kape

Laat dit bestand c:\windows\regedit.exe eens scannen bij Jotti ... en meldt het resultaat in je volgende bericht.

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\system32\drivers\twmqbmmj.sys c:\program files\yinst_current.exe c:\windows\system32\zmipzvgh.dll.bak c:\program files\MP10Setup.exe c:\program files\avg70free_289a392.exe c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{CDCF6F3C-0C2D-4BA0-8D8A-3BF7EE9A9C32}\MpKsl7fa9674d.sys c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{ACC08993-E71B-48B4-BBFB-B468DB32E369}\MpKslc31f71ee.sys Folder:: c:\documents and settings\Jurgen & Kim\Application Data\PriceGong Driver:: twmqbmmj MpKsl7fa9674d MpKslc31f71ee lkkbaeiq Firefox:: FF - ProfilePath - c:\documents and settings\Jurgen & Kim\Application Data\Mozilla\Firefox\Profiles\03m92ztn.default\ FF - prefs.js: browser.search.selectedEngine – FF - prefs.js: keyword.URL – Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

Malwarebytes heeft prima gewerkt, maar HijackThis is niet gelukt. Alle items die moesten verwijderd worden zitten nog steeds in je nieuwe log van HijackThis. Wil je dit nog eens opnieuw uitvoeren (als administrator) en daarna een nieuw logje plaatsen ?

Eh, ik wil niet lastig lijken : maar wij zijn ook maar "vrijwilligers" die niet permanent aan de PC zitten. Maar geen probleem : hier komt een volgende suggestie : Download en unzip Killbox naar je bureaublad. In het veld "Full Path of File to Delete" kopieer en plak je het volgende: c:\windows\system32\mswsock32.dll Klik op de knop: Delete on Reboot Klik op de knop: single file Klik daarna op de rode cirkel met het wit kruisje erin. Killbox zal zeggen dat deze file zal verwijderd worden on reboot.. vraagt om nu te rebooten. Klik YES. Je PC zal nu herstarten. En je mag ineens de hostfiles aanpakken : ga naar C:\Windows\system32\drivers\etc\hosts ... en verwijder daaruit alle items die je in het HJT-log kan vinden onder de 01 - Hosts

Probleem is dat de kwaal mswsock32.dll een "besmettelijk" bestand is. Dat zou ook de reden kunnen zijn dat de PC zo raar gereageerd heeft op deze LSPfix Strikt genomen zouden we dat bestand moeten kwijtraken. Maar indien je de middelen te gevaarlijk vind, stoppen we uiteraard onmiddellijk.

Gewoon klikken op die "Download Now" rechts van de pagina.

Download LSPfix.exe rn zet het op je bureaublad. 1. Start het programma. 2. Selecteer "I know what I’am doing" 3. Selecteer ALLEEN dit bestand: mswsock32.dll 4. Klik op "remove" zodat het bestand naar het rechter venster gaat. 5. Klik op "Finish" 6. Herstart de PC. 7. Verwijder het bovengenoemde bestand uit de C:\Windows\System32-directory (indien aanwezig).

Dat klopt helemaal ... deze zaken kan je best verwijderen van je computer. En die SweetIM zit o.m. verborgen in deze lijntjes die je moet weghalen : R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file) O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - (no file) O3 - Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)

Elk kladblok is "naamloos" ... waarom zou je dat willen veranderen ???

Probeer AVG eens te verwijderen met de speciale AVG Removal Tool.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file) R3 - URLSearchHook: Softonic Netherlands Toolbar - {65ca59ee-9920-4d7f-8c41-bfa12403261a} - C:\Program Files (x86)\Softonic_Netherlands\tbSoft.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Softonic Netherlands Toolbar - {65ca59ee-9920-4d7f-8c41-bfa12403261a} - C:\Program Files (x86)\Softonic_Netherlands\tbSoft.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - (no file) O3 - Toolbar: LimeWire Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll O3 - Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - (no file) O3 - Toolbar: Softonic Netherlands Toolbar - {65ca59ee-9920-4d7f-8c41-bfa12403261a} - C:\Program Files (x86)\Softonic_Netherlands\tbSoft.dll O4 - Global Startup: FancyStart daemon.lnk = ? O4 - Global Startup: SRS Premium Sound.lnk = ? Klik op 'Fix checked' om de items te verwijderen. Verwijder volgende programma Ask.com via Software (indien aanwezig) of verwijder anders volgende vetgedrukte map : C:\Program Files (x86)\Ask.com Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Toestand PC valt best mee. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: O10 - Broken Internet access because of LSP provider 'c:\windows\system32\mswsock32.dll' missing Klik op 'Fix checked' om de items te verwijderen. Download HostsXpert Unzip het programma naar je Bureaublad. Open de map en dubbelklik op Hoster.exe Klik op "Restore Microsofts Original Hosts File" Klik op "OK" en sluit het programma. En post dan even een nieuw logje van HijackThis.

Dit logje is OK. Heb je ook het logje van Combofix ?

Misschien kan je dit nog eens als extraatje doen voor die "traagheid". Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap. 2. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm. 3. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd. **Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware. 4. Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren. Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd: Klik op Ja om verder te gaan met het scannen naar malware. 5. Wanneer ComboFix klaar is, zal het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Logje is compleet clean. Malware mag je nu wel compleet uitsluiten.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Productivity 2.2 Toolbar - {e84cc2c1-b722-48fc-a39c-edb8b525c777} - C:\Program Files\Productivity_2.2\prxtbPro0.dll O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Productivity 2.2 - {e84cc2c1-b722-48fc-a39c-edb8b525c777} - C:\Program Files\Productivity_2.2\prxtbPro0.dll O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) O3 - Toolbar: Productivity 2.2 Toolbar - {e84cc2c1-b722-48fc-a39c-edb8b525c777} - C:\Program Files\Productivity_2.2\prxtbPro0.dll O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll O4 - .DEFAULT User Startup: CCC.lnk = ? (User 'Default user') O4 - Startup: CCC.lnk = ? O4 - Global Startup: BTTray.lnk = ? O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanage...ex-2.2.5.7.cab Klik op 'Fix checked' om de items te verwijderen. Hang dan een nieuw logje van HijackThis in je bericht … en laat even weten hoe de PC zich nu gedraagt ?

Hiermee is flink wat rotzooi van de PC gehaald. Hoe is de toestand nu ?

Je moet er inderdaad rekening mee houden dat - bij eerste gebruik - het behoorlijk lang kan duren voor dit programma zijn eerste scan heeft uitgevoerd en je een logje kan bekomen.

Start de PC op in "veilige modus" ... en probeer dan eens of de actie met Combofix wél lukt ?

Indien je alles correct hebt uitgevoerd zou je het logje moeten vinden in C:\ProgramFiles\TrendMicro\HijackThis ! En dan kan je het op de eerder uitgelegde manier als bijlage aan een bericht hangen of zelfs gewoon in een bericht plakken.

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop aspnet_state Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete aspnet_state Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: (no name) - {d3f4b70a-92e0-4393-a0f3-976d03b1ebf5} - (no file) Klik op 'Fix checked' om de items te verwijderen. Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier 2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal. 3. Dubbelklik op "Combofix.exe" om de tool te starten. 4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen. Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer. 5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht, samen met een nieuw HijackThis log.

Mocht dit nog geen oplossing bieden, laat dan even HijackTHis scannen : Download HijackThis Klik bij "HijackThis Downloads" op "Installer". Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren". Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. Klik op de snelkoppeling om HijackThis te starten Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog". Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets. Krijg je een melding ""For some reason your system denied writing to the Host file ....", klik dan gewoon door op de OK-toets. Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis.

Originele bestand is eerder correct vervangen door Combofix en de rootkit is verwijderd door TDSSKiller. Logisch gevolg is dat je normaal geen Trojan-meldingen krijgt. De andere naam van het bestand zegt me niet meteen iets, tenzij dit er door TDSS-killer zou zijn neergezet als replica van de originele sptd.sys. Vermits alles momenteel blijkbaar probleemloos verloopt, zou ik nu verder even de zaak aankijken. Mochten er nog problemen opduiken, laat het hier dan in dit topic weten.

Om de fout in Malwarebytes te herstellen, moet je kiezen voor de optie "verwijderen". De aanduiding "no action taken" zou er op kunnen wijzen dat je dat niet gedaan hebt. Zo niet, wil je dat dan nog even herdoen en dan wél kiezen om te verwijderen.

Malwarebytes heeft zijn werk gedaan ... maar met het logje van HijackThis is iets vreemds aan de hand. Kijk eens naar datum en uur : Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 18:22:26, on 23/09/2010 Dit is dus een oud logje (identiek aan je vorige trouwens). Wil je eens bekijken of je geen actueler log op je PC hebt ? Zo niet, maak even een nieuw log aan. Vergeet vooral niet het uit te voeren als administrator. En hang dit recente log dan in je volgende bericht.