Spontaan opnieuw opstarten/NT-authority/Sophosproblemen etc

**nitwit** · 12-08-07, 17:56

Hallo daar,
ik heb een -naar mijn idee- ingewikkeld probleem.

Enkele maanden geleden had ik last van een blasterworm ("NT-authority") die werken op mijn pc onmogelijk maken. Nadat de pc is gereviseerd (o.a. Windows opnieuw geïnstalleerd, worm weggehaald via MyCom) deed hij het een tijdje vrij aardig.

De laatste tijd start hij echter veelvuldig spontaan opnieuw op of sluit zelfs af. Ook als ik Sophos gebruik (eerder had ik een gratis virusscanner) crasht de pc de laatste tijd (alsof de power er ineens afgaat) en blijft dan uit. Doorgaans na zo'n 10% gescand te hebben.
Als de pc uit zichzelf opnieuw opstart krijg ik telkens de melding "het systeem is hersteld van een ernstige fout". Ook tijdens regulier opstarten, start de pc regelmatig opnieuw op omdat er ergens een fout optreedt.

Ik heb een nieuwe uitwendige geluidskaart aangeschaft enkele maanden geleden (Alesis IO2). In de BIOS heb ik de ingebouwde geluidskaart uitgezet (zij het pas na enkele weken). Achteraf gezien waren de opnieuw-opstartproblemen ook vóór de nieuwe geluidskaart al aanwezig, dus dit kan naar mijn idee niet de hele verklaring zijn.

De laatste dagen krijg ik ook al enkele malen de "NT-authority" melding met het aftellen tot de pc opnieuw op gaat starten. Met "shutdown -a" lukt het me -i.t.t. de eerste episode als boven beschreven- wel nieuwe meldingen weg te houden.

Ik heb vandaag een HiJackThis log gemaakt:

-------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 18:09:04, on 12-8-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
D:\PROGRA~1\CASEMA~1\SMARTB~1\MotiveSB.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
D:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Motive SmartBridge] D:\PROGRA~1\CASEMA~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\program files\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\SamsungMediaStudio4.1\SamsungMediaStudioAgent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Casema SnelHelp.lnk = D:\Program Files\Casema Snelhelp\bin\matcli.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.hema.nl/site/xupload/XUpload.ocx
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sophos Anti-Virus status reporter (SAVAdminService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe

----------------------------------------------------------

Zou iemand mij kunnen helpen (softwareprobleem/opnieuw worm/combi?) ?

Bij voorbaat dank!

**rve123** · 15-08-07, 08:43

Download [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]Combofix naar je Bureaublad.

Dubbelklik Combofix.exe
Volg de instructies, aanvaard de disclaimer door "1" te typen en te bevestigen via "Enter".
Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.

Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.
Plaats deze log in je volgende post samen met een nieuw HijackThis log.

Succes

**nitwit** · 15-08-07, 17:18

Combofix log:

ComboFix 07-08-14.4 - "Eigenaar" 2007-08-15 18:11:25.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1043.18.660 [GMT 2:00]
* Created a new restore point

((((((((((((((((((((((((( Files Created from 2007-07-15 to 2007-08-15 )))))))))))))))))))))))))))))))

2007-08-15 18:10 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-15 18:09 <DIR> d-------- C:\WINDOWS\LastGood
2007-08-03 19:12 <DIR> d-------- C:\WINDOWS\system22
2007-08-03 19:12 <DIR> d-------- C:\WINDOWS\system#2
2007-08-03 19:12 <DIR> d-------- C:\WINDOWS\syctem32
2007-08-03 19:12 <DIR> d-------- C:\windowc
2007-08-01 21:14 <DIR> d-------- C:\Program Files\Mobipocket.com
2007-08-01 21:14 <DIR> d-------- C:\DOCUME~1\Eigenaar\APPLIC~1\Mobipocket

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-04 12:56 --------- d-------- C:\DOCUME~1\Eigenaar\APPLIC~1\Azureus
2007-07-10 21:38 --------- d-------- C:\Program Files\Lame MP3 Codec
2007-07-10 21:37 65024 --a------ C:\WINDOWS\IFinst26.exe
2007-07-10 21:37 --------- d-------- C:\Program Files\XviD
2007-07-10 21:35 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-07-10 21:35 --------- d-------- C:\Program Files\Samsung
2007-07-07 19:17 --------- d-------- C:\DOCUME~1\Eigenaar\APPLIC~1\Sony Corporation
2007-07-07 19:01 --------- d-------- C:\Program Files\Common Files\Sony Shared
2007-07-07 18:59 --------- d-------- C:\Program Files\Common Files\InstallShield
2007-06-30 19:02 --------- d-------- C:\Program Files\Microsoft ActiveSync
2007-06-15 21:37 --------- d-------- C:\Program Files\Sophos
2007-06-15 21:36 --------- d-------- C:\Program Files\Common Files\Cisco Systems
2007-05-16 17:19 86528 --a--c--- C:\WINDOWS\system32\dllcache\directdb.dll
2007-05-16 17:19 85504 --a--c--- C:\WINDOWS\system32\dllcache\wabimp.dll
2007-05-16 17:19 683520 --a--c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-05-16 17:19 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-05-16 17:19 510976 --a--c--- C:\WINDOWS\system32\dllcache\wab32.dll
2007-05-16 17:19 1314816 --a--c--- C:\WINDOWS\system32\dllcache\msoe.dll

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 05:04]
"ANIWZCS2Service"="C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-12-16 18:49]
"Motive SmartBridge"="D:\PROGRA~1\CASEMA~1\SMARTB~1\MotiveSB.exe" [2005-10-19 13:00]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50]
"InCD"="D:\Program Files\Ahead\InCD\InCD.exe" [2004-06-22 11:34]
"itype"="C:\Program Files\Microsoft IntelliType Pro\itype.exe" [2006-11-21 18:08]
"QuickTime Task"="D:\program files\Quicktime\qttask.exe" [2007-04-11 21:57]
"YeppStudioAgent"="C:\Program Files\Samsung\SamsungMediaStudio4.1\SamsungMediaStudioAgent.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-04-10 14:00]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 19:44]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-24 21:48]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe"

C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
Adobe Reader Snelle start.lnk - D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 02:48:20]
Adobe Reader Synchronizer.lnk - D:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 01:01:50]
AutoUpdate Monitor.lnk - C:\Program Files\Sophos\AutoUpdate\ALMon.exe [2007-06-21 12:18:00]
Casema SnelHelp.lnk - D:\Program Files\Casema Snelhelp\bin\matcli.exe [2007-03-05 19:42:33]
Cisco Systems VPN Client.lnk - C:\Program Files\Cisco Systems\VPN Client\vpngui.exe [2007-05-10 19:07:07]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"

R1 SAVOnAccess Control;SAVOnAccess Control;C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys
R1 SAVOnAccess Filter;SAVOnAccess Filter;C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys
R2 CVPND;Cisco Systems, Inc. VPN Service;"C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe"
R2 CVPNDRVA;Cisco Systems IPsec Driver;\??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
R3 DNE;Deterministic Network Enhancer Miniport;C:\WINDOWS\system32\DRIVERS\dne2000.sys
S3 CVirtA;Cisco Systems VPN Adapter;C:\WINDOWS\system32\DRIVERS\CVirtA.sys
S3 KORGUMDS;KORG USB-MIDI Driver for Windows XP;C:\WINDOWS\system32\Drivers\KORGUMDS.SYS

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-15 18:13:06
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-15 18:13:29

--- E O F ---

HiJackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 18:16:34, on 15-8-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
D:\PROGRA~1\CASEMA~1\SMARTB~1\MotiveSB.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\eHome\ehmsas.exe
D:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Motive SmartBridge] D:\PROGRA~1\CASEMA~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\program files\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\SamsungMediaStudio4.1\SamsungMediaStudioAgent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Casema SnelHelp.lnk = D:\Program Files\Casema Snelhelp\bin\matcli.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.hema.nl/site/xupload/XUpload.ocx
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sophos Anti-Virus status reporter (SAVAdminService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe

**rve123** · 16-08-07, 09:06

Open een kladblokbestand.
Kopieer onderstaande dikgedrukte code in dit kladblokbestand.

dir C:\WINDOWS\system22\ /a /s > look.txt
dir C:\WINDOWS\system#2\ /a /s >> look.txt
dir C:\WINDOWS\syctem32\ /a /s >> look.txt
dir C:\windowc\ /a /s >> look.txt
start notepad.exe look.txt

Ga naar Bestand - Opslaan als.
Bij "Opslaan in" kies je: Bureaublad
Bij "Bestandsnaam" zet je: look.bat
Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
Klik op de knop Opslaan.

Dubbelklik op look.bat
Er opent een kladblokbestand.
Post de inhoud daarvan.

Succes

**nitwit** · 16-08-07, 17:30

Het volume in station C heeft geen naam.
Het volumenummer is B4D8-243E

Map van C:\WINDOWS\system22

03-08-2007 19:12 <DIR> .
03-08-2007 19:12 <DIR> ..
0 bestand(en) 0 bytes

Totaal aantal weergegeven bestanden:
0 bestand(en) 0 bytes
2 map(pen) 1.817.157.632 bytes beschikbaar
Het volume in station C heeft geen naam.
Het volumenummer is B4D8-243E

Map van C:\WINDOWS\system#2

03-08-2007 19:12 <DIR> .
03-08-2007 19:12 <DIR> ..
0 bestand(en) 0 bytes

Totaal aantal weergegeven bestanden:
0 bestand(en) 0 bytes
2 map(pen) 1.817.153.536 bytes beschikbaar
Het volume in station C heeft geen naam.
Het volumenummer is B4D8-243E

Map van C:\WINDOWS\syctem32

03-08-2007 19:12 <DIR> .
03-08-2007 19:12 <DIR> ..
0 bestand(en) 0 bytes

Totaal aantal weergegeven bestanden:
0 bestand(en) 0 bytes
2 map(pen) 1.817.153.536 bytes beschikbaar
Het volume in station C heeft geen naam.
Het volumenummer is B4D8-243E

Map van C:\windowc

03-08-2007 19:12 <DIR> .
03-08-2007 19:12 <DIR> ..
03-08-2007 19:12 <DIR> system#2
0 bestand(en) 0 bytes

Map van C:\windowc\system#2

03-08-2007 19:12 <DIR> .
03-08-2007 19:12 <DIR> ..
0 bestand(en) 0 bytes

Totaal aantal weergegeven bestanden:
0 bestand(en) 0 bytes
5 map(pen) 1.817.153.536 bytes beschikbaar

**rve123** · 17-08-07, 17:13

Download [url=ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe]Dr. Web CureIt naar je bureaublad.

Dubbelklik op drweb-cureit.exe om het programma te starten.
Er zal een venster openen. Klik ik Start en sta het programma toe om een Express Scan te starten. Er zal een korte scan worden uitgevoerd. Wanneer er iets gevonden wordt zal de vraag gesteld worden cure it?. Klik dan op de knop Yes to all.
Klik op de knop 'Select drives' en zorg dat alle drives geselecteerd zijn om te laten scannen. De drives die gescand gaan worden zijn voorzien van een rood bolletje.
Klik aan de rechterkant op de grote knop met de groene pijl om de scan te starten.
Wanneer een geïnfecteerd bestand gevonden wordt, wordt of de vraag gesteld Cure It? of Move?. Klik in beide gevalle dan op de knop Yes to all.
Wanneer de scan klaar is, kijk je of je het volgende icoontje kan aanklikken Dit staat naast in de onderste helft van programmavenster, links van lijstje (venster) met de geïnfecteerde bestanden.
Indien je dit kan aanklikken, klik je erop, en daarna klik je op het icoontje er net onder en kies je Move incurable.

Dit zal de bestanden verplaatsen naar de map %userprofile%\DoctorWeb\quarantaine-folder indien het niet gedesinfecteerd kan worden.
Kies in het menu File van Dr. Web CureIt voor Save Report List en sla het logje op, op je bureaublad.
Sluit het programma Dr. Web CureIt af.
Herstart de computer en post het logje.

Negeer pop-ups over 50% korting.

Succes

**nitwit** · 21-08-07, 20:25

Sorry voor de trage reactie.

Tijdens het scannen met dr. Web CureIt stopt (allebei de keren dat ik het geprobeerd heb) mijn computer ermee. Hij geeft geen foutmelding of sluit niet op de normale manier af: de stroom gaat er gewoon af. Het scherm gaat zwart en de pc valt dood.

Ditzelfde gebeurt als ik met Sophos scan, zoals ik eerder meldde.

Svp uw hulp!

**rve123** · 22-08-07, 07:02

KUn je het is proberen in Veilige Modus ([url=http://www.nucia.eu/forum/showthread.php?t=21312]Veilige Modus).

Succes

**nitwit** · 23-08-07, 07:37

Bij "veilige modus" opstarten volgens bovenstaande instructie start de PC opnieuw op, waarbij ik een foutmelding krijg en een zwart scherm met witte letters verschijnt met 5 keuzes: 3 verschillende veilige modi, "laatst functionerende instelling" of "normaal opstarten".

Bij keuze van een van de veilige modi krijg ik een zwart scherm met prompt waarna de pc opnieuw opstart en ik weer bovengenoemd scherm krijg.
Bij de andere 2 keuzes krijg ik het bekende zwarte scherm met windowslogo en "wacht-balk". Hierna krijg ik in een flits een blauw scherm met witte tekst (te snel om te lezen) valt de pc ook weer weg en start hij op nieuw op of hij stopt hij helemaal.

Deze volgorde herhaalt zich telkens; het is me niet gelukt weer normaal op te starten; de pc blijft eindeloos opnieuw opstarten.

Wat nu?

**rve123** · 23-08-07, 17:42

De computer start nu dus helemaal niet meer op als ik het goed begrijp??

**nitwit** · 23-08-07, 17:54

Inderdaad, hij blijft hangen op bovengenoemd scherm.

**rve123** · 23-08-07, 17:56

En als je in dat scherm kiest voor Normale Modus en anders voor Laatst bekende werking??

**nitwit** · 23-08-07, 19:59

Dan krijg ik -zoals het hoort- het zwarte scherm met windowslogo en "laad-balk" (witte balk met bewegende blauwe balkjes.
Vervolgens start de pc weer opnieuw op, wederom het scherm met 3 verschillende veilige modi, laatst werkende setup en normaal opstarten. Etc etc... Verder dan dit kom ik niet; ik kom nooit meer op bureaublad (tig keer geprobeerd).

Mogelijk doordat msconfig nog steeds de opdracht op te starten in veilige modus heeft?

**rve123** · 24-08-07, 16:20

Als het goed is krijg je het volgende scherm te zien:
http://www.windows-help-central.com/image-files/geavanceerdeopties.jpg

Kun je eens kiezen voor Automatisch opnieuw opstarten bij een systeemcrash uitschakelen?

Probeer te herstarten.
Als het goed is krijg je nu wel een foutmelding te zien en blijft het scherm staan.
Noteer de foutmelding en post deze.

Succes

**nitwit** · 24-08-07, 16:28

Ik krijg alleen maar

veilige modus
veilige modus netwerkmglh
veilige modus prompt

laatst bekende werkende configuratie

normaal opstarten

De andere opties uit
http://www.windows-help-central.com/...erdeopties.jpg
krijg ik niet, dus ook niet "automatisch opstarten bij systeemcrash uitschakelen"

...?

**rve123** · 25-08-07, 17:39

Kun je het volgende is proberen:

Laat hem het volgende eens uitvoeren:

1. zorg ervoor dat de pc opstart via de cd-rom station

2. steek de cd-rom van XP in de lade en start via de CD op

3. wanneer je de "Press any key to boot from CD" melding krijgt, druk dan even op een toets van je toetsenbord

4. wanneer je de "Welcome to Setup" melding krijgt, druk op R om naar de Recovery Console te gaan

5. als je dan de melding krijgt om het admin paswoord in te geven, druk dan op enter ENTER (indien je geen hebt ingesteld).

6. nu typ je: bootcfg /list, druk dan op ENTER. de huidige instellingen van Boot.ini verschijnen nu.

7. nu typ je: bootcfg /rebuild, en druk op ENTER. nu zal het je harde schijf afscannen en zoeken naar Windows XP, Microsoft Windows 2000, of andere Microsoft Windows NT installaties, en toont dan de resultaten. volg dan de instructies op om een windows installatie toe te voegen op de Boot.ini. bvb, vol deze stappen om een Windows XP installatie toe te voegen op de Boot.ini:

a. wanneer je zulke melding krijgt:
Total Identified Windows Installs: 1
[1] C:\Windows
Add installation to boot list? (Yes/No/All)
druk op Y en druk op ENTER.

b. wanneer je zulke melding krijgt:
Enter Load Identifier
dit is de naam van het besturingssysteem. typ de naam van je besturingssysteem en druk dan op ENTER. in dit geval Microsoft Windows XP Professional of Microsoft Windows XP Home Edition.

c. wanneer je zulke melding krijgt:
Enter OS Load options
Typ /fastdetect, en druk op ENTER.

haal nu de cd-rom van XP uit de cd-rom lade

Typ exit en klik op ENTER.

Succes

**nitwit** · 26-08-07, 11:33

Oké, da's gelukt. Ik heb nu weer toegang tot mijn computer.

Ik bleek alleen geen cd te hebben van XP Media Center Edition, dus heb een XP Professional cd van iemand anders gebruikt.
Nu krijg ik bij opstarten dus telkens de keus of ik via Professional of Media Center wil opstarten.

Wat is de volgende stap?
(om deze tijdelijke oplossing te herstellen en het oorspronkelijke probleem aan te pakken)

**rve123** · 27-08-07, 09:35

Je kan nu ook in MediaCenter of dat niet??

**nitwit** · 27-08-07, 18:20

Nee,
bij opstarten krijg ik de keus
1. XP professional
2. XP Media center edition

Via XP professional start de pc verder normaal op. Via media center krijg ik het zwarte scherm met windowslogo en wachtbalk, en hierna valt (net als boven beschreven) de pc uit en start hij opnieuw op, waarbij ik weer de keus krijg tussen 1. XP pro en 2. XP MCE etc etc...

...?

**nitwit** · 29-08-07, 18:46

?

Hallo, rve123?

Onderwerp: Spontaan opnieuw opstarten/NT-authority/Sophosproblemen etc

Onderwerp Gereedschap

Zoek

Spontaan opnieuw opstarten/NT-authority/Sophosproblemen etc

Forum Rechten