Rootkit; Windows cannot access the specified device, path, or file. You may not...

Hensyr · 31 mei 2013

Beste Kweezie Wabbit,

Tijdens het runnen van de aswMBR (avast antirootkit) is het programma gestopt door Windows.

zie screenshot:

[ATTACH=CONFIG]26201[/ATTACH]

Ik ga Windows eens opnieuw opstarten en het programma alsnog eens proberen.

kweezie wabbit · 1 juni 2013

We kunnen ook een andere scanner proberen.

Download GMER van één van de volgende locaties naar het bureablad.

GMER (Random naam)
GMER (ZIP)
Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met GMER.
(hier of hier) kan je lezen hoe je dat doet.
Gebruik de computer verder niet tijdens een scan met GMER.
Dubbelklik op GMER met de random naam, of indien je gebruik maakt van het ZIP bestand pak deze eerst uit en dubbelklik op GMER.exe
Wanneer GMER is gestart wordt er een snelle scan uitgevoerd, wacht todat deze gereed is.
Indien er een waarschuwing komt met betrekking tot "rootkit activity" klik naar op No / Nee bij de vraag of een volledige systeemscan uit te voeren.
Zorg dat alle items behalve items behalve de onderstaande staan aangevinkt.
- IAT/EAT >> Belangrijk!!! deze optie moet uitgeschakeld staan.
- Show All>> Belangrijk!!! deze optie moet uitgeschakeld staan.
[*] Klik op de knop Scan

[*] Wanneer er een scherm met betrekking tot een rootkit waarschuwing verschijnt klikt u op "OK"

[*] Wanneer de scan gereed is klikt u op Save er wordt nu een bestand genaamd gmer.log op het bureaublad opgeslagen.

[*] Plaats de inhoud hiervan in het volgende bericht.

7 juni 2013 aangepast door kweezie wabbit

Hensyr · 1 juni 2013

De tweede poging van aswMBR is dus ook mislukt met dezelfde melding.

Ik ga nu proberen de andere scanner te laten runnen.

Hensyr · 3 juni 2013

Beste Kweezie Wabbit,

Dit is het resultaat van de GMR scan:

GMER 2.1.19163 - GMER - Rootkit Detector and Remover

Rootkit scan 2013-06-01 11:11:57

Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD6400AACS-00G8B1 rev.05.04C05 596,17GB

Running: gmer.exe; Driver: C:\Users\Hendrik\AppData\Local\Temp\kgriifob.sys

---- User code sections - GMER 2.1 ----

.text C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe[1908] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 00000000766a1465 2 bytes [6A, 76]

.text C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe[1908] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000766a14bb 2 bytes [6A, 76]

.text ... * 2

.text C:\Program Files (x86)\Spotmau\PowerSuite Golden Edition\PowerSuite 2012\PcCheck\CareMon.exe[1976] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 00000000766a1465 2 bytes [6A, 76]

.text C:\Program Files (x86)\Spotmau\PowerSuite Golden Edition\PowerSuite 2012\PcCheck\CareMon.exe[1976] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000766a14bb 2 bytes [6A, 76]

.text ... * 2

.text C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1664] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69 00000000766a1465 2 bytes [6A, 76]

.text C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1664] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155 00000000766a14bb 2 bytes [6A, 76]

.text ... * 2

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[2376] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 00000000766a1465 2 bytes [6A, 76]

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[2376] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000766a14bb 2 bytes [6A, 76]

.text ... * 2

.text C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[3932] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 00000000766a1465 2 bytes [6A, 76]

.text C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[3932] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000766a14bb 2 bytes [6A, 76]

.text ... * 2

.text C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3796] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 00000000766a1465 2 bytes [6A, 76]

.text C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe[3796] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000766a14bb 2 bytes [6A, 76]

.text ... * 2

.text C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe[3952] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 00000000766a1465 2 bytes [6A, 76]

.text C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe[3952] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000766a14bb 2 bytes [6A, 76]

.text ... * 2

---- Threads - GMER 2.1 ----

Thread C:\Windows\system32\svchost.exe [2560:1432] 000007fef68f44e0

Thread C:\Windows\system32\svchost.exe [2560:3328] 000007fef6972c20

Thread C:\Windows\system32\svchost.exe [2560:3204] 000007fef690d710

Thread [3644:3160] 00000000773b2e25

Thread [3644:3140] 00000000773b3e45

Thread [3644:1172] 00000000773b3e45

---- Registry - GMER 2.1 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{39BF037A-423E-441B-8854-AA303D5D2A4B}\Connection@Name isatap.{E284CF58-05D1-46C6-85B9-706E712A3A46}

Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{B448C74D-A0C3-4581-9700-7C523B5FEA28}\Linkage@Bind \Device\{39BF037A-423E-441B-8854-AA303D5D2A4B}?\Device\{DCA7A127-DA0B-4DC9-8DA2-3DD337CC02E9}?\Device\{5F19D302-4221-4863-9E6A-7D982DFD3D4E}?\Device\{0B8B0B68-4540-4A80-BA68-97C63B8E4A87}?\Device\{CD9BB7C8-A6B0-4161-9ACA-9C736724071E}?

Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{B448C74D-A0C3-4581-9700-7C523B5FEA28}\Linkage@Route "{39BF037A-423E-441B-8854-AA303D5D2A4B}"?"{DCA7A127-DA0B-4DC9-8DA2-3DD337CC02E9}"?"{5F19D302-4221-4863-9E6A-7D982DFD3D4E}"?"{0B8B0B68-4540-4A80-BA68-97C63B8E4A87}"?"{CD9BB7C8-A6B0-4161-9ACA-9C736724071E}"?

Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{B448C74D-A0C3-4581-9700-7C523B5FEA28}\Linkage@Export \Device\TCPIP6TUNNEL_{39BF037A-423E-441B-8854-AA303D5D2A4B}?\Device\TCPIP6TUNNEL_{DCA7A127-DA0B-4DC9-8DA2-3DD337CC02E9}?\Device\TCPIP6TUNNEL_{5F19D302-4221-4863-9E6A-7D982DFD3D4E}?\Device\TCPIP6TUNNEL_{0B8B0B68-4540-4A80-BA68-97C63B8E4A87}?\Device\TCPIP6TUNNEL_{CD9BB7C8-A6B0-4161-9ACA-9C736724071E}?

Reg HKLM\SYSTEM\CurrentControlSet\services\IpHlpSvc\Parameters\Isatap\{39BF037A-423E-441B-8854-AA303D5D2A4B}@InterfaceName isatap.{E284CF58-05D1-46C6-85B9-706E712A3A46}

Reg HKLM\SYSTEM\CurrentControlSet\services\IpHlpSvc\Parameters\Isatap\{39BF037A-423E-441B-8854-AA303D5D2A4B}@ReusableType 0

Reg HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Epoch2@Epoch 143

---- EOF - GMER 2.1 ----

Met vriendelijke groeten,

Hensyr

- - - Updated - - -

en dit ook nog van de GMER als ik die gewoon start als admin zonder scan:

GMER 2.1.19163 - http://www.gmer.net

Rootkit scan 2013-06-03 02:11:08

Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD6400AACS-00G8B1 rev.05.04C05 596,17GB

