorschijn
alsof ie nog half vast zit
explorer staat niet in taakbeheer

listsvc en winlogon hebben een hoge sysload

al gedaan
[rml][ XP] Bureaublad/Desktop vastloper[/rml]
[rml][ XP] Geen desktop meer*[/rml]
[rml][ XP] Explorer.exe start niet meer[/rml]
[rml][ XP] kan alleen desktop zien[/rml]

[ Voor 49% gewijzigd door Ramoonus op 24-07-2005 10:29 ]

888 voor ondertiteling

zondag 24 juli 2005 10:31

Acties:

0 Henk 'm!

Ramoonus

Banaan

Topicstarter

listsvc handmatig sluiten (dmv taskmanager)
explorer.exe laten openen
tada

nu laat drwts32.exe zichzelf vastlopen
waardoor een LOOP ontstaat
en explorer.exe herstart zichzelf ook enkele malen

[ Voor 48% gewijzigd door Ramoonus op 24-07-2005 10:34 ]

888 voor ondertiteling

zondag 24 juli 2005 10:36

Acties:

0 Henk 'm!

roelio

fruitig, en fris.

Check ook even of je WinLogon bestand nog origineel is dan

ListSvc, wat is dat? Volgens Google een recovery console commando, en het staat niet op een XP SP2 bak hier..

En drwts32, maak je een typfout? Bestand heet normaal drwtsn32

[ Voor 17% gewijzigd door roelio op 24-07-2005 10:37 ]

AMD Phenom II X4 // 8 GB DDR2 // SAMSUNG 830 SSD // 840 EVO SSD // Daar is Sinterklaas alweer!!

zondag 24 juli 2005 11:24

Acties:

0 Henk 'm!

Ramoonus

Banaan

Topicstarter

limoentje schreef op zondag 24 juli 2005 @ 10:36:
Check ook even of je WinLogon bestand nog origineel is dan

ListSvc, wat is dat? Volgens Google een recovery console commando, en het staat niet op een XP SP2 bak hier..

En drwts32, maak je een typfout? Bestand heet normaal drwtsn32

typfout ...
drwtsn32 loopt nietmeer vast ... kwam door de laatste restjes van het virus

nu heb ik nog 2 problemen:
1. listSVC en services hebben hoge sysload ... waar kan ik dit checken?
ik krijg foutmeldingen van de windows firewall - hoe kan ik deze afzetten?
zie: [rml][ xp] services.exe pakt continu cpu load van 50%[/rml]
[rml][ Win2k] 100% cpu belasting door services.exe[/rml]
CPU load van 100%
[rml][ BC3] Hoge cpu load na opstarten in w2k[/rml]
[rml][ Win2k] laatste tijd vaak op 100% load[/rml]

2. tabbladen thema`s, bureaublad en vormgeving zijn verdwenen door de spyware ... welke registersetting is dit

[ Voor 28% gewijzigd door Ramoonus op 24-07-2005 11:43 ]

888 voor ondertiteling

zondag 24 juli 2005 12:09

Acties:

0 Henk 'm!

roelio

fruitig, en fris.

Listsvc zou ik beeindigen en het bestand ff verplaatsen (zal wel in je Windows of System32 map staan ofzo, check it)

Niet een proces wat hoort te draaien voor zover ik weet

AMD Phenom II X4 // 8 GB DDR2 // SAMSUNG 830 SSD // 840 EVO SSD // Daar is Sinterklaas alweer!!

zondag 24 juli 2005 12:11

Acties:

0 Henk 'm!

Ramoonus

Banaan

Topicstarter

limoentje schreef op zondag 24 juli 2005 @ 12:09:
Listsvc zou ik beeindigen en het bestand ff verplaatsen (zal wel in je Windows of System32 map staan ofzo, check it)

Niet een proces wat hoort te draaien voor zover ik weet

windows zegt zelf wat anders ... kan ik neit afzetten
weer dommespelfout van mij... moest svchost.exe zijn

module voor module afzetten werkt wel ... maar dan doen de volgende modulen het nietmeer waardoor ik oa nietmeer op internet kan

[ Voor 6% gewijzigd door Ramoonus op 24-07-2005 12:12 ]

888 voor ondertiteling

zondag 24 juli 2005 12:25

Acties:

0 Henk 'm!

Ramoonus

Banaan

Topicstarter

hijackthis log

Logfile of HijackThis v1.99.1
Scan saved at 12:24:35, on 24-7-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\program files\powerstrip\pstrip.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Iarsn\TaskInfo 6.x\TaskInfo.exe
C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\imapi.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
F:\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cache.zeelandnet.nl:800
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;192.168.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PowerStrip] c:\program files\powerstrip\pstrip.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: XFX Game Controller.lnk = ?
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Zoeken - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Woord vertalen in het Nederlands - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ontvang alle bestanden door Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Ontvangst door Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6211AC26-A1B4-422A-AC52-1E70B7D24465} (FileSharingCtrl Class) - http://appdirectory.messe...ng/nl/filesharingctrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/...com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab31267.cab
O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} (WebCam Control) - http://webcamnow.com/fs5/ax/ActiveXWebCam.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/...sengersetupdownloader.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\q932437_disk.dll (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:/xampplite/mysql/bin/mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (Q) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

888 voor ondertiteling

zondag 24 juli 2005 12:42

Acties:

0 Henk 'm!

Ramoonus

Banaan

Topicstarter

O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
was een restje van het virus
het desbetreffende restje
fixLSP (googlen)
laat die dll verwijderen
reboot
weg problemen

888 voor ondertiteling

zondag 24 juli 2005 17:21

Acties:

0 Henk 'm!

Ramoonus

Banaan

Topicstarter

tab bureau en vormgeving staan hier
HKEY_USERS\S-1-5-21-1417001333-1682526488-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

[ Voor 13% gewijzigd door Ramoonus op 24-07-2005 17:21 ]

888 voor ondertiteling

zondag 24 juli 2005 23:33

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Windows Operating Systems >> Beveiliging & Virussen

zondag 24 juli 2005 23:52

Acties:

0 Henk 'm!

pasta

Ondertitel

offtopic:
Ramoonus, zou je misschien wat vaker van de edit knop gebruik maken ipv continue nieuwe posts aanmaken?

Signature

zaterdag 13 augustus 2005 14:52

Acties:

0 Henk 'm!

Ramoonus

Banaan

Topicstarter

pasta schreef op zondag 24 juli 2005 @ 23:52:

offtopic:
Ramoonus, zou je misschien wat vaker van de edit knop gebruik maken ipv continue nieuwe posts aanmaken?

sir yes sir

888 voor ondertiteling

zaterdag 13 augustus 2005 15:07

Acties: