kape

Zit er nog wel eentje in, dat eigenlijk mee gefixed zou moeten zijn : O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG10\avgpp.dll Misschien nog eens even herhalen ... en kijk dan meteen ook eens of de map van AVG10 hier C:\Program Files\AVG\AVG10 helemaal weg is. En best - vóór je opnieuw installeert - nog eerst CCleaner laten runnen.

Tja, dat is één van de vele verhalen ... en zal wel juist zijn. Maar zelf heb ik al - bij herhaling - AVG Free verwijderd en opnieuw geïnstalleerd en dit steeds probleemloos. Ofwel heb ik geluk gehad, ofwel is er bij AVG 11 iets gewijzigd. Maar AVG 10 verwijderen moet normaal lukken. Killbox is een sterk tooltje dat dit wel zou moeten aankunnen.

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\system32\ConduitEngine.tmp c:\windows\system32\GameMon.des Folder:: c:\program files\BabylonToolbar c:\program files\PriceGong c:\program files\Conduit c:\program files\BittorrentBar_NL C:\found.002 Driver:: npggsvc DDS:: mStart Page = hxxp://nl.woofi.info Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht … en met een beetje geluk krijg je dan nu wel een schermpje met "Gelukwensen !!!"

Malwarebytes heeft behoorlijk wat ongewenste bestanden verwijderd van de PC. Met HijackThis mag je nog het volgende doen : Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) O4 - HKLM\..\RunOnce: [AvgUninstallURL] cmd.exe /c start Free Uninstall Survey | AVG Nederland Klik op 'Fix checked' om de items te verwijderen. Maar er zit nog een ander opvallend probleem in je logje. Op het eerste zicht zijn er op je PC - op één of andere manier - nog 4 antivirusprogramma's (of tenminste sporen van dergelijke programma's) aanwezig. McAfee, Symantec/Norton, AVG en F-Secure. Perfect mogelijk dat die elkaar in hun werking storen en dat F-Secure - blijkbaar je meest actuele en actieve scanner - daar het slachtoffer van is (met mogelijk foutmeldingen als gevolg). Laat even weten of je enkel F-Secure op de PC wil, dan gaan we al de restjes van de andere scanners in een volgende beurt verwijderen.

Op basis van je nieuwe log, kunnen we alleen maar vaststellen dat - in tegenstelling tot wat hier eerder al werd verondersteld - AVG10 inderdaad nog steeds niet van je PC is. Er zitten nog legio aanduidingen in het log, dat er bij de Removal iets misgelopen is. We proberen dat even aan te pakken : Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop avgwd Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete avgwd Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop "AVG Security Toolbar Service" Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete "AVG Security Toolbar Service" Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG10\Toolbar\IEToolbar.dll O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG10\Toolbar\IEToolbar.dll O18 - Protocol: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - C:\Program Files\AVG\AVG10\Toolbar\IEToolbar.dll O23 - Service: AVG Security Toolbar Service - Unknown owner - C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG10\avgwdsvc.exe Klik op 'Fix checked' om de items te verwijderen. Download en unzip Killbox naar je bureaublad. In het veld "Full Path of File to Delete" kopieer en plak je het volgende: C:\Program Files\AVG\AVG10 Klik op de knop: Delete on Reboot Klik op de knop: single file Klik daarna op de rode cirkel met het wit kruisje erin. Killbox zal zeggen dat deze file zal verwijderd worden on reboot.. vraagt om nu te rebooten. Klik YES. Je PC zal nu herstarten. Maak daarna een nieuw logje met HijackThis en hang dit even in je volgende bericht.

Om de restjes van de besmetting op te ruimen, kan je nog best even dit doen : Download CCleaner. Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Configuratiescherm -> Systeem en Onderhoud -> Systeem -> tabblad "Systeembeveiliging" -> vinkje weghalen bij de schijf waarvan je de herstelpunten wil verwijderen -> klikken op "toepassen". Dan krijg je de schermmelding “Weet u zeker dat u systeemherstel wil uitschakelen”. Klik hier op “Systeemherstel uitschakelen”. Dan zijn alle herstelpunten verwijderd op de aangeduide schijf. Zet daarna opnieuw een vinkje bij de harde schijf. Maak meteen ook een nieuw herstelpunt, zodat je niet hoeft te wachten op een automatisch herstelpunt van het systeem. En als dit allemaal probleemloos verlopen is, mag je doen wat Doedelzak123 hierboven al heeft voorgesteld : even hieronder op "opgelost" tokkelen ! That's it !

SWAT4 bedoelt gewoon dat dit onderwerp al HIER behandeld wordt. Dit topic wordt dan ook afgesloten. Je logje van HijackThis is trouwens al eerder behandeld in datzelfde topic.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Woofi R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Woofi R3 - URLSearchHook: BittorrentBar_NL Toolbar - {2d8d9acc-f6d7-4362-8876-a275ca929591} - C:\Program Files\BittorrentBar_NL\prxtbBitt.dll O2 - BHO: PriceGong - {1631550F-191D-4826-B069-D9439253D926} - C:\Program Files\PriceGong\2.5.1\PriceGongIE.dll O2 - BHO: BittorrentBar_NL - {2d8d9acc-f6d7-4362-8876-a275ca929591} - C:\Program Files\BittorrentBar_NL\prxtbBitt.dll O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.35.10\bh\BabylonToolbar.dll O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" (file missing) O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" (file missing) O3 - Toolbar: BittorrentBar_NL Toolbar - {2d8d9acc-f6d7-4362-8876-a275ca929591} - C:\Program Files\BittorrentBar_NL\prxtbBitt.dll O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.35.10\BabylonToolbarTlbr.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - Global Startup: NETGEAR WPN111 Smart Wizard.lnk = ? O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Program Files\Norton SystemWorks Basic Edition\Norton Cleanup\WCQuick.lnk (file missing) O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Program Files\Norton SystemWorks Basic Edition\Norton Cleanup\WCQuick.lnk (file missing) O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanage...ex-2.2.4.1.cab Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

OK, hou ons op de hoogte ;-)

Malwarebytes is duidelijk OK nu. Voor de HOSTS mag je dit eens proberen : Download HostsXpert Unzip het programma naar je Bureaublad. Open de map en dubbelklik op Hoster.exe Klik op "Restore Microsofts Original Hosts File" Klik op "OK" en sluit het programma.

Beide logjes zien er nu goed uit. Nog steeds dezelfde problemen ?

Deze versie is een gratis-versie. Klik op NU DOWLOADEN onder de aankondiging van Nieuw AVG Anti Virus Free Edition 2011 en op de volgende pagina klik je op DOWNLOADEN onder Anti Virus Free Edition.

Open dat mapje HOSTS eens met een kladblok en kijk eens wat de inhoud ervan is ? En wat Malwarebytes betreft : maak dan eens een nieuw logje ter controle. Hang dit maar in je volgende bericht.

Malwarebytes heeft flink wat rotzooi van je PC gehaald. Hoe staat het nu met de eerder gemelde problemen ?

In je logje van Malwarebytes zitten items die pas verwijderd worden nà heropstarten van de PC (Delete on Reboot). Dat zul je dus eerst eens moeten doen om ook die besmette onderdelen te verwijderen. Normaal moet je bij gebruik van MVPS Hosts wel degelijk een bestand Hosts.mvp krijgen. Dat is het oude hosts-bestand dat wordt weggezet. Maar uit je logje van HijackThis blijkt dat dit niet gelukt is. Wil je datzelfde nog eens herhalen, maar nu in "veilige modus". Lukt dit wel, maak dan even een nieuw log van HijackThis en kijk of die O1-lijnen in het log allemaal verdwenen zijn. Is dat niet zo geef dan even een seintje. En zet tussendoor - ter controle - een nieuw log van Malwarebytes in je volgende bericht.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: Softonic Netherlands Toolbar - {65ca59ee-9920-4d7f-8c41-bfa12403261a} - C:\Program Files\Softonic_Netherlands\prxtbSoft.dll O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll O2 - BHO: Softonic Netherlands - {65ca59ee-9920-4d7f-8c41-bfa12403261a} - C:\Program Files\Softonic_Netherlands\prxtbSoft.dll O3 - Toolbar: Softonic Netherlands Toolbar - {65ca59ee-9920-4d7f-8c41-bfa12403261a} - C:\Program Files\Softonic_Netherlands\prxtbSoft.dll O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll Klik op 'Fix checked' om de items te verwijderen. Download MVPS Hosts. Unzip het programma naar een door u bepaalde locatie. Windows XP Klik op mvps.bat en kies voor “uitvoeren” om mvps.bat op te starten (*). Druk op toets om door te gaan. Van het bestaande bestand HOSTS op de standaardlocatie C:\windows\system32\drivers\etc wordt een backup gemaakt met de naam HOSTS.MVP Dan wordt het bestand vervangen door de actuele MVPS Hosts-versie. (*) Windows Vista en Windows 7 gebruikers moeten rechtsklikken op mvps.bat en kiezen voor ”uitvoeren als administrator” om mvps.bat op te starten. Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Registry:: [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{65ca59ee-9920-4d7f-8c41-bfa12403261a}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] [-HKEY_CLASSES_ROOT\clsid\{65ca59ee-9920-4d7f-8c41-bfa12403261a}] [-HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}] DDS:: uStart Page = about:blank Firefox:: FF - ProfilePath - c:\users\Hilaire\AppData\Roaming\Mozilla\Firefox\Profiles\l2kiirok.default\ FF - prefs.js: browser.search.defaulturl - Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

Sluit dan de PC af, start hem opnieuw op en voer dan de suggestie van Clarkie in bericht 2 terug uit. Normaal mag je dan geen melding meer krijgen van "HijackThis is already running" en zou het mogelijk moeten zijn om een logje te maken.

Nog enkele kleinigheden zijn overgebleven. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop "Partner Service" Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete "Partner Service" Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: O2 - BHO: (no name) - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - (no file) O3 - Toolbar: BS Player Toolbar - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - C:\Program Files (x86)\BS_Player\tbBS_P.dll (file missing) O20 - AppInit_DLLs: C:\PROGRA~2\WI5C88~1\Datamngr\datamngr.dll C:\PROGRA~2\WI5C88~1\Datamngr\IEBHO.dll Klik op 'Fix checked' om de items te verwijderen. Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier 2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal. 3. Dubbelklik op "Combofix.exe" om de tool te starten. 4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen. Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer. 5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht, samen met een nieuw log van HijackThis.

Mag ik aannemen dat je na deze melding ook doorgedrukt hebt om de werking van MVPS Hosts af te werken ? Daar lijkt het (op basis van je berichten) alvast op.Probleem is dat je nu weer het oude logje van HijackThis in je bericht hebt gezet. Kijk eens naar datum en uur : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 9:48:48, on 25-8-2011 Ofwel heb je het vorige logje opnieuw gekopieerd, ofwel heb je geen actueel logje aangemaakt. Kijk dat aub even na ... en maak desnoods een nieuw log van HijackThis dat je in een volgend bericht kan plaatsen. Heb er goede hoop op dat je probleem met foute hosts opgelost is. Alleen moet een nieuw logje ons daar de bewijzen nog voor leveren.

Download MVPS Hosts. Unzip het programma naar een door u bepaalde locatie. Windows XP Klik op mvps.bat en kies voor “uitvoeren” om mvps.bat op te starten (*). Druk op toets om door te gaan. Van het bestaande bestand HOSTS op de standaardlocatie C:\windows\system32\drivers\etc wordt een backup gemaakt met de naam HOSTS.MVP Dan wordt het bestand vervangen door de actuele MVPS Hosts-versie. (*) Windows Vista en Windows 7 gebruikers moeten rechtsklikken op mvps.bat en kiezen voor ”uitvoeren als administrator” om mvps.bat op te starten. Hang daarna een nieuw logje van HijackThis in je volgende bericht.

Prima ... nu zien beide logjes er netjes uit. Download CCleaner. Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Configuratiescherm -> Systeem en Onderhoud -> Systeem -> tabblad "Systeembeveiliging" -> vinkje weghalen bij de schijf waarvan je de herstelpunten wil verwijderen -> klikken op "toepassen". Dan krijg je de schermmelding “Weet u zeker dat u systeemherstel wil uitschakelen”. Klik hier op “Systeemherstel uitschakelen”. Dan zijn alle herstelpunten verwijderd op de aangeduide schijf. Zet daarna opnieuw een vinkje bij de harde schijf. Maak meteen ook een nieuw herstelpunt, zodat je niet hoeft te wachten op een automatisch herstelpunt van het systeem. That's it !

Volgende items zijn niet verwijderd met Hijackthis : O9 - Extra button: eBay.nl - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay, de wereldwijde online handelsplaats (file missing) O9 - Extra 'Tools' menuitem: eBay.nl - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay, de wereldwijde online handelsplaats (file missing) O9 - Extra button: eBay.nl - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay, de wereldwijde online handelsplaats (file missing) (HKCU) O9 - Extra 'Tools' menuitem: eBay.nl - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay, de wereldwijde online handelsplaats (file missing) (HKCU) Misschien dit nog even herhalen en dan zijn beide logjes clean.

OK, als alles in orde is, mag je het topic op "opgelost" zetten !

Indien je enkel download van USB naar besmette, mag dat geen probleem zijn. Andersom uiteraard wel.

De foutmelding van AVG wijst er op dat AVG VOLLEDIG van de PC is verdwenen, de conflictmelding van AVG beweert het tegendeel. Dat is dus een onoplosbaar dilemma in de AVG-communicatie.@ Holly : kies een ander antivirusprogramma (Avast, Avira, o.i.d.) en tracht dit eens te downloaden. Normaal mogen er dan geen conflicten optreden.