kape

Heb je HijackThis uitgevoerd als administrator ? Ga anders naar volgende locatie : c\programfiles[x86]\Trend Micro\HijackThis ... rechtsklik daar op het bestand hijackthis.exe en kies daar voor "uitvoeren als administrator". Dan zou je een logje moeten kunnen produceren.

Je weet perfect dat het pas sinds gisteren is dat je PC trager opstart. Dan heb je de mogelijkheid om via systeemherstel terug te gaan naar een herstelpunt van eergisteren ... en dan zou meteen heel je probleem (mogelijk) opgelost kunnen zijn. Is dat niet het geval, dan kan je de zaken hierboven uitvoeren. Normaal moet je dat logje terugvinden op de aangeduide locatie. Zit er daar niet ? Ook niet nadat je de melding hebt gekregen !

Scan dan in eerste instantie met Malwarebytes zonder update. Kijken we even of dat al iets oplevert, als je het log in je volgende bericht post.

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop "Boonty Games" Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete "Boonty Games" Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop BOONTY Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete BOONTY Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: BittorrentBar_NL Toolbar - {2d8d9acc-f6d7-4362-8876-a275ca929591} - C:\Program Files (x86)\BittorrentBar_NL\prxtbBitt.dll O2 - BHO: BittorrentBar_NL - {2d8d9acc-f6d7-4362-8876-a275ca929591} - C:\Program Files (x86)\BittorrentBar_NL\prxtbBitt.dll O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O3 - Toolbar: BittorrentBar_NL Toolbar - {2d8d9acc-f6d7-4362-8876-a275ca929591} - C:\Program Files (x86)\BittorrentBar_NL\prxtbBitt.dll O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngin.dll O4 - Global Startup: Wireless Connection Manager.lnk = ? O9 - Extra button: eBay.be - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay België (file missing) (HKCU) O9 - Extra 'Tools' menuitem: eBay.be - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay België (file missing) (HKCU) Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R3 - URLSearchHook: (no name) - {87775fdb-6972-41f9-ae51-8326e38cb206} - (no file) R3 - URLSearchHook: (no name) - {a44990b3-9dda-4653-bd75-bc3cee5c2934} - (no file) O4 - HKLM\..\RunOnce: [AvgUninstallURL] cmd.exe /c start Free Uninstall Survey | AVG Nederland QAtAFYAMABLAE0AQwAtAEUAOQBWAFUAVwAtAEUAVwAwAFYAQQAtAFUAVQAzAFgATAAtAEYARQB XADkANwA"&"inst=NwA3AC0ANAAxADYANgA5ADUAMAA5ADcALQBCAEEAUgA5AEcAKwAxAC0AVABCADkA KwAyAC0ARgBMACsAOQAt AFgATwAzADYAKwAxAA"&"prod=90"&"ver=9.0.872 Klik op 'Fix checked' om de items te verwijderen. Verder is alles OK. Was dit een gewone routinecontrole of zijn er problemen met deze PC ?

Logje HijackThis is probleemloos !

Graag gedaan ! Dan zetten we dit onderwerp netjes op "opgelost" ;-)

Rundll32.exe in quarantaine mag je laten staan, je hebt op zijn normale locatie nu een clean exemplaar zitten. Lijkt me ook geen probleem dat dit niet zichtbaar is bij processen.

In de meest omvangrijke lijst met extensies, is die GEG niet meer terug te vinden.

Je kan alleen maar downloaden als je van iemand een link naar Rapidshare hebt gekregen (waar die persoon dan iets heeft geupload). Het is niet zo dat Rapidshare een eigen index of album heeft waar je uit kan kiezen. Het is enkel een middel om tussen twee partijen (afzender en ontvanger) iets over te brengen.

We gaan eens proberen of je HijackThis kan uitvoeren via een alternatieve weg. Ga naar volgende locatie (map) : C:\Program Files (x86)\Trend Micro\HiJackThis. In deze map moet het bestand hijackthis.exe te vinden zijn. Rechtsklik op dit bestand en dan zou je moeten kunnen kiezen voor "uitvoeren als administrator". Is dit zo, dan ga je gewoon door zoals eerder al aangegeven ... tot en met het plaatsen van een HJT-log in een volgend bericht. Lukt dit niet in normale modus, dan probeer je hetzelfde nog eens in "veilige modus" !

