kape

Weinig aan de hand. Enkel wat kleinigheidjes : Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=70118f52000000000 00000265e79eab3&tlver=1.4.19.19&affID=17159 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = Klik op 'Fix checked' om de items te verwijderen.

OK, dan mag je dit nog uitvoeren om de gebruikte tools en de restjes van de besmetting uit te voeren : Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht en typ: ComboFix /Uninstall Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Indien aanwezig mag je de map C:\Qoobox manueel verwijderen. Download CCleaner. Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Systeem -> Systeembeveiliging -> schakel nu systeemherstel uit door de gewenste schijf te selecteren en op "configureren" te klikken. Klik nu op "verwijderen" om alle herstelpunten te verwijderen. Klik op "Toepassen" en "OK". Herstart nu de PC. That's it !

Indien Combofix verwijderd is, kan je eens proberen of je Qoobox in "veilige modus" kan verwijderen. Dat zou moeten lukken.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:56545 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F3 - REG:win.ini: load=C:\Users\ALEXAN~1\AppData\Local\Temp\csrss.exe O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKCU\..\Run: [conhost] C:\Users\Alexandra\AppData\Roaming\Microsoft\conhost.exe O4 - HKCU\..\Run: [Vaaoaj] C:\Users\Alexandra\AppData\Roaming\Vaaoaj.exe O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe O9 - Extra button: eBay.co.uk - Buy It Sell It Love It - {76577871-04EC-495E-A12B-91F7C3600AFA} - eBay - one of the UK's largest shopping destinations (file missing) O9 - Extra button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - Amazon.co.uk: Low Prices in Electronics, Books, Sports Equipment & more (file missing) Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

OK, maar dan gaan we wel de gebruikte tools en de restjes van de besmetting even opruimen : Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht en typ: ComboFix /Uninstall Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Indien aanwezig mag je de map C:\Qoobox manueel verwijderen. Download CCleaner. Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe die via Configuratiescherm -> Systeem en Onderhoud -> Systeem -> tabblad "Systeembeveiliging" -> vinkje weghalen bij de schijf waarvan je de herstelpunten wil verwijderen -> klikken op "toepassen". Dan krijg je de schermmelding “Weet u zeker dat u systeemherstel wil uitschakelen”. Klik hier op “Systeemherstel uitschakelen”. Dan zijn alle herstelpunten verwijderd op de aangeduide schijf. Zet daarna opnieuw een vinkje bij de harde schijf. Maak meteen ook een nieuw herstelpunt, zodat je niet hoeft te wachten op een automatisch herstelpunt van het systeem. That's it !

Bijna goed ! Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\820C0EEB9B124AD5B39DD15ED1DBDD06.TMP Firefox:: FF - ProfilePath - c:\documents and settings\Gebruiker\Application Data\Mozilla\Firefox\Profiles\sk3axlzg.default\ FF - prefs.js: keyword.URL - Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

Om te beginnen mag je die Java-update alvast toelaten. Kijk daarna bij Configuratiescherm -> Software of er meerdere updates van Java te vinden zijn. Normaal mag je na deze aampassing enkel over update 25 beschikken. Alle andere updates mag je bij Software verwijderen. Voor de die traagheid mag je Combofix nog eens laten scannen. Hang het logje ervan in je volgende bericht.

In je logje van Combofix moeten nog een aantal aanpassingen gebeuren. Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\820C0EEB9B124AD5B39DD15ED1DBDD06.TMP c:\windows\system32\ConduitEngine.tmp Folder:: C:\sh4ldr Firefox:: FF - ProfilePath - c:\documents and settings\Gebruiker\Application Data\Mozilla\Firefox\Profiles\sk3axlzg.default\ FF - prefs.js: keyword.URL – Renv:: c:\program files\ATI Technologies\ATI Control Panel\atiptaxx .exe c:\program files\Common Files\InstallShield\UpdateService\issch .exe c:\program files\Compaq\SetRefresh\SetRefresh .exe c:\program files\HP\HP Software Update\HPWuSchd2 .exe c:\program files\HP\hpcoretech\hpcmpmgr .exe c:\program files\Java\jre6\bin\jusched .exe c:\program files\TomTom HOME 2\TomTomHOMERunner .exe c:\windows\system32\rundll32 .exe Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

Het ziet er merkelijk beter uit dan in het begin van dit verhaal. Dat was natuurlijk ook een beetje de bedoeling ;-) Voldoet dit voor een degelijk gebruik van de browser ? Laat dit even weten. Indien alles OK is moeten we immers nog één en ander opruimen.

Beide logjes zien er prima uit. Heeft dit enige positieve invloed gehad op je eerder gemelde problemen ?

Heb even je onderwerp heropend, want er moeten nog wat restjes van de besmetting en gebruikte tools verwijderd worden. Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht en typ: ComboFix /Uninstall Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Indien aanwezig mag je de map C:\Qoobox manueel verwijderen. Download CCleaner. Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. Indien dit allemaal probleemloos verlopen is, mag je dit onderwerp definitief op "opgelost" zetten !!!

Graag gedaan ... dan kunnen we dit onderwerp netjes op "opgelost" zetten !

Neen, het logje ziet er nu goed uit ... vandaar de vraag hoe het met de browsers staat ?

Indien je meent dat de besmetting in de bestanden van deze TrustedInstaller zitten, laat dan de bestanden eens checken bij Jotti.

Dat is het inderdaad ... heb je daar negatieve aanwijzingen voor gevonden ?

Microsoft .NET Framework 4 is alvast de meest actuele versie van .NET Framework. Waar heb je een verwijzing ontdekt die eventueel naar dit onderdeel leidt ?

Hoe staat het nu met de snelheid van de browsers ?

Dan mag je Dr. Web verwijderen van je PC.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll O2 - BHO: netbits - {43bd6fe5-f55c-cd90-d961-e7548f8df36a} - C:\Windows\SysWow64\734560df-12a4-2609-20fe-c056b9ec45c0.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll O2 - BHO: SMTTB2009 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files (x86)\Burn4Free DB Toolbar\tbcore3.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Burn4Free DB Toolbar - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files (x86)\Burn4Free DB Toolbar\tbcore3.dll Klik op 'Fix checked' om de items te verwijderen. Verwijder Ask Toolbar of Ask.com via Configuratiescherm -> Software (indien aanwezig) of verwijder anders volgende vetgedrukte map : C:\Program Files (x86)\Ask.com Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\system32\roboot64.exe Folder:: c:\users\HP\AppData\Local\{A528B51D-1F74-47B2-988D-6339D6D0A3B2} c:\users\HP\AppData\Local\{70560B18-B44F-49DA-835E-BBC7CDF9F2A3} c:\users\HP\AppData\Local\{D2CBD15C-66F4-4471-B7EE-B5E3E9C77CE5} c:\users\HP\AppData\Local\{5A8101B2-8AF2-4AB2-8DB4-D05C209637FB} c:\users\HP\AppData\Local\{1B6559FD-4D0D-4A66-B4D1-BB824A8D207D} c:\users\HP\AppData\Local\{E4EB94F7-A5FC-4991-83C2-33FACCC263C6} c:\users\HP\AppData\Local\{E83B1ACD-D0DD-446E-BE91-CD3C1987998B} c:\users\HP\AppData\Local\{DF19AC33-0230-4B69-A8C6-61E369CC2661} c:\users\HP\AppData\Local\{F01470D6-62BD-4045-8FA0-0D3784112344} c:\users\HP\AppData\Local\{6F1DE2ED-BFDE-43AA-9E00-761E63192DA4} c:\users\HP\AppData\Local\{7B30053E-BB2E-4498-B237-69BA370EB154} c:\users\HP\AppData\Local\{8F26A891-7DB8-4D4F-84C4-F6D1107AB412} c:\users\HP\AppData\Local\{89884295-21F5-492A-BB56-E352EB1CCD77} c:\users\HP\AppData\Local\{B6BD60B5-3780-4800-9180-27F2498746B5} c:\users\HP\AppData\Local\{A3664CEB-77D3-406D-9AFB-A74049FDB1F5} Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht

Dr. Web heeft zijn werk gedaan. Stuurt men je nu bij de Googlezoekresultaten nog steeds door naar ongewenste websites ?

Gewoon rechtsklikken op de naam van map of bestand en kiezen voor verwijderen. Dit kan je normaal ook via rechtsklikken verwijderen (zeker de snelkoppeling op je bureaublad, maar mogelijk ook het logo in je taakbalk).

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: F2 - REG:system.ini: UserInit=userinit.exe, O15 - Trusted Zone: *.clonewarsadventures.com Klik op 'Fix checked' om de items te verwijderen.

Is dit een website *.clonewarsadventures.com die je bekend en veilig voorkomt ?

Heb even een eigen onderwerp voor je aangemaakt. Posten in het log van een andere forumgebruiker leidt alleen maar tot misverstanden. Download HijackThis Klik bij "HijackThis Downloads" op "Installer". Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren". Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. Klik op de snelkoppeling om HijackThis te starten Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog". Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets. Krijg je een melding ""For some reason your system denied writing to the Host file ....", klik dan gewoon door op de OK-toets. Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis.