kweezie wabbit

Start dan op met de kaspersky rescue disk en laat je systeem scannen en de gevonden bedreigingen verwijderen. Welke opties krijg je als je opstart in veilige modus?

Niet alle lijnen zijn gefixt. Heb je hijackthis uitgevoerd als administrator? Voer dan onderstaande uit in veilig modus en als administrator. Start Hijackthis op. Klik met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Vink alleen de items aan die hieronder zijn genoemd: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Analysis of program downloads scanned for viruses and spyware. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Analysis of program downloads scanned for viruses and spyware. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Analysis of program downloads scanned for viruses and spyware. R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - (no file) O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file) O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file) Klik op 'Fix checked' om de items te verwijderen. Herstart de pc in normale modus en maak een nieuw logje.

Op deze logjes is niks aan te merken. Stop die sfcdetails.txt in een zip bestand en voeg dat dan toe als bijlage. Dan zal ik wel zien wat ik er mee kan doen.

Voor de volledigheid heb je hier de volledige werkwijze voor CCleaner. Download CCleaner. (Als je het nog niet hebt) Installeer het (Als je niet wil dat Google Chrome op je pc als standaard webbrowser wordt geïnstalleerd, moet je de 2 vinkjes wegdoen !!!) en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

Het combofix logje ziet er OK uit. Kan je nog een nieuw hijackthis logje maken?

Ik was op een engelse versie bezig op dat moment, en ik wist niet juist wat de nederlandse benaming was.

Dit ziet er goed uit. Nog last van vastlopen?

Ga naar start - alle programma's - bureauaccesoires. Zoek het icoon van het opdrachtprompt en klik er op met de rechter muisknop en kies dan in het lijstje voor uitvoeren als administrator om het opdrachtprompt te openen. Tik in: sc stop KMService en druk op Enter. Tik in: sc delete KMService en druk op Enter. Tik in exit en druk Enter. Als je op een van deze instructies een foutmelding krijgt, ga dan gewoon door met de volgende instructie. Start Hijackthis op. Klik met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Vink alleen de items aan die hieronder zijn genoemd: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Analysis of program downloads scanned for viruses and spyware. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Analysis of program downloads scanned for viruses and spyware. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Analysis of program downloads scanned for viruses and spyware. R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R3 - URLSearchHook: (no name) - {9427041a-a8dc-4d06-9a68-93873486e957} - (no file) R3 - URLSearchHook: (no name) - {0734d757-fea6-4637-a7e4-2bd40a7fd8da} - (no file) R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file) O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~1\mcafee\msk\mskapbho.dll O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - (no file) O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file) O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file) Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... Dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Welke office versie gebruik je? Selecteer de cel B2 Klik dan in het lint op Beeld en zoek de optie Vensters vastzetten. Als je daar op klikt, kan je kiezen of je de eerste rij, de eerste kolom of beide wil vastzetten.

Kijk eens welke processen de cpu belasten in de trage periode vlak na het opstarten. Druk gelijktijdig de toetsen Ctrl-Alt en Delete in en kies nu "Taakbeheer starten". Selecteer de Tab Processen en klik vervolgens onderaan op "Processen van alle gebruikers weergeven". Klik nu op de hoofding van de kolom "processor" tot de processen die cpu verbruiken bovenaan staan. Zo zie je welk proces het meeste van je cpu kracht vraagt. Maak nu van je Taakbeheer een afbeelding en voeg dit toe als bijlage in je volgende bericht zodat wij kunnen zien welk Proces/Processen zorgt voor de hoge CPU belasting.;-)

Als je pc terug normaal opstart, kunnen we de rest van de malware controle doen. 1. Download HijackThis. (klik er op) Klik op HijackThis.msi en de download start automatisch na 5 seconden. Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren". Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. Als je geen netwerkverbinding meer hebt, kan je de download doen met een andere pc en het bestand met een usb stick overbrengen Als je enkel nog in veilige modus kan werken, moet je de executable (HijackThis.exe) downloaden. Sla deze op in een nieuwe map op de C schijf (bvb C:\hijackthis) en start hijackthis dan vanaf deze map. De logjes kan je dan ook in die map terugvinden. 2. Klik op de snelkoppeling om HijackThis te starten. (lees eerst de rode tekst hieronder!) Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog". Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets. Krijg je een melding ""For some reason your system denied writing to the Host file ....", klik dan gewoon door op de OK-toets. Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis. (Bekijk hier de afbeelding ---> Klik hier) 3. Na het plaatsen van je logje wordt dit door een expert (Kape of Kweezie Wabbit) nagekeken en begeleidt hij jou verder door het ganse proces. Tip! Wil je in woord en beeld weten hoe je een logje met HijackThis maakt en plaatst op het forum, klik dan HIER.

Start Hijackthis op. Klik met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Vink alleen de items aan die hieronder zijn genoemd: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Analysis of program downloads scanned for viruses and spyware. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Analysis of program downloads scanned for viruses and spyware. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Analysis of program downloads scanned for viruses and spyware. R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = Klik op 'Fix checked' om de items te verwijderen. Maak een nieuw logje. Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier 2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal. 3. Dubbelklik op "Combofix.exe" om de tool te starten. 4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen. Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer. 5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Heel goed, dat was de juiste reactie Start de pc op in veilige modus met netwerkmogelijkheden. Start Hijackthis op. Klik met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Vink alleen de items aan die hieronder zijn genoemd: O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O4 - HKUS\S-1-5-18\..\Run: [4Y3Y0C3AWF7W0VWDBNJJC] C:\Recycle.Bin\B6232F3AFAD.exe /q (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [4Y3Y0C3AWF7W0VWDBNJJC] C:\Recycle.Bin\B6232F3AFAD.exe /q (User 'Default user') Klik op 'Fix checked' om de items te verwijderen. Onderstaande mag je ook uitvoeren in veilige modus. Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier 2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal. 3. Dubbelklik op "Combofix.exe" om de tool te starten. 4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen. Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer. 5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Ik zie sporen van 2 virusscaners: Avira en Ad-Aware Antivirus. 1 virusscanner is wel voldoende; meerdere virusscanners kunnen elkaar hinderen en de werking van andere programma's vertragen of blokkeren. Kies welke virusscanner je wil behouden en verwijder de andere. Ga naar start - alle programma's - bureauaccesoires. Zoek het icoon van het opdrachtprompt en klik er op met de rechter muisknop en kies dan in het lijstje voor uitvoeren als administrator om het opdrachtprompt te openen. Tik in: sc stop npggsvc en druk op Enter. Tik in: sc delete npggsvc en druk op Enter. Tik in: sc stop NVSvc en druk op Enter. Tik in: sc delete NVSvc en druk op Enter. Tik in exit en druk Enter. Als je op een van deze instructies een foutmelding krijgt, ga dan gewoon door met de volgende instructie. Start Hijackthis op. Klik met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Vink alleen de items aan die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... Dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Open een nieuw kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. DDS:: DPF: CabBuilder - IE: Translate this web page with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm IE: Translate with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm Trusted Zone: 0.0.0.0 Folder:: c:\documents and settings\All Users\Application Data\21D4 Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Babylon Client] Firefox:: FF - ProfilePath - c:\documents and settings\Administrator\Application Data\Mozilla\Firefox\Profiles\lu5u4d9t.default\ FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: keyword.URL - hxxp://mp3rocketsearch.com/?prt=mp3rockettb02ff&Keywords= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: keyword.URL - hxxp://mp3rocketsearch.com/?prt=mp3rockettb02ff&Keywords= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: browser.startup.homepage - hxxp://doenormaal.eigenstart.nl/ FF - prefs.js: keyword.URL - hxxp://mp3rocketsearch.com/?prt=mp3rockettb02ff&Keywords= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/mb111?a=1jSpmydGEK3 FF - prefs.js: keyword.URL - hxxp://mp3rocketsearch.com/?prt=mp3rockettb02ff&Keywords= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: browser.startup.homepage - hxxp://doenormaal.eigenstart.nl/ FF - prefs.js: keyword.URL - hxxp://mp3rocketsearch.com/?prt=mp3rockettb02ff&Keywords= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/mb111?a=1jSpmydGEK3 FF - prefs.js: keyword.URL - hxxp://mp3rocketsearch.com/?prt=mp3rockettb02ff&Keywords= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: browser.startup.homepage - hxxp://doenormaal.eigenstart.nl/ FF - prefs.js: keyword.URL - hxxp://mp3rocketsearch.com/?prt=mp3rockettb02ff&Keywords= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/mb111?a=1jSpmydGEK3 FF - prefs.js: keyword.URL - hxxp://mp3rocketsearch.com/?prt=mp3rockettb02ff&Keywords= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - MyStart Search FF - prefs.js: browser.startup.homepage - hxxp://doenormaal.eigenstart.nl/ FF - prefs.js: keyword.URL - hxxp://mp3rocketsearch.com/?prt=mp3rockettb02ff&Keywords= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - MyStart Search FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/mb111?a=1jSpmydGEK3 FF - prefs.js: keyword.URL - hxxp://mp3rocketsearch.com/?prt=mp3rockettb02ff&Keywords= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - MyStart Search FF - prefs.js: browser.startup.homepage - hxxp://doenormaal.eigenstart.nl/ FF - prefs.js: keyword.URL - hxxp://mp3rocketsearch.com/?prt=mp3rockettb02ff&Keywords= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - MyStart Search FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/mb111?a=1jSpmydGEK3 FF - prefs.js: keyword.URL - hxxp://mp3rocketsearch.com/?prt=mp3rockettb02ff&Keywords= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - MyStart Search FF - prefs.js: browser.startup.homepage - hxxp://doenormaal.eigenstart.nl/ FF - prefs.js: keyword.URL - hxxp://mp3rocketsearch.com/?prt=mp3rockettb02ff&Keywords= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - MyStart Search FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/mb111?a=1jSpmydGEK3 FF - prefs.js: keyword.URL - hxxp://mp3rocketsearch.com/?prt=mp3rockettb02ff&Keywords= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - MyStart Search FF - prefs.js: browser.startup.homepage - hxxp://doenormaal.eigenstart.nl/ FF - prefs.js: keyword.URL - hxxp://mp3rocketsearch.com/?prt=mp3rockettb02ff&Keywords= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - MyStart Search FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/mb111?a=1jSpmydGEK3 FF - prefs.js: keyword.URL - hxxp://mp3rocketsearch.com/?prt=mp3rockettb02ff&Keywords= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: browser.startup.homepage - hxxp://doenormaal.eigenstart.nl/ FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/mb111/?loc=ff_address_bar&a=1jSpmydGEK3&search= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/mb111?a=1jSpmydGEK3 FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/mb111/?loc=ff_address_bar&a=1jSpmydGEK3&search= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: browser.startup.homepage - hxxp://doenormaal.eigenstart.nl/ FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/mb111/?loc=ff_address_bar&a=1jSpmydGEK3&search= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/mb111?a=1jSpmydGEK3 FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/mb111/?loc=ff_address_bar&a=1jSpmydGEK3&search= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: browser.startup.homepage - hxxp://doenormaal.eigenstart.nl/ FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/mb111/?loc=ff_address_bar&a=1jSpmydGEK3&search= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/mb111?a=1jSpmydGEK3 FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/mb111/?loc=ff_address_bar&a=1jSpmydGEK3&search= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: browser.startup.homepage - hxxp://doenormaal.eigenstart.nl/ FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/mb111/?loc=ff_address_bar&a=1jSpmydGEK3&search= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/mb111?a=1jSpmydGEK3 FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/mb111/?loc=ff_address_bar&a=1jSpmydGEK3&search= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - MyStart Search FF - prefs.js: browser.startup.homepage - hxxp://doenormaal.eigenstart.nl/ FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/mb111/?loc=ff_address_bar&a=1jSpmydGEK3&search= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - MyStart Search FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/mb111?a=1jSpmydGEK3 FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/mb111/?loc=ff_address_bar&a=1jSpmydGEK3&search= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - MyStart Search FF - prefs.js: browser.startup.homepage - hxxp://doenormaal.eigenstart.nl/ FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/mb111/?loc=ff_address_bar&a=1jSpmydGEK3&search= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - MyStart Search FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/mb111?a=1jSpmydGEK3 FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/mb111/?loc=ff_address_bar&a=1jSpmydGEK3&search= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - MyStart Search FF - prefs.js: browser.startup.homepage - hxxp://doenormaal.eigenstart.nl/ FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/mb111/?loc=ff_address_bar&a=1jSpmydGEK3&search= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - MyStart Search FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/mb111?a=1jSpmydGEK3 FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/mb111/?loc=ff_address_bar&a=1jSpmydGEK3&search= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - MyStart Search FF - prefs.js: browser.startup.homepage - hxxp://doenormaal.eigenstart.nl/ FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/mb111/?loc=ff_address_bar&a=1jSpmydGEK3&search= FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch FF - prefs.js: browser.search.selectedEngine - MyStart Search FF - prefs.js: browser.startup.homepage - hxxp://mystart.incredimail.com/mb111?a=1jSpmydGEK3 FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/mb111/?loc=ff_address_bar&a=1jSpmydGEK3&search= FF - user.js: keyword.URL - hxxp://mp3rocketsearch.com/?prt=mp3rockettb02ff&Keywords= Sla dit bestand op als CFScript in de map waar je combofix.exe hebt opgeslagen. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht

Dat klopt helemaal. Partitioneren kan je nadien ook nog indien nodig of gewenst. Ik zou op de D wel een nieuw map aanmaken en alles van de J daarin zetten, dan weet je achteraf perfect wat er weer naar de externe schijf moet. Ik zou ook niet alles in een keer kopieren maar in kleinere stukken want met +- 30GB is de pc wel een tijdje zoet.

Start Hijackthis op. Klik met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Vink alleen de items aan die hieronder zijn genoemd: O8 - Extra context menu item: &Search - http://tbedits.mywebsearch.com/one-t...D&n=2012021702 O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (file missing) O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (file missing) O18 - Protocol: radiobarchrome - {F555AF97-E21F-4874-82CB-8D9FA2797A79} - C:\Program Files\RadioBar\radiobar_toolbar.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Maak dan een nieuw logje. Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd. **Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware. Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren. Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd: Klik op Ja om verder te gaan met het scannen naar malware. Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht. Indien je problemen hebt bij het uitvoeren van ComboFix, gelieve dit te melden.

Probeer of je met systeemherstel terug kan naar een herstelpunt van net voor de laatste updates. Als dat lukt, kan je eerst de updates weer volledig installeren en dan kijken of het probleem opgelost is.

Start Hijackthis op. Klik met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Vink alleen de items aan die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll R3 - URLSearchHook: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files\NCH_EN\prxtbNCH_.dll R3 - URLSearchHook: IncrediMail MediaBar Nederlands 2 Toolbar - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbInc0.dll O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll O2 - BHO: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - (no file) O2 - BHO: NCH EN - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files\NCH_EN\prxtbNCH_.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)O2 - BHO: (no name) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - (no file) O2 - BHO: (no name) - {7FF99715-3016-4381-84CE-E4E4C9673020} - (no file) O2 - BHO: DVDVideoSoftTB - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll O2 - BHO: IncrediMail MediaBar Nederlands 2 - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbInc0.dll O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll O2 - BHO: RadioBar Toolbar - {C1436D14-2729-46AC-8270-80338E5E9978} - C:\Program Files\RadioBar\radiobar_toolbar.dll O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" (file missing) O3 - Toolbar: RadioBar Toolbar - {C1436D14-2729-46AC-8270-80338E5E9978} - C:\Program Files\RadioBar\radiobar_toolbar.dll O3 - Toolbar: (no name) - {7FF99715-3016-4381-84CE-E4E4C9673020} - (no file) O3 - Toolbar: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - (no file) O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll O3 - Toolbar: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files\NCH_EN\prxtbNCH_.dll O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" (file missing) O3 - Toolbar: IncrediMail MediaBar Nederlands 2 Toolbar - {95324e44-4b0a-47a9-8f77-9c6415e51c29} - C:\Program Files\IncrediMail_MediaBar_Nederlands_2\prxtbInc0.dll O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O9 - Extra button: Download Video - {11F19C45-9675-488A-A8E0-8E8234DC245D} - res://C:\Program Files\Tomato\FLV Player\MDIEEx.dll/211 (file missing) O9 - Extra 'Tools' menuitem: Download Video on This Page - {11F19C45-9675-488A-A8E0-8E8234DC245D} - res://C:\Program Files\Tomato\FLV Player\MDIEEx.dll/211 (file