kape

Logje HijackThis ziet er nu prima uit. Bij Malwarebytes heb je de aanduiding "no action taken" achter de gevonden items. Dit zou er op kunnen wijzen dat je enkel gescand hebt, maar niet voor het verwijderen van deze besmetting hebt gekozen. Wil je Malwarebytes nog eens opnieuw laten scannen en nu wel degelijk kiezen voor "verwijderen". Hang daarna een nieuw logje van MBAM in je volgende bericht ... en laat dan ook even weten of onze "vriend" Antivirus Action nog iets van zich laat horen ?

Je logje van Malwarebytes zie ik niet meteen als bijlage aan je bericht ? Als de items verwijderd zijn uit HijackThis, staat niets internetten nog in de weg En uit interesse : die automatische (?) kleuring, waar is gebeurt die dan ?

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [GenePccMon.exe] C:\Program Files\Genesys Logic PC Camera Device\GenePccMon.exe Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Dit is allemaal perfect verlopen ... maar hoe zit het nu met de verbinding ?

Afkijken van anderen (in de school mag dit niet, maar hier mag dit wel !!!). Maar ook zelfstudie én ondertussen een (klein) beetje ervaring.Om de restjes van de besmetting te verwijderen, mag je nog het volgende doen : Download hier CCleaner en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Configuratiescherm -> Systeem en Onderhoud -> Systeem -> tabblad "Systeembeveiliging" -> vinkje weghalen bij de schijf waarvan je de herstelpunten wil verwijderen -> klikken op "toepassen". Dan krijg je de schermmelding “Weet u zeker dat u systeemherstel wil uitschakelen”. Klik hier op “Systeemherstel uitschakelen”. Dan zijn alle herstelpunten verwijderd op de aangeduide schijf. Zet daarna opnieuw een vinkje bij de harde schijf. Maak meteen ook een nieuw herstelpunt, zodat je niet hoeft te wachten op een automatisch herstelpunt van het systeem. That's it !

De aangeduide items die je moest verwijderen met HijackThis zijn niet verdwenen uit je nieuwe logje. Voer aub de opdracht opnieuw uit, maar doe dit gewoon in "veilige modus". En oh ja ... post je nieuwe logje gewoon zoals aangegeven in de eerdere opdract. Kopiëren en plakken in een nieuw bericht (zonder kleurcode of andere fantasietjes). En hang er meteen ook dat logje van MBAM bij !

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = Duxet.com R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = http=127.0.0.1:29775 O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKCU..Run: [ZE18MW23GY] C:/DOCUME~1/ANDREA~1/LOCALS~1/Temp/Sdh.exe O4 - HKCU..Run: [tvdkeixd] C:/DOCUME~1/ANDREA~1/LOCALS~1/Temp/sjkpiygjeawdcgjdyhsn.exe O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Beetje omslachtig, maar nog altijd beter dan te moeten hertypen : alle letters via "vervangen" wijzigen van hoofdletter (bvb. "A") naar kleine letter (bvb "a"). Hoef je daarna enkel nog de beginletters van elke zin terug in hoofdletters te zetten.

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop “Planner voor Automatische LiveUpdate” Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete “Planner voor Automatische LiveUpdate“ Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: O23 - Service: Planner voor Automatische LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe Klik op 'Fix checked' om de items te verwijderen. Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\Tasks\Norton Security Scan for Ingrid.job c:\windows\system32\mspnp71f.exe c:\windows\system32\drivers\ndisrd.sys c:\program files\Norton Security Scan\Norton Security Scan\Engine\2.7.3.34\Nss.exe Folder:: Norton Security Scan Driver:: ndisrd.sys MSPnPService Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

Het verwijderen van de resten van Norton/Symantec lijkt niet meteen geslaagd te zijn Dan pakken we dat even anders aan. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop CLTNetCnService Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete CLTNetCnService Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop LiveUpdate Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete LiveUpdate Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop “LiveUpdate Notice Ex” Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete “LiveUpdate Notice Ex” Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop “LiveUpdate Notice Service” Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete “LiveUpdate Notice Service” Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe Klik op 'Fix checked' om de items te verwijderen. En hoe staat het momenteel met je "Security Alert" ?

Heb je dit ook uitgevoerd ? Want het item staat nog steeds in je nieuwe logje : Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop “McAfee SiteAdvisor Service” Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete “McAfee SiteAdvisor Service” Druk op Enter. Zo ja, mag je dit nog doen. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: O23 - Service: McAfee SiteAdvisor Service - Unknown owner - c:\PROGRA~1\mcafee\SITEAD~1\mcsacore.exe (file missing) Klik op 'Fix checked' om de items te verwijderen. Verder heeft Malwarebytes flinke opruiming gehouden en ziet de rest van je log van HijackThis er netjes uit. Krijg je nu nog ongewenste advertenties op je scherm ?

Ga dan via Start -> Uitvoeren ... typ daar sfc /scannow en laat de PC zijn werk doen. Onderweg wordt er normaal wel gevraagd naar de Windows-CD. Hou die alvast bij de hand.

Zit je na deze behandeling nog steeds met dezelfde problemen ?

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop “McAfee SiteAdvisor Service” Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete “McAfee SiteAdvisor Service” Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (file missing) O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (file missing) O4 - HKCU\..\Run: [Metropolis] rundll32.exe C:\Users\Medion\AppData\Local\Temp\sshnas21.dll,GetHandle O4 - HKCU\..\Run: [KOO9RV9K4Z] C:\Users\Medion\AppData\Local\Temp\Zvl.exe O4 - Global Startup: Bluetooth Manager.lnk = ? Klik op 'Fix checked' om de items te verwijderen. Verwijder volgende programma Ask.com via Software (indien aanwezig) of verwijder anders volgende vetgedrukte map C:\Program Files\Ask.com. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Verwijder volgende vetgedrukte bestand : c:\windows\9EFA732347A048E28F7735DB5EED500A.TMP Ga naar Start -> Uitvoeren/Zoekopdracht typ cmd druk op enter typ ipconfig /flushdns en klik enter Herstart de computer. En kijk dan eens of de verbinding terug OK is. Vraagje : heb je nog Norton/Symantec-producten die je actief gebruikt (antivirus of anderen) ?

Dat is perfect mogelijk. Bij MSN Plus wordt allerlei "rommel" mee op de PC gezet, die door antivirusprogramma's inderdaad herkend wordt als virussen of spyware. Het zit hem in de Plus (de rommel, dus), die je beter niet downloadt.

Dan zeker toch niet van HijackThis ... want dat is absoluut betrouwbaar. Wat NOD32 ook mag vertellen. Maar het is uiteraard je eigen keuze of je hiermee door wil gaan of niet ? Beïnvloeden willen we je zeker niet doen.

OK, als het dat maar is. De meeste antivirusprogramma's herkennen HijackTHis niet als een legitiem programma. Maar daar zitten ze fout. Kan je door de foutmelding van NOD32 heen doorgaan met het downloaden en installeren ?

Heb je ook nog een nieuw logje van HijackThis ter controle ?

Prima dan ... nog even de restjes van de besmetting opruimen Download hier CCleaner en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. That's it ! P.S. : de dienstverlening hier is volledig gratis. Maar je kan PCH natuurlijk altijd vrijwillig steunen. Kijk HIER even.

En welke exacte foutmelding geeft NOD32 dan ?

Het volstaat niet om dit programma gewoon te laten scannen. Wil je ook even het logje dat je bekomen hebt hier in een bericht zetten. Pas dan kunnen we weten of er eventueel malware in te vinden is ?

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:29775 O4 - HKCU\..\Run: [dkrhlwwg] C:\Users\PACKAR~1\AppData\Local\Temp\ndojgckrw\pqgljrqyhsn.exe Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log. P.S. : je moet ook je oude Norton/Symantec-antivirus eens op een correcte manier verwijderen. Gebruik daarvoor de Removal Tool van Norton.

Eens kijken of malware de download niet hindert ? Download HijackThis Klik bij "HijackThis Downloads" op "Installer". Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren". Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. Klik op de snelkoppeling om HijackThis te starten Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog". Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets. Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “uitvoeren als administrator". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis.

Ziet er prima uit ... beide logjes zijn clean