Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[Spyware] Systeem boot niet meer

Pagina: 1
Acties:

dinsdag 3 juli 2007 16:40

Acties:
  • The Executer
  • Registratie: Juli 2005
  • Laatst online: 07:10

The Executer

Lekker belangrijk!

Topicstarter
Hallo,

Afgelopen maandag bij mijn neef met Hijackthis spyware van de pc verwijderd. Daarvoor heb ik oa de HijackThis analyzer voor gebruikt (http://www.hijackthis.de/). Nu heb ik teveel verwijderd, waardoor het systeem niet meer op wil starten. Het systeem blijft herstarten, ook als ik voor veilige modus, laatst bekende configuratie en dergelijke kies. Ik heb wel een backup en een log van HijackThis, maar deze staan op mijn usb stick. Is het mogelijk om met bv een Windows live cd deze backups terug te plaatsen vanaf mijn usb stick, of pakt hij dan de verkeerde schijfletters? Is het misschien ook mogelijk dat ik de schijf in een externe behuizing plaatst, of in mijn pc inbouw, en op die manier de backup terug zet?

Ik heb al geprobeerd een nieuwe Boot sector te schrijven, maar dit helpt ook niet. Het systeem blijft rebooten.

Hierbij de HijackThis log:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84

Logfile of HijackThis v1.99.1
Scan saved at 10:58:28, on 2-7-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\loxgrbpv.exe
F:\Werk\Tools\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.home.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
O3 - Toolbar: MSTBR - {10CA15EA-C0A5-7CAF-B9E9-B8B2A87EFE11} - C:\PROGRA~1\Wanadoo\GLOBAL\Mstbr\mstbr.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PVModule] C:\PROGRA~1\PRINTV~1\pvmodule.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\npwevkxm.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Program Files\Common Files\Ahead\Lib\NMFirstStart.exe
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://start.home.nl/
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/NL-NL/a-UNO1/GAME_UNO1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {91F52A42-C10D-49A7-B941-882C657C604F} (Installation Helper Object) - http://kitcentral.wanadoo.nl/download/install/win32/nl/instwact/instwact.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Program Files\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\hdhwsnrb.exe (file missing)
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\dvd brand software\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe


Een screenshot van de items die ik heb verwijderd. De items waar een vinkje voor staat gaat het om. Deze items wil ik dus graag terugplaatsen op het systeem.

Afbeeldingslocatie: http://i20.photobucket.com/albums/b215/TheExecuter/HijackThisMini.png

Ik hoop dat er nog iets mogelijk is om bestanden terug te zetten. Ik weet dat ik niet de nieuwste versie van HijackThis draai, maar daar gaat het mij niet om. Op deze manier kan ik software die toch hardnekkig is toch gewoon verwijderen.

Gegevens PC:
O/S: Windows XP Home
Spywarescanner: Hijack This
Anti-virus: AVG Free
Merk PC: Packard Bell
Type: Imedia 5504
Serienummer: 0496730
Productnummer: PB34217586
Harddisk is opgedeelt in 3 partities, waarvan de Documents and Settings op D:\ staat. Er is een hidden fat32 partitie genaamd backup, een c: partitie van 30 Gb en een data partitie van 113 GB. Ik kan wel de harddisk benaderen door middel van Hirens Boot cd V8 met MiniWindows 98.

[ Voor 3% gewijzigd door The Executer op 03-07-2007 19:35 . Reden: Info toegevoegd, thumbnail aangemaakt ]

"We don't make mistakes; we just have happy accidents" - Bob Ross

dinsdag 3 juli 2007 17:23

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Voor malware/spyware hebben we Beveiliging & Virussen .
Daarnaartoe dus :)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 3 juli 2007 21:14

Acties:
  • Arthas
  • Registratie: December 2006
  • Laatst online: 01-09 11:14

Arthas

pvmodule.exe is waarschijnlijk al geen goed iets om op je pc te hebben, omdat deze in de verkeerde directory is geinstalleerd. Intoetsen van de naam bij google geeft ook al veel meldingen over backdoors en trojans.
Ik zou eerst deze pc van Internet loskoppelen en met een gewone Windows XP installatie-cd proberen op te starten (heb geen ervaring van Windows Live-cd's, vandaar) zonder alle onnodige opstartmodules. Vervolgens via msconfig de opstartbestanden en de niet-microsoft services uitschakelen om daarna een nieuwe herstart te proberen vanaf de harde schijf.
Vervolgens een goede antivirus scan draaien en tevens een anti spyware scan. HijackThis alleen is echt niet genoeg.

"A person ignorant of the possibility of failure can be a halfbrick in the path of the bicycle of history" - Terry Pratchett

woensdag 4 juli 2007 10:39

Acties:
  • The Executer
  • Registratie: Juli 2005
  • Laatst online: 07:10

The Executer

Lekker belangrijk!

Topicstarter
Arthas schreef op dinsdag 03 juli 2007 @ 21:14:
Ik zou eerst deze pc van Internet loskoppelen en met een gewone Windows XP installatie-cd proberen op te starten (heb geen ervaring van Windows Live-cd's, vandaar) zonder alle onnodige opstartmodules. Vervolgens via msconfig de opstartbestanden en de niet-microsoft services uitschakelen om daarna een nieuwe herstart te proberen vanaf de harde schijf.
Vervolgens een goede antivirus scan draaien en tevens een anti spyware scan. HijackThis alleen is echt niet genoeg.
Hoe kan ik dan door middel van een windows xp cd opstarten? Naar mijn weten moet ik dan de hdd formatteren, en dit is eigenlijk wat ik (nog) niet wil doen. Dit is omdat ze een aparte manier van bestanden indelen hebben.

Daarnaast: Ik wou alle modules die ik verwijderd had terugplaatsten, om dan het systeem weer verder schoon te maken.

[ Voor 6% gewijzigd door The Executer op 04-07-2007 10:49 ]

"We don't make mistakes; we just have happy accidents" - Bob Ross

woensdag 4 juli 2007 10:44

Acties:
  • Borromini
  • Registratie: Januari 2003
  • Niet online

Borromini

Mislukt misantroop

Er is BartPE, waarmee je van een (legitieme natuurlijk) Windows-CD een livecd kan maken.

Een andere - en imho betere optie - is gewoon een recente Linux live-cd nemen met volledige NTFS-ondersteuning, zodat je je C:\ lekker read-write kan mounten.

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

woensdag 4 juli 2007 10:50

Acties:
  • The Executer
  • Registratie: Juli 2005
  • Laatst online: 07:10

The Executer

Lekker belangrijk!

Topicstarter
Borromini schreef op woensdag 04 juli 2007 @ 10:44:
Er is BartPE, waarmee je van een (legitieme natuurlijk) Windows-CD een livecd kan maken.

Een andere - en imho betere optie - is gewoon een recente Linux live-cd nemen met volledige NTFS-ondersteuning, zodat je je C:\ lekker read-write kan mounten.
Maar is het dan ook mogelijk om die backup files van HijackThis terug te plaatsen? Daar gaat het mij eigenlijk om. Waarschijnlijk had ik die laatste service niet moeten verwijderen.

Goed, ik ga het systeem opnieuw installeren. Denk dat er weinig anders op zit. De Documenten staan gelukkig op D:\. Nu hopen dat het formatteren goed gaat, en de windows setup geen stationletters verwisseld.

Edit: Inmiddels heb ik het systeem weer goed draaien. Heb de recovery gebruikt van de pc. Nu zit ik nog met overbodige software die niet verwijderd wil worden. De reden hiervan is is dat ze niet in de lijst met geïnstalleerde software staan. Onder andere Norton AV 2005, Norton IS 2005, een mediaplayer ding achtig iets :9 , heel vaag. Norton ben ik al kwijt, norton removal tool :P

[ Voor 42% gewijzigd door The Executer op 04-07-2007 23:33 ]

"We don't make mistakes; we just have happy accidents" - Bob Ross

donderdag 5 juli 2007 17:19

Acties:
  • Arthas
  • Registratie: December 2006
  • Laatst online: 01-09 11:14

Arthas

Hoe kan ik dan door middel van een windows xp cd opstarten?
Ik was inderdaad niet helemaal duidelijk. Ik doelde eigenlijk hiermee op de reparatie van de installatie. Maar het is opgelost :)

"A person ignorant of the possibility of failure can be a halfbrick in the path of the bicycle of history" - Terry Pratchett

zondag 8 juli 2007 23:57

Acties:
  • The Executer
  • Registratie: Juli 2005
  • Laatst online: 07:10

The Executer

Lekker belangrijk!

Topicstarter
Arthas schreef op donderdag 05 juli 2007 @ 17:19:
[...]


Ik was inderdaad niet helemaal duidelijk. Ik doelde eigenlijk hiermee op de reparatie van de installatie. Maar het is opgelost :)
Ok, duidelijk. Ik had al wel een /fix boot gedaan, maar durfde eigenlijk niet aan om ook maar /fix mbr te doen, vanwege de recovery partitie aanwezig. Het systeem draait inmiddels weer goed, nu maar hopen dat hij een beetje schoon blijft.

"We don't make mistakes; we just have happy accidents" - Bob Ross

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq