Rare logboek entries & PC beveiligen

Beste allemaal,

De PC van mijn ouders is altijd wel wat mee. Enige maanden geleden waren er steeds terugkerende virussen. Net voor de vakantie heb ik hem compleet opnieuw geïnstalleerd en nou afgelopen donderdag ochtend zat er het vervelende politie virus op. Hiervoor heb ik op www.nucia.eu hulp gevraagd om het te laten verwijderen. Daar bleek dat overigens veel meer mensen met dit virus besmet waren.

De tooltjes die mij daar werden voorgeschreven hebben echt veel zooi van de pc gegooid. Terwijl het enige wat mijn ouders doen is een beetje de krant lezen, een mailtje sturen en op youtube en funda.nl kijken.

Hoe kan het dan toch dat er iedere keer weer zoveel zooi op staat? Ik volg het allemaal niet meer.

Op dit moment staat het logboek van de PC al direct na het aanmelden bomvol vreemde fouten. Ik noem er hier een paar:

-----

De kopie-hash van een bestand is ongeldig. Mogelijk is het bestand beschadigd vanwege een onbevoegde wijziging of duidt de ongeldige hash op een schijffout.

Bestandsnaam: \Device\HarddiskVolume2\Users\DIANNE~1\AppData\Local\temp\mbr.sys

De kopie-hash van een bestand is ongeldig. Mogelijk is het bestand beschadigd vanwege een onbevoegde wijziging of duidt de ongeldige hash op een schijffout.

Bestandsnaam: \Device\HarddiskVolume2\Users\DIANNE~1\AppData\Local\Temp\catchme.sys

De Windows Firewall-service is gestopt met de specifieke servicefout 5 Toegang geweigerd..

Er is een probleem opgetreden met één of meer stuurprogramma's in gebruikersmodus en het hostproces is afgesloten. Hierdoor hebt u mogelijk tijdelijk geen toegang tot de apparaten.

Energiebeheerfuncties voor inactiviteit op processor 1 in groep 0 zijn uitgeschakeld vanwege een firmwareprobleem. Vraag bij de fabrikant van de computer om een bijgewerkte versie van de firmware.

----


Wat zijn dit allemaal voor rare foutmeldingen joh? Een bestand met de naam catchme.sys, firmware probleem voor de processor? Windows firewall wil niet gestart worden, etc etc.

Zijn dit soort zaken op te lossen? Of kan ik de pc beter opnieuw installeren en de beveiliging vanaf nu drastisch aanscherpen...

Voor nu heb ik altijd de pro versie van malwarebytes anti malware, windows defender, windows firwall, MVPS hosts, spywareblaster en adblock plus draaien. Maar dat is dus schijnbaar niet voldoende...

Ik hoop dat er iemand een idee heeft hoe ik de problemen met de PC op kan lossen, en of er iets is dat ik kan doen om te zorgen dat die troep niet weer terug komt. Het is om de paar weken wel iets met die pc en ik wordt er zo langzamerhand helemaal gek van

Alvast bedankt!

jan99999 schreef op zondag 09 september 2012 @ 12:56:
Als je ouders echt niks doen op de pc, probeer eens linux.
Geen virusscanner en firewall die op de achtergrond loopt.
Alle software wordt geupdate tav veiligheid, dus gemakkelijk.
Alle software zit in de software centrum, dus op de linux server, dus geheel virussvrij/spywarevrij.
Nieuwere/snelle pc ubuntu gebruiken, langzamere pc xubuntu gebruiken.

Ben nu 5 jaar met linux bezig 0 spyware en 0 virussen.

Enigste wat ik doe tav veiligheid, in firefox plugin installeren, adblock, noscript en ghostery.
Sommige website's moet je nu vrijgeven, eenmalig of voor altijd vrijgeven.
(dit is ook van toepassing op windows).