Running: gmer.exe; Driver: C:\Users\Hendrik\AppData\Local\Temp\kgriifob.sys

---- Threads - GMER 2.1 ----

Thread C:\Windows\system32\svchost.exe [704:776] 000007fefbf0332c

Thread C:\Windows\system32\svchost.exe [704:780] 000007fefbf010b0

Thread C:\Windows\system32\svchost.exe [704:5072] 000007fef4af2154

Thread C:\Windows\system32\svchost.exe [636:2940] 000007fef6150ea8

Thread C:\Windows\system32\svchost.exe [636:2944] 000007fef6149db0

Thread C:\Windows\system32\svchost.exe [636:2344] 000007fef6151c94

Thread C:\Windows\system32\svchost.exe [636:3088] 000007fef614aa10

Thread C:\Windows\system32\svchost.exe [636:7544] 000007fef57db1b0

Thread C:\Windows\system32\svchost.exe [848:5436] 000007fefa194164

Thread C:\Windows\system32\svchost.exe [1224:4492] 000007fef54b5170

Thread C:\Windows\System32\spoolsv.exe [1680:2188] 000000003f013714

Thread C:\Windows\System32\spoolsv.exe [1680:2192] 000000003f035690

Thread C:\Windows\System32\spoolsv.exe [1680:2216] 000007fef71010c8

Thread C:\Windows\System32\spoolsv.exe [1680:2228] 000007fef70c6144

Thread C:\Windows\System32\spoolsv.exe [1680:2232] 000007fef76b5fd0

Thread C:\Windows\System32\spoolsv.exe [1680:2244] 000007fef7013438

Thread C:\Windows\System32\spoolsv.exe [1680:2248] 000007fef76b63ec

Thread C:\Windows\System32\spoolsv.exe [1680:2288] 000007fef72d5e5c

Thread C:\Windows\System32\spoolsv.exe [1680:2308] 000007fef7305074

Thread C:\Windows\SysWOW64\svchost.exe [1540:4832] 00000000725917a4

Thread C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe [1664:1600] 0000000054a38f75

Thread C:\Windows\system32\svchost.exe [2524:2612] 000007fef76b5fd0

Thread C:\Windows\system32\svchost.exe [2524:2616] 000007fef7013438

Thread C:\Windows\system32\svchost.exe [2524:2620] 000007fef76b63ec

Thread [12616:7000] 00000000773b2e25

Thread [12616:7212] 00000000773b3e45

---- EOF - GMER 2.1 ----

kweezie wabbit · 3 juni 2013

Download de Emsisoft Emergency Kit naar het bureaublad en pak het ZIP bestand uit.

Open de map "EmsisoftEmergencyKit" en dubbelklik op "Start.exe"
Klik nu op "Emergency Kit Scanner" u krijg nu een melding dat het is aanbevolen om eerst te updaten sta dit toe door te klikken op "Ja"
Als de update gereed is en de melding "Update process is succesvol afgerond" verschijnt klikt u op "menu" en dan op "Scan PC"
Selecteer de optie "Diep" als deze niet standaard al zo is ingesteld.
Klik Nu op de knop "Scan" en doe verder niets op de computer tijdens het scannen, deze scan kan een geruime tijd in beslag nemen dus wacht dit geduldig af.
Het venster met de waarschuwing over een verhoogd risico kunt u sluiten als de scan gereed is.
Zorg ervoor dat alle gevonden items zijn aangevinkt en druk dan op de knop "verwijder geselecteerde" u zal nu de volgende melding krijgen maar klik hier op "Ja"
Als het verwijderen gereed is klikt u op de knop "View report" en selecteert u het tekstbestand van deze scan met de naam zoals: a2scan_110730-111615.txt
Plaats de inhoud van dit LOG bestand straks in uw volgende bericht.
Herstart nu de computer.

Hensyr · 6 juni 2013

Het heeft wat mogen duren, tijdens de eerste scan is mijn computer uit zichzelf herstart terwijl ik aan het werken was.

Dus ik weet niet goed wat de reden van een herstart is geweest maar ik denk op 9/10 dat het weer een BOSD is geweest van wege de slechte fan in de voeding die nog steeds niet is vervangen.

