kape

Logje HijackThis is probleemloos.

Typ deze twee opdrachten : sc stop "My Security Engine" sc delete "My Security Engine" eens in het vak "uitvoeren" (na Start) en druk op Enter. De map D:\Documenten en Settings\All Users\Application Data\3e61e5c zit in Application Data. Dat is een verborgen map. Je zal dus eerst de optie "verborgen mappen tonen" moeten inschakelen. En dan zou je map moeten kunnen zien en verwijderen.

Vind je die software (mappen en bestanden) van die Powe2Go nog ergens op je PC ? En zo ja, waar dan ?

Dan kunnen we dit onderwerp nu netjes op "opgelost" zetten. Proficiat voor je volhouden

Kijk ... in je logje zitten een aantal onderdelen die verwijzen naar die NTI Backup, bvb. deze : O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe (file missing) O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe (file missing) Nu zou de melding "file missing" er kunnen op wijzen dat dit programma al eerder verwijderd werd van de PC. Maar om ook deze overbodige services op te ruimen, moeten we daar wel zekerheid over hebben. Overloop misschien alle programma's eens in Software of in de map Program Files ... en als de daar geen aanduidingen meer vind van dit progje, kunnen we ook dit met gerust gemoed van je PC halen. Voor het verwijderen van die weerbarstige items, zou je de PC kunnen opstarten in "veilige modus" en daar nog eens proberen of ze met HijackThis te fixen zijn ? En dan zijn we " in blijde verwachting" voor nummer 3

Logjes zien er inderdaad prima uit nu. En vermits je problemen blijkbaar van de baan zijn, mag je hieronder op "opgelost" tokkelen ;-)

Erg vreemd dat je steeds maar kleine hapjes verwijdert met HijackThis en andere items onaangeroerd blijven. Dit mag dus weer opnieuw. Doe het nu even in "veilige modus" en als administrator. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop CLTNetCnService Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete CLTNetCnService Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Your Home Page Has Been Changed O4 - HKLM\..\RunOnce: [AvgUninstallURL] cmd.exe /c start Free Uninstall Survey | AVG Nederland O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - (no file) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) Klik op 'Fix checked' om de items te verwijderen. Verwijder volgende vetgedrukte map : C:\Program Files\Common Files\Symantec Shared ... en dan maar weer een nieuw logje van HijackThis.

Het bestand HOSTS heeft geen extensie (vreemd, maar is zo). Zitten de O1-items nog in je logje ? Of kan je dat niet doordrukken met die foutmelding ? Zou nochtans wel moeten kunnen.

De eerste PC heeft een probleemloos log. Dat zou moeten OK zijn. Bij nummer 2 moet je Malwarebytes de aangeduide items laten verwijderen. "No action taken" zou er kunnen op wijzen dat dit niet gebeurd is, tenzij je dit inmiddels al wél gedaan mocht hebben. Daarbij mag je dit doen : Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) O4 - Startup: OneNote-inhoudsopgave.onetoc2 Klik op 'Fix checked' om de items te verwijderen. En een vraagje : is NTI Backup no actief op deze PC ?

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: PriceGong - {1631550F-191D-4826-B069-D9439253D926} - C:\Program Files\PriceGong\2.1.0\PriceGongIE.dll Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Dit ziet er al wat beter uit, maar nog niet alles is gelukt. Doe nog even dit : Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop CLTNetCnService Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete CLTNetCnService Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Your Home Page Has Been Changed O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) O4 - HKLM\..\Run: [MSC] "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey O4 - HKLM\..\RunOnce: [AvgUninstallURL] cmd.exe /c start Free Uninstall Survey | AVG Nederland O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - (no file) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) Klik op 'Fix checked' om de items te verwijderen. Verwijder volgende vetgedrukte mappen : C:\Program Files\Common Files\Symantec Shared c:\Program Files\Microsoft Security Client ... en dan maar weer een nieuw logje van HijackThis in je volgende bericht ;-)

Zijn het bestanden die je ontvangen hebt van een betrouwbare afzender ? Want .shs-bestanden verbergen nogal behoorlijk vaak virussen of andere ongewenste besmettingen.

Heb even je topic heropend, want er moet nog wat gebeuren. Problemen van de baan, dan is het tijd voor de “grote schoonmaak” : verwijderen van gebruikte programma’s, een cleaning en het verwijderen van de besmette herstelpunten. Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht en typ: ComboFix /Uninstall Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Indien aanwezig mag je de map C:\Qoobox manueel verwijderen. Download CCleaner. Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Configuratiescherm -> Systeem en Onderhoud -> Systeem -> tabblad "Systeembeveiliging" -> vinkje weghalen bij de schijf waarvan je de herstelpunten wil verwijderen -> klikken op "toepassen". Dan krijg je de schermmelding “Weet u zeker dat u systeemherstel wil uitschakelen”. Klik hier op “Systeemherstel uitschakelen”. Dan zijn alle herstelpunten verwijderd op de aangeduide schijf. Zet daarna opnieuw een vinkje bij de harde schijf. Maak meteen ook een nieuw herstelpunt, zodat je niet hoeft te wachten op een automatisch herstelpunt van het systeem. Als dit allemaal probleemloos is verlopen, mag je het onderwerp definitief op "opgelost" zetten !

Staat er in de map C:\Windows\System32\Drivers\Etc een map met de naam HOSTS (maar zonder extensie achter) ?

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop CLTNetCnService Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete CLTNetCnService Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop McComponentHostService Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete McComponentHostService Druk op Enter. Ga dan via Configuratiescherm naar Software en verwijder daar volgende programma’s (indien aanwezig) : Microsoft Security Ask Toolbar of Ask.com McAfee AVG of de programma’s die op één of andere wijze verwijzen naar deze programma’s. Verwijder dan volgende vetgedrukte mappen (indien aanwezig) : C:\Program Files\Microsoft Security Client C:\Program Files\Ask.com C:\Program Files\McAfee Security Scan Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Your Home Page Has Been Changed R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) O3 - Toolbar: Support.com Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O4 - HKLM\..\Run: [MSC] "c:\Program Files\Microsoft Security Client\msseces.exe" -hide –runkey O4 - HKLM\..\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe" O4 - HKLM\..\RunOnce: [AvgUninstallURL] cmd.exe /c start Free Uninstall Survey | AVG Nederland O4 - Global Startup: McAfee Security Scan Plus.lnk = ? O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - (no file) Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Goed idee van Superjona, want er zit behoorlijk wat rotzooi op je PC Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop "Bandoo Coordinator" Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete "Bandoo Coordinator" Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://127.0.0.1:58990 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local; R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: ToggleEN Toolbar - {038cb5c7-48ea-4af9-94e0-a1646542e62b} - C:\Program Files\ToggleEN\prxtbTogg.dll R3 - URLSearchHook: ToggleDU Toolbar - {3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} - C:\Program Files\ToggleDU\prxtbTogg.dll F3 - REG:win.ini: load=C:\Users\Belinda\AppData\Local\Temp\csrss.exe O2 - BHO: ToggleEN - {038cb5c7-48ea-4af9-94e0-a1646542e62b} - C:\Program Files\ToggleEN\prxtbTogg.dll O2 - BHO: ShoppingReport2 - {258C9770-1713-4021-8D7E-1F184A2BD754} - C:\Program Files\ShoppingReport2\Bin\2.7.34\ShoppingReport.dll O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll O2 - BHO: ToggleDU - {3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} - C:\Program Files\ToggleDU\prxtbTogg.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI371A~1\Datamngr\ToolBar\searchqudtx.dll O2 - BHO: MediaBar - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll O2 - BHO: Bandoo IE Plugin - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files\Bandoo\Plugins\IE\ieplugin.dll O3 - Toolbar: MediaBar - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll O3 - Toolbar: ToggleEN Toolbar - {038cb5c7-48ea-4af9-94e0-a1646542e62b} - C:\Program Files\ToggleEN\prxtbTogg.dll O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll O3 - Toolbar: ToggleDU Toolbar - {3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} - C:\Program Files\ToggleDU\prxtbTogg.dll O3 - Toolbar: SeekmoToolbar - {7C207950-B633-40B8-95B3-E3E08502BE44} - C:\Program Files\Seekmo\bin\14.0.132.0\LiteToolbar.dll O3 - Toolbar: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI371A~1\Datamngr\ToolBar\searchqudtx.dll O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\DATAMN~1.EXE O4 - HKLM\..\Run: [seekmoSA] "C:\Program Files\Seekmo\bin\14.0.132.0\SeekmoSA.exe" O4 - Global Startup: McAfee Security Scan Plus.lnk = ? O9 - Extra button: ShopperReports - Compare product prices - {DB38E21A-0133-419d-92AD-ECDFD5244D6D} - C:\Program Files\ShoppingReport2\Bin\2.7.34\ShoppingReport.dll O9 - Extra button: ShopperReports - Compare travel rates - {EB620C54-E229-4942-87CE-E717109FC8C6} - C:\Program Files\ShoppingReport2\Bin\2.7.34\ShoppingReport.dll O20 - AppInit_DLLs: c:\progra~1\bearsh~1\mediabar\datamngr\datamngr.dll c:\progra~1\bearsh~1\mediabar\datamngr\iebho.dll c:\progra~1\bandoo\bndhook.dll Klik op 'Fix checked' om de items te verwijderen. En dan laat je Malwarebytes opnieuw scannen. Maar nu kies je wel voor het verwijderen van de besmette bestanden, zoals Doedelzak123 al heeft uitgelegd. Post daarna een nieuw log van HijackThis en Malwarebytes ter controle in een volgend bericht.

Beide logjes zien er nu prima uit. Hoe staat het met het opstarten ?

Dit is geen actueel logje. Kijk even naar datum en uur : Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 22:47:49, on 25-8-2011 Dat is dus het log dat je gisteren al geplaatst hebt. Op basis van deze oude gegevens kunnen we geen volgende stappen zetten. Maak even een nieuw log aan en plaats dit hier. Vergeet niet als Vista-gebruiker het maken van je log als "administrator" uit te voeren.

Daar hebben we dan een goede gok gedaan xDOm alles te verwijderen van die antivirusprogramma's is het best dat je nu een nieuw log met HijackThis maakt, dan kunnen we bekijken hoe de actuele toestand van de PC (en zijn programma's) is ? Hang het in je volgende bericht en dan maken we een nieuwe opdracht om alles effectief op te ruimen.

Indien het je bedoeling is om voor deze hulp een vergoeding te vragen, zit je niet helemaal goed op dit forum. De forumregels zeggen immers : "Het drijven van handel is niet toegelaten". Alle hulp wordt hier gratis en belangeloos verstrekt.

Op je afbeelding zie ik dat je ook AVG 8 en AVG 9 nog op je PC hebt staan. Dit is wel absoluut overbodig nu je AVG 11 hebt. Nu je de kunst toch te pakken hebt, zou ik die ook maar meteen verwijderen met Killbox. Download en unzip Killbox naar je bureaublad. In het veld "Full Path of File to Delete" kopieer en plak je het volgende: C:\Program Files\AVG\AVG8 Klik op de knop: Delete on Reboot Klik op de knop: single file Klik daarna op de rode cirkel met het wit kruisje erin. Killbox zal zeggen dat deze file zal verwijderd worden on reboot.. vraagt om nu te rebooten. Klik YES. Je PC zal nu herstarten. ... en dan In het veld "Full Path of File to Delete" kopieer en plak je het volgende: C:\Program Files\AVG\AVG9 Klik op de knop: Delete on Reboot Klik op de knop: single file Klik daarna op de rode cirkel met het wit kruisje erin. Killbox zal zeggen dat deze file zal verwijderd worden on reboot.. vraagt om nu te rebooten. Klik YES. Je PC zal nu herstarten. En dan zouden ook die twee "oude knarren" van je PC moeten zijn.

Hosts zijn toch niet aangepast. Download HostsXpert Unzip het programma naar je Bureaublad. Open de map en dubbelklik op Hoster.exe Klik op "Restore Microsofts Original Hosts File" Klik op "OK" en sluit het programma. Maak daarna een nieuw logje met Hijackthis en hang dit in je volgende bericht.

AVG is het gekleurde vierkantje én is gratis ... maar op basis van je logje zou het me verbazen dat die actief is ? Probeer anders eens dat vierkantje aan te klikken en kijk dan eens of je kan scannen. F-Secure zou je eventueel (gratis en/of betalend) bij je internetabonnement hebben kunnen krijgen. Wie is je internetprovider ? Toevallig KPN ?

AVG en Symantec/Norton zijn restjes, die lijken me niet meer actief te zijn op de PC. Die kunnen dus zeker weg. McAfee lijkt me nog actief te scannen en F-Secure doet dat zeker. De vraag is nu van welke antivirus je een betalende versie hebt ? Het zou gek zijn om deze te verwijderen en een andere in de plaats te zetten als je er voor betaald hebt. Maar dat kan jij mij alleen vertellen. Scan je nu nog met een betalende versie van McAfee ? En is F-Secure ook de betalende versie ? Dan wordt het zeker kiezen tussen deze twee.

Geen probleem ... beide logjes zien er nu prima uit. En hoe staat het nu met die Power2Go ?