Windows XP en sabam virus

[Joskebiet]

Windows XP service pack 3 en zit met het sabam virus.

1) Ik heb 2 HD telkens in 2 partities

(HD1 : C: met een oude niet gebruikte bootable Win XP )

(HD1 : D: met de effectieve DATA )

(HD2 : F: met de laatste jaren gebruikte bootable Win XP ) - belangrijk

(HD2 : G: met de backup data van drive D: )

2) Ik start dus telkens op van de Win XP op drive F:

3) En daar heb ik dus het beruchte SABAM-virus

4) Dankzij goede raad via jullie forum heb ik het virus reeds kunnen verwijderen

( enfin dat denk ik toch ) met Malwarebytes Anti-Malware

en dit door op te starten via de bootable win xp op de c: drive

5) Maar zoals op jullie forum reeds is gezegd door iemand ;

Als ik de win XP op drive F: wil opstarten dan krijg ik geen taakbalk ;

geen icoontjes ; en kan ik de taskmanager niet opstarten ; kortom

ik heb enkel en alleen een opstartscherm

6) opstarten in safe mode, enz.... levert mij gewoon een zwart scherm

met in de hoekjes : safe mode

7) Via jullie forum heb ik dan het programma "Unhide.exe" opgestart

en dit van de win XP van drive c: ; maar hij vindt geen "smtmp" file

en kan dus niets doen.

8) Een search over alle 4 de drives naar een smtmp-file levert niets op.

9) Ik heb Hijackthis geïnstalleerd, maar dit kan ik alleen opstarten

via de win XP op drive C: en dat is dus niet de opstart win xp die ik nodig heb.

10) Wat moet ik doen ?

21 mei 2012 aangepast door Joskebiet
verkeerde toests gedrukt terwijl mijn vraag nog niet klaar was

[kape]

Laat HijackThis op de C-drive maar scannen ... en hang het logje in een volgend bericht. Mogelijk kunnen we daar al iets mee.

[Joskebiet]

Hierbij het logje, maar zoals gezegd,

dit is via een win XP op de C drive die ik in jaren niet meer gebruikt heb,

de XP die ik gebruik is deze die op de F drive staat

ik heb er ook nog de unhide file aan toegevoegd,

maar zoals reeds gezegd, hij vindt de smtmp-files niet ( op geen enkele drive )

Alvast bedankt voor alle moeite

hijackthis_boot from HDC.txt

Laat HijackThis op de C-drive maar scannen ... en hang het logje in een volgend bericht. Mogelijk kunnen we daar al iets mee.

unhide.txt

[kape]

Heb je via de zoekfunctie al eens nagekeken of dat (tijdelijk) smtmp-bestand inderdaad niet te vinden is op je PC ? Zo niet, laat dan Unhide nog eens opnieuw werken maar in "veilige modus" (als dat lukt).

Met je HijackThis-log mag je het volgende doen :

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop JavaQuickStarterService

Druk op Enter.

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete JavaQuickStarterService

Druk op Enter.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd:

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll (file missing)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (file missing)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll (file missing)

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll (file missing)

O9 - Extra 'Tools' menuitem: Mobiele favorieten maken - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O10 - Broken Internet access because of LSP provider 'c:\program files\microsoft firewall client\wspwsp.dll' missing

Klik op 'Fix checked' om de items te verwijderen.

Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis.

22 mei 2012 aangepast door kape

[Joskebiet]

hijackthis_boot from HDC_v2.txtBeste Kape,

smtmp bestanden gezocht in alle 4 de drives ( C: D: F: en G: ) niet te vinden.

Unhide.exe is uitgevoerd op de 4 drives ; maar geen resultaat.

Kan Win XP op de F: drive niet opstarten in safe mode ( het is de win xp op de f: drive die geïnfecteerd was )

en het is deze win xp op de f: drive die ik moet kunnen opstarten, maar geen taakbalk, geen icoontjes, en de taskmanager werkt ook niet.

Ik heb daarna via HijackThis gedaan wat je gevraagd hebt;

( de O10 heb ik niet kunnen verwijderen ) ; maar ik herhaal nog even

dat dit dus allemaal is van de Win XP van de C: drive die niet geïnfecteerd was

en waarvan ik al jaren niet meer opgestart ben.

( In het kort de reden : Vroeger had ik 1 drive ; 2 partities C: en D: ;

maar de C: partitie was te klein geworden ; en daarom een extra drive toegevoegd

die ik ook in 2 partities heb verdeeld F: en G:

en de F: drive is dus de belangrijke bootable drive ; en het is deze Win XP die ik nodig heb )

Met je HijackThis-log mag je het volgende doen :

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop JavaQuickStarterService

Druk op Enter.

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete JavaQuickStarterService

Druk op Enter.

Deze instructies heb ik niet kunnen uitvoeren

(Sorry , ik ken er wel iets van ; maar ben geen specialist)

Kortom de belangrijke win xp is deze op de F: drive.

Deze was geïnfecteerd, maar virus is (denkelijk) weg,

maar bij het opstarten start windows op,

maar ik heb geen taakbalk, geen "start"-knop, geen icoontjes,

Via de win xp op de c: drive heb ik natuurlijk wel toegang tot alle files

op alles drives ( c: d: f: en g: )

In bijlage de unhide en hijackthis log versie 2 na het uitvoeren van

het bovenstaande

dus als je mij nog verder kan helpen ? graag alvast bedankt

unhide_v2.txt

[Joskebiet]

[ATTACH]18689[/ATTACH]Ik kan er ondertussen nog het volgende aan toevoegen :

Buiten de 2 users op de benodigde Win xp ( op drive F: ) die administrator-bevoegdheden hadden;

is er nu een "administrator" bijgekomen die de taskmanager wel kan openen.

Ik heb wel geen toegang tot het internet, omdat het blijkbaar niet windows is die de toegang

tot het internet beheert, maar een extern programma.

Ik heb toegang tot het internet via een D-LINK DWA-140 USB mini adapter met zijn bijhorende software

maar ik heb enkele instructies via "file" "new task (run)" via de taskmanager kunnen uitvoeren als test.

Ik heb dus Hijackthis kunnen laten lopen via de win xp op drive F:

(zie bijlage) ( !!! door het gebruik van een USB-stick die ook een letter heeft gekregen is de harddisk partitie met win xp die ik nodig heb drive I: geworden !!! ) Hijackthis_boot from HDF.txt

Misschien kunt U mij helpen om via die weg, mijn iconen en taakbalk en "start"-knop terug te bezorgen ?

Ik kan niet op het internet ( al ben ik opgestart in safe mode met netwerk )

maar de reden is dus de externe usb mini adapter van dlink met zijn software

groetjes

hijackthis_boot from HDF.txt

22 mei 2012 aangepast door Joskebiet
toevoegen van hijackthis file

[kape]

Via je nieuwe logje kunnen we toch weer een stapje verder zetten :

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=I:\Documents and Settings\jos\Application Data\BSI.bund.exe

F2 - REG:system.ini: UserInit=I:\Documents and Settings\jos\Application Data\BSI.bund.exe,C:\WINDOWS\System32\userinit.exe,

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Klik op 'Fix checked' om de items te verwijderen.

Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis.

Download MBAM (Malwarebytes Anti-Malware)

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".

Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.

Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.

Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.

Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder).

Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook.

MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen.

Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

[Joskebiet]

mbam-log-2012-05-23 (09-55-07).txtBeste vriend,

ik heb bovenstaande uitgevoerd,

en ik heb mijn "start"-knop alsook de taakbalk terug.

De icoontjes ( snelkoppelingen op werkblad ) niet, maar dat is geen probleem.

Ik moet nu wel nog alles testen natuurlijk,

maar in ieder geval super bedankt voor deze support.

In bijlage nog de hijack file en de mbam file

Als je nog suggesties hebt om mijn pc te versnellen

altijd welkom

Thanks

Jos

hijackthis_boot from HDF_v2.txt

[kape]

Dat is alvast goed nieuws ;-)

Voer dit ook nog even uit :

Download Unhide.exe naar het bureaublad, als u een melding krijgt dat het bestand mogelijk onveilig is kunt u dit negeren.

• Dubbelklik op "Unhide.exe" om de tool te starten.
  
• Let op!!! Windows Vista & 7 gebruikers dienen "Unhide.exe" als administrator uit te voeren "Rechtermuisknop uitvoeren als administrator",
  
• Wacht rustig af totdat de tool gereed is en doe in de tussentijd verder niets op de computer.
  
• Als de tool gereed is krijgt u het onderstaande scherm te zien, met de melding "Your files should now be visible"
  
  • 
    

  [*] Vermeld in uw volgende bericht of u deze melding heeft gekregen.

[Joskebiet]

Beste, super mensen,

Voor zover ik kan nagaan is mijn probleem opgelost.

Ik heb mijn win xp via drive F: terug;

ik heb mijn start knop en taakbalk en icoontjes terug

de taskmanager werkt weer.

Het lijkt alsof mijn computer terug de oude is.

Zeer hartelijk bedankt

In bijlage nog de unhide_v3.txt file en de HijackThis_boot from HDF_v3.txt file

( alleen is het niet drive F maar drive I:

Geen flauw idee waarom de drive letters gewijzigd zijn,

maar als alle werkt dan is dit geen probleem

Thanksunhide_v3.txt

hijackthis_boot from HDF_v3.txt