kape

Neen, het was al duidelijk dat er geen problemen waren met dit bestand. Verder ziet alles er toch prima uit.

OK, dan. Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht en typ: ComboFix /Uninstall Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Indien aanwezig mag je de map C:\Qoobox manueel verwijderen. Download CCleaner. Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

Start de PC op in "veilige modus", ga dan opnieuw naar HijackThis en probeer daar de aangeduide items te verwijderen. Indien er een item niet meer te vinden is in je log, mag je dat gewoon negeren en verder gaan met de rest.

Die bestandje zijn eigen aan het gebruik van Combofix en kunnen we later opruimen. Wil je ondertussen volgende vetgedrukte bestand d:\venhorst\Desktop\Virus Removal Tool\setup_9.0.0.722_18.03.2011_10-06[1]\startup.exe eens scannen bij Jotti en het resultaat hier even neerzetten.

Twijfelgevalletje … laat dit vetgedrukte bestand C:\Program Files\Yuna Software\Messenger Plus!\PlusService.exe eens scannen bij Jotti.

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Firefox:: FF - ProfilePath - c:\users\pieter\AppData\Roaming\Mozilla\Firefox\Profiles\zh17vyj9.default\ FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com FF - Ext: Babylon: ffxtlbr@babylon.com - %profile%\extensions\ffxtlbr@babylon.com FF - Ext: ToggleDU Toolbar: {3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} - %profile%\extensions\{3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} FF - Ext: PHPNukeDU Toolbar: {46735dee-f862-49d1-876d-6382794dc625} - %profile%\extensions\{46735dee-f862-49d1-876d-6382794dc625} FF - Ext: Vuze Remote Community Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - %profile%\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} FF - Ext: free-downloads.net Toolbar: {ecdee021-0d17-467f-a1ff-c7a115230949} - %profile%\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949} Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

Neen, je gaat helemaal de mist niet in : dat klopt volledig. Pro heeft real-time, free heeft dat niet !

Neen, werken elkaar niet tegen. Maar vermits beiden aan real-time scanning doen, zou je dat voor eentje kunnen uitschakelen. En dan lijkt Malwarebytes daarvoor het aangewezen programma. Dan gebruik je dat enkel als je zelf wil dat het scant ... en dat hoeft niet noodzakelijk elke dag te zijn, maar wel op geregelde tijdstippen. Doe je het op die manier, hou er dan wel rekening mee om Malwarebytes telkens te updaten als je het wil laten scannen. Dan wordt de meest actuele database geïnstalleerd.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:25421 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKCU\..\Run: [system Smart Security] "C:\Documents and Settings\All Users\Application Data\1f2ff0\SS1f2_2121.exe" /s /d Klik op 'Fix checked' om de items te verwijderen. Download HostsXpert Unzip het programma naar je Bureaublad. Open de map en dubbelklik op Hoster.exe Klik op "Restore Microsofts Original Hosts File" Klik op "OK" en sluit het programma. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap. 2. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm. 3. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd. **Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware. 4. Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren. Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd: Klik op Ja om verder te gaan met het scannen naar malware. 5. Wanneer ComboFix klaar is, zal het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=bfus&s={searchTerms}&f=4 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:50707 F3 - REG:win.ini: load=C:\Users\Donald\AppData\Local\Temp\csrss.exe F2 - REG:system.ini: UserInit=userinit.exe, O4 - HKLM\..\Run: [conhost] C:\Users\Donald\AppData\Roaming\Microsoft\conhost.exe O20 - AppInit_DLLs: C:\Windows\SysWOW64\nvinit.dll Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll O2 - BHO: Softonic Netherlands Toolbar - {65ca59ee-9920-4d7f-8c41-bfa12403261a} - C:\Program Files (x86)\Softonic_Netherlands\tbSoft.dll O2 - BHO: TVersitybar Toolbar - {66bd2442-241b-44cd-8c7a-b51037053cdb} - C:\Program Files (x86)\TVersitybar\tbTVer.dll O2 - BHO: Nova-DU Toolbar - {782360ec-f998-485e-b688-0339e1e396fc} - C:\Program Files (x86)\Nova-DU\tbNova.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll O3 - Toolbar: TVersitybar Toolbar - {66bd2442-241b-44cd-8c7a-b51037053cdb} - C:\Program Files (x86)\TVersitybar\tbTVer.dll O3 - Toolbar: Softonic Netherlands Toolbar - {65ca59ee-9920-4d7f-8c41-bfa12403261a} - C:\Program Files (x86)\Softonic_Netherlands\tbSoft.dll O3 - Toolbar: Nova-DU Toolbar - {782360ec-f998-485e-b688-0339e1e396fc} - C:\Program Files (x86)\Nova-DU\tbNova.dll O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll Klik op 'Fix checked' om de items te verwijderen. Verwijder Ask Toolbar of Ask.com via Configuratiescherm -> Software (indien aanwezig) of verwijder anders volgende vetgedrukte map : C:\Program Files (x86)\Ask.com Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Problemen van de baan, dan is het tijd voor de “grote schoonmaak” : verwijderen van gebruikte programma’s, een cleaning en het verwijderen van de besmette herstelpunten. Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht en typ: ComboFix /Uninstall Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Indien aanwezig mag je de map C:\Qoobox manueel verwijderen. Download CCleaner. Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. That's it !

Problemen van de baan, dan is het tijd voor de “grote schoonmaak” : verwijderen van gebruikte programma’s, een cleaning en het verwijderen van de besmette herstelpunten. Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht en typ: ComboFix /Uninstall Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Indien aanwezig mag je de map C:\Qoobox manueel verwijderen. Download CCleaner. Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. That's it !

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:25534 R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file) O2 - BHO: MediaBar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll O2 - BHO: UrlHelper Class - {474597C5-AB09-49d6-A4D5-2E8D7341384E} - C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\IEBHO.dll O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files\facemoods.com\facemoods\1.4.17.5\bh\facemoods.dll O3 - Toolbar: MediaBar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.4.17.5\facemoodsTlbr.dll O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\DATAMN~1.EXE O4 - HKLM\..\Run: [facemoods] "C:\Program Files\facemoods.com\facemoods\1.4.17.5\facemoodssrv.exe" /md I O4 - HKCU\..\Run: [system Smart Security] "C:\Documents and Settings\All Users\Application Data\643008\SS643_2112.exe" /s /d O20 - AppInit_DLLs: C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\datamngr.dll C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\IEBHO.dll Klik op 'Fix checked' om de items te verwijderen. Download HostsXpert Unzip het programma naar je Bureaublad. Open de map en dubbelklik op Hoster.exe Klik op "Restore Microsofts Original Hosts File" Klik op "OK" en sluit het programma. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Heb even je topic heropend om nog wat opruimwerk te doen : Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Firefox:: FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com FF - Ext: Babylon: ffxtlbr@babylon.com - %profile%\extensions\ffxtlbr@babylon.com FF - Ext: ToggleDU Toolbar: {3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} - %profile%\extensions\{3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} FF - Ext: PHPNukeDU Toolbar: {46735dee-f862-49d1-876d-6382794dc625} - %profile%\extensions\{46735dee-f862-49d1-876d-6382794dc625} FF - Ext: Vuze Remote Community Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - %profile%\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} FF - Ext: free-downloads.net Toolbar: {ecdee021-0d17-467f-a1ff-c7a115230949} - %profile%\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949} Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht. Na dit nieuwe log bekijken we dan weer of we alles netjes kunnen maken ?

In Malwarebytes heb je blijkbaar niet gekozen om het gevonden item te verwijderen. "No action taken" wijst alvast in die richting. Laat MBAM nog eens scannen en kies nu wél voor verwijderen. Hoe staat het nu met de melding van de keylogger ?

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: O4 - HKLM\..\Run: [ctra] c:\windows\rcptinf.exe O4 - HKCU\..\Run: [Crss.exe] C:\Users\Niels\AppData\Roaming\Crss.exe O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU) Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

De verbeteringen van HijackThis zijn niet correct uitgevoerd. Alle aangeduide items bevinden zich nog steeds in je nieuwe log. Herhaal even deze opdracht, maar doe het nu in "veilige modus" en uitgevoerd als "administrator" (vermits je gebruiker van Vista bent). Ook de update van de JAVA kan je dan uitvoeren in "veilige modus". Mogelijk biedt dit een beter resultaat dan de huidige foutmelding.

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Folder::c:\users\venhorst\AppData\Local\{5FB75C1F-ECDE-4AF6-AB5A-4AE3AC5420A4} c:\users\Mark\AppData\Local\{64B72EF3-6689-43FE-96EE-98ED7CF49A59} c:\users\Mark\AppData\Local\{026AE78C-C4C7-4E5B-9EBE-14122040B0B1} c:\users\venhorst\AppData\Local\{363610FF-745A-4632-AC92-1DF7D7D68F58} c:\users\Mark\AppData\Local\{026509AF-8C35-466D-9AD1-011C91ECAABB} c:\users\Mark\AppData\Local\{11CA78C0-0E42-484C-871C-9EB01503652F} c:\users\venhorst\AppData\Local\{A568BFB2-2F3E-465B-B589-0ACA487A6374} c:\users\Mark\AppData\Local\{18806BB1-B4F4-41C9-9018-EDE7503ECA78} c:\users\Mark\AppData\Local\{1D02BF8A-9B72-46D1-81C8-24F4F1FFD60A} c:\users\venhorst\AppData\Local\{EF72147A-8D59-4AA4-8613-B4D1F6DA43E4} c:\users\venhorst\AppData\Local\{F09E289E-EE3B-4691-B296-55B3CAE9BC3E} c:\users\Mark\AppData\Local\{245D401B-3E48-4137-9C8A-C51A0DA3509F} c:\users\Mark\AppData\Local\{FE4CABB2-8D3E-45D2-8E7C-FB441FB3D932} c:\users\Mark\AppData\Local\{30347CDA-899A-44CA-8FAB-4B336EE79735} c:\users\venhorst\AppData\Local\{0EB245C0-9445-4871-B028-7E69787D3DAA} c:\users\Mark\AppData\Local\{3EA682A2-0BE6-4F88-8EF4-201EE3AEFC66} c:\users\Mark\AppData\Local\{0E9588C6-1C7A-4BF8-9A18-BA8DF02FC7CB} c:\users\venhorst\AppData\Local\{4DF4A96E-EB41-4C79-A35F-70E97DB8496C} c:\users\Mark\AppData\Local\{604C4886-79AC-4EE7-BAAF-CC5879C18FA3} c:\users\Mark\AppData\Local\{53395A9B-918B-4313-8F2C-9CD71BEF64F0} c:\users\venhorst\AppData\Local\{4E73AD9B-1A7E-4DA5-9100-AC83F80D2F84} c:\users\Mark\AppData\Local\{D6C33819-69A4-45F8-85DA-A1AE438F3ECF} c:\users\Mark\AppData\Local\{99F911CC-645E-4BB7-8A16-5CA5061877A5} c:\users\venhorst\AppData\Local\{7D57CF8E-1125-479F-BCAE-2947CA708D6B} c:\users\Mark\AppData\Local\{54724B90-CEE4-4143-958C-170236BCB9D6} c:\users\Mark\AppData\Local\{CDB6DCA2-4D84-4231-8284-08A17CBC7252} c:\users\Mark\AppData\Local\{2FBEFC7A-C47D-4824-96F0-6076562A8F3F} c:\users\venhorst\AppData\Local\{0086579A-385C-430E-A563-5C1F64723560} c:\users\Mark\AppData\Local\{4AD136E0-6B35-48BF-AEBD-7D8AAA972ECA} c:\users\Mark\AppData\Local\{09766101-14F3-4275-B166-17358FC2DE83} c:\users\Mark\AppData\Local\{C461E486-0985-4E64-A0DA-E1FE672691C0} c:\users\Mark\AppData\Local\{DB809130-211F-4283-A522-DF15FC7C6DF5} c:\users\Mark\AppData\Local\{448A1939-F9AB-4E4B-817A-C49DA4C856AB} c:\users\venhorst\AppData\Local\{C3A97BB0-913A-4720-B076-5A0DA3253336} c:\users\venhorst\AppData\Local\{04672E2C-13F9-4CFC-A6AD-2F2310BAB02E} c:\users\Mark\AppData\Local\{0F6AEB5B-1DF7-47FA-A2E8-895D0D9A742F} c:\users\Mark\AppData\Local\{75D8AD08-D2A3-46C4-A323-B3B2A3B94F9C} c:\users\Mark\AppData\Local\{718149D3-068B-46A6-B16C-71763384E652} c:\users\Mark\AppData\Local\{6A8A8214-C911-4377-B8E9-68B7A3ED1E33} c:\users\venhorst\AppData\Local\{6425ADD2-1B1C-4C42-99E0-2323BF370011} c:\users\Mark\AppData\Local\{E01F0E56-9761-4A71-AF13-AC204B05B352} c:\users\Mark\AppData\Local\{3CFEAB6E-3F93-4701-81F8-3BF03AA21471} c:\users\Mark\AppData\Local\{08053603-350D-43E2-AD2E-A21C90C09E0B} c:\users\venhorst\AppData\Local\{528309E5-52D5-4FBD-9A44-1F833B708E6C} c:\users\Mark\AppData\Local\{892C38AD-8066-4990-B4DB-BECFC459B418} c:\users\Mark\AppData\Local\{486212BC-1503-416C-A103-5587BF0029D6} c:\users\Mark\AppData\Local\{B5A39BFF-A4D1-42AC-8C11-1BE49746A571} c:\users\Mark\AppData\Local\{EAA262B5-0869-408F-9B6A-82D2AF395185} c:\users\venhorst\AppData\Local\{4653FD4E-2694-4A5E-BEFB-CFB6201F6390} Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht en laat eens weten of er nu nog merkbare problemen zijn ?

Even proberen met een alternatief. Download RSIT. Sla het op je Bureaublad op. Dubbelklik op RSIT om het te starten. Klik op Continue in het disclaimer venster. Zodra de scan beëindigd is, zullen twee logs openen. Post de inhoud van log.txt (zal gemaximaliseerd zijn) en info.txt (zal geminimaliseerd zijn) in je volgende antwoord.

Malwarebytes ziet er netjes uit en in het logje van HijackThis mag je nog volgende aanpassingen doen : Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:54768 O4 - .DEFAULT User Startup: CCC.lnk = ? (User 'Default user') Klik op 'Fix checked' om de items te verwijderen. Hang daarna een nieuw log van HJT in je volgende bericht en laat even weten hoe het met de gemelde problemen nu staat ?

Malware mag je hier uitsluiten. Logje geeft geen enkele aanduiding in die richting.

Volgende vetgedrukte mappen mag je nog verwijderen : c:\documents and settings\Vera\Local Settings\Application Data\Conduit c:\program files\Conduit c:\documents and settings\Vera\Local Settings\Application Data\BittorrentBar_NL c:\program files\BittorrentBar_NL ... laat dan eens horen hoe het nu met de problemen (traagheid) staat ?

Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier 2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal. 3. Dubbelklik op "Combofix.exe" om de tool te starten. 4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen. Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer. 5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.