missing) O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file) O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file) O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.5.4.11.dll/206 (file missing) O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... Dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Ga naar start - alle programma's - bureauaccesoires. Zoek het icoon van het opdrachtprompt en klik er op met de rechter muisknop en kies dan in het lijstje voor uitvoeren als administrator om het opdrachtprompt te openen. Tik in: sc stop AMService en druk op Enter. Tik in: sc delete AMService en druk op Enter. Tik in exit en druk Enter. Als je op een van deze instructies een foutmelding krijgt, ga dan gewoon door met de volgende instructie. Start Hijackthis op. Klik met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Vink alleen de items aan die hieronder zijn genoemd: R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKUS\S-1-5-18\..\Run: [4Y3Y0C3AWF7W0VWDBNJJC] C:\Recycle.Bin\B6232F3AFAD.exe /q (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [4Y3Y0C3AWF7W0VWDBNJJC] C:\Recycle.Bin\B6232F3AFAD.exe /q (User 'Default user') Klik op 'Fix checked' om de items te verwijderen. Download CCleaner. (Als je het nog niet hebt) Installeer het (Als je niet wil dat Google Chrome op je pc als standaard webbrowser wordt geïnstalleerd, moet je de 2 vinkjes wegdoen !!!) en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Maak nu een nieuw logje van hijackthis.

Heb je in menu van velige modus de mogelijkheid van een systeemherstel te doen of de optie laatst gekende goed configuratie? Probeer dan een van deze 2. Ga naar start - alle programma's - bureauaccesoires. Zoek het icoon van het opdrachtprompt en klik er op met de rechter muisknop en kies dan in het lijstje voor uitvoeren als administrator om het opdrachtprompt te openen. Tik in: sc stop KMService en druk op Enter. Tik in: sc delete KMService en druk op Enter. Tik in exit en druk Enter. Als je op een van deze instructies een foutmelding krijgt, ga dan gewoon door met de volgende instructie. Start Hijackthis op. Klik met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Vink alleen de items aan die hieronder zijn genoemd: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Analysis of program downloads scanned for viruses and spyware. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Analysis of program downloads scanned for viruses and spyware. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Analysis of program downloads scanned for viruses and spyware. R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: McAfee Security Scan Plus.lnk = ? Klik op 'Fix checked' om de items te verwijderen. Maak een nieuw logje.

Je kan het bestand downloaden vanop deze pagina. Je moet de blauwe downloadknop nemen en het bestand opslaan in de map C:\Windows\System32

Normaal kan Hijackthis de klus klaren maar aangezien die niet werkt onder mini XP ... Kijk anders eens in die mini XP of malwarebytes en/of combofix beschikbaar zijn in de lijst. Malwarebytes uitvoeren en alle gevonden besmettingen laten verwijderen. Dan combofix uitvoeren. Logjes van beide scans bewaren op stick en hier posten.

Als je de instelling van de netwerkadapter hebt aangepast, moet je gewoon enkele dagen afwachten en nagaan of de pc nog spontaan herstart vanuit slaapstand. Als dat niet meer gebeurt, mag je dit onderwerp afsluiten door een klik op de knop +Markeer als opgelost. Nog veel computerplezier

Verwijder flash player en ruim dan het register op met CCleaner. Download CCleaner. (Als je het nog niet hebt) Installeer het (Als je niet wil dat Google Chrome op je pc als standaard webbrowser wordt geïnstalleerd, moet je de 2 vinkjes wegdoen !!!) en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Installeer nu flash player opnieuw.