kape

Al deze items die verwijderd zijn via HijackThis hebben niets met een keylogger te maken. Dat zijn eerder "schoonheidsfoutjes" en verbeteringen van een foute toestand die meteen is rechtgezet. Ook het log met Combofix heeft geen aanwijzingen in die zin gevonden. Op basis van deze gegevens is de conclusie dat er niets besmettelijk aanwezig was.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Babylon Search R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=3075493a000000000 00000160a11cdd5&tlver=1.4.19.19&affID=17160 O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\bh\BabylonToolbar.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarTlbr.dll O4 - HKLM\..\Run: [babylonToolbar] "C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe" /md I O4 - HKLM\..\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe" O4 - HKCU\..\Run: [oaekykktome] "C:\Documents and Settings\Anniek de Ridder\Local Settings\Application Data\oaekykktome\oaekykktome.exe" Klik op 'Fix checked' om de items te verwijderen. Verwijder Ask Toolbar of Ask.com via Software (indien aanwezig) of verwijder anders volgende vetgedrukte map : C:\Program Files\Ask.com Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Dit is één deel van het verhaal, waarvan akte ... maar het zal je wel opgevallen zijn dat het kernpunt van de vraag eerder in de richting van Kieken10 ging en de mogelijke (illegale) instructies die via PB werden verstrekt. Het was in eerste instantie de bedoeling om dààr meer duidelijkheid over te krijgen.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Klik op 'Fix checked' om de items te verwijderen. Laat dan de Removal Tool van Symantec en McAfee zijn werk doen. Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe Folder:: c:\documents and settings\All Users\Application Data\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42} Driver:: McComponentHostService Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"=- "Symantec PIF AlertEng"=- Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

En heb je al enig resultaat in deze zaak ?

Laat ons zeggen dat we dit antwoord niet echt kunnen waarderen. Er bestaat al ernstige twijfel over de legaliteit van de link die je hebt neergezet voor de download van MS Office Small Business, nu verwijs je ook nog naar een PB. Blijkbaar mag de info die je daarin kwijt wil het daglicht ook niet zien. Een extra reden om op onze hoede te zijn over de antwoorden die je hier plaatst.Laat ons het even duidelijk stellen : ofwel komt de extra info hier "open en bloot" in een bericht te staan, ofwel gaan al je postings hier de Prullenbak in en sluiten we dit topic wegens het (mogelijk) illegaal karakter ervan. Een productcode zonder installatieCD of een installatieCD zonder productcode zijn zaken waar wij - logischerwijs - onze sterke twijfels bij hebben. Aan jullie om die op een openlijke en duidelijke manier weg te nemen. Zoniet ...

Verwijder manueel deze map c:\documents and settings\All Users\Application Data\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42} en laat dan eens weten hoe alles nu gaat ?

Geen malware te bespeuren in het log van HijackThis !En ? Is er een licentiecode te vinden op de PC ?

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop "Updater Service for StartNow Toolbar" Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete "Updater Service for StartNow Toolbar" Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop "Application Updater" Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete "Application Updater" Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R3 - URLSearchHook: YouTube Downloader Toolbar - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Program Files\YouTube Downloader Toolbar\IE\4.6\youtubedownloaderToolbarIE.dll O2 - BHO: AC-Pro - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Documents and Settings\Administrator\Application Data\Complitly\AutocompletePro.dll O2 - BHO: StartNow Toolbar Helper - {6E13D095-45C3-4271-9475-F3B48227DD9F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll O2 - BHO: YouTube Downloader Toolbar - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Program Files\YouTube Downloader Toolbar\IE\4.6\youtubedownloaderToolbarIE.dll O3 - Toolbar: StartNow Toolbar - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll O3 - Toolbar: YouTube Downloader Toolbar - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Program Files\YouTube Downloader Toolbar\IE\4.6\youtubedownloaderToolbarIE.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k O4 - HKLM\..\Run: [searchSettings] "C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe" O4 - HKCU\..\Run: [Microsoft Firewall 2.9] C:\Documents and Settings\Administrator\Application Data\WMPRWISE.EXE Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Indien je op die link klikt, start na korte tijd een pop-up van het programma Combofix. Dit bestand moet je dan opslaan op je bureaublad. En daarna kan je daarmee een logje van Combofix maken.

Dit lijkt er nu allemaal OK uit te zien. Nog merkbare problemen met de PC nu ?

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Driver:: WinFLdrv Firefox:: FF - ProfilePath - c:\users\Lucas\AppData\Roaming\Mozilla\Firefox\Profiles\6z9k31cz.default\ FF - prefs.js: keyword.URL - Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

Als je twijfelt over dat virus ... laat Eset dan eens terug scannen.

