random crash van PC

[omega]

Goed, ik heb het nog eens aangepakt.

Herinstallatie van Windows heeft veel gedaan, mbar (malwarebytes anti rootkit) ook. Virusscanner wordt weer herkend, firewall blijft ingeschakeld, ik kan weer in prullenbak en de map C/Recycler is weg. Of de PC nog vaak blokkeert weet ik nog niet, daarvoor moet ik nog een paar dagen testen.

Alleen, het programma "rootkitremover" blijft zeggen dat er Zero.Access is gevonden.

Log:

[TimeStamp: 20130212233916]

Rootkit Remover v0.8.9.160 [Dec 4 2012 - 17:44:01]

McAfee Labs.

Windows build 5.1.2600 x86 Service Pack 3

Checking for updates ...

Now Scanning...

Malware Found --> ZeroAccess trojan detected!!!

--> Registry key: HKEY_CLASSES_ROOT\CLSID\{f3130cdb-aa52-4c3a-ab32-85ffc23af9c1}\InprocServer32 ( fixed )

--> Malicious file: C:\WINDOWS\system32\wbem\wbemess.dll ( will be deleted after restart )

--> Registry key: HKEY_CLASSES_ROOT\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 ( fixed )

--> Malicious file: C:\WINDOWS\system32\wbem\fastprox.dll ( will be deleted after restart )

ZeroAccess trojan was cleaned successfully!

Scan Finished

PLEASE REBOOT IMMEDIATELY TO COMPLETE CLEANING.

Other recommendations:

1. Perform full scan with McAfee VirusScan product after reboot.

Press any key to exit.

en reboot helpt uiteraard niet. Dit programma en Combofix waren de enige indicatoren die mij ooit hebben kunnen zeggen dat ik weldegelijk last had/heb van dat zero.access gedoe, al heeft mbar (niet mbam) ook wel wat verwijderd. Combofix is verwijderd dus die kan ik nu even niet checken.

Hebben jullie nog ideeën voor een volgende stap? Formatteren is echt het allerlaatste wat ik wil doen.

- - - Updated - - -

of zijn die bestanden C:\WINDOWS\system32\wbem\wbemess.dll en C:\WINDOWS\system32\wbem\fastprox.dll misschien totaal onnodig en mag ik die zonder problemen manueel verwijderen? In system32 is dat wel een risico natuurlijk

[kweezie wabbit]

Download de Emsisoft Emergency Kit naar het bureaublad en pak het ZIP bestand uit.

• Open de map "EmsisoftEmergencyKit" en dubbelklik op "Start.exe"
  
• Klik nu op "Emergency Kit Scanner" u krijg nu een melding dat het is aanbevolen om eerst te updaten sta dit toe door te klikken op "Ja"
  
  
• Als de update gereed is en de melding "Update process is succesvol afgerond" verschijnt klikt u op "menu" en dan op "Scan PC"
  
• Selecteer de optie "Diep" als deze niet standaard al zo is ingesteld.
  
• Klik Nu op de knop "Scan" en doe verder niets op de computer tijdens het scannen, deze scan kan een geruime tijd in beslag nemen dus wacht dit geduldig af.
  
• Het venster met de waarschuwing over een verhoogd risico kunt u sluiten als de scan gereed is.
  
• Zorg ervoor dat alle gevonden items zijn aangevinkt en druk dan op de knop "verwijder geselecteerde" u zal nu de volgende melding krijgen maar klik hier op "Ja"
  
  
• Als het verwijderen gereed is klikt u op de knop "View report" en selecteert u het tekstbestand van deze scan met de naam zoals: a2scan_110730-111615.txt
  
• Plaats de inhoud van dit LOG bestand straks in uw volgende bericht.
  
• Herstart nu de computer.
  

[omega]

Jamaar mannekes, die stap hebt ge mij al gegeven en die heeft niks gevonden.

Ik zit al maanden te sukkelen. Ik weet dat ik niet de enige ben op dit forum maar als jullie nog niet eens kijken welke stappen jullie al hebben gegeven en wat het resultaat daarvan was, wat heeft het dan nog voor nut? Als ik gerichte vragen stel en jullie komen met standaardantwoorden die jullie al hebben gegeven, als ik in mijn openingspost zeg welke dingen ik al heb geprobeerd en jullie raden me dan aan die exacte dingen te doen... Als jullie nu nog zouden zeggen "eerst doe je dat, en daarna gaan we die stap nog is proberen en dan vindt hij misschien iets", maar nee, standaard reply zonder uitleg.

Ik snap echt dat ik hier niet alleen zit, maar ik ben geen beginner. Ik ken de meeste programma's al. Ik kom hier omdat ik extra vragen heb waarbij ik hoop dat jullie me kunnen helpen. Maar als jullie amper dit topic doorlezen en niet antwoorden op mijn vragen dan mogen jullie dit nu op "voor eeuwig niet opgelost" zetten.

[juisterr]

Probeer deze eens.

Download aswMBR.exe naar het bureaublad.

• Dubbelklik op "aswMBR.exe" om de tool te starten.
  
• Klik bij het volgende venster op "Nee"
  
  
• Klik op de knop "scan"
  
• 
  
• Als de scan gereed is klikt u op de knop "save log"
  
• 
  
• Plaats dit log bestand in het volgende bericht.
  

[omega]

Dank u, dat ziet er al een pak constructiever uit. Ik was sowieso vanavond van plan om de master boot record te bekijken of vervangen via windows recovery, maar dit ga ik straks eerst proberen.

[juisterr]

Ik zie deze uitslag met spanning tegemoet, heeft u hitmanpro al eens geprobeerd ? Zo nee, dan heb ik die nog als optie!

[omega]

hitmanpro heb ik al laten lopen maar die vond niets noemenswaardig. En zelfs moest hij iets vinden, ik kan het toch niet verwijderen of ik moet het eerst kopen.

[juisterr]

Jammer want HMP is een goede tool tegen rootkits als ZeroAccess en sinowal en dergelijke rommel.

[omega]

Te vroeg gejuichd, antivirus wordt alweer niet herkend.

log van aswMBR:

aswMBR version 0.9.9.1707 Copyright© 2011 AVAST SoftwareRun date: 2013-02-13 19:26:56

-----------------------------

19:26:56.531 OS Version: Windows 5.1.2600 Service Pack 3

19:26:56.531 Number of processors: 2 586 0x1706

19:26:56.531 ComputerName: KOOYMAN-7017FEA UserName: Jonas

19:26:57.125 Initialize success

19:27:03.140 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4

19:27:03.140 Disk 0 Vendor: ST3250410AS 4.AAA Size: 238474MB BusType: 3

19:27:03.140 Disk 0 MBR read successfully

19:27:03.140 Disk 0 MBR scan

19:27:03.140 Disk 0 Windows XP default MBR code

19:27:03.140 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 238464 MB offset 63

19:27:03.156 Disk 0 scanning sectors +488376000

19:27:03.343 Disk 0 scanning C:\WINDOWS\system32\drivers

19:27:12.156 Service scanning

19:27:17.453 Service MpKsl1a180ef3 c:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{0D2E7533-43A8-462F-ADFA-8525DCA042D6}\MpKsl1a180ef3.sys **LOCKED** 32

19:27:23.828 Modules scanning

19:27:29.656 Disk 0 trace - called modules:

19:27:29.671 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS

19:27:29.671 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a735ab8]

19:27:29.687 3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\00000065[0x8a79aad8]

19:27:29.687 5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x8a714d98]

19:27:29.687 Scan finished successfully

19:27:47.921 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Jonas\Bureaublad\MBR.dat"

19:27:47.921 The log file has been saved successfully to "C:\Documents and Settings\Jonas\Bureaublad\aswMBR.txt"

[juisterr]

Ik ben nog maar net begonnen je te helpen. Tweede deel van deze tool, en mocht het niet helpen dan heb ik nog wel iets. Ik geen niet op hoor. Je kan trouwens die andere tools verwijderen.

Start aswMBR.exe opnieuw.

• Klik bij het volgende venster op "Nee"
  
  
• Klik op de knop "scan"
  
• 
  
• Klik nu op de knop "Fix" of "FixMBR"
  
• 
  
• Herstart hierna de computer en laat aswMBR nogmaals scannen en plaats hiervan het nieuwe logje.