Controle na infectie

[Sarana]

Dit weekend met Spybot S&D 8 items verwijderd. Vandaag zoveel mogelijk overbodige software van mijn pc verwijderd. Nu blijkt "Bonjour for windows" alleen nuttig voor pc-netwerken en zou dat problemen geven als dit op één enkele pc staat. Deze er dus ook afgegooid.
Vandaag vond Comodo "Trojware win 32 shutdowner" en heeft die verwijderd. Heb ook crapcleaner gedraaid en schijf opgeruimd en gedefragmenteerd.
Problemen die ik nog heb: Trage opstart en het duurt heel lange tijd om internet open te krijgen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:08:29, on 17/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Comodo\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\IC Media Corp\ICM532\Launchpad.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Comodo\COMODO Internet Security\cmdagent.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\sw g.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\Comodo\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Launchpad.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\Comodo\COMODO Internet Security\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
--
End of file - 6222 bytes

[Juisterr]

Start HJT opnieuw op en doe een systemscan only, vink onderstaande regel aan sluit alle vensters behalve die van HJT en klik op fix checked.
R3 - URLSearchHook: (no name) - - (no file)

sluit HJT weer af.

Je Java software is verouderd.
Oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem.
Doe eerst deze stappen om Java te de-installeren en de nieuwere versie te installeren:

• Download Java Runtime Environment (JRE) 6u10(mirror) en bewaar het naar je Bureaublad.
• Sluit alle programma's die eventueel open zijn - Zeker je web browser!
• Ga dan naar Start > Configuratiescherm > Software en verwijder alle oudere versies van Java uit de Softwarelijst.
• Vink alles aan met Java Runtime Environment (JRE of J2SE) in de naam.
• Klik dan op Verwijderen of op de Wijzig/Verwijder knop.
• Herhaal dit tot alle oudere versies verdwenen zijn.
• Na het verwijderen van alle oudere versies, herstart je pc.
• Dubbelklik vervolgens op jre-6u10-windows-i586-p-s.exe op je Bureaublad om de nieuwste versie van Java te installeren.

Nu nog klachten ?

[Sarana]

Bedankt Juisterr voor je hulp!
Heb alles uitgevoerd. De regel is verwijderd in HJT.
Wel wat moeten knoeien om de resten van Java te verwijderen. Ik kreeg eerst allerlei foutmeldingen dat mappen niet konden gewist worden omdat hij geen gegevens van het bronbestand of bronschijf kon lezen.
Maar ik denk dat het gelukt is. Ik zie nog enkel versie 1.6.0_10 als ik zoek in bestanden en mappen naar JRE dus dat is ok hé.
Alle andere mappen en oude javaversies heb ik in de prullenbak gegooid.

Op de snelheid van openen van het internet heeft dit echter geen effect
gehad.
Of zou dit liggen aan IE 7 zelf, omdat die nu ook beschermd tegen spyware en phising,dat die langer nodig heeft om op te starten?
Vooral de eerste opstart is heel langzaam nadien gaat het iets sneller maar er valt mee te leven hoor.

Nog een vraagje: Ik heb nog 1 programma dat ik niet kan verwijderen van mijn pc: Uniblue Driver Scanner 2009.
Via Configuratiescherm, Software wil het niet verwijderen.
Heb vroeger ook geprobeerd met Revo-Uninstaller maar die maakt blijkbaar geen onderscheid tussen het programma en windowsbestanden!
Ik had op alles verwijderen geklikt en hopsa had geen taakbalk meer nadien.
Heb dat achteraf terug ok gekregen met systeemherstel maar hoe kan ik dat programma nu wissen zonder mijn halve windows om zeep te helpen. Revo-Uninstaller durf ik niet meer gebruiken omdat ik niet zeker weet welke resten nu weg mogen en welke niet.

[Juisterr]

LicentieFreewareBesturingssysteemWindowsBestandsgr ootte3 bytesVersie2009Downloads415UitgeverUniblue SystemsDatum toegevoegd23 Oct 2008Laatst bijgewerkt22 Oct 2008Productinformatiehttp://www.liutilities.com/products ...

Deze gratis applicatie biedt u een snelle en effectieve manier om de drivers op uw PC up to date te houden en zo het maximale uit uw systeem te halen. Deze handige tool speurt uw PC af naar geïnstalleerde drivers en vergelijkt ze met de Uniblues Library of Drivers. Mochten bepaalde drivers achterhaald zijn, dan biedt het u de mogelijkheid om de laatste versies te downloaden, zodat de prestaties en stabiliteit van uw computer en randapparatuur verhoogd worden. Gratis voor alle versies van Windows.

[Sarana]

Ik heb dat programma Uniblue Driver Scanner al maar om effectief drivers up te daten moet je betalen hoor?
Enkel de scan om te zien welke drivers verouderd zijn is gratis:

Er werden 3 drivers gevonden:

- Standaard Dual Channel PCI IDE Controller (Risky to download)
- Radeon 9100 IGP (safe to download)
- Microsoft PS/2-muis (safe to download)

Om te updaten moest ik registreren en de full version kopen?

Heb ook Uniblue Register Booster gratis laten scannen.
Er werden meer dan 800 registerfouten gevonden maar om die te repareren was alweer de aankoop van het programma nodig?

Dat mijn systeem zo traag is geworden zal daar dus wel grotendeels aan liggen zeker maar hoe kan ik dit gratis oplossen?

[peenif]

PC Pitstop is een goede en veilige site om je drivers te controleren - gratis registreren en je PC laten scannen - vervolgens krijg je een boel informatie wat er eventueel kan gedaan worden (met tips) om de PC te optimaliseren, in het geval van de drivers met link waar je ze kan downloaden. Ikzelf laat PC Pitstop zo eens per maand zijn werk doen.

CCleaner heeft dan weer een goede registercleaner aan boord met backup mogelijkheid die bij eventuele problemen gemakkelijk kan worden teruggezet. Ook deze laat ik geregeld eens draaien.

AUB Sarana (en a propos 't zal wel een boerenzwaluw zijn zeker ).

[Sarana]

Dank je peenif!

CCleaner draait hier ook erg vaak maar blijkbaar vindt die dan nog niet alle rommel als ik nu nog meer dan 800 registerfouten heb.

Die PCPitstop ga ik direct eens testen. Lijkt super!


Sarana, de boerenzwaluwexperte

[Sarana]

Heb PCPITSTOP gedraaid maar die toont niet dat er drivers moeten ge-update worden?
Er wordt aangeraden om 5 items uit mijn lijst van programma's die bij opstarten mee starten te wissen maar ik kan er geen enkele van terug vinden in boot.ini?

En dan zou ik 2 parameters moeten veranderen in windows:

CompressOldFiles=(Delete Key)
NtfsDisableLastAccessUpdate =1

Dit is chinees voor mij en weet ik ook niet waar ik dat kan veranderen?

En om het internet te versnellen moest ik TCP IP anders instellen maar dat kan ik ook al niet?

Ik vrees dat dit programma boven mijn petje gaat.

Dus zonder aangekocht programma zal ik niks kunnen fixen zeker?

[Juisterr]

wel duidelijk is het dat het geen malware of virus probleem is.

[Merel]

Eventueel , indien je een home netwerkje zou hebben met gedeelde printer(s) of "fictieve" printers kan het zijn dat uw netwerk wordt vastgehouden door printspooler die voor niets staat te draaien. Die durft wel eens alles vertragen voor een nog uit te voeren opdracht. Heb het al voor gehad. Controleer (zonodig) eens de activiteiten van de services via Taakbeheer op het moment dat de vertragingen zich voordoen.
(spoolsv.exe)