OK, zeer vreemde situatie ... maar goed. Wil je nu eens in het andere topic voor duidelijkheid zorgen. Dan gaan we alles wat over de PC gaat en alles wat over de laptop gaat samenvoegen ... en kunnen we (hopelijk) op een overzichtelijke manier terug verder helpen. ---------- Post toegevoegd om 17:01 ---------- Vorige post was om 16:48 ---------- Hier zit nu alles wat betreft je PC verzameld ... hou dan ook alles wat dit toestel betreft hier bij elkaar. En misschien is het geen slecht idee om één voor één de beide toestellen af te werken en niet beiden tegelijk. Dat houdt het - ook voor jou - een pak eenvoudiger, lijkt me.

Hier staat nu alles over de laptop ... dan kunnen we daarmee verder !

Willen we nu - voor alle duidelijkheid - eens samenvatten over welk toestel welk probleem gaat : 1. Installatie van AVAST : PC of laptop ? 2. Deze tekens op Quertyklavier : PC of laptop ? 3. Google Chrome : PC of laptop ? 4. PC herstart altijd vanzelf : PC of laptop ? Heb wel een vermoeden, maar wil het nu eens duidelijk van jou vernemen ?

Is dit het volledige logje van je PC ? Daar lijken me behoorlijke stukken bij te ontbreken ? Kan je dat nog eens nakijken ? Start de laptop ook niet op in "veilige modus" ?

OK, zie mijn reactie in ander topic !

OK, laat ons dat even aannemen. Wil je dan van beide toestellen (PC en laptop) eens een logje met HijackThis aanmaken : Download HijackThis Klik bij "HijackThis Downloads" op "Installer". Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren". Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. Als je geen netwerkverbinding meer hebt, kan je de download doen met een andere PC en het bestand met een USB-stick overbrengen. Als je enkel nog in “veilige modus” kan werken, moet je de “executable” downloaden. Sla deze op in een nieuwe map op de C-schijf (bvb C:\hijackthis) en start HijackThis dan vanaf deze map. De logjes kan je dan ook in deze map terugvinden. Klik op de snelkoppeling om HijackThis te starten Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog". Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets. Krijg je een melding ""For some reason your system denied writing to the Host file ....", klik dan gewoon door op de OK-toets. Hang ze beiden hier maar in een volgende bericht.

Ook hier zetten we even een tijdelijke (?) stop op suggesties om je probleem op te lossen. Eerst graag een antwoord op de vraag in je andere topic over Google Chrome - zie ook modbreak in bericht 35.

OK, dan zetten we een volgende stap : Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier 2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal. 3. Dubbelklik op "Combofix.exe" om de tool te starten. 4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen. Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer. 5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

@ Snippo, Dit nieuwe topic gaat weer over een PC met Windows XP en Service Pack 1. Is dat dezelfde PC waarover je het al eerder had in alle andere topics die je inmiddels hebt opgestart ? En ook over de PC waarover je aan onze medewerkers PB's verstuurt ? Enige duidelijkheid hieromtrent zou nuttig zijn, want zo zitten we - via verschillende topics - allerlei suggesties aan te bieden, zonder enige samenhang te kennen en zonder de resultaten perfect te kunnen vergelijken. En mogelijk is er één oorzaak die voor al deze gemelde problemen zorgt ? Indien geen duidelijkheid, zullen we ook dit topic weer op non-actief moeten zetten ... want zo kan het echt niet verder. Daar is niemand mee gediend, noch jij, noch onze medewerkers

McAfee lijkt niet helemaal correct verwijderd te zijn. Doe het eens met de Removal Tool. Verder ziet je logje er momenteel goed uit. Even dieper kijken dan : Download TDSSKiller en plaats het op je bureaublad. Pak de bestanden in tdsskiller.zip uit. Open de map tdsskiller en dubbelklik op TDSSKiller.exe om de tool te starten. Windows 7 en Windows Vista gebruikers: Rechtsklik op TDSSKiller.exe -> Uitvoeren als Administrator om de tool te starten. Als TDSSKiller bericht geeft van een beschikbare update, dan voer je deze eerst uit. Klik op de knop "Start Scan" en volg de instructies. Wanneer de scan klaar is klik je op de knop "Report". Er opent een kladblokbestand. Post de inhoud van dit bestand. Herstart de pc als TDSSKiller die optie geeft. (Reboot now) Wanneer er een herstart nodig was, vind je de logfile in C:\TDSSKiller.[Version]_[Date]_[Time]_log.txt

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = %s - Crawler.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE} Klik op 'Fix checked' om de items te verwijderen. Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap. 2. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm. 3. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd. **Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware. 4. Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren. Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd: Klik op Ja om verder te gaan met het scannen naar malware. 5. Wanneer ComboFix klaar is, zal het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht, samen met een nieuw logje van HijackThis.

Dan mag je - als toetje - nog even dit doen : Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap. 2. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm. 3. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd. **Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware. 4. Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren. Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd: Klik op Ja om verder te gaan met het scannen naar malware. 5. Wanneer ComboFix klaar is, zal het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.