kape

Je logje wordt HIER al behandeld. Dan gaan we gewoon daar verder en sluiten we hier het onderwerp af. Dubbel werk is een beetje zinloos

Deze logjes zijn OK. Heb je nu nog merkbare problemen met Antispyware Soft ? En dan de vraag "hoe kom je er aan". Moeilijk te achterhalen : het "foute" klikje op het "foute" linkje ? Via mail, MSN, e.d. Indien Norton up-to-date is, is het uiteraard geen slechte scanner ... maar geen enkele scanner is 100 % waterdicht. Dus kan het altijd wel eens gebeuren.

HIER kan je tips vinden voor het uitschakelen van diverse scanners.

Heb je ondertussen de PC al terug opgestart ? Want de ontdekte items van Malwarebytes worden enkel verwijderd na opstarten (Delete on reboot). Doe dat eerst indien het nog niet gebeurd is. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop “Nero BackItUp Scheduler 4.0” Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete “Nero BackItUp Scheduler 4.0” Druk op Enter. Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programs\PartyGaming\PartyCasino\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programs\PartyGaming\PartyCasino\RunApp.exe (file missing) O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing) Klik op 'Fix checked' om de items te verwijderen. Hang in je volgende bericht een nieuw actueel log van HijackThis en Malwarebytes.

Heb even je topic heropend, want er moet nog één en ander rechtgezet worden (op basis van je laatste logs). Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\system32\drivers\ramirr.sys c:\temp\catchme.dll c:\temp\TR60B.EXE c:\temp\Perflib_Perfdata_d34.dat Folder:: c:\temp\WPDNSE c:\temp\log c:\windows\ms c:\temp\msohtml1 c:\temp\msohtml c:\temp\OIS c:\temp\BTN%Copy%1 c:\temp\VBE Driver:: ramirr Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Download hier CCleaner. en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

Problemen van de baan, dan is het tijd voor de “grote schoonmaak” : verwijderen van gebruikte programma’s, een cleaning en het verwijderen van de besmette herstelpunten. Verwijder Combofix: Start -> Uitvoeren en typ: ComboFix /Uninstall Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Indien aanwezig mag je de map C:\Qoobox manueel verwijderen. Download hier CCleaner. en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. That's it !

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555 O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKCU\..\Run: [76145932] C:\ProgramData\76145932\76145932.exe O4 - HKCU\..\Run: [Canaveral] rundll32.exe C:\Users\Kim\AppData\Local\Temp\sshnas21.dll,BackupReadW O4 - HKCU\..\Run: [M5T8QL3YW3] C:\Users\Kim\AppData\Local\Temp\Zqx.exe O4 - HKCU\..\Run: [vvfpwuju] C:\Users\Kim\AppData\Local\adbnukvhv\tbylhiptssd.exe O4 - HKCU\..\Run: [yslcuunt] C:\Users\Kim\AppData\Local\uysvgydhu\mbpjirntssd.exe O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programs\PartyGaming\PartyCasino\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programs\PartyGaming\PartyCasino\RunApp.exe (file missing) O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing) Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Malwarebytes heeft een flinke berg rotzooi van je PC gehaald. Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: O4 - HKLM\..\Run: [tuvusqsys] rundll32.exe "iiiihg.dll",DllRegisterServer O4 - HKLM\..\Run: [qopnmjsys] rundll32.exe "iiiihg.dll",DllRegisterServer O4 - HKUS\S-1-5-18\..\Run: [hggecysys] rundll32.exe "iiiihg.dll",DllRegisterServer (User 'SYSTEM') Klik op 'Fix checked' om de items te verwijderen. Probeer dan eens opnieuw of ComboFix nu wél lukt ? Hang dit logje, samen met een nieuw van HijackThis in je volgende bericht.

Nu zeker die stap met ComfoFix nog uitvoeren. Is essentieel voor een cleane PC Post daarna nieuw log van ComboFix.

Ga dan naar deze locatie C:\Windows\system32\drivers\etc\hosts ... en maak alles in de map hosts manueel leeg. Probeer daarna HijackThis terug op de normale manier te starten.

