kape

Nu is het wel perfect verlopen ... de benodigde aanpassingen zijn gedaan en je logje ziet er prima uit. Maar dan is de vraag : is hiermee ook je probleem opgelost ?

Heb je dit ook uitgevoerd ? Want op basis van de resultaten van je nieuwe log lijkt dat niet het geval te zijn. Tenzij de aanpassingen mislukt zouden zijn, natuuurlijk. Download MVPS Hosts. Unzip het programma naar een door u bepaalde locatie. Windows XP Klik op mvps.bat en kies voor “uitvoeren” om mvps.bat op te starten (*). Druk op toets om door te gaan. Van het bestaande bestand HOSTS op de standaardlocatie C:\windows\system32\drivers\etc wordt een backup gemaakt met de naam HOSTS.MVP Dan wordt het bestand vervangen door de actuele MVPS Hosts-versie. (*) Windows Vista en Windows 7 gebruikers moeten rechtsklikken op mvps.bat en kiezen voor ”uitvoeren als administrator” om mvps.bat op te starten.

Maar het was wel de bedoeling dat je het uitgepakte bestand TDSSKiller.exe van naam wijzigde en dan liet scannen (niet het zip- of rar-bestand).

Doe hetzelfde nog eens met deze tekst : Folders to delete: C:\Program Files (x86)\PC Veilig

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop "Updater Service for StartNow Toolbar" Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete"Updater Service for StartNow Toolbar" Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: O2 - BHO: StartNow Toolbar Helper - {6E13D095-45C3-4271-9475-F3B48227DD9F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll O3 - Toolbar: StartNow Toolbar - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k Klik op 'Fix checked' om de items te verwijderen. Download MVPS Hosts. Unzip het programma naar een door u bepaalde locatie. Windows XP Klik op mvps.bat en kies voor “uitvoeren” om mvps.bat op te starten (*). Druk op toets om door te gaan. Van het bestaande bestand HOSTS op de standaardlocatie C:\windows\system32\drivers\etc wordt een backup gemaakt met de naam HOSTS.MVP Dan wordt het bestand vervangen door de actuele MVPS Hosts-versie. (*) Windows Vista en Windows 7 gebruikers moeten rechtsklikken op mvps.bat en kiezen voor ”uitvoeren als administrator” om mvps.bat op te starten. Download MBAM (Malwarebytes Anti-Malware)[/url] Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Download The Avenger by Swandog46 naar je bureaublad. Klik op Avenger.zip Pak het bestand uit naar je bureaublad. Start The Avenger door op het icoontje te dubbelklikken. Vista en Windows 7 ->rechtsklik uitvoeren als Administrator. Zet een vinkje bij 'Scan for rootkits en vink Automatically disable any rootkits found' uit. In het venster Input Script here, kopieer en plak je het volgende: Folders to delete: C:\Program Files (x86)\Pc Veilig Opgelet: Bovenstaande code werd enkel gemaakt voor deze computer/situatie/user. Indien je deze code op een andere computer gebruikt kan het schade toebrengen! Klik nu op de knop Execute. Klik Yes om te bevestigen. Klik Yes wanneer gevraagd wordt om je PC te rebooten. Je PC zal rebooten, indien niet doe het dan manueel. Na reboot opent een logfile (avenger .txt). Post de inhoud van de logfile. De logfile van Avenger staat ook in C:\avenger.txt

Wijzig de naam van het bestand TDSSKiller.exe eens in 12345.exe ... en probeer dan eens of daarmee te scannen valt ?