Wat ik laatst heb veranderd, geld ook voor windows, is java compleet verwijderen, ook de plugins in firefox.
Meestal heb java niet nodig.
Indien je dit toch nodig hebt, dan kun je java installeren, zodat je software hier gebruik van kan maken op je pc.
Dan kun je in firefox java uizetten(java stripts aan laten staan, is iets anders), ook de plugin uitzetten in firefox.
Indien je toch java nodig hebt in browser, dan kun je het beste een 2e browser installeren, en hier de java aan laten staan, en alleen gebruiken voor java site's.
(dit is ook van toepassing op windows).

Tip voor windows, gebruik internet explorer niet, alleen firefox of chrome gebruiken.

En toch zul je je ouders moeten leren hoe om te gaan met een pc tav veiligheid.
Zoals de java is pas uitgekomen dat dit je pc heel gemakkelijk hackt.
Zoiets zal altijd blijven wijzigen dus je zult steeds veiligheids site's moeten lezen.

Zoek op deze site(virussen en beveiligings gedeelte) hoe een pc te beveiligen, en de gebruiker op te leiden.
http://www.security.nl/frontpage In de forum vind je ook veel info over pc beveiligen.

Dank voor de reacties! Ik denk dat het voor mijn ouders het makkelijkste is om Windows te blijven gebruiken. Dat kennen ze nu eindelijk een beetje, en om dan op een nieuw besturingssysteem over te stappen weet ik niet of dat een succes zal worden

Ik zal java verwijderen. Internet explorer adviseer ik ze al om niet te gebruiken maar ik zie hem stiekem toch regelmatig open staan. Ik zal eens kijken of ik alle snelkoppelingen naar die browser weg kan halen zodat ze hem gewoon niet meer kunnen vinden

Die site ziet er handig uit idd. Ik zal daar vanavond eens op mijn gemak naar kijken.

Verwijderd schreef op zondag 09 september 2012 @ 12:57:
Hoe is die PC op internet aangesloten?

Wellicht dat het modem v/d ISP geen firewall heeft en alles direct doorstuurt aan de PC?

De pc is bekabeld aangesloten aan een sitecom wl303 router, met firewall. Daarachter zit een modem/router van ziggo waarvan de routerfunctie is uitgeschakeld.

Is het trouwens handig om een extra firewall te installeren zoals ZoneAlarm? Misschien dat die meer tegen houd?

Ik heb getest met zowel hitmanpro als TDSSKiller. Hitmanpro heeft veel gevonden en ook verwijderd. TDSSkiller vond niks.

Heb ook op verzoek van nucia.eu ook RogueKiller en Combofix gedraait. Deze laatste had nog veel gevonden.

Omdat de problemen nu weer zo snel na een herinstallatie terug zijn ben ik idd bang dat er iets in het MBR zit. Hoe zou ik dit kunnen controleren?

Dat is idd een goed idee jah. Mocht ik hem opnieuw gaan installeren dan denk ik dat een beperkte rechten account voor mijn ouders idd het verstandigste is Ik gebruik idd Windows 7

En wat CMD-Snake zegt over de MBR opnieuw aanmaken, ik denk dat ik dat morgen eens ga proberen. Thx voor de tip!

[ Voor 4% gewijzigd door Marcoevich op 09-09-2012 22:11 . Reden: windows versie toegevoegd ]

Ik heb bij nucia om een MBR scan tool gevraagd, en ze adviseerden mij om te scannen met aswMBR. Hier zijn de logjes:

