Zandloper blijft 'steken' naast muisaanwijzer

[haku]

Aan wie dit leest:

Sinds enige tijd wordt mijn met XP SP3 gestuurde Acer One Netbook geplaagd door iets dat schijnbaar niets lijkt te verstoren in de werking van de computer (meer daarover later).

Het gaat om het volgende: een tijdje na de opstart en diverse activiteiten met de machine, verdwijnt de kleine zandloper, die naast de muisaanwijzer opduikt en wentelt zolang er een simultaan activiteit zich op de achtergrond afspeelt, niet meer. De zandloper beweegt echter niet meer, en blijft en blijft. Heb alles geprobeerd: uiteraard diepe virusscan (alles in orde), msconfig geconsulteerd (blijkbaar niets aan de hand), type muisaanwijzer veranderd binnen het OS, talrijke (soms nogal oude) meldingen van het euvel op het Internet gecheckt (bijvoorbeeld de raad van Microsoft gevolgd om de SSCD service uit te schakelen - allemaal tevergeefs). De kleine zandloper is van geen kanten weg te krijgen, behalve indien je de computer terug opstart. Waarna het euvel na een bepaalde tijd weer opduikt.

Het lijkt verder zonder aantoonbare reden op te treden...

Het verhindert niet echt het werk, maar is wel storend.

Er is echter erger: na een tijdje lijken de diverse activiteiten, zelfs de simpelste (openen van programma's, opslaan van bestanden, enz.) te vertragen, alsof iets ergens de werking remt. Het is alsof de CPU a.h.w. een omweg moet doen.

Natuurlijk ook al in PC-Helpforum gezocht en 1 melding gevonden die op mijn probleem leek, met name een discussie die werd gestart op 15 januari 2012 door een zekere spookie - maar deze discussie gold voor Vista en leek overigens nog niet opgelost voor zover ik kon zien.

Uiteraard ook Windows systeemherstel geprobeerd tot tamelijk ver terug in de tijd - niets en erger: systeemherstel plots niet meer bruikbaar; maar dit is ook op andere computers van mij ooit gebeurd, dus heb ik maar gewoon het hele systeemherstel uitgevinkt en weer aangezet, waarop alles op dat gebied weer leek te functioneren. Gelukkig dubbel ik systeemherstel, dat tenslotte erg primitief blijft wat het systeem zelf betreft, met ERUNT - een utility die tot nu toe feilloos heeft gewerkt bij mij. Dus daarmee naar een eerdere configuratie gegaan, maar ook dat heeft niks opgeleverd.

Het heeft niets te maken met een recent aangelegd netwerk met een nieuwe computer die op Windows 7 draait, want het probleem is een maand of zo eerder begonnen.

Tot dan had die kleine Netbook pc zonder enige haperingen zijn werk gedaan. Voor zijn doen was hij snel en betrouwbaar. Ik heb geen enkele uitleg, want kan ook niet vertellen wanneer precies en na welke handeling het probleem is opgetreden.

Hoe dan ook, voeg ik het HiJackThis log van die kleine machine hierbij en hoop dat iemand met een oplossing komt. Ik zie die graag tegemoet.

Met vriendelijke groet,

haku

hijackthis Netbook xp haku.log

[Dasle]

De experts (Kape & Kweezie Wabbit) zijn verwittigd, zodra ze online komen analyseren ze je logje en helpen ze je verder. ;-)

[kape]

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - Startup: C - Chrome.lnk = ?

O20 - Winlogon Notify: igdlogin - igdlogin.dll (file missing)

Klik op 'Fix checked' om de items te verwijderen.

Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis.

Download MBAM (Malwarebytes Anti-Malware)

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".

Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.

Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.

Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.

Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder).

Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook.

MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen.

Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

[haku]

Hallo Kape,

Hartelijk dank voor de snelle reactie.

In bijlage de twee gevraagde logs - dus van Anti-Malware en een nieuwe HiJackThis.

Anti-Malware heeft één blijkbaar fout bestand gevonden: <PUP.BundleInstaller.Somoto> Zou niet weten wat dat is!

Ik kijk uit naar het vervolg.

Beste groet.

haku

hijackthis Netbook xp haku 2.txt

mbam-log-2012-09-11 (14-03-14).txt

[kape]

Download ComboFix van één van deze locaties:

Link 1

Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op

1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:

Klik hier

Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap.

2. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm.

3. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd.

**Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware.

4. Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren.

Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd:

Klik op Ja om verder te gaan met het scannen naar malware.

5. Wanneer ComboFix klaar is, zal het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

[haku]

Hallo!

Heb alles gedaan wat hierboven werd gevraagd.

Pas binnen 14 dagen zal ik helemaal kunnen checken of dat euvel van muis+zandloper is verdwenen, want het is dan pas dat ik de Netbook intensief zal gebruiken.

Verder, schijnbaar, geen enkel probleem en de Netbook lijkt vlotter te lopen - behalve:

- Combofix werkt veel op de achtergrond en doet voor een tijdje schijnbaar niets, zodat je niet precies weet wat er gebeurt...

- Na de hele operatie start Antivirus Avast software blijkbaar niet meer automatisch bij heropstart of boot (geen icoon in de tray), maar als je Avast handmatig opstart, blijkt het systeem beveiligd. Hoe lossen we dat foutje op?

- Bij elke opstart verschijnt een foutmelding van Windows in de tray, zeggende dat de automatische Win updates niet zijn ingeschakeld. Klopt, want ik doe die updates geregeld handmatig. Nooit is die waarschuwing in de tray verschenen.

Voor het overige, hierbij de log van Combofix.

Nogmaals dank voor de hulp en ik kijk uit naar een eventueel vervolg.

haku

Combofix log haku.txt

11 september 2012 aangepast door haku
klein fouotje

[kape]

Nog een mapje waar ik mijn twijfels bij heb :

c:\documents and settings\Harry Kümel\Application Data\tazti

Is dat een bekende map voor jou, met een volwaardige inhoud ?

[haku]

Is een spraakherkenning programma. Niet lang geleden geïnstalleerd en amper gebruikt; kan er eigenlijk uit, want alleen Engels. Maar dat kan zeker niets te maken hebben met dat muisaanwijzer/zandloper fenomeen, want dàt is veel eerder opgetreden dan die installatie.

Intussen zit ik met dat probleempje van het Avast icoon dat niet meer in de tray verschijnt na die Malwarebytes+Combofix schoonmaak - èn, a.h.w. in plaats daarvan dat vervelend warschuwingsicoon+ ballonnetje van Windows in de tray. Zie bijlaagje (noot: mijn systeem IS beveilgd; dit is nooit eerder gebeurd en geen enkele van mijn beveiligingsinstellingen is veranderd).

Het beste,

haku

[haku]

Vervolgje: tazti was trouwens de-installeerd, wat je daar hebt zijn html restjes die blijkbaar niet meegekomen zijn (ondanks dat ik de-installeer via Revo Uninstaller, die doorgaans zeer grondig werkt). Ik heb die map alvast verwijderd, maar dat veranderd niets aan het probleempje van de niet aanwezige Avast icoon bij opstart. Ik heb nu een support ticket gestuurd naar Avast, om te weten of zij misschien iets weten, mocht er hier niets gevonden worden. Ik heb wel in Application data gezien dat Combofix een reeks ini en soortgelijke bestanden heeft aangemaakt... Zou het nieuwe fenomeen daaraan kunnen liggen?

Best.

haku

[haku]

Vervolgje 2: Heb een simpele oplossing gevonden voor dat icoon probleem. Gewoon Avast herinstalleerd in dezelfde directory waar hij al was geïnstalleerd. En, na heropstarten, presto! Daar was het icoontje weer in de tray! De nutteloze waarschuwing van Windows over beveiliging ook weg door in de "Meldingen van Beveiligingscentrum instellingen" de optie de melding "Automatische updates" uit te vinken. Waarom deze dingen gewijzigd werden door Combofix zal een raadsel blijven, althans voor mij. Intussen draait de Netbook zonder haperingen verder, behalve dat als je een nog niet eerder in de sessie geopende map of applicatie opent, het iets langer schijnt te duren dan een tijdje geleden (ik durf niet met zekerheid te zeggen toen die muisaanwijzer+zandloper situatie is opgetreden). Het is alsof de prefetch niet helemaal goed werkt. Maar het is slechts een kwestie van een halve seconde of zo. Niets om zich echt druk over te maken. Behalve indien u nog met een opmerking zou komen, kunnen we deze discussie als opgelost beschouwen.

Dank u voor alles.

HK