Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[XP] explorer.exe blijft rebooten.

Pagina: 1
Acties:
  • 694 views sinds 30-01-2008
  • Reageer

zondag 28 oktober 2007 19:39

Acties:
  • Dauthi
  • Registratie: September 2002
  • Laatst online: 26-11 13:16

Dauthi

Topicstarter
Systeem Windows XP Professioneel incl SP2.
Heb een probleem sinds vanochtend na het oplopen van een trojan. explorer.exe reboot nu iedere 10sec, hoogst irritant.
Heb in de tussen tijd al geprobeerd om het te fixxen, virusje verwijdert.
Andere scanners gebruikt kaspersky trendmicro en nod32 die zeggen dat het systeem schoon is. Explorer.exe gewijzigd met die uit dllcache, explorer.exe vervangen met die van een ander systeem.
registry edits in winlogon aangepast.
Terug gegaan naar safe mode maar ook daar blijft explorer.exe zich iedere 10s opnieuw opstarten.
Gescanned in safe mode, explorer verandert in safe mode.
Maar niets werkt.

HJT laat eigenlijk ook niet veel bijzonders zien:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90

Logfile of HijackThis v1.99.1
Scan saved at 19:30:57, on 28-10-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
K:\Games\Office 2007\Office12\GrooveMonitor.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\UM-ICTS\VPN Tunnel\cvpnd.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\vssvc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\iTunes\iTunes.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Dauthi\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Documents%20and%20Settings/Dauthi/My%20Documents/Inet%20Startpage/Prince/index.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 207.6.24.188:80
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [GrooveMonitor] "K:\Games\Office 2007\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OneNote 2007 Screen Clipper and Launcher.lnk = K:\Games\Office 2007\Office12\ONENOTEM.EXE
O4 - Startup: Shortcut to MsgPlus.lnk = C:\Program Files\Messenger Plus! 3\MsgPlus.exe
O4 - Global Startup: UM UM-ICTS VPN Client.lnk = C:\Program Files\UM-ICTS\VPN Tunnel\vpngui.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://K:\Games\OFFICE~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Linked Ima&ges - C:\Program Files\IEimage\IEimage.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - K:\Games\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - K:\Games\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - K:\Games\OFFICE~1\Office12\REFIEBAR.DLL
O9 - Extra button: Linked Images - {D8980DE8-9D4C-4fb0-8FB4-95B1FA4125AD} - C:\Program Files\IEimage\IEimage.htm
O9 - Extra 'Tools' menuitem: Linked Ima&ges - {D8980DE8-9D4C-4fb0-8FB4-95B1FA4125AD} - C:\Program Files\IEimage\IEimage.htm
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15030/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B0A2C7FC-8666-44D6-A990-2FCE3B933341} (ING Bank Autorisatiescherm) - https://secure.ingbank.nl/download/DigiSign.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15030/CTPID.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - K:\Games\OFFICE~1\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\UM-ICTS\VPN Tunnel\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe


Ik weet het iig niet meer, uiteraard is een cleaninstall het laatste redmiddel, en eigenlijk geen oplossing voor het probleem, maar het vermijden van het probleem.

Vandaar deze roep om hulp :)

zondag 28 oktober 2007 19:42

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Infectiemeuk kan je dan beter in Beveiliging & Virussen zetten, dus ik verplaats je topic daarnaartoe.

Volgens mij is C:\WINDOWS\system32\devldr32.exe iets wat je nog kan nakijken...

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 28 oktober 2007 19:43

Acties:
  • AgeOfPanic
  • Registratie: December 2001
  • Laatst online: 16:39

AgeOfPanic

Kun je niet met Systeemherstel van Windows teruggaan naar een eerder herstelpunt? Of anders met behulp van de Windows Xp CD de installatie herstellen.

zondag 28 oktober 2007 19:44

Acties:

Verwijderd

AgeOfPanic schreef op zondag 28 oktober 2007 @ 19:43:
Kun je niet met Systeemherstel van Windows teruggaan naar een eerder herstelpunt? Of anders met behulp van de Windows Xp CD de installatie herstellen.
Veilige modus (f8)
Dan zoeken naar systeemherstel in C.
Die dag of 2 terug zetten en kijken of het dan verholpen is.

