kape

Dit ziet er zeker geslaagd uit. Nog even het volgende en dan zijn we bijna klaar : Download Security Check en sla dit op je bureaublad op. Start Security Check Volg de instructies op het scherm. Aan het eind verschijnt een log (checkup.txt). Plaats de inhoud ervan in je volgende antwoord. Sluit kladblok.

Dat lijkt een beetje té eenvoudig om virussen te verwijderen. Maar het zou mogelijk wél kunnen. Heb je het logje van Malwarebytes nog ? Zo ja, hang dat eens in een volgende bericht. Kunnen we meekijken wat er effectief gebeurd is ?

Het bestandje moet de naam CFScript.txt hebben. Indien dat zo is, mag je dat bestandje in de snelkoppeling slepen om zo Combofix opnieuw op te starten.

OK, laat maar weten !

Bekijk het dan nog even verder ... en dan lezen we hier het resultaat wel !

Dit zijn de onderdelen die je in het scriptje hebt moeten plakken. Bedoeling is dat je dit scriptje in de snelkoppeling van Combofix sleept en dan start dit opnieuw op (zie tekening in eerder bericht). Het nieuwe log van Combofix moet je daarna in een nieuw bericht plakken.

OK, ook daaruit zijn de items verwijderd. Hoe gedraagt de PC zich nu ?

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stopSessionLauncher Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete SessionLauncher Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: O2 - BHO: (no name) - {354dcf32-ad83-4a5b-98b3-909722445b75} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" (file missing) O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file) O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" (file missing) O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop AntUpdaterService Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete AntUpdaterService Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: Ant.com browser helper (video detector) - {346FDE31-DFF9-418A-90C8-BA31DC9FF2EF} - C:\Program Files\Ant.com\IE add-on\download.dll O3 - Toolbar: Ant.com Video Downloader toolbar - {2E924F4F-67F0-4BD8-9560-49F468E843D2} - C:\Program Files\Ant.com\IE add-on\anttoolbar.dll O9 - Extra button: Download videos by Ant.com - {70AF6C9F-0818-4cf7-924A-BBDBB24211D3} - C:\Program Files\Ant.com\IE add-on\download.dll Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Dat ziet er inderdaad geslaagd uit. Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht en typ: ComboFix /Uninstall Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Indien aanwezig mag je de map C:\Qoobox manueel verwijderen. En maak dan nog eens - ter controle - een nieuw log met HijackThis.

Voor dit mag je alvast pffffff zeggen, want dat is prima gelukt ;-) Maar we zijn er nog niet helemaal. Dit is het volgende dat je mag doen : Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\Tasks\Scheduled Update for Ask Toolbar.job c:\program files\Ask.com\UpdateTask.exe Folder:: c:\documents and settings\All Users\Application Data\Ask c:\program files\Ask.com Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] Sla dit bestand op je bureaublad op als CFScript. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

Logjes zien er prima uit. Hoe gedraagt de muisaanwijzer zich nu ?

Ga via de opdracht "regedit" naar het register en volg deze root [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]. In de "Run" zouden deze twee items moeten zitten : "????r"="" [?] "?????????"="??????????????e" [?] Verwijder deze manueel ter plekke en maak dan een nieuw log met Combofix.

Nadat je de tekst gekopieerd hebt, moet je hier op het forum een nieuw bericht openen via "reageren op discussie". In dat nieuw bericht kan je dan met "plakken" de gekopieerde tekst van het log zetten.

Download The Avenger by Swandog46 naar je bureaublad. Klik op Avenger.zip Pak het bestand uit naar je bureaublad. Start The Avenger door op het icoontje te dubbelklikken. Vista en Windows 7 ->rechtsklik uitvoeren als Administrator. Zet een vinkje bij 'Scan for rootkits en vink Automatically disable any rootkits found' uit. In het venster Input Script here, kopieer en plak je het volgende: Registry keys to delete: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "????r"="" [?] "?????????"="??????????????e" [?] Opgelet: Bovenstaande code werd enkel gemaakt voor deze computer/situatie/user. Indien je deze code op een andere computer gebruikt kan het schade toebrengen! Klik nu op de knop Execute. Klik Yes om te bevestigen. Klik Yes wanneer gevraagd wordt om je PC te rebooten. Je PC zal rebooten, indien niet doe het dan manueel. Na reboot opent een logfile (avenger .txt). Post de inhoud van de logfile. De logfile van Avenger staat ook in C:\avenger.txt

Combofix heeft een behoorlijke berg rotzooi van je PC gehaald. Verder ziet het er nu netjes uit. Welke merkbare problemen heb je nu nog met deze PC ?

Bij het aanklikken van één van de links opent zich normaal automatisch een schermpje waar je Combofix.exe kan mee downloaden. Daar kan je dan kiezen om op te slaan naar je bureaublad. Die snelkoppeling op je bureaublad dient dan om Combofix te laten scannen.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - {87775fdb-6972-41f9-ae51-8326e38cb206} - (no file) O2 - BHO: Ad-Aware Security Toolbar - {6c97a91e-4524-4019-86af-2aa2d567bf5c} - C:\Program Files (x86)\adawaretb\adawareDx.dll O2 - BHO: DataMngr - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~2\WI371A~1\Datamngr\BROWSE~1.DLL O3 - Toolbar: Ad-Aware Security Toolbar - {6c97a91e-4524-4019-86af-2aa2d567bf5c} - C:\Program Files (x86)\adawaretb\adawareDx.dll O4 - HKLM\..\Run: [Ad-Aware Browsing Protection] "C:\ProgramData\Ad-Aware Browsing Protection\adawarebp.exe" O4 - HKLM\..\RunOnce: [removeSearchqutoolbar] cmd.exe /c RD /S /Q "C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar" O20 - AppInit_DLLs: C:\PROGRA~2\WI371A~1\Datamngr\datamngr.dll C:\PROGRA~2\WI371A~1\Datamngr\IEBHO.dll Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Dit logje ziet er nu prima uit. Hoe gedraagt de PC zich nu ?

Heeft AVG nu nog zo veel te vertellen ?

Beide logjes zien er erg netjes uit. Lijkt niet door malware veroorzaakt te worden ?

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "????r"=- "?????????"=- [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] Sla dit bestand op je bureaublad op als CFScript. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: O4 - HKCU\..\Run: [?????????] ??????????????e Klik op 'Fix checked' om de items te verwijderen. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

Dit ziet er goed uit. Die Conduit-map mag je ook nog manueel verwijderen. En hoe staat het dan met de snelheid van de PC ?

Gewoon de weg volgen : Deze Computer -> C:\ -> Program Files (x86) ... en daar zou die map ConduitEngine dan moeten zitten. Maar mogelijk heb je die ondertussen al verwijderd. Dus als je daar ConduitEngine niet kan vinden, mag je dat even melden.

Malwarebytes heeft een flinke berg rotzooi van de PC gehaald. Om echter alle nutteloze items te verwijderen moet je de PC nog eerst opnieuw opstarten. Dan wordt er nog meer rommel opgeruimd. Na opnieuw opstarten, mag je dan het volgende doen : Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll Klik op 'Fix checked' om de items te verwijderen. Verwijder dan volgende vetgedrukte map C:\Program Files (x86)\ConduitEngine indien nog aanwezig. Maak daarna een nieuw logje met HijackThis en Malwarebytes en hang beiden in een volgende bericht.