Hier het logje van vóór de fix:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-09-10 13:04:25
-----------------------------
13:04:25.514 OS Version: Windows 6.1.7601 Service Pack 1
13:04:25.514 Number of processors: 2 586 0x170A
13:04:25.514 ComputerName: MEDION-PC UserName:
13:04:47.008 Initialize success
13:05:10.229 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
13:05:10.229 Disk 0 Vendor: ST3750528AS CC44 Size: 715404MB BusType: 3
13:05:10.260 Disk 0 MBR read successfully
13:05:10.260 Disk 0 MBR scan
13:05:10.260 Disk 0 unknown MBR code
13:05:10.260 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
13:05:10.260 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 693798 MB offset 206848
13:05:10.291 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 20480 MB offset 1421105152
13:05:10.307 Disk 0 Partition 4 00 12 Compaq diag NTFS 1024 MB offset 1463048192
13:05:10.307 Disk 0 scanning sectors +1465147120
13:05:10.353 Disk 0 scanning C:\Windows\system32\drivers
13:05:16.188 Service scanning
13:05:25.735 Modules scanning
13:05:30.930 Disk 0 trace - called modules:
13:05:30.945 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll ataport.SYS intelide.sys PCIIDEX.SYS atapi.sys
13:05:30.961 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86b6a030]
13:05:30.961 3 CLASSPNP.SYS[8bba859e] -> nt!IofCallDriver -> [0x866ca388]
13:05:30.961 5 ACPI.sys[8b8a73d4] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0x866cb030]
13:05:30.977 Scan finished successfully
13:05:54.595 Disk 0 MBR has been saved successfully to "C:\Users\XXXXXXXX\Desktop\MBR.dat"
13:05:54.611 The log file has been saved successfully to "C:\Users\XXXXXXXXX\Desktop\aswMBR.txt"


Hier het logje van na de fix:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-09-10 13:10:38
-----------------------------
13:10:38.199 OS Version: Windows 6.1.7601 Service Pack 1
13:10:38.199 Number of processors: 2 586 0x170A
13:10:38.199 ComputerName: MEDION-PC UserName:
13:11:05.261 Initialize success
13:11:09.640 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
13:11:09.640 Disk 0 Vendor: ST3750528AS CC44 Size: 715404MB BusType: 3
13:11:09.656 Disk 0 MBR read successfully
13:11:09.656 Disk 0 MBR scan
13:11:09.656 Disk 0 Windows 7 default MBR code
13:11:09.672 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
13:11:09.687 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 693798 MB offset 206848
13:11:09.718 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 20480 MB offset 1421105152
13:11:09.734 Disk 0 Partition 4 00 12 Compaq diag NTFS 1024 MB offset 1463048192
13:11:09.734 Disk 0 scanning sectors +1465147120
13:11:09.781 Disk 0 scanning C:\Windows\system32\drivers
13:11:16.005 Service scanning
13:11:28.142 Modules scanning
13:11:33.384 Disk 0 trace - called modules:
13:11:33.399 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll ataport.SYS intelide.sys PCIIDEX.SYS atapi.sys
13:11:33.415 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86b6caa0]
13:11:33.415 3 CLASSPNP.SYS[8bda959e] -> nt!IofCallDriver -> [0x866e1918]
13:11:33.415 5 ACPI.sys[8b8ac3d4] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0x866d7030]
13:11:33.431 Scan finished successfully
13:11:58.578 Disk 0 MBR has been saved successfully to "C:\Users\XXXXXXX\Desktop\MBR.dat"
13:11:58.578 The log file has been saved successfully to "C:\Users\XXXXXXX\Desktop\aswMBRafterFix.txt"


Klaarblijkelijk was toch de MBR besmet aangezien deze scan ongeldige code vond. Hopelijk zijn we nu voorgoed van die zooi af.

Ik kijk even aan hoe de pc nu functioneert en of hitmanpro/mbman etc nog iets vinden. Mocht dat zo zijn dan lijkt me idd het beste om de boel opnieuw te installeren.

Gelukkig weten we nu waar het vandaan kwam Ik hoop dat die virussen nu een tijdje weg blijven.

Dank voor jullie hulp iig!

Groetjes,
Rick

Wish schreef op maandag 10 september 2012 @ 13:41:
Ik zou even de naam van moeders verwijderen uit de log....

done

Dit is idd een goede tip! Thx daarvoor