Services.exe 1073741819

• 

  Horsegrind

  25-11-2008 12:13

  Help, mijn pc wil niet meer normaal werken. Telkens na het opstarten verschijnt er een melding dat c:\windows\system32\services.exe een fout heeft gemerkt en gaat de pc rebooten met een timer van 1 minuut.

  Ik heb geprobeerd het stappenplan te volgen maar het lukt niet om spybot, AAW en MAM te installeren. Wel is het gelukt om te cleanen en Hijack te draaien. Hieronder mijn log bestand. Ik kan via mijn pc niet meer op internet, gebruik nu een laptop en zet bestanden over via een stickie.

  Ik hoop dat iemand mij verder kan helpen. Thanx.

  Logfile of Trend Micro HijackThis v2.0.2

  Scan saved at 11:40:07, on 25-11-2008

  Platform: Windows XP SP3 (WinNT 5.01.2600)

  MSIE: Internet Explorer v7.00 (7.00.6000.16735)

  Boot mode: Safe mode

  Running processes:

  C:\WINDOWS\System32\smss.exe

  C:\WINDOWS\system32\winlogon.exe

  C:\WINDOWS\system32\services.exe

  C:\WINDOWS\system32\lsass.exe

  C:\WINDOWS\system32\svchost.exe

  C:\WINDOWS\system32\svchost.exe

  C:\WINDOWS\Explorer.EXE

  K:\mbam-setup.exe

  C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

  O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

  O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

  O3 - Toolbar: (no name) - {e802027b-1f2b-40bd-b307-0bd96d036835} - (no file)

  O4 - HKLM\..\Run: C:\WINDOWS\system32\CmUCReye.exe

  O4 - HKLM\..\Run: “C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE” /Spoil /RemAdvDef /Migration32

  O4 - HKLM\..\Run: “C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe” /SYNC

  O4 - HKLM\..\Run: “C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE” /SYNC

  O4 - HKLM\..\Run: “C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE” /IMEName

  O4 - HKLM\..\Run: mHotkey.exe

  O4 - HKLM\..\Run: CNYHKey.exe

  O4 - HKLM\..\Run: RTHDCPL.EXE

  O4 - HKLM\..\Run: ALCMTR.EXE

  O4 - HKLM\..\Run: “RUNDLL32.EXE” C:\WINDOWS\system32\NvCpl.dll,NvStartup

  O4 - HKLM\..\Run: “nwiz.exe” /install

  O4 - HKLM\..\Run: “C:\Program Files\Home Cinema\PowerCinema\PCMService.exe”

  O4 - HKLM\..\Run: “C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe /c ”

  O4 - HKLM\..\Run: “C:\WINDOWS\VM_STI.EXE” Philips SPC 200NC PC Camera

  O4 - HKLM\..\Run: “C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe”

  O4 - HKLM\..\Run: “C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe”

  O4 - HKLM\..\Run: rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

  O4 - HKLM\..\Run: “C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe”

  O4 - HKLM\..\Run: “C:\Program Files\Spyware Doctor\pctsTray.exe”

  O4 - HKLM\..\Run: “C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe”

  O4 - HKLM\..\Run: “C:\Program Files\iTunes\iTunesHelper.exe”

  O4 - HKLM\..\Run: C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

  O4 - HKLM\..\Run: “C:\Program Files\QuickTime\QTTask.exe” -atboottime

  O4 - HKLM\..\Run: C:\WINDOWS\System32\rs32net.exe

  O4 - HKLM\..\Run: %systemroot%\system32\dumprep 0 -k

  O4 - HKLM\..\Run: %systemroot%\system32\dumprep 0 -u

  O4 - HKLM\..\Run: “C:\Program Files\Hitman Pro 3\hitmanpro3.exe” -autocheck

  O4 - HKCU\..\RunOnce: C:\Program Files\Common Files\Ahead\Lib\NMFirstStart.exe

  O4 - HKUS\S-1-5-20\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘Netwerkservice’)

  O4 - HKUS\S-1-5-18\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

  O4 - HKUS\.DEFAULT\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

  O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

  O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe

  O4 - Global Startup: TrayMin300.exe.lnk = ?