Enfin dat wordt nog herstelt, en nu de tweede poging om een scan te doen van Emsisoft Emergency Kit

Logje:

Emsisoft Emergency Kit - Versie 3.0

Laatste Update: 5/06/2013 3:05:06

Scaninstellingen:

Scantype: Diepe scan

Objecten: Rootkits, Geheugen, Sporen, C:\, D:\, E:\, M:\, R:\, S:\, Y:\

Detecteer riskware: Uit

Scan archieven: Aan

ADS Scan: Aan

Bestandsextensiefilter: Uit

Geavanceerde cache: Aan

Directe schijftoegang: Uit

Scan gestart: 5/06/2013 3:05:23

D:\My Downloads\Nero\nieuw\Nero 12 Platinum 12.0.020 + Patch + Key [EC]\Patch + Key\Patch [EC].exe Ontdekt: Trojan.Generic.9164132 (

Gescand 1319515

Gevonden 1

Scan geëindigd: 5/06/2013 11:05:58

Scantijd: 8:00:35

D:\My Downloads\Nero\nieuw\Nero 12 Platinum 12.0.020 + Patch + Key [EC]\Patch + Key\Patch [EC].exe Verwijderd Trojan.Generic.9164132 (

Verwijderd 1

Groeten,

Hensyr

kweezie wabbit · 7 juni 2013

Ga naar start -alle programma's - bureauaccessoires.

Klik met rechts op het icoon van de opdrachtprompt en kies voor uitvoeren als administrator om het opdrachtprompt te openen.

Typ sfc /scannow en druk enter. (let op de spatie voor de / )

Alle windows systeembestanden worden nu gecontroleerd op fouten en indien nodig vervangen door een correcte versie.

Hou de windows installatie cd/dvd bij de hand (als je er een hebt) want er kan om gevraagd worden.

Na de scan krijg je een overzicht van de resultaten en een verwijzing naar een CBS logbestand.

Wanneer u de melding krijgt: "Er zijn geen schendingen van de integriteit gevonden", voert u onderstaande niet uit. Krijgt u wel foutmeldingen, dan kan u onderstaande uitvoeren zodat we in een logje naar je problemen kunnen zien:

Typ nu findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log > "%userprofile%\Desktop\sfcdetails.txt" en druk enter.

Let op de spatie voor de / en %windir% en voor en na de >.

Nu zou je op je bureaublad het bestandje sfcdetails.txt moeten zien.

Voeg dit bestandje toe aan een volgend bericht.

Hensyr · 8 juni 2013

even gewoon proberen dit simpele tekstje door te sturen. vanaf het moment ik een tekst plak in dit venster krijg ik problemen.

- - - Updated - - -

dag Kweezie Wabbit,

om de een of andere reden lukt het me niet om de sfcdetails text te verzenden

ik kan het log hierin wel plakken maar van zodra ik op verzenden klik krijg ik na een poosje het nieuwe venstertje of ik de pagina werkelijk wil verlaten

ik heb al beide keuzes ja en nee gebruikt maar ik akn blijkbaar de geplakte text niet verzenden

- - - Updated - - -

het text berichtje heb ik nu toegevoegd via de uploader

[ATTACH]26329[/ATTACH]

- - - Updated - - -

spijtig dat je het volledige CBS log niet kan uploaden, het is enorm groot 17Mb

juisterr · 9 juni 2013

Probeer het eens met Gratis bestanden delen en uploaden via Mijn Bestand!

kweezie wabbit · 10 juni 2013

spijtig dat je het volledige CBS log niet kan uploaden, het is enorm groot 17Mb

Daarom ook dat we dit log filteren.

Er werd 1 bestand hersteld en de systeembestanden zouden nu OK moeten zijn.

Heeft de systeemscan iets veranderd aan de situatie?

Inloggen

Rootkit; Windows cannot access the specified device, path, or file. You may not...

Aanbevolen berichten

Link naar reactie

Delen op andere sites

Beste reacties in dit topic

Populaire dagen

Beste reacties in dit topic

Populaire dagen

Link naar reactie

Delen op andere sites

Link naar reactie

Delen op andere sites

Link naar reactie

Delen op andere sites

Link naar reactie

Delen op andere sites

Link naar reactie

Delen op andere sites

Link naar reactie

Delen op andere sites

Link naar reactie

Delen op andere sites

Link naar reactie

Delen op andere sites

Link naar reactie

Delen op andere sites

Welkom op PC Helpforum

Leden statistieken

OVER ONS

SITEMAP

Belangrijke informatie