kape

Downlod dit programma dan op een andere PC (indien mogelijk) en breng dit over met een USB-stick naar de besmette PC. Dan laten scannen ... en logje hier plaatsen indien gelukt.

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon32.exe O4 - HKLM\..\Run: [ssixguqo] C:\Documents and Settings\Vandervelden Nick\Local Settings\Application Data\dotkpmscq\fyerxcptssd.exe O4 - HKLM\..\Run: [smss32.exe] C:\WINDOWS\system32\smss32.exe O4 - HKLM\..\Run: [lsdefrag] C:\WINDOWS\Temp\wpv041274224046.exe O4 - HKCU\..\Run: [M5T8QL3YW3] C:\DOCUME~1\VANDER~1\LOCALS~1\Temp\Dlr.exe O4 - HKCU\..\Run: [ssixguqo] C:\Documents and Settings\Vandervelden Nick\Local Settings\Application Data\dotkpmscq\fyerxcptssd.exe O4 - HKCU\..\Run: [smss32.exe] C:\WINDOWS\system32\smss32.exe O4 - HKLM\..\Policies\Explorer\Run: [rtw9ws] C:\DOCUME~1\VANDER~1\LOCALS~1\Temp\jo2lej.exe O4 - Startup: algeki32.exe O4 - Startup: LimeWire Acceleration Patch.lnk = C:\Program Files\LimeWire Acceleration Patch\LimeWire Acceleration Patch.exe O15 - Trusted Zone: http://*.digital-supply.com O15 - Trusted Zone: http://*.download-soft-package.com O15 - Trusted Zone: http://*.download-software-package.com O15 - Trusted Zone: http://*.get-key-se10.com O15 - Trusted Zone: http://*.is-software-download.com O15 - Trusted Zone: http://*.digital-supply.com (HKLM) O15 - Trusted Zone: http://*.get-key-se10.com (HKLM) O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing) O21 - SSODL: GootkitSSO - {FA79CC5B-E009-4DFB-A324-EAB7F9875A2F} - C:\WINDOWS\System32\msxsltsso.dll Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Dan sluiten we dit onderwerp af. Succes ermee

Heb het onderwerp van onze "nieuwe fan" toch nog even heropend. Want je moet nog even wat doen om de resten van de besmetting volledig op te ruimen. Download hier CCleaner. en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Configuratiescherm -> Systeem en Onderhoud -> Systeem -> tabblad "Systeembeveiliging" -> vinkje weghalen bij de schijf waarvan je de herstelpunten wil verwijderen -> klikken op "toepassen". Dan krijg je de schermmelding “Weet u zeker dat u systeemherstel wil uitschakelen”. Klik hier op “Systeemherstel uitschakelen”. Dan zijn alle herstelpunten verwijderd op de aangeduide schijf. Zet daarna opnieuw een vinkje bij de harde schijf. Maak meteen ook een nieuw herstelpunt, zodat je niet hoeft te wachten op een automatisch herstelpunt van het systeem. That's it ! En daarna mag je je onderwerp weer terug op "opgelost" zetten !!!

Probleem is dat voor Windows-herstel - want dat lijkt wel nodig te zijn - best de Windows-CD gebruikt wordt ... maar vermits je die niet hebt, zitten we met een probleem

Het instellen van IE als browser gebeurt door het herstel van de oorspronkelijke instellingen nà het gebruik van ComboFix. Maar zelf een andere browser installeren, mag nu ook geen probleem meer zijn, indien je dat wenst.

Malwarebytes heeft flink wat rotzooi van je PC gehaald en logje HijackThis ziet er nu prima uit Hiermee zou je probleem opgelost moeten zijn. Heb je nog merkbare problemen i.v.m. die Antispyware Soft ?

Problemen van de baan, dan is het tijd voor de “grote schoonmaak” : verwijderen van gebruikte programma’s, een cleaning en het verwijderen van de besmette herstelpunten. Verwijder HijackThis (via Software). Verwijder Combofix: Start -> Uitvoeren en typ: ComboFix /Uninstall Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Indien aanwezig mag je de map C:\Qoobox manueel verwijderen. Download hier CCleaner. en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is ook aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) én nu een nieuw actueel herstelpunt manueel aan te maken. That's it !

Deze logjes zien er prima uit Nog graag één testje om uit te zoeken of malware de oorzaak zou kunnen zijn van je problemen ... al lijkt die kans minimaal te zijn. Maar wie niet waagt, niet wint ! Download Combofix naar je Bureaublad. Lees hier meer over correct gebruik van Combofix. OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen! Dubbelklik op Combofix.exe om het te starten. Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate. Volg de instructies, aanvaard de disclaimer door op Ja te klikken. Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA). Klik op OK en Ja om automatisch de Recovery Console te laten installeren. Klik na afloop terug op Ja om het scannen op malware te starten. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen. Post dit logje in je volgende antwoord.

Zitten volgens je logje op deze locaties : C:\Program Files\Search Guard PlusU\sgpupdaters.exe C:\Program Files\Search Guard Plus\FbsSearchProviderIE8.exe

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing) Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Je kan er nu van op aan dat malware niet de oorzaak is van je problemen. Maar daarmee zijn ze natuurlijk niet opgelost Verwijder Combofix: Start -> Uitvoeren en typ: ComboFix /Uninstall Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Indien aanwezig mag je de map C:\Qoobox manueel verwijderen. Download hier CCleaner. en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

Twee (onbetrouwbare) zaken zou ik nog verwijderen van de PC : SearchGuardPlusU SearchGuardPlus Normaal zouden beiden zich bij Software moeten bevinden en kan je die daar uninstallen. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Configuratiescherm -> Systeem en Onderhoud -> Systeem -> tabblad "Systeembeveiliging" -> vinkje weghalen bij de schijf waarvan je de herstelpunten wil verwijderen -> klikken op "toepassen". Dan krijg je de schermmelding “Weet u zeker dat u systeemherstel wil uitschakelen”. Klik hier op “Systeemherstel uitschakelen”. Dan zijn alle herstelpunten verwijderd op de aangeduide schijf. Zet daarna opnieuw een vinkje bij de harde schijf. Maak meteen ook een nieuw herstelpunt, zodat je niet hoeft te wachten op een automatisch herstelpunt van het systeem.

ComboFix heeft flink wat verwijderd. Krijg je nu nog Trojan-meldingen of ander onheil op deze PC ?

ComboFix heeft al flink wat verwijderd, maar dit mag je nog doen : Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: C:\Windows\system32\Drivers\gagjfwb.sys Driver:: aswFsBlk aswSP gagjfwb.sys Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis en Malwarebytes.

Mag je proberen, hoor ... maar dan blijven de updates wel bij je Software zitten. Maar doe het maar even, zodat je kan bekijken wat daarvan het resultaat is

Download Combofix naar je Bureaublad. Lees hier meer over correct gebruik van Combofix. OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen! Dubbelklik op Combofix.exe om het te starten. Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate. Volg de instructies, aanvaard de disclaimer door op Ja te klikken. Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA). Klik op OK en Ja om automatisch de Recovery Console te laten installeren. Klik na afloop terug op Ja om het scannen op malware te starten. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen. Post dit logje in je volgende antwoord.

Lukt het niet om met Malwarebytes deze te verwijderen, want "no action taken" wijst er op dat je dit niet hebt uitgevoerd. Mocht het niet lukken in normale modus, probeer dan eens hetzelfde in "veilige modus".

Hoe raar ? Wat doet ie dan ?

Heb je per toeval Spybot op je PC ? Zo ja, laat deze even scannen en kijk daarna eens naar het HijackThis-log voor het betreffende item. Zo neen, dowload de Nederlandse versie HIER ... en zelfde verhaal als hiervoor

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop BgRaSvc Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete BgRaSvc Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop hpdj Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete hpdj Druk op Enter. En hoe staat het dan met de problemen ? Nog een bijkomend vraagje : heb je nog een actief antivirusprogramma op deze PC ?

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\admin\LOCALS~1\Temp\IXP000.TMP\" Klik op 'Fix checked' om de items te verwijderen. Maak dan een nieuw logje met HijackThis en kijk even of bovenstaand item verwijderd is ?

Probeer bij het downloaden van ComboFix naar het bureaublad de naam van het bestand combofix.exe te wijzigen in scan.exe ... en met dat laatste bestand dan (op dezelfde wijze als met combofix.exe) de boel te laten scannen ?

Verwijder volgende vetgedrukte bestanden : c:\windows\UTP.exe c:\users\Danny Van Der Veen\53FA9A9F3C194D43AD6BDEF365D469BA.TMP ... en laat dan even weten of dit enig verschil uitmaakt ?

Nog een mogelijkheid : Hou de Windows-toets (naast de Alt-toets) ingedrukt en druk op de toets Break (normaal ergens rechts bovenaan het toetsenbord) ... en dan kom je rechtstreeks bij "Systeemeigenschappen". Mocht het weer niet lukken : laat dan eens weten welke de exacte omschrijving is van die rundll-fout ?