Evertm

Hallo Kape,

Gisteravond/vannacht en vanmorgen geen melding meer gehad.

Blijkbaar was dit de boosdoener (wordt overigens ook melding over gemaakt als je googeld op VideoCNV en zet.dll)

Directory verwijderd en ook de verwijzingen in het register.

Het heeft ons "veel" tijd gekost voor een "simpel" probleem maar dat is achteraf.

Ik wil je bedanken voor je hulp en wellicht kunnen anderen hier ook hun voordeel me doen.

Wat mij betreft is deze draad nu gesloten.

Evert

Hallo Kape,

De diectory is aanwezig met daarin zet.dll

Ik heb zowel de directory alsmede zet.dll hernoemd en daarna de PC opgestart.

Nu een uur verder en nog geen melding weer gehad.

Ik wacht even af tot eind morgenvroeg en laat je weten of het definitief verwijderd is.

Evert

Hallo Kape,

Als ik zoek op rundll32 krijg ik heel veel meldingen.

In bijlage het bestand (aangemaakt met regscanner).

Hopelijk kun je hier iets mee

Evert

Rundll register.docx

Hallo Kape,

Vanmorgen om 8.47 de PC opgestart

Om 9.07 9.27 en 9.47 weer de Rundll melding.

Er zit blijkbaar ergens een trigger die iets om de 20 minuten wil activeren.

Ik heb al in taakplanner gekeken maar daar niets gevonden.

Evert

Hallo Kape,

Ik had tot ca 18.15 uur iedere 20 minuten een melding. Daarna tot ca 20,45 niet.

Om 21 uur nog 1 keer een melding.

Hierna JRT nog 1 x uitgevoerd waarbij niets is gevonden.

Wel met CCleaner en Advanced Systemcare het register opgeschoond.

Daarna geen melding weer gehad.

Ik wacht morgen nog even af en zal je dan informeren of we deze draad kunnen sluiten.

Evert

Hallo Kape,

In bijlage het JRT.txt bestand.

Evert

JRT.txt

Hallo Kape,

MBAM geinstalleerd en scan uitgevoerd.

Echter toen de scan gereed was getracht het logboek in te zien en te exporteren maar deze bleek leeg te zijn???

Op de PC gezocht naar het bestand en daar was deze ook leeg.

Hierna de geinfecteerde bestanden in quarataine geplaatst en PC opgestart.

In bijlage de bestanden die in quarantaine geplaatst zijn.

Ik heb hierna opnieuw een scan uitgevoerd en er waren geen infecties meer maar ook hier een lege log file (zie de bijlage).

Evert

MBAM Quarantaine.pdf

MBAM.txt

Hallo Kape,

Ik heb zoek.exe opgestart en je codes ingevoegd.

Echter na de verwerking en restart kreeg ik na het welkomscherm een BSOD met de melding: Schedhlp.exe

Deze toepassing kan niet gestart worden omdat mpr.dll niet gevonden kan worden (staat overigens wel in C:\Windows\System32)

Ik heb hierop de PC in veilige modus opgestart en kon het logbestand van zoek.exe veilig stellen.

Deze is als bijlage toegevoegd.

Via veilige modus een systeemherstel toegepast naar vanmorgen 11 uur.

Evert

zoek-results1.txt

Hallo Kape,

Ik ben tot "diep" in de nacht bezig geweest.

Het probleem met de melding van het printen is na een restart van de PC verdwenen. Dit werkt dus weer.

Echter kreeg ik wel de melding weer van de rundll foutmelding.

Ik kon nadien zoek.exe wel opstarten en heb de codes ingevoerd.

Echter is het probleem nadat zoek.exe alles verwerkt had gebleven.

Ik blijf de foutmelding rundll houden.

In bijlage het log bestand van zoek.exe

Hopelijk kun je hier iets mee en mij verder adviseren.

Evert

zoek-results.txt

Hallo Kape,

Probleem lijkt te zijn opgelost nadat ik combofix had uitgevoerd.

Echter heb ik er een nieuw probleem voor in de plaats.

Als ik wil printen krijg ik de melding:

c:\windows\system32\spool\drivers\x64\3\ssi1msm.exe

Er is geprobeerd een ongeldige bewerking uit te voeren op een registersleutel voor verwijdering (zie de bijlage)

Als ik op OK klik wordt het bestand wel geprint.

Hoe dit op te lossen.

Evert Mulder

Hallo Kape,

Ik gebruik alleen Norton 360 premier edition en heb zowel de virusscanner alsmede de firewall uitgezet

Evert

Hallo Kape,

Bedankt voor je snelle reactie.

Ik heb een probleem met zoek.exe.

Ik heb deze gedownload maar bij het dubbelklikken opent het bestand niet.

Wel staan in de C:\Temp directory bestanden die daar neergezet zijn tijdens het dubbelklikken op zoek.exe

Getracht op de zoek.bat file op te starten.

Deze start in een dos box op met de volgende melding:

Kan C:\Temp\zoek*1.hta niet vinden

1 bestand(en) gekopieerd.

1 bestand(en) gekopieerd.

Kan bestand test.txt niet vinden.

Kan C:\Temp\tmp.txt niet vinden

Het systeem kan het opgegeven bestand niet vinden.

Kan C:\Temp\tmp.txt niet vinden

Kan C:\Temp\download*.bat niet vinden

Kan C:\Temp\zoekcscriptfailed niet vinden

Kan C:\Temp\tmp1.txt niet vinden

Kan C:\Temp\plist.txt niet vinden

Kan C:\Temp\ProcessList.txt niet vinden

De bewerking is voltooid.

Kan bestand test.txt niet vinden.

Kan C:\Temp\desktop.txt niet vinden

Kan C:\Temp\filles1.txt niet vinden

Kan C:\Temp\*.search niet vinden

Het programma zoek start dan wel op echter met een scriptfout.

Zie de bijlage Zoek1.jpg

Als ik Ja aanklik bij de vraag of ik door wil gaan met het uitvoeren van het script start zoek op en kan ik jouw code plakken en tevens de options aanpassen zoals aangegeven.

Als ik vervolgens op run script klik krijg ik opnieuw een foutmelding. Zie de bijlage Zoek2.jpg

Als ik vervolgens op ja klik om het script uit te voeren gebeurt er verder niets

Als ik vervolgens op c:\zoek-results.log klik start zoek opnieuw op en staat er het volgende in de bat file.

Kan C:\Temp\ProcessList.txt niet vinden

De bewerking is voltooid.

Kan bestand test.txt niet vinden.

Kan C:\Temp\desktop.txt niet vinden

Kan C:\Temp\filles1.txt niet vinden

Kan C:\Temp\*.search niet vinden

Het systeem kan het opgegeven bestand niet vinden.

Het systeem kan het opgegeven bestand niet vinden.

Het systeem kan het opgegeven bestand niet vinden.

Resetting: Commandline = swreg acl "HKEY_CLASSES_ROOT\.hta" /reset

Processed: HKEY_CLASSES_ROOT\.hta

Processed: HKEY_CLASSES_ROOT\.hta\PersistentHandler

De bewerking is voltooid.

De bewerking is voltooid.

De bewerking is voltooid.

De bewerking is voltooid.

De bewerking is voltooid.

De bewerking is voltooid.

Resetting: Commandline = swreg acl "HKEY_CLASSES_ROOT\htafile" /reset

Processed: HKEY_CLASSES_ROOT\htafile

Processed: HKEY_CLASSES_ROOT\htafile\CLSID

Processed: HKEY_CLASSES_ROOT\htafile\DefaultIcon

Processed: HKEY_CLASSES_ROOT\htafile\Shell

Processed: HKEY_CLASSES_ROOT\htafile\Shell\Open

Processed: HKEY_CLASSES_ROOT\htafile\Shell\Open\Command

De bewerking is voltooid.

De bewerking is voltooid.

De bewerking is voltooid.

De bewerking is voltooid.

De bewerking is voltooid.

De bewerking is voltooid.

De bewerking is voltooid.

De bewerking is voltooid.

De bewerking is voltooid.

De bewerking is voltooid.

De bewerking is voltooid.

De bewerking is voltooid.

De bewerking is voltooid.

Fout: Het systeem kan de opgegeven registersleutel of -waarde niet vinden.

Fout: Het systeem kan de opgegeven registersleutel of -waarde niet vinden.

Kortom je hulp is gewenst.

Evert Mulder

Hallo Kape,

Ik heb hetzelfde probleem in Vista.

Windows-hostproces (Rundll32) werkt niet meer

Probleemhandtekening:

Gebeurtenisnaam van probleem: APPCRASH

Naam van de toepassing: rundll32.exe

Versie van toepassing: 6.0.6000.16386

Tijdstempel van toepassing: 4549b0e1

Naam van foutmodule: kernel32.dll

Versie van foutmodule: 6.0.6002.19034

Tijdstempel van foutmodule: 52f2ecb1

Uitzonderingscode: e06d7363

Uitzonderingsmarge: 0001e743

Versie van besturingssysteem: 6.0.6002.2.2.0.256.1

Landinstelling-id: 1043

Aanvullende informatie 1: bc5c

Aanvullende informatie 2: 3faabc1f59aac9df000b2ecf4b3aca62

Aanvullende informatie 3: 7b81

Aanvullende informatie 4: dcca1a117a3ce8b0a26bec63063667e8

Ik heb rsit uitgevoerd.

Hierbij de log

[ATTACH]37046[/ATTACH]

Ik heb zoek.exe gedownload maar heb jouw input nodig

Graag je hulp.

log.txt