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\users\Loch\AppData\Local\BIT59D2.tmp c:\users\Loch\AppData\Local\Temp\002E7B2.tmp c:\users\Loch\AppData\Local\Temp\003B61A.tmp c:\users\Loch\AppData\Local\Temp\00567D6.tmp Folder:: c:\programdata\{93E26451-CD9A-43A5-A2FA-C42392EA4001} c:\users\Loch\AppData\Local\{D25D1306-D270-4315-9E73-99864914DC21} Driver:: X6va002 X6va003 X6va005 Registry:: [-HKEY_LOCAL_MACHINE\system\ControlSet001\services\X6va002] [-HKEY_LOCAL_MACHINE\system\ControlSet001\services\X6va003] [-HKEY_LOCAL_MACHINE\system\ControlSet001\services\X6va005] Sla dit bestand op je bureaublad op als CFScript. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht. En dan nog een vraagje : zitten F-Secure en PC Veilig op deze locaties? C:\Program Files (x86)\F-Secure C:\Program Files (x86)\PC Veilig ... of eventueel met een iets afwijkende naam ? Geef die dan even mee in je volgend bericht.

OK, wil je dan eens alle mogelijkheden van TDSS Killer die we je aangeboden hebben, trachten uit te voeren in "veilige modus" ? Zien of het dan wél lukt ?

Is dit log aswMBR.txt op deze locatie E:\Documents and Settings\Michel\Mijn documenten\Mijn afbeeldingen\Allerlei\aswMBR.txt identiek aan het log dat je in vorig bericht hebt gepost ?

Eerst de restjes van de besmetting opruimen. Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht en typ: ComboFix /Uninstall Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Indien aanwezig mag je de map C:\Qoobox manueel verwijderen. Download CCleaner. Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. En daarna zo snel mogelijk een nieuw antivirusprogramma downloaden en installeren. Wil je het gratis dan zijn Avast, Antivir of AVG aanbevolen programma's.

En verwijderen via Software heb je al gedaan ? Zo ja, maak dan even het volgende : Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier 2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal. 3. Dubbelklik op "Combofix.exe" om de tool te starten. 4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen. Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer. 5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Dit ziet er goed uit. Hoe gedraagt de PC zich nu ?

Lijkt me zinvol om je provider daar eens over te contacteren. Want indien het in de dag wél lukt en 's avonds niet, is de kans klein dat het aan de PC zelf ligt. Dan lijkt het eerder een probleem van verbindingen of van je net.

Download aswMBR.exe naar het bureaublad. Dubbelklik op "aswMBR.exe" om de tool te starten. Klik bij het volgende venster op "Nee" Klik op de knop "scan" Als de scan gereed is klikt u op de knop "save log" Plaats dit log bestand in het volgende bericht.

Heb je toevallig geen tweede scherm ? Of kan je er even ééntje lenen ? Dan zou je met zekerheid kunnen uitsluiten dat het niet aan het scherm zelf ligt.

In dit log lijken geen essentiële onderdelen van F-Secure en/of PC Veilig aanwezig te zijn. Heb je op deze PC nu nog sporen van één van beide scanners ?

Download The Avenger by Swandog46 naar je bureaublad. Klik op Avenger.zip Pak het bestand uit naar je bureaublad. Start The Avenger door op het icoontje te dubbelklikken. Vista en Windows 7 ->rechtsklik uitvoeren als Administrator. Zet een vinkje bij 'Scan for rootkits en vink Automatically disable any rootkits found' uit. In het venster Input Script here, kopieer en plak je het volgende: [b]files to delete: [/b][b]C:/windows/system32/drivers/etc/hosts Folders to delete: C:/windows/system32/drivers/etc/hosts[/b] Opgelet: Bovenstaande code werd enkel gemaakt voor deze computer/situatie/user. Indien je deze code op een andere computer gebruikt kan het schade toebrengen! Klik nu op de knop Execute. Klik Yes om te bevestigen. Klik Yes wanneer gevraagd wordt om je PC te rebooten. Je PC zal rebooten, indien niet doe het dan manueel. Na reboot opent een logfile (avenger .txt). Post de inhoud van de logfile. De logfile van Avenger staat ook in C:\avenger.txt

Krijg je nu - na al deze behandelingen - nog virusmeldingen op de PC ?

Beste De Jong, Wij hebben uw discussie gesloten wegens het vermoeden van illegale praktijken. Downloaden van een OS is een schending van de wetgeving op het copyright. Als forum mogen/willen/kunnen we hier geen hulp aanbieden om zelf niet in problemen te komen. Bij vragen of opmerkingen mag u me per privébericht contacteren. Vriendelijke groeten, KAPE

Ook al eens geprobeerd om in "veilige modus" op te starten ? En dat hard gerammel, kan je dat localiseren bvb. je harde schijf, ventilatie, o.i.d. ?

In het huidige topic waren je laatste suggesties helemaal naast de kwestie. Logisch dat ik dat dan ook moet melden aan de TS, die zo verder geen nutteloos en overbodig werk moet doen. Het feit dat TS bevestigd heeft dat alles nu OK is, bewijst alleen maar dat al je extra's overbodig waren.Bovendien : zoals ik je eerder al persoonlijk gemeld heb, zijn het in verband met malware enkel Kweezie Wabbit en mezelf die dergelijke zaken behandelen. Lees er even dit topic op na. Meer nog : via persoonlijk bericht - na je eerste inbreuken op deze regel - heb je zelf gemeld dat je mogelijke suggesties eerst aan één van de twee malwarebestrijders zou voorleggen, voordat je ze zou posten in open forum. Op dat vlak ben je wel erg vergeetachtig, want de laatste dagen ben je opnieuw vrolijk aan het posten in een domein waar je dit niet mocht doen. Het is uiteraard de bedoeling dat we trachten de problemen van TS'ers op te lossen, maar we doen dat op PCH wél volgens de geldende afspraken. Indien je je daar niet aan wil of kan houden, zullen we niet alleen je berichten richting exit begeleiden, maar zullen we ook jouw aanwezigheid op PCH (wegens niet-nakomen van de regels) ernstig in vraag stellen. Laat ons hopen dat dit niet zo ver moet komen ... en dat je je plots je eerdere afspraken kan herinneren.

Nog een extra vraagje : blijft hij telkens hangen bij die Windows Server ?

De Removal Tool van F-Secure kan je hier downloaden. Mocht dat nog geen volledige opruiming bieden, mag je even het volgende doen : 1. Download HijackThis. Klik bij "HijackThis Downloads" op "Installer". Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren". Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. Als je geen netwerkverbinding meer hebt, kan je de download doen met een andere pc en het bestand met een usb stick overbrengen Als je enkel nog in veilige modus kan werken, moet je de executable downloaden. Sla deze op in een nieuwe map op de C schijf (bvb C:\\hijackthis) en start hijackthis dan vanaf deze map. De logjes kan je dan ook in die map terugvinden. 2. Klik op de snelkoppeling om HijackThis te starten. (lees eerst de rode tekst hieronder!) Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog". Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets. Krijg je een melding ""For some reason your system denied writing to the Host file ....", klik dan gewoon door op de OK-toets. Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\\Program Files\\Trend Micro\\HiJackThis of C:\\Program Files (x86)\\Trend Micro\\HiJackThis. (Bekijk hier de afbeelding ---> Bijlage 12634) Wil je in woord en beeld weten hoe je een logje met HijackThis maakt en plaatst op het forum, klik dan HIER

Blijkbaar is de map C:\Qoobox nog niet helemaal verwijderd. AVG heeft de bestanden in de quarantaine aangemerkt als besmet (wat correct is) en ze verplaatst naar de quarantaine van AVG. Ook de melding bij HijackThis is een gevolg van eerdere acties. In de backup zit daar ook een besmet bestand, dat AVG (ook weer correct) verplaatst heeft naar de eigen quarantaine. Indien je dit alles helemaal wil opruimen moet je de map C:\Qoobox manueel verwijderen en kan je ook het programma HijackThis (via Software) of via de map C:\Program Files\Trend Micro\HiJackThis definitief opruimen. Heb je beiden gedaan dan zou AVG geen virusmeldingen meer mogen genereren. Dit zijn dus geen "valse positieven" zoals Michel1960 hier eerder heeft gemeld, maar correcte handelingen van je antivirusprogramma. Ook zijn verdere suggesties moet je niet meer uitvoeren.