random crash van PC

[omega]

ben bezig op een laptop omdat de pc dienst weigert.

ik heb vandaag de pc 1 keer aan de praat gekregen. In die tijd heb ik in veilige modus een virusscan gedaan, die heeft een ernstige infectie van Java gevonden en verwijderd. Het is al zeker de vierde keer in de laatste twee weken dat hij dat vond. Ik heb in die tijd java al volledig verwijderd en de nieuwste versie geïnstalleerd, maar dat heeft dus niet geholpen. Ik heb een printscreen genomen maar kan hem voorlopig niet laten zien omdat ik niet gestart geraakte in normale modus. Het is te zeggen, ik geraakte gestart en het ging langer dan gewoonlijk, maar dan liep hij toch terug vast en ik heb niets meer kunnen doen sinds. Zeer frustrerend.

Ik probeer zo snel mogelijk die memtest, maar vandaag heb ik het even gehad.

Kan je anders al enkele verdere stappen geven, zodat ik zoveel mogelijk kan doen als de pc werkt?

[Dasle]

Als je terug slachtoffer bent geworden van een infectie lijkt me het meest voor de handliggend om een nieuw HJT logje maken en te plaatsen in je volgende bericht

[omega]

Dat heeft geen nut, dat weet ik nu al. Dit is volgens mij geen nieuwe infectie, maar iets dat op mijn pc blijft zitten en af en toe de deur openzet. Als het niet in de hjt van in mijn eerste post zit zal het er nu ook niet inzitten, de antivirus vond het voor die post ook al geregeld.

Ik weet zelfs niet of dat java gedoe iets te maken heeft met de problemen in opstarten. De enige indicaties die ik recentelijk krijg qua virussen is dus dat om de zoveel tijd mijn antivirus iets vindt van bedreiging in java, en combofix struikelt over een zeroaccess rootkit die het niet kan verwijderen. Al de andere antivirus en antimalware programma's die ik zelf ken of die jullie me aanraden vinden niks.

[omega]

Info over dat java gedoe heb ik hier gevonden:

Het antivirusprogramma heeft een virus gedetecteerd. Is het aan Java gerelateerd?

Dus dat ga ik zo snel mogelijk proberen, ik meld het wel als de antivirus het nog eens vindt.

[kape]

OK, dan lezen we het resultaat wel !

[omega]

voorlopig weinig resultaten te melden omdat het slechter en slechter gaat met de pc, het duurt steeds langer om hem in gang te krijgen. Meestal geraak ik zelfs niet voorbij het opstartscherm.

Ligt het misschien aan een essentieel opstartbestand dat gerepareerd moet worden?

[omega]

wie van jullie kent iets van RogueKiller? Ik kwam dit tegen op een ander forum, en hij vindt dingen waaronder een ZeroAccess rootkit. Maar ik durf zelf niets te verwijderen zonder dat iemand van jullie is heeft gekeken.

Ik heb dit gevonden omdat ik last heb met de prullenbak en onlangs ook virussen had gevonden in directory C:\Recycler. Lijkt mij een infectie daar, maar wil even eerst jullie advies.

logje:

RogueKiller V8.4.2 [Dec 31 2012] by Tigzymail : tigzyRK<at>gmail<dot>com

Feedback : RogueKiller - Geeks to Go Forums

Website : RogueKiller

Blog : tigzy-RK

besturingssysteem : Windows XP (5.1.2600 Service Pack 3) 32 bits version

Gestart vanuit : Normale modus

Gebruiker : Jonas [Administrator rechten]

Modus : Scan -- Datum : 01/01/2013 15:03:34

¤¤¤ Kwaadaardige processen : 0 ¤¤¤

¤¤¤ Register verwijzingen : 3 ¤¤¤

[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> gevonden

[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> gevonden

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> gevonden

¤¤¤ Speciale Files / Folders: ¤¤¤

[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-18\$c0e3b06a5ad7fcbfc829ae0b99c21826\U --> gevonden

[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-21-606747145-492894223-1417001333-1004\$c0e3b06a5ad7fcbfc829ae0b99c21826\U --> gevonden

[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-18\$c0e3b06a5ad7fcbfc829ae0b99c21826\L --> gevonden

[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-21-606747145-492894223-1417001333-1004\$c0e3b06a5ad7fcbfc829ae0b99c21826\L --> gevonden

¤¤¤ Driver : [Geladen] ¤¤¤

¤¤¤ Infectie : ZeroAccess ¤¤¤

¤¤¤ HOSTS Bestand: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost

¤¤¤ MBR Controle: ¤¤¤

+++++ PhysicalDrive0: ST3250410AS +++++

--- User ---

[MBR] 595d3dc605526c70a38a5663efe1d462

[bSP] e15c01e8ae1b1043c29c8bff22e5a757 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238464 Mo

User = LL1 ... OK!