Voorlopig nog maar aan problemen met Windows. Verder durf ik nog niet denken Je kan wel eens proberen eonder CD, soms lukt dat wel eens. Zeker als er geen Windows-fouten worden ontdekt. Dan weten we ook dat alweer

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;reg.planet.nl;;*.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKLM\..\Run: [zzzHPSETUP] E:\Setup.exe O9 - Extra button: eBay.nl - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay, de wereldwijde online handelsplaats (file missing) O9 - Extra 'Tools' menuitem: eBay.nl - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay, de wereldwijde online handelsplaats (file missing) O9 - Extra button: eBay.nl - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay, de wereldwijde online handelsplaats (file missing) (HKCU) O9 - Extra 'Tools' menuitem: eBay.nl - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay, de wereldwijde online handelsplaats (file missing) (HKCU) Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Moeilijk te zeggen, maar het gaat wel in die richting. Want dat afsluiten van allerlei programma's (en zeker van FindyKill) is niet echt normaal.Probeer eens eerst via Start -> Uitvoeren -> typ de opdracht sfc /scannow. Normaal wordt onderweg gevraagd naar de Windows-CD. Hou die alvast bij de hand.

Ga eens naar volgende locatie C:\ProgramFiles\TrendMicro\HijackThis ... dat is de standaardlocatie waar HijackThis zich moet bevinden. Start daar het bestand hijackthis.exe op ... en bekijk eens of het dan wél lukt.

Prima. En nu opnieuw FindyKill, maar dan met optie 2.

Logjes zien er goed uit Hoe staat het nu met de problemen ?

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\documents and settings\All Users\Application Data\6pq0BV.dat AtJob:: Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

Graag gedaan ... dan zetten we dit op "opgelost"

Goed ... je hebt het nu dus wél kunnen uitvoeren in normale modus. Maar de vraag was natuurlijk om het te doen in "veilige modus". Maar goed, die Error Fixer zijn we alvast kwijt. Welke foutmelding kreeg je nu bij gebruik van HijackThis ? Download hier CCleaner. en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. En zijn er nu nog virusmeldingen ?

Je kan HijackThis openen (want je maakt een nieuw logje). Kan je in datzelfde schermpje dan de aangeduide items niet fixen (aanvinken voor verwijdering) ? Heb je al eens geprobeerd om dit in "veilige modus" te doen ?

Erg vreemde situatie Download Findykill en laat dit programma runnen. Kies voor de optie 1 en plaats dan het logje in je volgende bericht.

Dan proberen we nog even de reden voor die halte in Malwarebytes te onderscheppen : Download Combofix naar je Bureaublad. Lees hier meer over correct gebruik van Combofix. OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen! Dubbelklik op Combofix.exe om het te starten. Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate. Volg de instructies, aanvaard de disclaimer door op Ja te klikken. Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA). Klik op OK en Ja om automatisch de Recovery Console te laten installeren. Klik na afloop terug op Ja om het scannen op malware te starten. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen. Post dit logje in je volgende antwoord.

Willen we misschien dat gekissebis even laten ... en to the point blijven In je nieuwe logje van HijackThis is geen enkele aanpassing gebeurd van de items die in post 5 werden aanbevolen. Is dat een vergeten zaak ? Of lukt het niet om deze items te fixen ?

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: O4 - HKCU\..\Run: [80whu3usvuw2] C:\Documents and Settings\Carla\Local Settings\temp\m.27.tmp.exe O4 - HKCU\..\Run: [Desktop Security 2010] "C:\Documents and Settings\Carla\Application Data\Desktop Security 2010\Desktop Security 2010.exe" /STARTUP O4 - HKCU\..\Run: [securityCenter] C:\Documents and Settings\Carla\Application Data\Desktop Security 2010\securitycenter.exe Klik op 'Fix checked' om de items te verwijderen. Verwijder volgende vetgedrukte map : C:\Documents and Settings\Carla\Application Data\Desktop Security 2010 Laat dan Combofix opnieuw scannen en hand dit log, sameb met een nieuw log van HijackThis in je volgende bericht.

OK, dit logje ziet er goed uit. Heb je nog merkbare problemen nu ?