system32.exe melding, overblijfselen spyware?

[Tempozia]

Hallo,

Bij het opstarten van windows krijg ik sinds enige tijd de foutmelding te zien: "Windows kan het bestand system32.exe niet vinden. Controleer of u de naam juist hebt ingevoerd en probeer het daarna opnieuw. Klik als u naar een bestand wilt zoeken op de knop Start en daarna op Zoeken. "

Voor de rest doet windows het prima.



Ziet iemand het probleem? :love:

Alvast bedankt,

Peter

 

[M.Obbes]

1. Klik op Start, klik op Uitvoeren, typ regedit in het vak Openen en klik op OK.
2. Voor elk van de volgende registersleutels zoek je de sleutel, klik je op de sleutel, klik je op Verwijderen in het menu Bewerken en klik je op Ja om het verwijderen te bevestigen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SystemSAS system32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CMD cmd32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\SystemSAS system32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\CMD cmd32.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\SystemSAS system32.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\CMD cmd32.exe

HKEY_Local_Machine\Software\Krypton
3. Selecteer de volgende registersleutel:
HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
4. Open het menu Bewerken en klik op Wijzigen.
5. Typ Explorer.exe en druk op ENTER.
6. Selecteer de volgende registersleutel:
HKEY_CURRENT_USER\SOFTWARE\Kazaa\LocalContent
7. Verwijder alle waarden die verwijzen naar de map C:\%Windir%\UserTemp of C:\%Windir%\User32.
8. Selecteer de volgende registersleutel:
HKEY_CURRENT_USER\SOFTWARE\iMesh\Client\LocalContent
9. Verwijder alle waarden die verwijzen naar de map C:\%Windir%\UserTemp of C:\%Windir%\User32.
10. Sluit de Register-editor af.
11. Start de computer opnieuw op.

 

[Tempozia]

Dat heb ik inderdaad ook al geprobeerd. Maar die regkey's staan niet in mijn register, dus ik kan ze moeilijk verwijderen.

Wat kan het dan wel zijn?

 

[Michael4446]

Voeg die reg files eens toe aan RegASSASSIN.

De complete regel kopieren ( dus bijv: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CMD cmd32.exe ) .
Die invoegen zo:

Succes!:thumb:

 

[m@rio]

Hijackthislog verwijderd aangezien helpmij deze niet meer nakijkt. Tevens de vraag verplaatst naar een betere sectie

 

[Tempozia]

Voeg die reg files eens toe aan RegASSASSIN.

De complete regel kopieren ( dus bijv: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CMD cmd32.exe ) .
Die invoegen zo:

Succes!:thumb:

Dit heeft niks geholpen. Na de reboot kreeg ik nog steeds de foutmelding te zien.

 

[Michael4446]

Kijk eens hier.

 

[Tempozia]

1. Klik op Start, klik op Uitvoeren, typ regedit in het vak Openen en klik op OK.
2. Voor elk van de volgende registersleutels zoek je de sleutel, klik je op de sleutel, klik je op Verwijderen in het menu Bewerken en klik je op Ja om het verwijderen te bevestigen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SystemSAS system32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CMD cmd32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\SystemSAS system32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\CMD cmd32.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\SystemSAS system32.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\CMD cmd32.exe

HKEY_Local_Machine\Software\Krypton
3. Selecteer de volgende registersleutel:
HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
4. Open het menu Bewerken en klik op Wijzigen.
5. Typ Explorer.exe en druk op ENTER.
6. Selecteer de volgende registersleutel:
HKEY_CURRENT_USER\SOFTWARE\Kazaa\LocalContent
7. Verwijder alle waarden die verwijzen naar de map C:\%Windir%\UserTemp of C:\%Windir%\User32.
8. Selecteer de volgende registersleutel:
HKEY_CURRENT_USER\SOFTWARE\iMesh\Client\LocalContent
9. Verwijder alle waarden die verwijzen naar de map C:\%Windir%\UserTemp of C:\%Windir%\User32.
10. Sluit de Register-editor af.
11. Start de computer opnieuw op.

Kijk eens hier.

Dat is precies hetzelfde bericht als M. Obbes eerder in dit topic aangaf...

 

[Michael4446]

Dan is het misschien geen '' fout '' in Windows maar malware.

Doe maar voor de zekerheid:

> Doe een online virusscan bij Housecall. Dit is gratis en werkt met Internet Explorer en met Firefox. Aan het eind van de scan moet je alle gevonden infecties laten verwijderen. Hier meer en gedetailleerde instructies over het scannen met Housecall.

EN:

1.Download en installeer
AVG Anti-Spyware.

• 
  Na de installatie, open AVG Anti-Spyware:
  * onder "Status", klik op Change state naast "Resident shield". (wijzig van active naar inactive!)
  * onder "Update", klik op de Start update knop.
  * onder "Scanner", tab "Settings":
  • - onder "How to act?", klik op "Recommended actions" en selecteer Quarantine. (ZEER BELANGRIJK!)
    * onder "Reports", selecteer Automatically generate report after every scan en verwijder het vinkje bij Only if threats were found
  Sluit AVG Anti-Spyware. Laat het nog niet scannen.

Start op in veilige modus

Start AVG Anti-Spyware.

• * Klik op Scan en kies Complete System Scan.
  Na de scan; volg onderstaande instructies :
  BELANGRIJK : Klik niet op de "Save Scan Report" knop vooraleer je de "Apply all Actions" knop hebt aangeklikt !
  * Draag er zorg voor dat Set all elements to: op Quarantine staat (1),
  zoniet klik op de link en kies Quarantine in de popup menu. (2)
  (Dit geldt niet voor cookies, deze worden onveranderlijk gedelete !)
  * Onderaan het venster klik op de Apply all Actions knop. (3)
  
  
  
  * Wanneer je de melding krijgt 'All actions have been applied', klik je onderaan op de knop Save Report.
  * Klik in het menu bovenaan op Reports. Kopieer het rapport van de scan en plaats dat hier in je volgende bericht.

2. Download en uitleg AdAware

3. Download en uitleg Spybot S&D

Succes!:thumb:

 

[Tempozia]

Inmiddels is mijn probleem verholpen. En nee, scannen voor malware had geen zin.

In mijn Hijacklog, die inmiddels verwijderd is om de een of andere reden confused: ), stond een bestand C:\WINDOWS\lsass.exe.

Ik vond de oplossing hier

Download Killbox naar je bureaublad.
Alternatieve download.
Klik op killbox.exe.
Selecteer de optie "Delete on reboot".
In het veld "Full Path of File to Delete" kopieer en plak je het volgende:

C:\WINDOWS\lsass.exe

Klik op de knop: single file (!Belangrijk!)

Daarna, Klik op de rode cirkel met het wit kruisje erin.
Killbox zal zeggen dat deze file zal verwijderd worden on reboot.. vraagt om nu te rebooten. Klik YES.

Je pc moet nu rebooten.

Post na het herstarten een nieuw logje en meldt of er nog problemen zijn

Na de reboot was de foutmelding verdwenen. :thumb:
Maar toch bedankt voor al jullie hulp...

Peter

Ps. Misschien is het toch beter om voortaan de Hijacklog te laten staan, zo had het probleem bij mij veel eerder gevonden kunnen worden.

 

[Eagle Creek]

Hijackthislog verwijderd aangezien helpmij deze niet meer nakijkt. Tevens de vraag verplaatst naar een betere sectie

En nee, scannen voor malware had geen zin.

Dan het plaatsen van een HJT-log ook niet. Deze is om malware op te sporen.

c:\windows\lsass.exe is trouwens geen zuivere koffie..

The lsass.exe file is located in the folder C:\Windows\System32. In other cases, lsass.exe is a virus, spyware, trojan or worm!

 

[Tempozia]

Ik heb met alle mogelijke scanners gezocht naar malware. Geen een scanner heeft ooit C:\WINDOWS\lsass.exe aangegeven. Maar het bestand stond wel in mijn Hijacklog....

 

[Michael4446]

Maar HJT vindt ook geen malware, HJT laat gebieden zien waar malware voor zou kunnen komen. Je kan anti-malwareprogramma's dus ook niet vergelijken met HJT.

Mooi dat het is opgelost!:thumb: