Systeemherstel greyed out - Privacy en beveiliging

maandag 8 augustus 2011 11:55

Acties:

Verwijderd

Topicstarter

Hallo,

Ik startte m'n PC net op, en ik kreeg een error (welke precies weet ik niet meer).
Dus ik dacht: laat ik gewoon even systeemherstel doen. Wat blijkt, mijn systeemherstel is ''door uw systeembeheerder uitgeschakeld. Neem contact op met uw systeembeheerder als u Systeemherstel wilt inschakelen''.

Ik heb al van alles geprobeerd, mijn Volume Shadow Copy service is gestart en staat op automatisch.
Een systeemherstelservice, die ik heb proberen te vinden, staat niet bij de services. Als ik Systeem --> Systeembeveiliging zie dan is alles greyed out. Niks is te selecteren. Ik heb m'n PC ook al 2 keer met Hitman Pro 3.5 gescanned. Syshost als Trojan gevonden en verwijderd.

Ik draai Windows 7 ultimate x64 btw.

Gr.

Sam

maandag 8 augustus 2011 11:57

Acties:

Keiichi

Heb je al contact opgenomen met je systeembeheerder dan?

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

maandag 8 augustus 2011 11:58

Acties:

Verwijderd

Topicstarter

Keiichi schreef op maandag 08 augustus 2011 @ 11:57:
Heb je al contact opgenomen met je systeembeheerder dan?

Dat ben ik

Administrator enzo.

[ Voor 5% gewijzigd door Verwijderd op 08-08-2011 11:58 ]

maandag 8 augustus 2011 11:59

Acties:

PROnline

systeemherstel werkt ook alleen als er daadwerkelijk een herstelpunt in het verleden is aangemaakt.
Heb je het niet toevallig ooit een keer uitgezet om diskruimte te besparen?

maandag 8 augustus 2011 11:59

Acties:

Verwijderd

Topicstarter

PROnline schreef op maandag 08 augustus 2011 @ 11:59:
systeemherstel werkt ook alleen als er daadwerkelijk een herstelpunt in het verleden is aangemaakt.
Heb je het niet toevallig ooit een keer uitgezet om diskruimte te besparen?

Ik heb wel SP1 recent geïnstalleerd, ik las een paar seconden geleden iets over dat je herstelpunten dan worden weggevaagd?

maandag 8 augustus 2011 12:00

Acties:

ResuCigam

BOFH

Je hebt het dan inderdaad zelf ooit uitgezet, standaard staat deze functie aan.

We do what we must because we can.

maandag 8 augustus 2011 12:01

Acties:

RonnieGoodvibes

Tip scan je systeem eens met malwarebytes...heb dit ook een keer gehad.
bepaalde malware die je admin rechten wegsodemietert.

http://www.malwarebytes.org/

je leeft maar 1 x maak er dan ook in 1x wat van en maak geen half werk.

maandag 8 augustus 2011 12:01

Acties:

Verwijderd

Topicstarter

RonnieGoodvibes schreef op maandag 08 augustus 2011 @ 12:01:
Tip scan je systeem eens met malwarebytes...heb dit ook een keer gehad.
bepaalde malware die je admin rechten wegsodemietert.

http://www.malwarebytes.org/

Hm, zal het is proberen, dank.
Ik kan mijn UAC etc. wel gewoon nog wijzigen.

Iemand op dit?:
Ik heb wel SP1 recent geïnstalleerd, ik las een paar seconden geleden iets over dat je herstelpunten dan worden weggevaagd?

EDIT:
gescanned met Malwarebytes, ik ga m'n PC even opnieuw opstarten, hier de log:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Databaseversie: 7408

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

8-8-2011 12:08:47
mbam-log-2011-08-08 (12-08-47).txt

Scantype: Snelle scan
Objecten gescand: 176370
Verstreken tijd: 2 minuut/minuten, 59 seconde(n)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 10
Registerwaarden geïnfecteerd: 1
Registerdata geïnfecteerd: 1
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 6

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D6BA40A1-A502-59BD-F413-04B03A2C8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\OTGV1DNWQQ (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SMH2B46TDP (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\YXE7DXCQ37 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Phost (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Phost (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Systemsonsw (Trojan.Ransom) -> Quarantined and deleted successfully.

Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WINID (Malware.Trace) -> Value: WINID -> Quarantined and deleted successfully.

Registerdata geïnfecteerd:
HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("C:\Program Files (x86)\Internet Explorer\Iexplore.exe" %1) Good: ("%1" /S) -> Quarantined and deleted successfully.

Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Bestanden geïnfecteerd:
c:\Users\gebruiker\AppData\Roaming\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\gebruiker\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\gebruiker\AppData\Roaming\data.dat (Stolen.Data) -> Quarantined and deleted successfully.
c:\Users\gebruiker\AppData\Roaming\dsfsds.bat (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\gebruiker\AppData\Roaming\srsf.bat (Malware.Trace) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

[ Voor 95% gewijzigd door Verwijderd op 08-08-2011 12:09 ]

maandag 8 augustus 2011 12:13

Acties:

Verwijderd

Topicstarter

Geen error meer bij het opstarten, maar nog steeds een foutmelding bij het proberen op te starten van systeemherstel

maandag 8 augustus 2011 12:18

Acties:

MadMarky

Begint eer ge bezint

Echt een foutmelding of is alles nog steeds grijs?

🖥️ | 🚗

maandag 8 augustus 2011 12:42

Acties:

alt-92

ye olde farte

Kijk even met regedit of de volgende key aanwezig is:

code:

1	HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

Als daar ook nog eens de waarden DisableConfig en DisableSR met 1 aangegeven staan dan heeft die malware dat ook aangepast.

En een tik naar B&V - je kan ook wel raden waarom dan

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 8 augustus 2011 12:46

Acties:

Verwijderd

Topicstarter

MadMarky schreef op maandag 08 augustus 2011 @ 12:18:
Echt een foutmelding of is alles nog steeds grijs?

Euhm, als ik systeemherstel aanklik dan krijg ik dit:
Afbeeldingslocatie: http://i54.tinypic.com/234lg7.png

@Alt: ja zal ik even doen.
EDIT:
Afbeeldingslocatie: http://i52.tinypic.com/20rwfsy.png

Tadaa, aangepast naar (0) en systeemherstel doet het weer! Top, thanks

Alleen jammergenoeg geen herstelpunten, maar dat zal waarsch. door de SP1 install komen van 1 week geleden.

[ Voor 33% gewijzigd door Verwijderd op 08-08-2011 12:50 ]

maandag 8 augustus 2011 13:12

Acties:

Verwijderd

Topicstarter

Wat kan ik doen, behalve windows herinstalleren, om er een beetje zeker van te zijn dat er geen rootkits op m'n PC zitten? Ik scan nu m'n systeempartitie met Malwarebytes.

maandag 8 augustus 2011 13:20

Acties:

slopert

Dat kan je niet. Rootkits zijn ontworpen om niet gedetecteerd te worden.

maandag 8 augustus 2011 13:26

Acties:

Verwijderd

Topicstarter

slopert schreef op maandag 08 augustus 2011 @ 13:20:
Dat kan je niet. Rootkits zijn ontworpen om niet gedetecteerd te worden.

Hm, balen. Ik heb ook geen zin om m'n windows opnieuw te installen.

maandag 8 augustus 2011 13:34

Acties:

slopert

Je zou je pc in veilige modus kunnen starten, met netwerk ondersteuning, en dan via bv trendmirco een virusscan kunnen doen.

Een andere mogelijkheid zou kunnen zijn om je pc met een live-cd te starten en zo een scan te doen zonder dat je systeem in gebruik is. Volgens mij heet die pc-cillin (knoppix variant).

Nog een andere is laten scannen met gmer, die is goed in het detecteren. Veel (foute) software reageert door je pc af te sluiten. Je pc is dan vrijwel zeker besmet.

Hoe dan ook, of je pc schoon is weet je nooit zeker.
Alleen het volgende werkt: nieuwe schijf kopen, windows installeren en nooit meer externe software installeren. En zeker niet je pc in een, op internet aangesloten, netwerk hangen.

maandag 8 augustus 2011 13:38

Acties:

Weiman

Microsoft heeft zelf ook best een aardige offline scanner, speciaal voor rootkits: http://connect.microsoft.com/systemsweeper

maandag 8 augustus 2011 14:40

Acties:

Verwijderd

Topicstarter

Ok, bedankt mensen.
Ik heb net even een volledige scan gedaan van m'n Windows partitie met MalwareBytes, niks gevonden.
Die scanners van slopert ga ik ook is proberen straks. Nouja, en je weet inderdaad nooit of ie helemaal schoon is. Net even een .iso gemaakt van dat Microsoft appje.

[ Voor 9% gewijzigd door Verwijderd op 08-08-2011 14:53 ]

maandag 8 augustus 2011 15:00

Acties:

Verwijderd

Topicstarter

GMER is klaar met scannen, hier het logje:

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-08-08 14:59:17
Windows 6.1.7601 Service Pack 1
Running: usmvsi7f.exe

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xD8 0x46 0x89 0xAB ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xD6 0x2B 0xAA 0x72 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x6C 0x33 0x3D 0x2C ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xCC 0x21 0xBC 0x64 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xD8 0x46 0x89 0xAB ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xD6 0x2B 0xAA 0x72 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x6C 0x33 0x3D 0x2C ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xCC 0x21 0xBC 0x64 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CF49797F-23D8-B271-C45A-AC3B2A2BAF23}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CF49797F-23D8-B271-C45A-AC3B2A2BAF23}@pacchbnjjnichllmigljhlkajecpfecd 0x62 0x61 0x63 0x61 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CF49797F-23D8-B271-C45A-AC3B2A2BAF23}@cbcchbnjjnicjkijcjlnopabamdcglidjkndfk 0x62 0x61 0x63 0x61 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CF49797F-23D8-B271-C45A-AC3B2A2BAF23}@bbcchbnjjnicjkijcjlneacdnllhcmnkilfd 0x62 0x61 0x63 0x61 ...

---- EOF - GMER 1.0.15 ----

Pagina: 1

Reageer