zondag 28 oktober 2007 19:46

Acties:
  • Skit3000
  • Registratie: Mei 2005
  • Laatst online: 20:39

Skit3000

Open anders taakbeheer eens en sluit alle processen waarachter jouw (gebruikers)naam staat eens één voor één af en kijk hoe het dan gaat? Als explorer.exe dan niet meer reboot, moet je nogmaals voorgaande uitvoeren en dan goed kijken vanaf wanneer het probleem is verholpen. Dan weet je gelijk wat de boosdoener is. :)

zondag 28 oktober 2007 19:46

Acties:
  • Dauthi
  • Registratie: September 2002
  • Laatst online: 26-11 13:16

Dauthi

Topicstarter
Systeemherstel werkt niet aangezien ik het al vanaf moment 1 uit heb staan dus er kan niks herstel worden ;)

de win xp cd was een evengroot succes :(

zondag 28 oktober 2007 20:13

Acties:
  • Dauthi
  • Registratie: September 2002
  • Laatst online: 26-11 13:16

Dauthi

Topicstarter
devldr32.exe is een creative audio driver. Ik gebruik 2 geluidskaarten, interne mobo geluidschip en een creative 5.1 live ding.

zondag 28 oktober 2007 20:15

Acties:
  • Dauthi
  • Registratie: September 2002
  • Laatst online: 26-11 13:16

Dauthi

Topicstarter
Skit3000 schreef op zondag 28 oktober 2007 @ 19:46:
Open anders taakbeheer eens en sluit alle processen waarachter jouw (gebruikers)naam staat eens één voor één af en kijk hoe het dan gaat? Als explorer.exe dan niet meer reboot, moet je nogmaals voorgaande uitvoeren en dan goed kijken vanaf wanneer het probleem is verholpen. Dan weet je gelijk wat de boosdoener is. :)
geprobeerd maar alle processen zijn te herleiden naar normale programma's die dan wel nodig zijn om het systeem te laten draaien en dus direct rebooten. dan wel programma's zoals msn en skype...

Ik snap er echt helemaal niks van. 8)7

zondag 28 oktober 2007 20:57

Acties:

Verwijderd

Scan het systeem eens met het gratis programmaatje Prevx CSI
Gaat supersnel, misschien vindt dat programma een "stout" bestand.

zondag 28 oktober 2007 22:18

Acties:
  • Dauthi
  • Registratie: September 2002
  • Laatst online: 26-11 13:16

Dauthi

Topicstarter
jkhhh.dll stond op system32, en werd nog steeds niet herkent door nod32.

uiteindelijk via repair mode van een windows cd weten te verwijderen.

Thnx :)

maandag 29 oktober 2007 01:32

Acties:

Verwijderd

Zelfs NOD32 kan niet alles detecteren. Er is geen AV die 100% bescherming kan bieden.


Gebruik de volgende keer de nieuwste versie van HijackThis.
http://www.trendsecure.co...security_tools/hijackthis

Ook je Java loopt wat achter. Verwijder alles van Java via configuratiescherm > software en installeer de laatste versie; Java(TM) SE Runtime Environment 6 Update 3

maandag 29 oktober 2007 11:46

Acties:
  • Pimmerd
  • Registratie: Mei 2006
  • Laatst online: 14-11 21:09

Pimmerd

Probeer Vundofix of Combofix eens, je hebt geen 02 of 020 regels in je logfile staan, dit duidt op Vundo.

Je hebt het probleem al opgelost zie ik :X Toch zal ik nog een scan met bovengenoemde tools proberen, omdat Vundo meestal meerdere infected files achterlaat.

Hernoem Hijackthis maar en maak daarmee een log, dan zul je het zien :+

[ Voor 54% gewijzigd door Pimmerd op 29-10-2007 11:48 ]

woensdag 7 november 2007 21:05

Acties:
  • Dauthi
  • Registratie: September 2002
  • Laatst online: 26-11 13:16

Dauthi

Topicstarter
Ik heb inmiddels al een clean install gedaan, maar thnx voor het advies :)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq