kape

De snelle daling van het aantal scanuren is een normale evolutie bij veel programma's. Daar hoeft niet noodzakelijk malware als oorzaak achter te zitten. We gaan nog even dieper kijken dan : Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap. 2. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm. 3. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd. **Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware. 4. Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren. Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd: Klik op Ja om verder te gaan met het scannen naar malware. 5. Wanneer ComboFix klaar is, zal het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Dit ziet er netjes uit. Ook de resten van Registry Booster zijn mee opgeruimd. Hoe gedraagt de PC zich nu ?

Dan is het nu tijd om Malwarebytes te installeren in die "veilige modus" en te bekijken of je die daar kan laten scannen. Zo dit lukt, daarna het logje ervan posten.

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\system32\ConduitEngine.tmp Folder:: c:\users\Nancy\AppData\Local\{E561CC4B-00EE-475A-A7F6-8374E7288BBD} c:\users\Nancy\AppData\Local\{585AAEA6-CDA6-48D1-AA7A-939BFE92542B} c:\users\Nancy\AppData\Local\{4BABDD26-206E-4298-998C-F077AAE04A58} c:\users\Nancy\AppData\Local\{2BF7FE24-A06A-420B-9649-EB418974AAD0} c:\users\Nancy\AppData\Local\{F15279E2-7B52-4839-869A-68902F5918B9} c:\users\Nancy\AppData\Local\{4DE5EE15-2C05-4B22-9628-8C99B70B4C0C} c:\users\Nancy\AppData\Local\{2F8574D1-E0CA-4E9E-A57E-3736C21462EB} c:\users\Nancy\AppData\Local\{2E3D7290-AD94-4171-A7A8-D2BCEC78021A} c:\users\Nancy\AppData\Local\{95E50AE5-193D-45AB-882C-EF03D6472765} c:\users\Nancy\AppData\Local\{AED600EE-A22F-4B20-B275-15BDAB4F6C8E} c:\users\Nancy\AppData\Local\{10321860-2BDF-4E78-BDB3-5BCD07AD629D} c:\users\Nancy\AppData\Local\{96F2A133-5B19-4979-AF8B-DFABCE0B7F78} c:\users\Nancy\AppData\Local\{0B37F928-84AD-4098-9C93-ABB7779AA081} c:\users\Nancy\AppData\Local\{75BA0DB9-3BB4-4655-9649-A659B8E1EC96} c:\users\Nancy\AppData\Local\{D95AA3A4-F1D5-4578-8A9F-23CAEAA3B0D4} c:\users\Nancy\AppData\Local\{746AFE7F-06CA-4AAE-8892-3E630E900FD0} c:\users\Nancy\AppData\Local\{92572B97-72EF-4417-A512-13BB18D53462} c:\users\Nancy\AppData\Local\{CE243EB9-B936-4FA7-8E4A-BC5EE678CBF3} c:\users\Nancy\AppData\Local\{FA9AA1D7-87BB-4A81-B016-80FE0CDCC336} c:\users\Nancy\AppData\Local\{4E0A34E5-C147-4B9F-ACF5-4C604628D904} c:\program files\Conduit c:\users\Nancy\AppData\Local\Conduit c:\program files\InnoGames_International c:\users\Nancy\AppData\Local\{C8A7EC52-DF0E-44E7-8DFE-8AF70F70C21D} c:\users\Nancy\AppData\Local\{2BBF3D80-17C0-4CA6-ADB0-D974AE317FDB} c:\users\Nancy\AppData\Local\{7BCB44D8-D4FB-402A-A6BA-9774902EAAB3} c:\users\Nancy\AppData\Local\{992D8976-D0B3-41A2-AC72-94C5005089C0} c:\users\Nancy\AppData\Local\{89040DCA-974D-4F14-A85D-3C90DC375D20} c:\users\Nancy\AppData\Local\{89AD610B-15F9-4286-8484-F9A94803146D} c:\users\Nancy\AppData\Local\{2E311ACA-3649-450A-92AC-8D0D230D7F51} c:\users\Nancy\AppData\Local\{6A60A271-6D8E-4C47-B521-712850B3EA75} c:\users\Nancy\AppData\Local\{2366CA52-A42F-4C02-8B66-6E7413266579} c:\users\Nancy\AppData\Local\{11D7D134-D62D-4565-86C5-3C3FA205F9B7} c:\users\Nancy\AppData\Local\{C99141CF-1998-4D5D-98EE-3D321D8FBFAB} c:\users\Nancy\AppData\Local\{A332EBF1-FFFE-4E33-B5FF-615DAF4C4F6C} c:\users\Nancy\AppData\Local\{FC8F4A5A-3751-494D-8C04-66A3EAFFEB36} c:\users\Nancy\AppData\Local\{ABE64375-0416-45A0-B69F-7938DB5B6D16} c:\users\Nancy\AppData\Local\{24AA0B77-3005-4350-A855-BFEAFEF6F74A} c:\users\Nancy\AppData\Local\{97D375D6-35F7-4EE0-B6D2-3359F15F30CB} c:\users\Nancy\AppData\Local\{69CFC663-C1D2-4177-8AEF-03E14B316570} c:\users\Nancy\AppData\Local\{E610BA14-1123-47F0-9D9B-DE5D315792B6} c:\users\Nancy\AppData\Local\{D52379C4-6D54-49C3-99DD-BB01A472835C} c:\users\Nancy\AppData\Local\{0F752173-ED2D-4B7F-A37B-B8AEC2DCBCCD} c:\users\Nancy\AppData\Local\{B491E160-7296-45AD-BF4E-B52BEE091015} c:\users\Nancy\AppData\Local\{4D6A9A06-0957-4D52-92CB-8E69DDBD4CB4} c:\users\Nancy\AppData\Local\{66E4BAF8-6C76-442C-90D8-7248F48B4CDD} c:\users\Nancy\AppData\Local\{EBA9D5F0-FE17-4B12-86AE-1939BED5812A} c:\users\Nancy\AppData\Local\{AF964F8F-2B7C-4A25-BB67-DAF3C9F62AF5} c:\users\Nancy\AppData\Local\{B8993139-1FF1-4AD2-A902-35D445465D45} c:\users\Nancy\AppData\Local\{527569DB-3B2F-4FE7-8EE5-9CA8502B136B} c:\users\Nancy\AppData\Local\{F101C60C-0A91-4FDE-9771-38838673E9BA} c:\users\Nancy\AppData\Local\{8AF9163F-B6CC-4B75-8002-65E658370B13} c:\users\Nancy\AppData\Local\{45692F7C-B55D-4749-B797-45233B117F34} c:\users\Nancy\AppData\Local\{0F03B390-2011-47B2-9336-2FDA2B4A4360} Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

Kan je de PC opstarten in "veilige modus" ?

Graag nog eerst even dit ... Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\system32\ConduitEngine.tmp Folder:: c:\users\Karine\AppData\Local\Conduit C:\Program Files\Uniblue\RegistryBooster Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

Dan doen we nog een extraatje : Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier 2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal. 3. Dubbelklik op "Combofix.exe" om de tool te starten. 4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen. Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer. 5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

De aanpassingen in HJT zijn niet gebeurd. Heb je deze uitgevoerd in "veilige modus" en als administrator ? Dat lijkt er niet zo op. Herhaal het nog eens op die manier : Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O3 - Toolbar: (no name) - {3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} - (no file) O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) O4 - Startup: OneNote-inhoudsopgave.onetoc2 Klik op 'Fix checked' om de items te verwijderen. En dan graag een actueel logje van HJT in je volgende bericht.

Ook dit logje ziet er nu prima uit ! Krijg je nu nog ongewenste foutmeldingen ?

Als HJT gelukt is, zet dan eens een nieuw logje ervan in je volgende bericht.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Klik op 'Fix checked' om de items te verwijderen. Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier 2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal. 3. Dubbelklik op "Combofix.exe" om de tool te starten. 4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen. Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer. 5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Dan gaan we even langs een andere weg kijken naar de resultaten. Download RSIT. Sla het op je Bureaublad op. Dubbelklik op RSIT om het te starten. Klik op Continue in het disclaimer venster. Zodra de scan beëindigd is, zullen twee logs openen. Post de inhoud van log.txt (zal gemaximaliseerd zijn) en info.txt (zal geminimaliseerd zijn) in je volgende antwoord.

Geen probleem ... neem je tijd ... dan pikken we later de draad weer op !

Hier heb je al Trojaantjes verwijderd ... nu nog graag een nieuw log van HijackThis om te bekijken of alle andere aanpassingen uitgevoerd zijn.

Registry Booster is een programma dat ik liever niet op een PC zie staan. Je kan dat eventueel verwijderen via Configuratiescherm -> Software (indien aanwezig) of anders door het verwijderen van de vetgedrukte map : C:\Program Files\Uniblue\RegistryBooster

Malwarebytes heeft al behoorlijk wat rotzooi van de PC gehaald. Nieuwe log van HijackThis ziet er (bijna) goed uit. Maar we gaan nog even wat dieper kijken : Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier 2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal. 3. Dubbelklik op "Combofix.exe" om de tool te starten. 4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen. Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer. 5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Kan een beetje eng zijn ... maar nu heb je toch een correct logje van vandaag te pakken Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O3 - Toolbar: (no name) - {3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} - (no file) O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) O4 - Startup: OneNote-inhoudsopgave.onetoc2 Klik op 'Fix checked' om de items te verwijderen. En tracht dan opnieuw Malwarebytes te laten scannen. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

De inhoud van Combofix.txt is het nieuwe logje dat je hebt gemaakt met het scriptje dat ik je eerder heb laten aanmaken en in de snelkoppeling van Combofix heb laten slepen (zie bericht 12).

Zo moest het inderdaad. Dan kunnen we nu dit topic netjes op "opgelost" zetten !

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = cooxer.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file) R3 - URLSearchHook: InnoGames International Toolbar - {942cd1d4-9cc1-4d31-876a-ea8f489f7a59} - C:\Program Files\InnoGames_International\prxtbInno.dll O2 - BHO: InnoGames International - {942cd1d4-9cc1-4d31-876a-ea8f489f7a59} - C:\Program Files\InnoGames_International\prxtbInno.dll O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" (file missing) O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" (file missing) O3 - Toolbar: InnoGames International Toolbar - {942cd1d4-9cc1-4d31-876a-ea8f489f7a59} - C:\Program Files\InnoGames_International\prxtbInno.dll O3 - Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file) O4 - HKLM\..\Run: [sweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe Klik op 'Fix checked' om de items te verwijderen. Download Malwarebytes Anti-Malware Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Bij het opstarten onmiddellijk op de F8-toets tokkelen. Dan kom je automatisch in de zone terecht waar je voor "veilige modus" kan opteren.

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Folder:: c:\users\Bernard\AppData\Local\{0A1F37E9-FA84-4357-8BAB-4C6F632E3D83} c:\users\Bernard\AppData\Local\{79DA7609-1A79-4565-8D8F-09A8BBBBCDD9} c:\users\Bernard\AppData\Local\{1FBC229C-8BDE-4FA0-9A79-4EE4926FD3C7} c:\users\Bernard\AppData\Local\{15FD1500-DEAB-4A03-8FAF-089358C31C01} c:\users\Bernard\AppData\Local\{9B598C97-AA91-4C5E-A025-4540388D8CE4} c:\users\Bernard\AppData\Local\{B758367F-EE86-43A9-90B9-E32B130890BC} c:\users\Bernard\AppData\Local\{5D4A9C58-A079-4968-80F9-07F7E85F7F4A} c:\users\Bernard\AppData\Local\{5477B114-3CC5-4D1E-874C-7CCE8E9BE09B} c:\users\Bernard\AppData\Local\{319F23D7-249B-4697-A310-BE9147F52A3F} c:\users\Bernard\AppData\Local\{3FFDB0E1-2857-4F3C-9459-4968AFE53F86} c:\users\Bernard\AppData\Local\{4F5A9195-BA4B-4AD4-B19D-6E061E1B8503} c:\users\Bernard\AppData\Local\{CFAD6FC1-C0FA-498A-B740-EC051650196D} c:\users\Bernard\AppData\Local\{70B8A085-1007-48EB-BA0A-124B00768459} c:\users\Bernard\AppData\Local\{65E97152-8099-4F77-A66A-FCEB80648847} c:\users\Bernard\AppData\Local\{B2AEAAE7-CDD3-4CB0-8B39-1F7AC6855A78} c:\users\Bernard\AppData\Local\{3DDF283F-8F2B-4CCC-9849-88832BB8FF07} c:\users\Bernard\AppData\Local\{F966610B-B83C-4E87-971E-527EE0FDB723} c:\users\Bernard\AppData\Local\{5A683711-DF73-4CEF-BEE2-06FAB700C751} c:\users\Bernard\AppData\Local\{728CBA4B-ACED-46D0-A18A-F03E91ED1B06} c:\users\Bernard\AppData\Local\{637977D4-BD9D-4FA8-A121-BB7115E21A90} c:\users\Bernard\AppData\Local\{3931201F-EFAB-4187-BFCB-701F66996D64} c:\users\Bernard\AppData\Local\{337B41DD-9B7F-477F-BB45-8FAE145B7A61} c:\users\Bernard\AppData\Local\{35D8BEEB-54EC-45E3-8D32-38447D237D98} c:\users\Bernard\AppData\Local\{36C95C8B-87BD-4570-A11A-3EB6975F9141} c:\users\Bernard\AppData\Local\{F42FB9E4-EF3E-4012-8D94-D82134FE07C5} c:\users\Bernard\AppData\Local\{620DB62F-924A-4F6D-A254-CB923F197A57} c:\users\Bernard\AppData\Local\{6765CC6C-9A9F-4776-AE8F-29636B1F3AF1} c:\users\Bernard\AppData\Local\{B3423212-DB99-4E9E-BD7F-EC46EB8FBF55} c:\users\Bernard\AppData\Local\{92D080F9-2E59-4F34-985C-30CDDE0E4FA9} c:\users\Bernard\AppData\Local\{DBA5C387-D345-4939-BCE1-211D8B2144ED} c:\users\Bernard\AppData\Local\{F5241C0F-3193-4F54-AE30-4A3D14AD0546} c:\users\Bernard\AppData\Local\{06EAA5C4-BC5F-4312-8E98-499C34F1529D} c:\users\Bernard\AppData\Local\{AA184356-C17E-4F9F-8571-D0409F6411D6} c:\users\Bernard\AppData\Local\{DF2CED84-ED5B-4AAE-A7F5-E5BF0EA35717} c:\users\Bernard\AppData\Local\{B0C66A5A-01EC-40E0-AC29-9B4580EBD5C1} c:\users\Bernard\AppData\Local\{E774DC6E-360E-4265-A190-9B2BCEC8A678} c:\users\Bernard\AppData\Local\{529CBAC1-4CDC-4B51-B168-1D3F9C45BFFC} c:\users\Bernard\AppData\Local\{F2CCFF4B-ACAD-43D6-BE3F-B254076AB8FE} c:\users\Bernard\AppData\Local\{CAFD876C-005B-4A4C-A01C-779E5DA8A88F} c:\users\Bernard\AppData\Local\{A0213929-5762-4071-971E-7735B4BB39EE} c:\users\Bernard\AppData\Local\{E35586CB-6E58-4E06-9EA2-88B079CF1BBE} c:\users\Bernard\AppData\Local\{12DAE126-EF27-404D-B890-F4D3E4810B2E} c:\users\Bernard\AppData\Local\{123EEBB2-79E8-4543-B1CA-4BBE372061E1} c:\users\Bernard\AppData\Local\{89938D11-637E-4854-B8BC-8E84EBF9C5CD} c:\users\Bernard\AppData\Local\{83572AFE-CF39-4097-901B-3720F9E02B00} c:\users\Bernard\AppData\Local\{B44CB990-D8DC-48B5-80A4-34518AB1C80B} c:\users\Bernard\AppData\Local\{0034029A-51DF-45C9-AC7A-36F84B4BB3BD} c:\users\Bernard\AppData\Local\{F9BA2BDA-AD3E-45B1-BE9E-3E3A7CB2D252} c:\users\Bernard\AppData\Local\{97B4ED31-F004-4A8F-809A-898D7B0D6E30} Registry:: [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] [-HKEY_CLASSES_ROOT\clsid\{d1a1c8f1-e3d9-48df-802f-20201061ef61}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d1a1c8f1-e3d9-48df-802f-20201061ef61}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] [-HKEY_CLASSES_ROOT\clsid\{d1a1c8f1-e3d9-48df-802f-20201061ef61}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] [-HKEY_CLASSES_ROOT\clsid\{d1a1c8f1-e3d9-48df-802f-20201061ef61}] Firefox:: FF - ProfilePath - c:\users\Bernard\AppData\Roaming\Mozilla\Firefox\Profiles\ewofkeuo.default\ FF - prefs.js: browser.search.defaulturl - FF - prefs.js: browser.search.selectedEngine - FF - prefs.js: keyword.URL - FF - user.js: browser.search.defaultenginename - FF - user.js: browser.search.defaulturl - FF - user.js: browser.search.selectedEngine - FF - user.js: keyword.URL - Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop "Application Updater" Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete "Application Updater" Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2269050 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Internet Explorer 6 Search Companion is no longer supported. R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:64505 R3 - URLSearchHook: ToggleDU Toolbar - {3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} - C:\Program Files\ToggleDU\prxtbTogg.dll R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\prxtbDVDV.dll O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll O2 - BHO: ToggleDU - {3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} - C:\Program Files\ToggleDU\prxtbTogg.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: DVDVideoSoftTB - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\prxtbDVDV.dll O3 - Toolbar: ToggleDU Toolbar - {3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} - C:\Program Files\ToggleDU\prxtbTogg.dll O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\prxtbDVDV.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k O4 - HKCU\..\Run: [Wisdom-soft AutoScreenRecorder 3.1 Free] 0 O4 - HKCU\..\Run: [3748887624] C:\Documents and Settings\klant\Local Settings\Application Data\etf.exe O20 - Winlogon Notify: winfuq32 - winfuq32.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: ToggleDU Toolbar - {3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} - C:\Program Files\ToggleDU\prxtbTog0.dll O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll O2 - BHO: ToggleDU - {3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} - C:\Program Files\ToggleDU\prxtbTog0.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O3 - Toolbar: ToggleDU Toolbar - {3ad798d0-4642-4c55-bc14-cfe7dd19e0d1} - C:\Program Files\ToggleDU\prxtbTog0.dll O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll O4 - HKLM\..\Run: [AuditVista] O4 - HKLM\..\Run: [spoolsv] "C:\Windows\temp\spoolsv\spoolsv.exe" Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Tracht eens op te starten in "veilige modus" ... en dan MBAM uit te voeren.