PC start wel maar hoe...?

[jdjongh]

Hoi,

Ik heb het volgende probleem. Vrijwel direct na het aansluiten van een ADSL-lijn (Demon) op mijn computer wil deze slechts met moeite opstarten. Hij begint met vol enthousiasme (cooler gaat, lampjes gaan branden). Na het BIOS-scherm zie ik heel lang het Pentium 4 schermpje. Daarna wordt het beeld nog een minuutje zwart en dan pas zie ik het inlogscherm.

Het maakt niet uit of ik het (externe) modem tijdens of na het opstarten aanzet. In beide gevallen start de pc zoals hierboven beschreven op .

Wat kan dit zijn???

 

[H@ns]

Zou van alles kunnen zijn.

1) Virussen
2) Spyware
3) Overvolle harde schijf/ schijf gefragmenteerd
4) teveel dingen mee op laten starten



1) Laat eens online scannen op virussen met BitDefender en TrendMicro

Doe dit desnoods in Veilige Modus

--------------------------------------------------

2) Laat allereerst je PC op Malware, zoals Adware/Spyware en dergelijke troep, scannen met de volgende programmaatjes: Ad Aware en/of Spybot Search en Destroy. Als het probleem er dan nog steeds is, moet je een HijackThis Log plaatsen op het forum.

Hoe plaats ik een HijackThis Log op het forum?

Dat doe je door naar de volgende pagina te gaan: Helpmij tegen spywareoffensief deel 5

Op deze pagina moet je de eerste post goed doorlezen, als je de instructies uitgevoerd hebt die daar staan en je je log gereed hebt, moet je op ”Reageer op Bericht” drukken. Nu kun je je log plakken en er zal zo spoedig mogelijk naar gekeken woorden door de spyware-experts

Plaats je log dus in datzelfde onderwerp en open niet zelf weer een nieuwe!!!

--------------------------------------------------

3) Verwijder nutteloze data van je schijf. Dit kun je doen met Disk Cleaner. Defragmenteer ook je harde schijf. Dit kun je doen door rechts te klikken op C:\ (in deze Computer) - Eigenschappen - tablad Extra - "Nu Defragmenteren"

Kan aardig wat tijd in beslag nemen dus bereid je daar op voor.

--------------------------------------------------

4) Ga naar Start/uitvoeren, en type Msinfo32 gevolgd door 'OK'. Ga naar Softwareomgeving/Opstartprogramma's. Daar zie je alle progjes die automatisch geladen worden wanneer je Windows opstart. Klik nu in de menubalk op 'Bewerken/alles selecteren', en vervolgens op 'kopiëren'. Plak de inhoud in je bericht, zo kunnen kenners zien wat er uitgevinkt kan worden.

 

[André Klaver]

Bij win98 is F8 na de BIOS gegevens toch wel iets eenvoudiger dan wat onder "veilige modus" wordt aangeraden?

 

[jdjongh]

OK. Top. Ik ga hier mee aan de slag.

 

[H@ns]

Geplaatst door André Klaver
Bij win98 is F8 na de BIOS gegevens toch wel iets eenvoudiger dan wat onder "veilige modus" wordt aangeraden?

Ik noemde die site omdat ik niet zeker weet hoe hij op zijn PC in Veilige modus kan komen. Scheelt weer een hoop discussie

 

[André Klaver]

Dat had je dus gedacht!

 

[H@ns]

Inderdaad nu je het zegt

 

[jdjongh]

Heb beet volgens mij. Heb nu een HiJackThis geplaatst. Wordt vervolgd...

 

[jdjongh]

Voor de zekerheid voeg ik nog wel mijn opstartprogramma's toe. Kan ook zijn dat hier nog een bug in zit:
CHotkey mhotkey.exe All Users HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE c:\windows\system32\ctfmon.exe NT AUTHORITY\SYSTEM HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE c:\windows\system32\ctfmon.exe NT AUTHORITY\Lokale service HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE c:\windows\system32\ctfmon.exe NT AUTHORITY\Netwerkservice HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE c:\windows\system32\ctfmon.exe .DEFAULT HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Cmaudio rundll32 cmicnfg.cpl,cmictrlwnd All Users HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dit dit.exe All Users HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MessengerPlus3 "c:\program files\messenger plus! 3\msgplus.exe" All Users HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NeroFilterCheck c:\windows\system32\nerocheck.exe All Users HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NvCplDaemon rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup All Users HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NvMediaCenter rundll32.exe c:\windows\system32\nvmctray.dll,nvtaskbarinit NT AUTHORITY\SYSTEM HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NvMediaCenter rundll32.exe c:\windows\system32\nvmctray.dll,nvtaskbarinit JEROEN1\Jeroen de Jongh HKU\S-1-5-21-1788344497-1329092021-4268472036-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NvMediaCenter rundll32.exe c:\windows\system32\nvmctray.dll,nvtaskbarinit .DEFAULT HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
PCMService "c:\program files\medion home cinema xl ii\powercinema\pcmservice.exe" All Users HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
PinnacleDriverCheck c:\windows\system32\psdrvcheck.exe All Users HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
QD FastAndSafe Ÿ&Ÿ&program files\common files\symantec shared\ccregvfy.exe" All Users HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
QuickTime Task "c:\program files\quicktime\qttask.exe" -atboottime All Users HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Spamihilator "c:\program files\spamihilator\spamihilator.exe" JEROEN1\Jeroen de Jongh HKU\S-1-5-21-1788344497-1329092021-4268472036-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SunJavaUpdateSched c:\program files\java\j2re1.4.2_03\bin\jusched.exe All Users HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Zone Labs Client "c:\program files\zone labs\zonealarm\zlclient.exe" All Users HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ccApp "c:\program files\common files\symantec shared\ccapp.exe" All Users HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ccRegVfy "c:\program files\common files\symantec shared\ccregvfy.exe" All Users HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
desktop desktop.ini NT AUTHORITY\SYSTEM Opstarten
desktop desktop.ini JEROEN1\Jeroen de Jongh Opstarten
desktop desktop.ini .DEFAULT Opstarten
desktop desktop.ini All Users Gemeenschappelijk opstarten
ledpointer cnyhkey.exe All Users HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
nwiz nwiz.exe /install All Users HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

[H@ns]

Ga ermee aan de slag, een momentje

 

[H@ns]

Je zit wel degelijk onder spyware...

"File NVMCTRAY.DLL removal:
File NVMCTRAY.DLL is related to spyware. Your system is under security threat. We advice you to scan your computer and eliminate possible threats."

Maar goed de volgende kun je weghalen:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NeroFilterCheck c:\windows\system32\nerocheck.exe All Users

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NvMediaCenter rundll32.exe c:\windows\system32\nvmctray.dll,nvtaskbarinit

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
PinnacleDriverCheck c:\windows\system32\psdrvcheck.exe All Users

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
QuickTime Task "c:\program files\quicktime\qttask.exe" -atboottime All Users

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Spamihilator "c:\program files\spamihilator\spamihilator.exe" JEROEN1\Jeroen de Jongh << moet je zelf weten, als je het vaak gebruikt en het werkt, zou je het kunnen laten staan.

HKU\S-1-5-21-1788344497-1329092021-4268472036-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SunJavaUpdateSched c:\program files\java\j2re1.4.2_03\bin\jusched.exe All Users



Bovenstaande kun je dus uitschakelen.... jammer dat er niet meer weg kunnen, maar heel veel blijken van je videokaart of van je Norton te zijn.

Download eens dit progje

En maak eens screenshots van alle tabladen, behalve "Deleted" en "About"

 

[jdjongh]

Hak nie gedacht. Scan ongeveer om de twee dagen. Maar goed. Samen met de HiJackThis moet ik er uit komen. Wordt wel later deze week. Voetballen enzo...

 

[H@ns]

Ik wacht je reactie met spanning af

 

[jdjongh]

Ik heb de hele santemekraam uitgevoerd. Voordeel is dat ie nadat het 'inlogscherm' van XP nu sneller opstart. Daarvoor duurt het nog steeds te lang.

Ook blijft deze Trojan verschijnen. Nu een andere file geinfecteerd dan eerder het geval is.

Oftewel status: nog niet opgelost.

C:\RECYCLER\S-1-5-21-1788344497-1329092021-4268472036-1008\Dc37.exe infected: Trojan.Downloader.Swizzor.Z
C:\RECYCLER\S-1-5-21-1788344497-1329092021-4268472036-1008\Dc37.exe unable to disinfect

gr.
Jeroen

 

[jdjongh]

Op mijn eigen bericht reageren. De watchdog houdt alles in de gaten . Dat betekent ook dat mijn probleem nog niet is opgelost. Wie biedt hulp?