Multidesk.be » Forums » Virussen, adware, spyware, ... » Analyse Hijackthis (gesloten)

Helpinformatie
Dit onderwerp werd gesloten.
Het is bijgevolg niet mogelijk er nog op te reageren.
  • Pagina
  • 1 van 1
  • RSS
  • Eerste ongelezen reactie
  • Plaats een reactie
  • Abonneer mij
  • Onderwerp sluiten
0 gasten lezen dit onderwerp.
^ Onderwerp geschreven door Maarten vdC op zaterdag 27 juli 2013 om 13:55:23.
Maarten vdC heeft nog geen avatar toegevoegd
Multiviteit: 47
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Hallo,

Ik zit hier achter een oude PC die nog draait op windows XP (32 bit) SP3.

Een tijd geleden lukt het niet meer om de PC op te starten, we kregen LSASS.exe foutmeldingen.

Na een tijdje (enkele dagen later) lukte het ineens wel weer om de PC op te starten en we hebben de foutmelding sindsdien niet meer gezien.

Tevens heb ik een probleem met het herkennen van de webcam met Skype. Ik had wel geluid via de webcam, maar kreeg toch de melding dat er geen webcam gevonden kon worden.....en er waren dus geen video calls mogelijk.
Ik heb toen de nieuwste driver van de webcam, een Logitech C500 geinstalleerd, hetgeen niet tot een verbetering leidde.
Vervolgens, na istallatie van een oudere versie van Skype werd de webcam wel herkend, maar bij het opstarten van een video call of het via de settings benaderen van de webcam instellingen, klapte de computer er helemaal uit. Zwart scherm en restart....

Ik heb nu alle skype software gedeinstalleerd. Tevens alle logitech software gedeinstalleerd. Echter tav de logitech software kan ik via add/remove software de volgende software niet verwijderen: Logitech Webcam Software.

Het leek me op dit moment het beste om eerst een opschoonactie te starten. Ik heb de procedure zoals door jullie aangegeven uitgevoerd. Bijgaand de gevraagde logbestanden.

Alvast bedankt voor jullie hulp! _O_

Hijackthis log:


Bijlage: f58841ad529b0f1ac4216a2ed425ed06.log


MBAM log:

Bijlage: 217d186f40490eab619be405edf771db.log
^ Reactie #1 geschreven door Maarten vdC op zaterdag 27 juli 2013 om 20:42:10.
Maarten vdC heeft nog geen avatar toegevoegd
Multiviteit: 47
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Ik heb om deze PC nog het volgende issue:

Ik krijg met regelmaat een melding van SiteAdvisor: SideAdvisor has encountered a problem and needs to close.

Op deze PC draait McAfee total protection software, maar tijdens een Adobe Flash player update (versie 11 geloof ik) had ik perongeluk aangevinkt laten staan om de McAfee SiteAdvisor ook te installeren (dit soort opties vink ik normaal gesproken altijd weer uit). Deze software heb ik inmiddels weer verwijderd (ik denk dat McAfee total protection wel genoeg moet zijn). Desondanks krijg ik nu toch weer bovenstaande melding.

Ik weet inmiddels (na zoeken op jullie site) dat LSASS.exe een bestand is dat te maken heeft met de security van windows en dat dit bestand in de C:\windows\System32 directory zou moeten staan. Kan er een verband zijn met deze foutmelding en de LSASS-exe foutmelding die we een tijdje geleden hadden waardoor deze PC niet meer wilde opstarten?

Ik heb nog een search gedaan naar LSASS.exe op deze PC: twee bestanden gevonden:
Een in de C:\windows\System32 directory
en een in de C:\WINDOWS\ServicePackFiles\i386 directory


Error Signature:
szAppName : saInst.exe szAppVer : 3.6.2.168 szModName : saInst.exe
szModVer : 3.6.2.168 offset : 00001b36

Twee bestanden zouden naar Microsoft worden gestuurd (doe ik nooit):

C:\DOCUME~1\Nelly\LOCALS~1\Temp\WER81f6.dir00\saInst.exe.mdmp
C:\DOCUME~1\Nelly\LOCALS~1\Temp\WER81f6.dir00\appcompat.txt

Na cancelen van de melding (niet naar Microsoft gestuurd) bleken de beide bestanden echter verwijderd te zijn uit bovenstaande directory. Hieronder nog wel de inhoud van het txt bestand:

<?xml version="1.0" encoding="UTF-16"?>
<DATABASE>
<EXE NAME="saInst.exe" FILTER="GRABMI_FILTER_PRIVACY">
<MATCHING_FILE NAME="mcinst.exe" SIZE="833616" CHECKSUM="0x275E811D" BIN_FILE_VERSION="7.1.107.0" BIN_PRODUCT_VERSION="7.1.0.0" PRODUCT_VERSION="7,1,0,0" FILE_DESCRIPTION="McAfee Installer" COMPANY_NAME="McAfee, Inc." PRODUCT_NAME="McAfee Installer" FILE_VERSION="7,1,107,0" ORIGINAL_FILENAME="mcinst.exe" INTERNAL_NAME="mcinst" LEGAL_COPYRIGHT="Copyright © 2009 McAfee, Inc." VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x40004" VERFILETYPE="0x1" MODULE_TYPE="WIN32" PE_CHECKSUM="0xD42AE" LINKER_VERSION="0x0" UPTO_BIN_FILE_VERSION="7.1.107.0" UPTO_BIN_PRODUCT_VERSION="7.1.0.0" LINK_DATE="01/30/2013 20:24:00" UPTO_LINK_DATE="01/30/2013 20:24:00" VER_LANGUAGE="English (United States) [0x409]" />
<MATCHING_FILE NAME="McSacIns.dll" SIZE="17096" CHECKSUM="0xE8FE8237" BIN_FILE_VERSION="3.6.2.168" BIN_PRODUCT_VERSION="3.6.0.0" PRODUCT_VERSION="3,6,2,0" FILE_DESCRIPTION="SiteAdvisor" COMPANY_NAME="McAfee, Inc." PRODUCT_NAME="McAfee SiteAdvisor" FILE_VERSION="3,6,2,168" ORIGINAL_FILENAME="McSACIns.dll" INTERNAL_NAME="McAfee SiteAdvisor PreInstall DLL " LEGAL_COPYRIGHT="Copyright © 2013 McAfee, Inc." VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x4" VERFILETYPE="0x1" MODULE_TYPE="WIN32" PE_CHECKSUM="0xCBA3" LINKER_VERSION="0x0" UPTO_BIN_FILE_VERSION="3.6.2.168" UPTO_BIN_PRODUCT_VERSION="3.6.0.0" LINK_DATE="05/22/2013 14:28:44" UPTO_LINK_DATE="05/22/2013 14:28:44" VER_LANGUAGE="English (United States) [0x409]" />
<MATCHING_FILE NAME="saInst.exe" SIZE="580496" CHECKSUM="0xD9BCBA23" BIN_FILE_VERSION="3.6.2.168" BIN_PRODUCT_VERSION="3.6.0.0" PRODUCT_VERSION="3,6,2,0" FILE_DESCRIPTION="SiteAdvisor" COMPANY_NAME="McAfee, Inc." PRODUCT_NAME="McAfee SiteAdvisor" FILE_VERSION="3,6,2,168" ORIGINAL_FILENAME="saInst.exe" INTERNAL_NAME="McAfee SiteAdvisor Install Exe " LEGAL_COPYRIGHT="Copyright © 2013 McAfee, Inc." VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x4" VERFILETYPE="0x1" MODULE_TYPE="WIN32" PE_CHECKSUM="0x99110" LINKER_VERSION="0x0" UPTO_BIN_FILE_VERSION="3.6.2.168" UPTO_BIN_PRODUCT_VERSION="3.6.0.0" LINK_DATE="05/22/2013 14:28:38" UPTO_LINK_DATE="05/22/2013 14:28:38" VER_LANGUAGE="English (United States) [0x409]" />
</EXE>
<EXE NAME="kernel32.dll" FILTER="GRABMI_FILTER_THISFILEONLY">
<MATCHING_FILE NAME="kernel32.dll" SIZE="990208" CHECKSUM="0xCC2C4544" BIN_FILE_VERSION="5.1.2600.6293" BIN_PRODUCT_VERSION="5.1.2600.6293" PRODUCT_VERSION="5.1.2600.6293" FILE_DESCRIPTION="Windows NT BASE API Client DLL" COMPANY_NAME="Microsoft Corporation" PRODUCT_NAME="Microsoft® Windows® Operating System" FILE_VERSION="5.1.2600.6293 (xpsp_sp3_gdr.121001-1622)" ORIGINAL_FILENAME="kernel32" INTERNAL_NAME="kernel32" LEGAL_COPYRIGHT="© Microsoft Corporation. All rights reserved." VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x40004" VERFILETYPE="0x2" MODULE_TYPE="WIN32" PE_CHECKSUM="0xFBCBC" LINKER_VERSION="0x50001" UPTO_BIN_FILE_VERSION="5.1.2600.6293" UPTO_BIN_PRODUCT_VERSION="5.1.2600.6293" LINK_DATE="10/03/2012 04:58:13" UPTO_LINK_DATE="10/03/2012 04:58:13" VER_LANGUAGE="English (United States) [0x409]" />
</EXE>
</DATABASE>


^ Reactie #2 geschreven door Maarten vdC op zondag 28 juli 2013 om 09:15:00.
Maarten vdC heeft nog geen avatar toegevoegd
Multiviteit: 47
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Hallo allen,
Ik realiseerde me dat er nog een ander issue is met deze PC. Er staat regelmatig een windowsupdate icoontje (geel schildje) rechtsonder in beeld. Die staat er dan een hele tijd niets te doen met de mouse tip text "downloading updates 0%".
Maar er gebeurt verder dus niets en na een tijdje is het icoontje weg.
Vaak na een herstart van de pc is het windows updates icoontje er weer.
Groeten Maarten

^ Reactie #3 geschreven door Maarten vdC op zaterdag 10 augustus 2013 om 10:41:59.
Maarten vdC heeft nog geen avatar toegevoegd
Multiviteit: 47
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Goedemorgen,
Ik wil de mensen die mij via dit forum altijd heel prettig helpen absoluut niet opjagen hoor (blush), maar ik vraag me af of er een reden is waarom ik nog geen antwoord heb gekregen over de problemen die ik hierboven heb beschreven. Meestal krijg ik namelijk vrij snel en hulp? :)

Vriendelijke groeten

Maarten
^ Reactie #4 geschreven door joke op zaterdag 10 augustus 2013 om 19:29:02.
joke's avatar
Multiviteit: 2669
Morgen wordt het beter.
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Hoi Maarten vdC,

Sorry Maarten, uw topic is door de mazen van het net geglipt. Ik had het niet gezien.



  1. Download AdwCleaner en extract het naar je bureaublad.Sluit alle openstaande vensters.
    Voor Vista en Windows 7 gebruikers: Rechtsklik op AdwCleaner en selecteer als Administrator uitvoeren... Voor XP: Gewoon dubbelklikken op AdwCleaner.

    Klik vervolgens op Verwijderen.

    Klik bij AdwCleaner – Informatie op OKKlik bij AdwCleaner – Herstarten Noodzakelijk op OK
    Dat tijdens de actie de snelkoppelingen verdwijnen, is normaal. Nadat de PC opnieuw is opgestart, opent een logfile.


  2. Download Junkware Removal Tool naar je bureaublad.

    Opmerkingen:
    •Alle openstaande programma's en webpagina's dienen afgesloten te zijn en alle actieve beveiligingssoftware uitschakelen.

    •Dat tijdens de scan van JRT.exe tijdelijk de snelkoppelingen op het bureaublad verdwijnen is normaal.

    •Deze scan kan afhankelijk van je systeem vrij lang duren, wees dus geduldig.


  3. Maak ook een nieuwe log met HiJackThis.


  4. Ik verwacht dus een bijlage van volgende programma's:
    - AdwCleaner
    - Junkware Removal Tool
    - HiJackThis
    Vertel ook even hoe het met je problemen gesteld is.

Succes,
Joke.

Dochters, tot hun 16e zeuren ze om een paard en op hun 17e komen ze thuis met een ezel
^ Reactie #5 geschreven door Maarten vdC op zondag 11 augustus 2013 om 21:14:44.
Maarten vdC heeft nog geen avatar toegevoegd
Multiviteit: 47
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Hallo Joke,

Bedankt voor de hulp.

Even voor jouw info, ik heb jouw werkwijze uitgevoerd via een logmein verbinding met de computer omdat ik momenteel niet zelf achter het toetsenbord kan zitten (er zit ongeveer 225 km tussen het toetsenbord en mijzelf :D).

Hieronder de log bestandjes

Adw Cleaner (voor):

Bijlage: 43d8234628392b578f5c4b89a8cb5c61.log

Adw Cleaner na cleaning en reboot:

Bijlage: 9e45c3dd4c1a824ae7af77fe55e8eaeb.log

JRT log:

Bijlage: bebe411d69ece8497f2c5c449c36e4e2.log

Hijackthis log:

Bijlage: 31b94e65c937b8f6da28b412fc38b44f.log

Ik heb tijdens deze sessie tot twee maal toe de melding van de SiteAdvisor gehad.
Tevens lukte het mij niet om de McAfee scanner software uit te schakelen tijdens de JRT scan. De melding van McAfee dat het potentieel gevaarlijke software zou zijn heb ik maar gewoon genegeerd.

Het windows update schildje heb ik tijdens deze sessie niet gezien

Probleem webcam en Skype heb ik verder nog niet aan gewerkt.

PC heeft intussen geen opstartproblemen (LSAS.exe) meer gehad.

Vriendelijke groeten,

Maarten
^ Reactie #6 geschreven door joke op maandag 12 augustus 2013 om 00:28:05.
joke's avatar
Multiviteit: 2669
Morgen wordt het beter.
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid

Dixit

Dixit Maarten vdC op 11/08/2013 21:14:44:er zit ongeveer 225 km tussen het toetsenbord en mijzelf :D).
Heb je zo'n lange kabel niet?

Hoi Maarten vdC,


  1. Na het downloaden moet je alle programma's (ook je browser) sluiten. Het is ook belangrijk dat je de programma's in dezelfde volgorde uitvoert als ik ze voorschrijf. Dus om deze richtlijnen te kunnen volgen print deze tekst uit.
    Heb je geen printer zet dan deze tekst in een tekstbestand, bijvoorbeeld op je bureaublad.

  2. Start HiJackThis.

    Kies voor Do a system scan only.
    Vink alléén de items aan die hieronder zijn vermeld:

    - O23 - Service: getPlus(R) Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing)

    Klik nu op Fix Checked en bevestig het door in het volgende scherm op Ja te klikken en sluit HiJackThis af.

  3. Download GV_Killer.exe naar je bureaublad. Klik op GV_Killer.exe om het te installeren en klik op Voltooien.

    Klik op je bureaublad op de snelkoppeling van GV_Killer.
    Nu krijg je een blanco input.txt kladblokveld. Gebruik Kopiëren en Plakken om onderstaande blauwe lijnen in het venster input.txt te zetten.

    Services to delete:
    SC DELETE R) Helper

    Sluit het venster input.txt en druk op de toets Start Killing.
    GV_Killer maakt zijn werk af en klik dan op Exit.
    Mogelijk zal GV_Killer je PC herstarten, sta dit toe en onderbreek een eventuele actie niet.
    Er opent na afloop een rapportje GVK_xx.log.
    Post het bestand GVK_xx.log in je volgende antwoord.
    De letters xx zijn een volgnummer, post dan ook het bestand met het hoogste nummer.

  4. Download CCleaner Slim en installeer het.Start CCleaner op.
    Klik in de linkse kolom op Cleaner.
    Klik achtereenvolgens op Analyseren en Opschonen..
    Klik vervolgens in de linkse kolom op Register en klik op Scan naar problemen.
    Als er fouten gevonden worden klik je op Herstel geselecteerde problemen en OK.
    Dan krijg je de vraag om een back-up te maken, klik op JA. en kies dan Herstel alle geselecteerde fouten.
    Sluit hierna CCleaner terug af.

    Wil je een uitgebreide beschrijving klik dan op CCleaner Slim

  5. Zorg dat je Windows in normale modus draait en scan dan opnieuw met HijackThis, hang aan je volgende bericht een BIJLAGE met de nieuwe HijackThis log ter controle.

  6. Ik verwacht dus een bijlage van volgende programma's:
    - GV_Killer
    - HiJackThis
    Vertel ook even hoe het met je problemen gesteld is.

Succes,
Joke.

Dochters, tot hun 16e zeuren ze om een paard en op hun 17e komen ze thuis met een ezel
^ Reactie #7 geschreven door Maarten vdC op maandag 12 augustus 2013 om 21:50:23.
Maarten vdC heeft nog geen avatar toegevoegd
Multiviteit: 47
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Hallo Joke,

Hieronder de gevraagde log bestanden

GV Killer:

Bijlage: 5486f931b461c59058a7f8c984107bc9.log

Hijackthis:

Bijlage: 919e2570a243cd409ce2639fed05f3e4.log

Voor dat ik de procedure startte kreeg ik nog wel het SiteAdvisor scherm met foutmelding te zien. Daarna niet meer, maar ik ben ook slechts ca driekwartier bezig geweest.

Overige problemen:

- Opstarten gaat nog steeds goed (geen foutmelding met LSAS.exe).
- Het aansturen webcam met skype nog niet aan gewerkt (ik moet denk ik een oudere versie van skype gaan installeren, maar nadat ik dit eerder gedaan had, kreeg ik dus een zwart scherm en een restart nadat ik via skype de webcam probeerde te benaderen (hetzij via de settings van de webcam in skype of via het opstarten van een video call). Heb je hier misschien nog suggesties voor?
- Windows update icoontje is nog niet terug geweest.

Alvast hartelijk bedankt voor je hulp hierbij! :)
^ Reactie #8 geschreven door Maarten vdC op maandag 12 augustus 2013 om 22:28:35.
Maarten vdC heeft nog geen avatar toegevoegd
Multiviteit: 47
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Oh ja, ik heb nog even bij AddRemove programs gekeken en daar is nu ook de McAfee SiteAdvisor verdwenen. Ik had dat eerder geprobeerd op die manier te de-installeren, maar dat werkte dus niet, het programma bleef steeds in de lijst staan. Ik heb nu dus wel goede hoop dat de SiteAdvisor foutmelding verleden tijd is.

Groetjes

Maarten
^ Reactie #9 geschreven door joke op vrijdag 16 augustus 2013 om 18:45:53.
joke's avatar
Multiviteit: 2669
Morgen wordt het beter.
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Hoi Maarten vdC,


  1. Download Codestuff Starter.zip en extract het naar je bureaublad.
    Dubbelklik op StarterSetup.exe om de installatie te starten.Start Codestuff Starter en in de tekstbalk kies je voor Automatisch Opstarten en mag je volgende items uitvinken:

    - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    - C:\Program Files\Common Files\Java\Java Update\jusched.exe
    - C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
    - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    - C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
    - C:\Program Files\QuickTime\QTTask.exe
    - C:\WINDOWS\system32\ctfmon.exe

    Items die je later terug automatisch wil laten opstarten mag je dan terug aanvinken.

  2. Verder ziet je log er perfect uit, geen spoor van abnormaliteiten te vinden. Probeer het zo te houden.
    Nu mag je ook dit topic laten afsluiten.
    Om herhaling te voorkomen lees aandachtig deze beveiligingstips en deze optimalisatiestips.

  3. Verwijder nu alle gebruikte tools en aangemaakte mappen, zeker Combofix, en dit doe je met volgende:
    Download GV_Cleaner.exe naar je bureaublad.
    Klik op GV_Cleaner.exe om het te installeren.
    Start GV_Cleaner op.
    Nu krijg je een lijst van al deze programma's en kan je deze één voor één verwijderen.
    Dubbelklik op de programmanaam en de nodige acties worden ondernomen om het programma te verwijderen.
    Indien je problemen hebt om GV_Cleaner te starten moet je Framework downloaden en installeren.

Succes,
Joke.
Deze tekst werd het laatst bewerkt voor 1 % door joke op vrijdag 16 augustus 2013 om 18:46:59.

Dochters, tot hun 16e zeuren ze om een paard en op hun 17e komen ze thuis met een ezel
^ Reactie #10 geschreven door Maarten vdC op zondag 18 augustus 2013 om 12:30:54.
Maarten vdC heeft nog geen avatar toegevoegd
Multiviteit: 47
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Hallo Joke,

Zeer bedankt voor alle hulp! (ook namens mijn moeder :) )

Ik ga bovenstaande acties binnenkort uitvoeren.

De windows update is nu afgerond (probleem lijkt dus te zijn opgelost)
webcam - skype issue moet ik nog mee aan de gang (oude versie skype eens proberen). Als mij dat niet lukt, bij welk forum kan ik dan eventueel hulp vragen hiervoor?
We krijgen nog wel regelmatig foutmeldingen van McAfee SiteAdvisor. Ik vind dat wel vreemd aangezien dit programma ook bij Add-Remove programs is verdwenen.

Vriendelijke groeten,

Maarten

^ Reactie #11 geschreven door joke op donderdag 22 augustus 2013 om 19:58:28.
joke's avatar
Multiviteit: 2669
Morgen wordt het beter.
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Hoi Maarten vdC,

Dat is graag gedaan. Mijn hulp was minimaal, het meeste werk heb je zelf moeten doen.

Ik stel voor dat je uw SiteAdvisor deïnstalleert op de normale manier. Lukt dit niet dan kan je Revo-Uninstaller gebruiken. Hierna kan je eventueel SiteAdvisor opnieuw installeren.

Ik zelf heb SiteAdvisor ook ooit gebruikt maar het iriteerde mij meer dan dat ik er plezier van had en nu gebruik ik het niet meer.



Joke

Dochters, tot hun 16e zeuren ze om een paard en op hun 17e komen ze thuis met een ezel
^ Reactie #12 geschreven door Maarten vdC op zondag 25 augustus 2013 om 14:42:05.
Maarten vdC heeft nog geen avatar toegevoegd
Multiviteit: 47
  • Bewerken
  • Citeren
  • Reageren
  • Verwijderen
  • Waarschuw een crewlid
Hallo Joke,

Dat zal ik gaan proberen.

Het onderwerp kan wel afgesloten worden.

Groetjes

Maarten

Opmerking van de crew

Et voila, een (lock) :)

Wheeldigger
  • Pagina
  • 1 van 1
  • RSS
  • Eerste ongelezen reactie
  • Plaats een reactie
  • Abonneer mij
  • Onderwerp sluiten