kweezie wabbit

Malwarebytes heeft een heleboel rotzooi verwijderd maar de fix met hijackthis is niet helemaal gelukt. Heb je de fix uitgevoerd als administrator? Start Hijackthis op. Klik met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Vink alleen de items aan die hieronder zijn genoemd: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Analysis of program downloads scanned for viruses and spyware. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Analysis of program downloads scanned for viruses and spyware. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Analysis of program downloads scanned for viruses and spyware. R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) R3 - URLSearchHook: uTorrentBar_NL Toolbar - {87775fdb-6972-41f9-ae51-8326e38cb206} - C:\Program Files\uTorrentBar_NL\tbuTor.dll R3 - URLSearchHook: (no name) - {3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} - (no file) R3 - URLSearchHook: (no name) - {32b29df0-2237-4370-9a29-37cebb730e9b} - (no file) O2 - BHO: uTorrentBar_NL Toolbar - {87775fdb-6972-41f9-ae51-8326e38cb206} - C:\Program Files\uTorrentBar_NL\tbuTor.dll O3 - Toolbar: uTorrentBar_NL Toolbar - {87775fdb-6972-41f9-ae51-8326e38cb206} - C:\Program Files\uTorrentBar_NL\tbuTor.dll O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - D:\Player\__CDS2.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Maak dan een nieuw logje.

Open een nieuw kladblok bestand. Kopieer onderstaande tekst en plak deze in het kladblok bestand. strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" _ & strComputer & "\root\subscription") Set obj1 = objWMIService.Get("__EventFilter.Name='BVTFilter'") set obj2set = obj1.Associators_("__FilterToConsumerBinding") set obj3set = obj1.References_("__FilterToConsumerBinding") For each obj2 in obj2set WScript.echo "Deleting the object" WScript.echo obj2.GetObjectText_ obj2.Delete_ next For each obj3 in obj3set WScript.echo "Deleting the object" WScript.echo obj3.GetObjectText_ obj3.Delete_ next WScript.echo "Deleting the object" WScript.echo obj1.GetObjectText_ obj1.Delete_ Klik in het kladblok bovenaan in de menubalk op bestand en kies dan in het lijstje voor opslaan als... Sla het bestand op op je bureaublad. Als bestandsnaam geef je op error10.vbs Bij opslaan als klik je achteraan de lijn op het pijltje en kies voor alle bestanden (*.*) Sluit het bestand. Op het bureaublad zou nu het bestand error10.vbs moeten staan. Klik er op met de rechter muisknop en kies voor uitvoeren als administrator. Het scriptje zal nu uitgevoerd worden en de foutmelding 10 zal niet meer in het logboek verschijnen. Om dit te controleren, herstart je de pc en kijk dan naar de meldingen van na de herstart.

Malwarebytes heeft dus niks gevonden. Op een kleinigheid na is het logje van Hijckthis ook clean. Start Hijackthis op. Klik met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Vink alleen de items aan die hieronder zijn genoemd: O2 - BHO: uTorrentBar_NL Toolbar - {87775fdb-6972-41f9-ae51-8326e38cb206} - C:\Program Files\uTorrentBar_NL\tbuTor.dll Klik op 'Fix checked' om de items te verwijderen. Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd. **Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware. Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren. Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd: Klik op Ja om verder te gaan met het scannen naar malware. Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht. Indien je problemen hebt bij het uitvoeren van ComboFix, gelieve dit te melden.

Het is misschien geen ideale situatie maar kan je proberen om het taakbeheer open te zetten tijdens het gamen en zodra de cpu piekt, kijken welke processen het meest verbruiken? Druk gelijktijdig de toetsen Ctrl-Alt en Delete in en kies nu "Taakbeheer starten". Selecteer de Tab Processen en klik vervolgens onderaan op "Processen van alle gebruikers weergeven". Klik nu op de hoofding van de kolom "processor" tot de processen die cpu verbruiken bovenaan staan. Zo zie je welk proces het meeste van je cpu kracht vraagt. Maak nu van je Taakbeheer een afbeelding en voeg dit toe als bijlage in je volgende bericht zodat wij kunnen zien welk Proces/Processen zorgt voor de hoge CPU belasting.;-)

Malwarebytes heeft heel wat rotzooi opgeruimd en het hijackthis logje ziet er nu ook goed uit. Hoe staat het nu met de vensters? Nog steeds traag of is er verbetering?

Normaal zou het bestand CFScript.txt op je bureaublad moeten staan. Als het er niet staat, maken we toch gewoon een nieuw aan. Open een nieuw kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9D717F81-9148-4f12-8568-69135F087DB0}] Firefox:: FF - ProfilePath - c:\users\Wilma\AppData\Roaming\Mozilla\Firefox\Profiles\rpo6zsgk.default\ user_pref('extensions.dealply.partner', 'vita'); user_pref('extensions.dealply.channel', 'vitasuperfiles'); user_pref('extensions.dealply.installId', 'v23500235515865632970452012022411295722'); user_pref('extensions.dealply.installIdSource', 'inst'); user_pref('extensions.dealply.sampleGroup', '2'); Sla dit bestand op je bureaublad op als CFScript Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht

Het bestand systeemlog bevat enkel de hoofding van de kolommen. Zijn er geen foutmeldingen voor de ingestelde periode of is er iets mis gegaan? De oplossing van de foutmelding in het toepassinglog kan je hier vinden. Het is wel in het engels. Als je daar moeilijkheden me hebt, laat het dan weten; dan maak ik wel een vertaling.

Volgens mijn collega is die verminderde functionaliteit te wijten aan windows en niet aan combofix zelf. Ok, we gaan nog een poging doen met combofix. Open het bestand CFScript.txt Vervang de inhoud door onderstaande vetgedrukte tekst. Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9D717F81-9148-4f12-8568-69135F087DB0}] Firefox:: FF - ProfilePath - c:\users\Wilma\AppData\Roaming\Mozilla\Firefox\Profiles\rpo6zsgk.default\ user_pref('extensions.dealply.partner', 'vita'); user_pref('extensions.dealply.channel', 'vitasuperfiles'); user_pref('extensions.dealply.installId', 'v23500235515865632970452012022411295722'); user_pref('extensions.dealply.installIdSource', 'inst'); user_pref('extensions.dealply.sampleGroup', '2'); Sla het bestand op en sluit het kladblokvenster Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht

Welke provider heb je? We zullen eens kijken welk IP je hebt. Ga naar start - alle programma's - bureauaccesoires. Zoek het icoon van het opdrachtprompt en klik er op met de rechter muisknop en kies dan in het lijstje voor uitvoeren als administrator om het opdrachtprompt te openen. In het opdrachtprompt typ je ipconfig /all > c:\ipconfig.txt en druk enter. Let op de spatie voor de / en voor en na de >. C is de schijfletter van de systeemschijf; deze kan je aanpasssen indien de systeemschijf niet de letter C heeft. Open de verkenner en klik op de C schijf. Open het bestand ipconfig.txt en plak de inhoud in je volgend bericht of voeg het bestand ipconfig.txt toe aan je volgend bericht. Hoe je een bijlage toevoegt aan een bericht, kan je lezen in deze handleiding.

Als je normaal opstart, hoor je dan piepjes? 1 piepje is normaal. Als je meer piepjes krijgt, moet je ze noteren als een morse code (lang, kort, ...) en hier weeergeven. Meerdere piepjes zijn een aanduiding zijn dat er iets mis is met de hardware en de aard van de piepjes kunnen al een aanwijzing zijn om welk onderdeel het gaat. Bij dat plots afsluiten, krijg je dan een foutmelding of een blauw scherm met witte tekst? Kan je nog opstarten in veilige modus?

Bij mijn weten heeft combofix geen proefperiode maar ik zal het eens navragen bij mijn collega. Maar al onze acties hebben niet het gewenste resultaat wat die dealply zit nog steeds in je firefox. Kijk nogmaals bij de geinstalleerde add-ons of die dealply er nog tussen zit. Verwijderen, firefox herstarten en opnieuw de add-ons controleren. Wat is het resultaat?

Het hijackthis logje staat normaal in de map C:\Program Files (x86)\Trend Micro\HiJackThis\ onder de naam hijackthis.log Dubbelklikken op het logje om te openen. Open malwarebytes en ga naar de tab logbestanden. Het meest recente logje staat normaal onderaan de lijst maar controleer toch de datum en de tijd in de naam om zeker te zijn. Dubbelklikken op het gewenste logje om te openen. Nu kan je met kopieren en plakken de inhoud van de logjes hier plaatsen.

2 maal helaas De afbeelding is onleesbaar en in het word document ontbreken de belangrijkste gegevens. Doe nu hetzelfde met het logboek systeem en bewaar deze als systeem-log. Voeg beide bestanden toe aan een volgend bericht.

Kijk dan gelijk ook de aansluitingen en de werking van de fan voor het moederbord na, waarschijnlijk werkt die niet (goed) meer.

Dan moet je eigenlijk niet veel verder zoeken naar de oorzaak van de cpu pieken.

Hier heb je een korte handleiding hoe je met de logboeken moet omgaan. Voeg dit bestand toe aan je volgende bericht.

We zullen het bekijken als de scans met malwarebytes en hijackthis gedaan zijn. Plaats de logjes maar, dan weten we meer.

Het is niet de processor maar het moederbord die op kookpunt staat. Te hoge temperaturen van een PC / laptop worden meestal veroorzaakt door een te hoog stofgehalte. Om dit op een veilige manier te verwijderen verwijzen we graag naar deze zeer duidelijke uitleg. Neem de tips grondig door en doe het nodige om je systeem stofvrij te (laten) maken…nadien kan je ons dan de nieuwe resultaten van Speccy bezorgen.

Je haalt me de woorden uit de mond.We hebben zowat alle tips en trukken uitgeprobeerd en niks geeft een blijvend resultaat. Ik vrees dat we de optie herinstallatie of herstel naar fabrieksinstellingen serieus in overweging moeten nemen. Beschik je over de middelen om een herstelinstallatie te doen (herstelschijven of een herstelpartie) ?

Deze logjes zien er prima uit. Heb je nog last van die foutmelding?

Bij mij lukte het verwijderen ook niet. Ach ja, ik gebruikte een engelstalige versie van Firefox. Je moet herinitialiseren nemen.

Kan je in de verwijdergeschiedenis van MSE zien welk bestand besmet was en waar het stond? Start Hijackthis op. Klik met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Vink alleen de items aan die hieronder zijn genoemd: R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file) O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O20 - Winlogon Notify: cbxwwtr - cbxwwtr.dll (file missing) O20 - Winlogon Notify: jkhhg - C:\WINDOWS\system32\jkhhg.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Maak een nieuw logje.

Wanneer krijg je die melding? Op welke pagina ben je dan en op welke knop of link klik je dan?

Start Hijackthis op. Klik met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Vink alleen de items aan die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Your Home Page Has Been Changed R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Panda Security Toolbar - {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} - C:\Program Files (x86)\Panda Security\Panda Security Toolbar\PandaSecurityDx.dll O3 - Toolbar: Panda Security Toolbar - {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} - C:\Program Files (x86)\Panda Security\Panda Security Toolbar\PandaSecurityDx.dll Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... Dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log. In bericht 5 zeg je Kan dit verduidelijken?Om welk stuurprogramma gaat het? Krijg je dan foutmeldingen ofzo?

De fouten die registry booster aangeeft, mag je inderdaad herstellen. Een groot aantal van deze fouten zijn het gevolg van de malware die verwijderd werd. Die dealply zit toch nog in je firefox Heb je firefox herstart na de verwijdering van de dealply extensie? Start firefox, typ about:config in de adresbalk en druk enter. Je krijgt nu een waarschuwing dat het gevaarlijk is om verder te gaan en dat bij foute manipulatie de browser misschien niet meer zal werken. Klik hier op de knop ik weet wat ik doe. In het tekstvak van Filter typ je dealply Je zou nu enkel deze lijnen moeten zien Probeer ze te verwijderen en als dat niet lukt, klik ze dan een voor een aan met rechts en klik dan op reset Sluit firefox en doe nogmaals een scan met combofix.