  O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

  O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

  O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

  O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

  O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

  O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

  O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

  O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll

  O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

  O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

  O9 - Extra ‘Tools’ menuitem: Spybot - Search && Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

  O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

  O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

  O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

  O14 - IERESET.INF: START_PAGE_URL=http://start.home.nl/

  O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

  O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - http://foto.hema.nl/ips-opdata/layout/hema/objects/jordan.cab

  O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://static.slide.com/uploader/SlideImageUploader.cab

  O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130364442791

  O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131365030359

  O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://fotoservice.tntpost.nl/TNT/UserControls/Part/Upload/ImageUploader4.cab

  O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} (Groove Control) - http://www.nick.com/common/groove/gx/GrooveAX27.cab

  O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/virtools.download.akamai.com/6712/player/install3.5/installer.exe

  O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp10.photoprintit.de/microsite/8/defaults/activex/ImageUploader3.cab

  O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

  O20 - AppInit_DLLs: vlgdgm.dll

  O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

  O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

  O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe

  O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe

  O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe

  O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe

  O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

  O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

  O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

  O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

  O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

  O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

  O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

  O23 - Service: Virtual NIC Service (PackethSvc) - America Online, Inc. - C:\WINDOWS\system32\PackethSvc.exe

  O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys

  O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

  O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

  O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

  O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\pctsAuxs.exe (file missing)

  O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\pctsSvc.exe (file missing)

  O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

  O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

  O23 - Service: WTService - Unknown owner - C:\WINDOWS\system32\atwtusb.exe

  O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

  –

  End of file - 10884 bytes

  Rapporteren
• 

  Argus

  25-11-2008 12:45

  Download EliStartPage v17.4x http://www.zonavirus.com/datos/descargas/78/EliStarA.asp

  Scroll helemaal naar beneden tot er staat “Descargar EliStarA 17.4x”.

  Klik hier op en laat het bestand op je bureaublad opslaan. Bestandsnaam: ELISTARA.xxxxxxxx.EXE (waarbij xxxxxxxx variabel is)

  Dubbelklik het bestand om te starten.

  Je krijgt nu meerdere vragen voorgeschoteld:

  Quiere limpiar el fichero HOSTS? (HOSTS-bestand resetten) druk op “Ja”

  Quiere Eliminar el Contenido de las Carpetas Temporales de Windows? (tijdelijke bestanden verwijderen) druk op " Ja"

  Quiere Eliminar las Paginas de Inicio y Busqueda del Internet Explorer? (startpagina resetten) druk op " Nee"

  Quiere Eliminar los Ficheros Temporales de Internet Explorer?(Tijdelijke internetbestanden verwijderen) druk op " Ja"

  Daarna kom je in het hoofdscherm, selecteer bij Unidad: de schijf/partitie waar je Windows staat(in jouw geval C:\ )

  Zorg dat er een vinkje staat bij “Eliminar Ficheros Automaticamente”.

  Druk daarna op de Explorar button om het scannen te starten.

  Als het scannen voltooid is druk je op de Salir button en daarna op OK.

  Herstart nu even je computer.

  Zoek nu het volgende logje op: C:\ InfoSat.txt en post deze in je volgende bericht

  Probeer daarna MBAM nog een keer

  Rapporteren
• 

  Horsegrind

  25-11-2008 13:20

  Thanx voor de snelle respons. Ik kan via de link het programmaatje niet downloaden. Geeft een foutmelding op de pagina. Probeer via de satinosite te downloaden maar kan daar het programma niet vinden.

  Rapporteren
• 

  Argus

  25-11-2008 14:10

  Download link http://rapidshare.com/files/167238507/ELISTARA.DABBH.EXE.html

  Rapporteren
• 

  Horsegrind

  25-11-2008 16:02

  Tue Nov 25 15:15:36 2008

  EliStartPage v17.48 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Noviembre del 2008)

  ————————————————–

  Lista de Acciones (por Acción Directa):

  Key Eliminada -> C:\WINDOWS\SYSTEM32\xxyvSjhi.dll

  C:\WINDOWS\ALCMTR.EXE –> Eliminado SpyRealtek

  Entrada Eliminada “Alcmtr”=“ALCMTR.EXE”

  Eliminadas las Paginas de Inicio y de Busqueda del IE

  Eliminados Ficheros Temporales del IE

  Tue Nov 25 15:16:29 2008

  EliStartPage v17.48 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Noviembre del 2008)

  ————————————————–

  Lista de Acciones (por Exploración):

  Explorando Unidad C:\

  C:\DHUP.EXE –> Eliminado, DownLoader.NUS

  C:\OIGJBRU.EXE –> Eliminado, DownLoader.NUS

  C:\Program Files\Hema Album Software Advanced\APBURNCD.DLL –> Eliminado, CrawlerToolbar(BHO/TB)

  C:\Program Files\Realtek\InstallShield\ALCMTR.EXE –> Eliminado, SpyRealtek

  C:\Program Files\The FilmMachine\CCEFront\CCEFRONT.EXE –> Eliminado, YahLover(worm)

  C:\Program Files\TNT Post Fotoservice\APBURNCD.DLL –> Eliminado, CrawlerToolbar(BHO/TB)

  C:\Tijdelijk\Rip it 4 me\RIPIT4ME INSTALLER.EXE –> Eliminado, DownLoader.BShooterEgypt

  C:\WINDOWS\system32\CMDLINEEXT03.DLL –> Eliminado, Spy-CmdLineExt

  C:\WINDOWS\system32\PNKBSTRB.EXE –> Eliminado, MoviePass

  C:\WINDOWS\system32\drivers\ATI1IBXX.SYS –> Eliminado, Rootkit.Protector.BD

  Nº Total de Directorios: 11531

  Nº Total de Ficheros: 119963

  Nº de Ficheros Analizados: 27895

  Nº de Ficheros Infectados: 10

  Nº de Ficheros Limpiados: 10

  MBAM lukt nog steeds niet. Ben nu een keer hitmanpro3 aan het draaien. PC starte nu wel op dus het gaat al wat beter.

  Rapporteren
• 

  Argus

  25-11-2008 16:41

  Ga naar start > uitvoeren en typ daar devmgmt.msc (en druk op OK)

  Mocht dit niet werken, ga dan naar Configuratiescher > systeem > tabblad hardware, apparaatbheer.

  Kies bovenin voor Beeld > verborgen apparaten weergeven.

  Kijk nu bij Stuurprogramma's die niet Plug and Play-compatibel zijn.

  Kijk of er iets tussen staat dat met tdss begint (deze geeft nu het probleem)

  Zo ja, rechtsklikken op die tdss en kiezen voor Uitschakelen.

  Geen andere dingen uitschakelen.

  Probeer daarna MBAM nog een keer

  Rapporteren
• 

  Horsegrind

  25-11-2008 20:01

  Nee, lukt nog steeds niet om MBAM uit te voeren.

  Na opnieuw opgestart te hebben gaat het weer mis met het afsluiten. Probeer het een keer opnieuw maar weer. Hoop wel dat het uiteindelijk lukt.

  Rapporteren
• 

  Argus

  25-11-2008 20:17

  Verwijder MBAM en download het opnieuw,via deze link hier heet MBAM nu 123com.exe sla het bestand niet op maar klik op “uitvoeren” http://rapidshare.com/files/167236646/123com.exe

  Rapporteren
• 

  Horsegrind

  26-11-2008 21:31

  Ja, dit lukte wel. Beetje late reactie maar ik moest werken.

  Heb inmiddels ook spybot gedraaid. Die haalde er ook nog wat uit. Heb nu ook voordurend AVG lopen en ook daar komen regelmatig meldingen van.

  Ben wel van dat vervelende afsluiten af. PC is wel erg traag geworden. Openen van een directory in verkenner duurt echt even.

  Rapporteren
• 

  Argus

  27-11-2008 00:05

  Combofix

  Download Combofix naar je Bureaublad.

  Dubbelklik Combofix.exe

  Volg de instructies, accepteer de disclaimer door 1 (continue) te typen gevolgd door een ENTER.

  Tijdens het runnen van de fix, NIET in het venster klikken, want dan zal je pc gaan “hangen”.

  NB Indien tijdens tijdens het gebruik van Combofix een melding komt van je Antivirus- of een andere realtime scanner, schakel deze scanner dan uit en download Combofix opnieuw. Sommige scanners zien onderdelen die Combofix gebruikt als verdacht en kunnen deze blokkeren of verwijderen! Hierdoor kan combofix niet naar behoren functioneren.

  Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.

  Plaats deze log in je volgende post

  Rapporteren