kape

En ook met uitgeschakeld antivirusprogramma ?

Er is niet echt 1 oorzaak, maar eerder een samenvallen van een aantal dingen. Maar vóór al te hard victorie te kraaien, zou ik toch ook nog even willen wachten ... want 100 % zeker dat het opgelost zou zijn ben ook ik nog niet helemaal

De te verwijderen items komen terug opduiken in je nieuwe logje. Wil je hetzelfde nog eens uitvoeren, maar dan in "veilige modus" ?

Download http://www.besttechie.net/tools/mbam-setup.exe Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht.

Hoe is de situatie nu ?

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKLM\..\Run: [HKLM] C:\directory\CyberGate\install\win.exe O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\directory\CyberGate\install\win.exe O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\directory\CyberGate\install\win.exe Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Download HiJackThis Dubbelklik op HJTInstall.exe Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. HijackThis zal openen na het installeren. Klik op "Do a systemscan and save a logfile". Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets. N.B. : gebruikers van Windows Vista en Windows 7 zullen eerst moeten rechtsklikken op HijackThis.exe en dan kiezen voor "Run as Administrator".

Voer ComboFix dan eens uit in die "veilige modus".

Dat is een correcte reactie van ComboFix, prima zo. Doe dan het volgende : Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File::c:\windows\Installer\4a26a.msi C:\S-m-i-t-f-r-a-u-d-F-i-x.exe C:\C-o-m-b-o-F-i-x.exe c:\users\eddy\appdata\roaming\GetValue.vbs c:\users\eddy\appdata\roaming\SetValue.bat Folder:: C:\scan21652s C:\C-o-m-b-o-F-i-x C:\SmitfraudFix C:\scan c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521} Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht. En laat ons nog even weten wat nu de actuele problemen nog zijn ?

Maak de quarantaine van AVG eerst volledig leeg. Verwijder daarna de oude herstelpunten. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. Laat dan de antivirus AVG eens opnieuw scannen en laat het resultaat even weten ?

Download hier CCleaner en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. That's it !

Maak geen verbinding met internet, schakel je antivirusprogramma even (tijdelijk) uit ... en kijk dan eens of de pictogrammen nog even traag op je PC verschijnen ? Indien dit nog hetzelfde is, herhaal dan deze zelfde procedure in "veilige modus". Laat ons daarna eens weten wat de resultaten hiervan waren ?

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\PEV.exe c:\windows\MBR.exe c:\windows\Installer\4a26a.msi C:\S-m-i-t-f-r-a-u-d-F-i-x.exe C:\C-o-m-b-o-F-i-x.exe c:\users\eddy\appdata\roaming\GetValue.vbs c:\users\eddy\appdata\roaming\SetValue.bat c:\windows\sed.exe c:\windows\SWREG.exe Folder:: C:\scan21652s C:\C-o-m-b-o-F-i-x C:\SmitfraudFix C:\scan c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521} Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht. En laat ons nog even weten wat nu de actuele problemen nog zijn ?

Het lijkt er sterk op dat je - in jouw geval - niet meer te doen hebt met een virus (ook de laatste scanner is clean), maar eerder met SPAM. Vermoedelijk hebben professionele SPAMmers - op één of andere manier - je mailadres te pakken gekregen en gebruiken ze dat nu voor het versturen van ongewenste berichten op jouw naam. Zou nog enkele dagen de zaken verder bekijken ... en zonder nieuwe problemen mag je dan dit onderwerp op "opgelost" zetten.

Krijg je nu nog Trojanmeldingen van je antivirus ?

En hoe staat het nu met de opstartsnelheid ?

Hoe staat het nu met de foutmeldingen ?

Probeer dan HijackTHis eens uit te voeren in "veilige modus" ... en kijk eens of ja daar logje kan knippen en plakken ?

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\system32\drivers\kgpcpy.cfg C:\SZKGFS.dat Driver:: kgpcpy Renv:: c:\program files\nero 8.0\Nero-8.3.2.1b_nld .exe Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht. En laat even weten hoe het nu met de snelheid staat ?

Logjes zien er goed uit ... heb je nu nog merkbare problemen ?

We zijn er bijna : Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Driver:: krspv Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\system32\4B.tmp c:\windows\system32\drivers\kgpcpy.cfg C:\SZKGFS.dat Driver:: kluygp kgpcpy kvtdbb yczxh yqcjuqkq MEMSWEEP2 Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] FireFox:: FF - ProfilePath - c:\documents and settings\Rene\Application Data\Mozilla\Firefox\Profiles\pc9ap6gs.default\ FF - prefs.js: browser.search.selectedEngine - Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

Dit logje is probleemloos Er zitten wel wat dingetjes in die je kan uitschakelen bij het opstarten. Download Codestuff Starter Start Codestuff Starter op Selecteer het tabblad Automatisch Opstarten en vink volgende items uit. Deze programma’s worden onnodig mee opgestart. O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [indexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') Als de snelheid dan nog niet mee wil, kan je die ComboFix wel eens laten runnen ... al is de kans niet bijzonder groot dat daar grote snelheidswinst in zal zitten. Maar wie niet waagt, niet wint

Principieel zou dat kunnen ... maar als je dan toepassingen tegenkomt die nog gebruikmaken van de oude versies van Framework heb je deze toch nodig. De kans dat je nog applicaties met de versie 1.1 tegenkomt is echter eerder klein, maar het kan nog. Indien er geen capaciteitsproblemen zijn, is er geen overtuigende reden om ze uit Software te verwijderen. Maar dat is natuurlijk altijd een beetje eigen keuze Wat de traagheid betreft zal dat ook geen (merkbare) invloed hebben. Dan zal je eerder op andere vlakken moeten gaan zoeken : malware, opstertprogramma's, antivirus ... of gewoon de leeftijd van het beestje.

Malwarebytes heeft een behoorlijke berg rotzooi van de PC gehaald en logje van HijackThis ziet er heel netjes uit. Nu verder nog merkbare problemen ? Zo niet, kunnen we aan de opruiming beginnen.