[Worm Agobot.KZ] Geheugenfout en wincn.exe errors*

[XP-Pro / XP-Home] [Service pack 2 + alle updates]

Dag allemaal,

Ik kan sinds kort zowel op mijn laptop als op mijn desktop geen mappen meer openen, ook niet 'deze computer' / 'config scherm' / 'prullenbak',

Ik krijg steeds de volgende foutmelding:

Explorer.exe - Toepassingsfout

De instructie op 0x0259f065 verwijst naar geheugen op 0x0000000. De lees - of schrijfbewerking ("written") op het geheugen is mislukt.

Ik zit nu echt met mijn handen in het haar, ik heb verschillende forums uitgepluisd, en google uitgepluisd. Ik zou het echt niet weten, heeft iemand een oplossing?

[ Voor 10% gewijzigd door Dracoplasm op 22-03-2005 21:24 ]

De event viewer zegt:

Bron: Winlogon / Type: Informatie / Gebeurtenis-id: 1002
De shell is onverwacht beëindigd en Explorer.exe is opnieuw gestart.

Helaas, heb het geprobeert, de zo goed voorgestelde patch gedownload, en geen verschil, bij nader onderzoek op de microsoft site blijkt de aan te bevelen patch te werken bij het bevriezen van mappen ed. bij het sluiten.

Dat is dus niet mijn probleem, ik krijg de mappen namelijk niet eens open

Heb net na de patch even mijn pc opnieuw opgestart en zag opeens een foumelding bij het starten van XP, namelijk dat er iets mis is met:

C:WINDOWS\systeem32\wincn.exe

Misschien dat iemand hier wat meer mee kan en of het evt. te maken heeft met mijn probleem.

Heel erg bedankt tot nu toe, er komt een oplossing op deze manier, maar waarmee kan ik het beste deze worm verwijderen?
Ik heb de link door gelezen maar wordt er eerlijk gezegt weinig wijzer van.

Mijn Hijackrhis log:

Logfile of HijackThis v1.99.1
Scan saved at 19:05:19, on 23-3-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\sdkkz32.exe
C:\WINDOWS\system32\atlnu32.exe
C:\Program Files\Samurize\Client.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Michiel\Bureaublad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dfwuj.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dfwuj.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dfwuj.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dfwuj.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dfwuj.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dfwuj.dll/sp.html#44768
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {EF309E36-716B-7280-E846-0F0341C2FC93} - C:\WINDOWS\system32\mfcpa32.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Crazy Browser.exe] C:\Program Files\Crazy Browser\Crazy Browser.exe
O4 - HKLM\..\Run: [d3rt.exe] C:\WINDOWS\system32\d3rt.exe
O4 - HKLM\..\Run: [atlnu32.exe] C:\WINDOWS\system32\atlnu32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\RunOnce: [sdkkz32.exe] C:\WINDOWS\sdkkz32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Client Default.lnk = C:\Program Files\Samurize\Client.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/cb30a1fc/enter.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/...com/housecall/xscan53.cab
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\apiar32.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[ Voor 91% gewijzigd door Dracoplasm op 23-03-2005 19:06 ]

De oplossing, dankzij M@rc van computertotaal forum:

1. Download dit regfiletje: HSfix.zip.
Unzip het en plaats het op je buroblad, zodat je dit later makkelijk kan terug vinden wanneer je het nodig hebt.

2. Download CWShredder.
Plaatst het bestand ergens waar je het makkelijk kan terug vinden, maar gebruik het nu nog niet.

3. Download About:buster. Unzip het naar c:\aboutbuster en controleer of er updates beschikbaar. Installeer deze.
Gebruik het programma nog niet.

4. Zorg dat alle verborgen bestanden weergegeven worden.

5. Start de computer in veilige modus.

6. Sluit alle vensters, run HijackThis nog een keer en laat volgende items repareren:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dfwuj.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dfwuj.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dfwuj.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dfwuj.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dfwuj.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dfwuj.dll/sp.html#44768

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {EF309E36-716B-7280-E846-0F0341C2FC93} - C:\WINDOWS\system32\mfcpa32.dll

O4 - HKLM\..\Run: [d3rt.exe] C:\WINDOWS\system32\d3rt.exe
O4 - HKLM\..\Run: [atlnu32.exe] C:\WINDOWS\system32\atlnu32.exe
O4 - HKLM\..\RunOnce: [sdkkz32.exe] C:\WINDOWS\sdkkz32.exe

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\apiar32.exe (file missing)


7. Dubbelklik op HSfix.reg om de wijzigingen aan het register toe te voegen.

8. Verwijder de volgende bestanden:
C:\WINDOWS\dfwuj.dll
C:\WINDOWS\system32\mfcpa32.dll
C:\WINDOWS\system32\d3rt.exe
C:\WINDOWS\system32\atlnu32.exe
C:\WINDOWS\sdkkz32.exe

9. Maak je Temp-map leeg: Start – Uitvoeren tik in: %TEMP%. Selecteer alle bestanden en verwijder ze.

10. Ledig de map met Tijdelijke internetbestanden: Ga naar Configuratiescherm – Internetopties – tabblad Algemeen – klik bij Tijdelijke internetbestanden op Bestanden Verwijderen.

11. Herstel je webinstellingen: ga naar Configuratiescherm – Internetopties – tabblad Programma’s. Klik op de knop Webinstellingen herstellen.

12. Start CWShredder en klik op de fix-knop.

13. Start About:buster. Wanneer het programma vraagt om een tweede keer te scannen doe je dit.

14. Reboot de computer nu in normale modus. Run Hijackthis opnieuw en post een nieuwe log.

[ Voor 4% gewijzigd door Dracoplasm op 23-03-2005 21:57 ]