User = LL2 ... OK!

Gereed : << RKreport[2]_S_01012013_02d1503.txt >>

RKreport[1]_S_01012013_02d1459.txt ; RKreport[2]_S_01012013_02d1503.txt

[kape]

Download MBAM (Malwarebytes Anti-Malware)

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".

Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.

Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.

Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.

Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder).

Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook.

MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen.

Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Plak de inhoud van het logje in je volgende bericht.

[omega]

Mbam vindt al enkele weken niets meer.

Wie wel iets vond is McAfee rootkitremover, maar die zegt na de scan dat alles verwijderd wordt maar toch blijft alles aanwezig.

Malwarebytes Anti-Malware 1.70.0.1100

Malwarebytes : Free anti-malware download

Databaseversie: v2013.01.01.04

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Jonas :: KOOYMAN-7017FEA [administrator]

1/01/2013 23:06:10

mbam-log-2013-01-01 (23-06-10).txt

Scan type: Volledige scan (C:\|)

Ingeschakelde scan opties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM

Uitgeschakelde scan opties: P2P

Objecten gescand: 327761

Verstreken tijd: 1 uur/uren, 10 minuut/minuten, 12 seconde(n)

Geheugenprocessen gedetecteerd: 0

(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen gedetecteerd: 0

(Geen kwaadaardige objecten gedetecteerd)

Registersleutels gedetecteerd: 0

(Geen kwaadaardige objecten gedetecteerd)

Registerwaarden gedetecteerd: 0

(Geen kwaadaardige objecten gedetecteerd)

Registerdata gedetecteerd: 0

(Geen kwaadaardige objecten gedetecteerd)

Mappen gedetecteerd: 0

(Geen kwaadaardige objecten gedetecteerd)

Bestanden gedetecteerd: 0

(Geen kwaadaardige objecten gedetecteerd)

(einde)

BELANGRIJK!

Sinds vandaag krijg ik in het Windows Beveligingscentrum meldingen dat er geen antivirus is geïnstalleerd. Daarop heb ik Microsoft Essentials een paar keer verwijderd en terug geïnstalleerd, om het er dan definitief af te gooien en AVG 2013 er op te zetten. Maar de melding blijft.

- - - Updated - - -

Die McAfee log waarover hierboven sprake:

[TimeStamp: 20130101152355]

Rootkit Remover v0.8.9.160 [Dec 4 2012 - 17:44:01]

McAfee Labs.

Windows build 5.1.2600 x86 Service Pack 3

Checking for updates ...

Now Scanning...

Malware Found --> ZeroAccess trojan detected!!!

--> Registry key: HKEY_CLASSES_ROOT\CLSID\{f3130cdb-aa52-4c3a-ab32-85ffc23af9c1}\InprocServer32 ( fixed )

--> Malicious file: C:\WINDOWS\system32\wbem\wbemess.dll ( deleted )

--> Registry key: HKEY_CLASSES_ROOT\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 ( fixed )

--> Malicious file: C:\WINDOWS\system32\wbem\fastprox.dll ( will be deleted after restart )

ZeroAccess trojan was cleaned successfully!

Scan Finished

PLEASE REBOOT IMMEDIATELY TO COMPLETE CLEANING.

Maar uiteraard heeft een reboot niet geholpen, als ik dan opnieuw scan krijg ik net hetzelfde.

[kape]

Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht/Programma’s en bestanden zoeken en typ daar: ComboFix /Uninstall (met spatie voor de /).

Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt.

Indien aanwezig mag je de map C:\Qoobox manueel verwijderen.

En laat dan MCAfee Rootkit Remover eens opnieuw scannen.