FCCU again

Hallo iedereen.

Ben geen computernul, maar deze keer zit ik vast met die FCCU.

Wanneer ik aanlog op de gewone gebruiker op 1 onze familie-PC, krijg ik in no time de melding en is het enige wat nog lukt afmelden.

Wanneer ik als administrator aanlog, krijg ik het niet voor.

Ik heb een aantal oplossingen van op het web geprobeerd, maar ze lijken allemaal ergens te falen. De enige verdachte plaats in de registry die ik gevonden heb, is HKU\[userid]\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load, die verwijst naar een onbestaande scr-file in de local settings.

Ik heb ook mbam al laten draaien met een volledige scan en dat heeft niks opgeleverd.

Ook, zoals de site van de federale politie aangeeft, windows defender offline geprobeerd: niks gevonden.

Ik ben zo'n beetje aan het einde van mijn latijn.

Help will be greatly appreciated. Hieronder een HJT log (opm.: weet niet of het uitmaakt, maar ik was in safe mode met netwerk aangemeld onder de gewone gebruiker; die gebruiker is echter geen administrator, dus heb ik "run as administrator" gedaan en de administrator dan ook opgegeven):

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 10:51:28, on 12/04/2012

Platform: Windows 7 (WinNT 6.00.3504)

MSIE: Internet Explorer v9.00 (9.00.8112.16421)

Boot mode: Safe mode with network support

Running processes:

C:\Windows\Explorer.EXE

C:\Windows\system32\ctfmon.exe

C:\NSTMP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG2012\avgssie.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [AVG_TRAY] "C:\Program Files\AVG\AVG2012\avgtray.exe"

O4 - HKLM\..\Run: [iomega Home Storage Manager] C:\Program Files\Iomega\Home Storage Manager\Iomega Discovery.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [intelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-21-3778110557-2368592539-248148898-1003\..\Run: [Google Update] "C:\Users\Ilse\AppData\Local\Google\Update\GoogleUpdate.exe" /c (User 'Ilse')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL

O9 - Extra button: Toon of verberg HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll

O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\AVGIDSAgent.exe

O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgwdsvc.exe

O23 - Service: Intel® Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files\Intel\Intel® Management Engine Components\LMS\LMS.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

O23 - Service: Intel® Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files\Intel\Intel® Management Engine Components\UNS\UNS.exe

--

End of file - 5962 bytes

Kan je die scr-file in het register verwijderen ?

Je hebt het service pack 1 voor windows 7 nog niet geinstalleerd.

Is daar een speciale reden voor?

Doe je regelmatig de windows updates?

Je kan het Service Pack 1 downloaden op deze pagina.

Klik op doorgaan en volg de instructies.

Je moet het bestand windows6.1-KB976932-X64.exe nemen.

Na de download dubbelklikken op het bestand om de installatie te starten.

Kan je die scr-file in het register verwijderen ?

@kape: als ik dat probeer, zelfs in safe mode met command line, krijg ik een melding dat hij die setting niet kan veranderen omdat er iets anders die setting lockt

@kweezie: door alle pogingen heen om een en ander recht te zetten, meen ik dat windows update al geprobeerd heeft om de SP te installeren (ik vermoed terwijl ik ingelogd was als administrator, maar 100% zeker ben ik dat niet meer). Helaas is die update gefaald. Zowiezo ben ik al niet echt grote fan van updates / installaties die het ingeven van mijn admin-paswoord vereisen terwijl er rotzooi op mijn PC zit, maar ik hoopte nu eenmaal dat dit een oplossing zou zijn. Mooi niet dus. Denk je dat het zin heeft om die SP buiten windows update te proberen installeren? En kan ik dat eventueel doen vanuit safe mode (zo nauwkeurig weet ik dat soort dingen niet)? Of meld ik dan gewoon aan als administrator (fingers crossed dat die het inmiddels ook niet te pakken heeft) op normale wijze?

Ik had een beetje gehoopt op (al wist ik wel beter): herstel dit en dat met HJT en dan zal MBAM wel werken?

Pak het scr-bestand in regsiter eens aan als volgt -> klik op scr-bestand -> bij Permissions-Machtigingen -> Special/Speciale Machtigingen -> wijzigen in Full Control/Volledig Beheer. Dan zou je het moeten kunnen verwijderen.

@kape: helaas(?) dat bestand bestaat niet. Ook niet met show all files en al die andere folder instellingen.

@kape: helaas(?) dat bestand bestaat niet. Ook niet met show all files en al die andere folder instellingen.

Nu ... als het echt niet meer aanwezig is, zou dit betekenen dat je probleem opgelost moet zijn. Is dat ook zo ?

Het is toch niet omdat een bestand vermeld wordt in de registry dat het ook daadwerkelijk zou moeten bestaan?

Helaas is het probleem nog steeds bestaande: aanmelden met gewone gebruiker en na enkele seconden verschijnt het allesoberheersende bericht van FCCU.

---------- Post toegevoegd om 10:05 ---------- Vorige post was om 10:04 ----------

Door alle pogingen heen om een en ander recht te zetten, meen ik dat windows update al geprobeerd heeft om de SP te installeren (ik vermoed terwijl ik ingelogd was als administrator, maar 100% zeker ben ik dat niet meer). Helaas is die update gefaald. Zowiezo ben ik al niet echt grote fan van updates / installaties die het ingeven van mijn admin-paswoord vereisen terwijl er rotzooi op mijn PC zit, maar ik hoopte nu eenmaal dat dit een oplossing zou zijn. Mooi niet dus. Denk je dat het zin heeft om die SP buiten windows update te proberen installeren? En kan ik dat eventueel doen vanuit safe mode (zo nauwkeurig weet ik dat soort dingen niet)? Of meld ik dan gewoon aan als administrator (fingers crossed dat die het inmiddels ook niet te pakken heeft) op normale wijze?

Indien je een bestand verwijderd hebt op de PC, zou het normaal ook niet meer in het register mogen zitten. Maar de praktijk is helaas anders ... en de sturing door het register zou nog steeds voor het ongewenste scherm kunnen zorgen.

Je hebt eerder al gewerkt met Malwarebytes. Kan je het laatste log van MBAM eens opvissen en in een volgend bericht hangen. Zo komen we misschien te weten of MBAM iets gedaan heeft met die scr-file ?

Wat ik echter niet begrijp is dit :

uit bericht 4

@kape: als ik dat probeer, zelfs in safe mode met command line, krijg ik een melding dat hij die setting niet kan veranderen omdat er iets anders die setting lockt

en uit bericht 6

@kape: helaas(?) dat bestand bestaat niet. Ook niet met show all files en al die andere folder instellingen.

In bericht 4 lukt het aanpassen van de setting van het bestand niet én in bericht 6 is het bestand er niet ? Welke versie van de twee is nu de correcte ?

Ik weet niet waar de verwarring vandaan komt, maar volgens mij zit de registry vol met string-values die verwijzen naar files die al lang niet meer bestaan. Het zou me _enorm_ verbazen mocht Windows bij het wissen van een file ook alle verwijzingen die daarnaar bestaan, uit de registry verwijderen.

Goed: de situatie is dus: de file zelf bestaat, voor zover ik kan nagaan, niet.

Wanneer ik nu regedit start, en naar die waarde (zie mijn originele post) ga, en deze probeer te editeren (bijvoorbeeld op blanco zetten en dan op save klikken), krijg ik dus de melding (binnen regedit) dat hij die waarde niet kan schrijven "omdat iets anders deze in gebruik heeft". Ik heb het ook geprobeerd zonder regedit (gewoon met reg) en dan krijg ik een iets andere fout, maar het komt erop neer dat het ook weer niet werkt.

Is er iets aan deze situatie dat tegenstrijdig is?

MBAM zal ten vroegste vanavond zijn, want ik zit nu op mijn werk en heb dus even geen toegang tot de PC in kwestie.

Bedankt voor het volharden.