kape

Zeker ... Problemen van de baan, dan is het tijd voor de “grote schoonmaak” : verwijderen van gebruikte programma’s, een cleaning en het verwijderen van de besmette herstelpunten. Verwijder Combofix: Start -> Uitvoeren en typ: ComboFix /Uninstall Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Indien aanwezig mag je de map C:\Qoobox manueel verwijderen. Download hier CCleaner en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Configuratiescherm -> Systeem en Onderhoud -> Systeem -> tabblad "Systeembeveiliging" -> vinkje weghalen bij de schijf waarvan je de herstelpunten wil verwijderen -> klikken op "toepassen". Dan krijg je de schermmelding “Weet u zeker dat u systeemherstel wil uitschakelen”. Klik hier op “Systeemherstel uitschakelen”. Dan zijn alle herstelpunten verwijderd op de aangeduide schijf. Zet daarna opnieuw een vinkje bij de harde schijf. Maak meteen ook een nieuw herstelpunt, zodat je niet hoeft te wachten op een automatisch herstelpunt van het systeem. That's it !

En hoe gedraagt de PC zich nu, na de run van Combofix ?

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Folder:: c:\users\Van den Dries\AppData\Local\BearShare c:\program files\BearShare Applications FCOPY:: c:\windows\ServicePackFiles\i386\wininit.exe|c:\windows\system32\wininit.exe Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

Laat die CCleaner en Spybot van Mister T maar even wachten. Doe eerst het volgende : Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing) O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\nl\msntb.dll (file missing) O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\nl\msntb.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op Lees hier meer over correct gebruik van Combofix. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd. Als deze Recovery Console al is geïnstalleerd zal ComboFix automatisch verder gaan met het scannen naar malware Volg anders de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren. Wanneer de Recovery Console succesvol is geïnstalleerd, klik je op “JA” om verder te gaan met het scannen naar malware. NOTA: Wanneer ComboFix start, kan het zijn dat je een foutmelding krijgt dat “De inhoud van het ComboFix pakket werd gewijzigd”. Ga dan niet verder met de instructies, maar download ComboFix opnieuw. Deze melding kan verschijnen wanneer een file-infector (Virut) actief is op de computer. Blijf je die melding krijgen dan meld je dit. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Heb je Outlook Express als mailprogramma ? Zo ja, verplaats dan even de bestanden die eindigen op .dbx (en op de standaardlocatie C:\Documents and Settings\Gebruikersnaam\Local Settings\Application Data\ Identities\... lang cijfer\Microsoft\Outlook Express zitten) naar je bureaublad in een mapje dat je bvb. "Outlook Express" noemt. Let op : die .dbx-bestanden zijn "verborgen bestanden". Je moet dus de optie "verborgen bestanden toenen" eerst inschakelen. Dan laat je Kaspersky opnieuw scannen om te bekijken of hij opnieuw vastloopt op gelijkaardige bestanden (maar dan op een andere locatie). Laat het resultaat even weten ?

Er is nog wat anders aan de hand. We zoeken even verder : Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: O4 - HKLM\..\Run: [tkrbpmqt] C:\Documents and Settings\Packard Bell\Local Settings\Application Data\fiorrvife\hwyvmrwshdw.exe O4 - HKLM\..\Run: [lervywrntkvgbq] c:\documents and settings\packard bell\local settings\application data\jlpnndtb\wnxlyb.exe O4 - HKLM\..\Run: [xreklqkkumop] c:\documents and settings\packard bell\local settings\application data\chynbl\sbxuiv.exe O4 - HKLM\..\Run: [lssdfwsp] C:\Documents and Settings\Packard Bell\Local Settings\Application Data\ctoewikid\bgqxpjwshdw.exe O4 - HKCU\..\Run: [tkrbpmqt] C:\Documents and Settings\Packard Bell\Local Settings\Application Data\fiorrvife\hwyvmrwshdw.exe O4 - HKCU\..\Run: [lervywrntkvgbq] c:\documents and settings\packard bell\local settings\application data\jlpnndtb\wnxlyb.exe O4 - HKCU\..\Run: [xreklqkkumop] c:\documents and settings\packard bell\local settings\application data\chynbl\sbxuiv.exe O4 - HKCU\..\Run: [XBV6RD5SZF] C:\DOCUME~1\PACKAR~1\LOCALS~1\Temp\Tgy.exe O4 - HKCU\..\Run: [lssdfwsp] C:\Documents and Settings\Packard Bell\Local Settings\Application Data\ctoewikid\bgqxpjwshdw.exe Klik op 'Fix checked' om de items te verwijderen. Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op Lees hier meer over correct gebruik van Combofix. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd. Als deze Recovery Console al is geïnstalleerd zal ComboFix automatisch verder gaan met het scannen naar malware Volg anders de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren. Wanneer de Recovery Console succesvol is geïnstalleerd, klik je op “JA” om verder te gaan met het scannen naar malware. NOTA: Wanneer ComboFix start, kan het zijn dat je een foutmelding krijgt dat “De inhoud van het ComboFix pakket werd gewijzigd”. Ga dan niet verder met de instructies, maar download ComboFix opnieuw. Deze melding kan verschijnen wanneer een file-infector (Virut) actief is op de computer. Blijf je die melding krijgen dan meld je dit. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht, samen met een nieuw log van HijackThis.

Kan een flink tijdje duren de eerste keer ... maar als je helemaal geen beweging meer ziet, moet je eens kijken of aflsuiten mogelijk is. En dan kijken of er een bestandje ComboFix.txt op je C-partitie is aangemaakt ?

Wil je dit bestand c:\windows\system32\wininit.exe eens laten scannen bij Jotti

Even dieper kijken dan : Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op Lees hier meer over correct gebruik van Combofix. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd. Als deze Recovery Console al is geïnstalleerd zal ComboFix automatisch verder gaan met het scannen naar malware Volg anders de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren. Wanneer de Recovery Console succesvol is geïnstalleerd, klik je op “JA” om verder te gaan met het scannen naar malware. NOTA: Wanneer ComboFix start, kan het zijn dat je een foutmelding krijgt dat “De inhoud van het ComboFix pakket werd gewijzigd”. Ga dan niet verder met de instructies, maar download ComboFix opnieuw. Deze melding kan verschijnen wanneer een file-infector (Virut) actief is op de computer. Blijf je die melding krijgen dan meld je dit. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Dit logje ziet er erg netjes uit. Zijn er problemen met deze PC ? Of was het enkel een routinecontrole ?

Sluit eerst je PC af en start hem daarna opnieuw op. Een aantal items gevonden door Malwarebytes worden immers pas verwijderd bij een reboot van de computer. Na de nieuwe start doe je dit : Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Duxet.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522 O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [onmoyxey] C:\Documents and Settings\Packard Bell\Local Settings\Application Data\riofgkchd\fuxdojeshdw.exe O4 - HKLM\..\Run: [pfyuiohj] C:\Documents and Settings\Packard Bell\Local Settings\Application Data\thptfxtvv\xqaqmflshdw.exe O4 - HKLM\..\RunOnce: [innoSetupRegFile.0000000001] "C:\WINDOWS\is-UHT6H.exe" /REG O4 - HKCU\..\Run: [onmoyxey] C:\Documents and Settings\Packard Bell\Local Settings\Application Data\riofgkchd\fuxdojeshdw.exe O4 - HKCU\..\Run: [pfyuiohj] C:\Documents and Settings\Packard Bell\Local Settings\Application Data\thptfxtvv\xqaqmflshdw.exe O4 - Startup: syscron.exe O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolb...lerControl.cab Klik op 'Fix checked' om de items te verwijderen. Verwijder volgende programma Ask.com bij Software (indien aanwezig) of verwijder anders volgende vetgedrukte map C:\Program Files\Ask.com Laat dan Malwarebytes opnieuw scannen en hang het logje van Malwarebytes, samen met een nieuw log van HijackThis, in je volgende bericht.

Neen, opent vlotjes

Zeker laten staan !

Voorlopig is er - helaas - nog geen alternatief programma voor Combofix

Heb je ondertussen de PC al opnieuw opgestart ? Een aantal van de aangeduide items worden pas verwijderd na een nieuwe start "Delete on reboot". En blijkbaar heb je de update van JAVA nog niet uitgevoerd. Om veiligheidsredenen kan je dit best wel uitvoeren. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop “Application Updater” Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete “Application Updater” Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: O20 - Winlogon Notify: yotamtt - yotamtt.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Laat even weten og je nog merkbare problemen hebt met onze vriend "Antimalware Doctor" ... en hang een nieuw log van HijackThis en Malwarebytes - ter controle - in je volgende bericht.

Heeft de scan ondertussen dit bestand opgeleverd C:\ComboFix.txt ? Of niet ?

Oeps ... Malwarebytes heeft een behoorlijke berg rotzooi van de PC gehaald. Nog even dit : Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop NFAgent Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete NFAgent Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7070 Klik op 'Fix checked' om de items te verwijderen. Hang een nieuw logje van HijackThis in je volgende bericht. Laat dan AVG opnieuw scannen. Benieuwd wat die nog te vertellen heeft ?

Nu is het inderdaad OK. Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op Lees hier meer over correct gebruik van Combofix. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd. Als deze Recovery Console al is geïnstalleerd zal ComboFix automatisch verder gaan met het scannen naar malware Volg anders de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren. Wanneer de Recovery Console succesvol is geïnstalleerd, klik je op “JA” om verder te gaan met het scannen naar malware. NOTA: Wanneer ComboFix start, kan het zijn dat je een foutmelding krijgt dat “De inhoud van het ComboFix pakket werd gewijzigd”. Ga dan niet verder met de instructies, maar download ComboFix opnieuw. Deze melding kan verschijnen wanneer een file-infector (Virut) actief is op de computer. Blijf je die melding krijgen dan meld je dit. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Heb je nu de eerder aangeduide items verwijderd ? Want deze zitten nog steeds in je nieuwste logje ?

Zou dan eens proberen om NOD32 te verwijderen, met CCleaner de resten op te ruimen en dan opnieuw van de CD te installeren (uiteraard zonder verbinding met internet voor de veiligheid).

Heb je die NOD32 op CD of via download binnengehaald ?

OK, dan wachten we best even af of die melding nu wegblijft. Is dat zo, geef dan een seintje ... want dan kunnen we aan de opruiming van de gebruikte tools beginnen.

Wat is de exacte melding die je krijgt van ESET ?

Graag gedaan xD

Neen, Combofix en Win 7 64-bits gaan niet samen.