OK, dan is het prima zo. De actieve rundll32.exe is dan door alle scanners goed bevonden. Dan hoef je je daarover alvast geen zorgen te maken. Probleem lijkt me dan ook van de baan ... tenzij jij daar nog een andere mening over hebt of AVG nog moeilijk doet

En je hebt die rundll32.exe uit de quarantaine laten scannen ?

@ SWAT4, Dit is een compleet foute conclusie. In alle berichten staat dat een antwoord op de eerste vraag - over de webcams - geen enkel probleem is. Indien daar een antwoord op komt, mag dat perfect geplaatst worden.De link van jou in post 7 verwees naar p o r n o grafisch materiaal ... en dat is dan weer een andere forumregel die overtreden werd. Indien daar een link stond naar toegelaten materialen, zou dat helemaal geen modbreak opgeleverd hebben. Je kletst hier dus twee verschillende zaken door elkaar. En wat het algemeen downloadbeleid betreft : het is voor het forumbeheer onmogelijk om uit te maken of eventuele downloads (van wat dan ook) enkel voor privé-gebruik of met licencies gebruikt zullen worden. Een algemene blokkade is dan de enige betrouwbare oplossing ... want we kunnen echt nog niet in een glazen bol speuren naar de bedoelingen van de topicstarter.

Staat er ergens dat je niet geholpen zal worden ? Indien iemand van medewerkers of forumgebruikers een oplossing voor jou in petto heeft, zal die zeker hier gepost worden. Het is niet zo dat dit topic nu meteen verboden terrein is En dit begrijp ik helemaal niet. Je zit hier op een helpforum dat gerund wordt door vrijwilligers en waarvoor je geen bijdrage hoeft te betalen. Wij hebben dus niets met je betaling voor internet te maken ... laat staan dat je er van ons - als forum - dan ook iets van terug mag verwachten. Het enige wat wij kunnen doen, is je trachten te helpen met de kennis en hulpvaardigheid die hier aanwezig is.Laat ons hopen dat er nog iemand met een oplossing komt aandraven ;-)

Dan ben ook jij heel de tijd illegaal bezig. Het downloaden van spelletjes is - net als de download van films, software, muziek ... zonder betalen - een inbreuk op het copyright van de auteur van dat spelletje. Even Googlen en je zal ook wel voldoende info ontdekken om vast te stellen dat je permanent in de illegale sfeer zit.

Beetje vriendelijker vragen zou echt geen kwaad kunnen ... en dit nog extra in een topic waar je al even over de schreef gegaan bent met die vraag naar illegale downloads En wat wordt het nu : afwachten op een antwoord van één van onze forumgebruikers natuurlijk ;-)

OK, dan wachten we op de resultaten binnen enkele daagjes.

Boot.ini is dus OK , als ik het goed begrijp. Voor die AVG-melding gaan we eens verder kijken. Laat het bestand c:\WINDOWS\SYSTEM\RUNDLL32.EXE scannen bij Jotti. En laat het resultaat daarvan even weten ?

Wat de malwareproblemen betreft, mag je dit nog doen om alle restjes op te ruimen : Download CCleaner. Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. Heb je dat hangen van die livecambeelden bij ALLE beelden ?

OK, wat malware betreft zit alles nu goed. Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht en typ: ComboFix /Uninstall Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Indien aanwezig mag je de map C:\Qoobox manueel verwijderen. Download CCleaner. Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

OK, dit logje ziet er ook prima uit. Hoe gedragen de websites zich nu ?

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Firefox:: FF - ProfilePath - c:\users\Richard\AppData\Roaming\Mozilla\Firefox\Profiles\abp9obje.default\ FF - prefs.js: browser.search.defaulturl - Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

Heb je - vóór je aan iets nieuws begint - de opdracht uit post 2 al eens uitgevoerd (want daar zit wel behoorlijk wat rotzooi op de PC) ? En wat waren daar de resultaten van ?

Opnieuw een logje maken met HiajckThis (zoals je eerder in post 7 gedaan hebt) en dit nà het uitvoeren van de opdrachten uit post 10. Zo krijgen we een idee van de actuele toestand van de PC.