kape

Om te beginnen heb je 2 x het log van Malwarebytes gepost en geen nieuw log van HijackThis, zodat we de resultaten ervan niet kunnen bekijken. Bovendien moet je - nà de run met Malwarebytes - eerst je PC terug opstarten. Een aantal besmette bestanden worden immers pas verwijderd na reboot. Zou je deze twee zaken eerst even willen doen en dan een actueel logje van HijackThis en Malwarebytes willen posten ?

Logjes zien er goed uit Zou er inderdaad op moeten wijzen dat de problemen van de baan zijn. Is dat ook zo ? Zo ja, dan mag je dit nog uitvoeren : Download CCleaner. Klik op deze pagina op één van de mirrorsites van MajorGeeks en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. That's it !

Het gemelde bestand bij Malwarebytes wordt enkel verwijderd bij heropstarten van de PC ? Is dat inmiddels al gebeurd ? En zo ja, wil je dan Malwarebytes eens opnieuw laten scannen om te zien of je nu een foutloos logje krijgt ?

Uit nieuwsgierigheid - en om de betrouwbaarheid van A-Squared te checken - zou ik ze willen laten controleren bij Jotti. Maar dat is enkel een persoonlijke drijfveer of een soort "semi-professionele" bekommernis. Dus geen goed argument om het jou te laten doen. Laat ze voorlopig maar even in die quarantaine zitten, bekijk verder hoe de PC zich gedraagt ... en na enkele dagen kan je ze dan nog steeds definitief verwijderen. Want ik vrees dat A-Squared hier met "valse positieven" zit

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file) O2 - BHO: (no name) - {8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6} - (no file) O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 –u O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computeropnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Ga eens naar Kelly's Corner en probeer daar de optie 12 uit te voeren.

Ga naar Kaspersky Online Scanner en klik onderaan op Accept. Het zou kunnen dat je aan de bovenkant van je scherm op een gele balk moet klikken om ActiveX bestanden die Kaspersky nodig heeft om te kunnen scannen te downloaden. Sta dit toe. Het programma begint nu met het downloaden van de laatste definitie files. Hierna klik je op Next. Klik vervolgens op de toets Scan Settings. Onder de tekst Scan using the following antivirus database: kies je de tweede mogelijkheid: extended - protect your ..... Onder de tekst Scan options: zet je de twee vinkjes: Scan Archives .... en Scan Mail Bases .... Klik dan op de toets OK. Start nu het scannen door op de tekst My Computer te klikken. Hou er rekening mee dat deze scan een tijdje in beslag neemt. Eenmaal de scan volledig is krijg je de gelegenheid om het scanrapport op te slaan. Klik op de toets Save Report As te klikken. Sla het rapport op je Bureaublad op met als naam kavscan.txt Post dit rapport in je volgende bericht.

Waar duikt die Kiwee Toolbar nog op ? Want in alle voorgaande logs zijn alle verwijzingen naar deze toolbar verwijderd ?

Even samengevat wat er in ons PCH-archief te vinden was : Eerst de oude versie van JAVA uninstallen. Gebruik hiervoor wel JavaRA. Met dat programmatje kun je alle oude versies van Java deinstaleren. Daarna laat je CCleaner opruiming houden : Download CCleaner. Klik op deze pagina op één van de mirrorsites van MajorGeeks en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Kijk dan nog even of er bij je Program Files nog een JAVA-map bestaat. Zo ja, deze ook verwijderen. En dan de nieuwe versie van JAVA downloaden. P.S. : samenvatting van berichten van Jean-Pierre in PCH-archief.

Heb je recent een belangrijke wijziging gedaan aan je programma's (bvb. iets met je antivirus o.i.d.) ?

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = F3 - REG:win.ini: run= Klik op 'Fix checked' om de items te verwijderen. Download Combofix naar je Bureaublad. Lees hier meer over correct gebruik van Combofix. OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen! Dubbelklik op Combofix.exe om het te starten. Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate. Volg de instructies, aanvaard de disclaimer door op Ja te klikken. Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA). Klik op OK en Ja om automatisch de Recovery Console te laten installeren. Klik na afloop terug op Ja om het scannen op malware te starten. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Heb je al eens bij JAVA zelf gekeken ? Foutmelding is bekend, oorzaak blijkbaar nog niet

Heb je al eens geprobeerd om via Systeemherstel terug te gaan naar een oud herstelpunt ?

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll O4 - Global Startup: FancyStart daemon.lnk = ? O4 - Global Startup: McAfee Security Scan.lnk = ? O4 - Global Startup: NewShortcut1.lnk = ? O4 - Global Startup: TotalMedia BackUp & Recorder Monitor.lnk = ? O16 - DPF: {D71F9A27-723E-4B8B-B428-B725E47CBA3E} (Imikimi_activex_plugin Control) - http://imikimi.com/download/imikimi_plugin_0.5.1.cab Klik op 'Fix checked' om de items te verwijderen. Verwijder volgende programma AskBarDis via Configuratiescherm -> Software (indien aanwezig) of anders verwijder je volgende vetgedrukte map C:\Program Files\AskBarDis Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computeropnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Verwijder volgende vetgedrukte bestand : C:\Users\sabaj\AppData\Local\Google\Update\1.2.183.13\GoogleCrashHandler.exe Met HijackThis mag je deze lijn nog fixen : O8 - Extra context menu item: &AOL-werkbalk Zoeken - C:\ProgramData\AOL\ieToolbar\resources\nl-BE\local\search.html En dat hoge CPU-gebruik in je Taakbeheer : bij welke toepassingen of programma's zie je dat ineens opduiken ?

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\system32\drivers\ef40c4f.sys c:\documents and settings\silas\Application Data\MSA\cja128448.exe c:\gamersfirst\KnightOnline\APR.sys c:\windows\system32\XDva136.sys Folder:: c:\documents and settings\silas\Application Data\MSA c:\documents and settings\silas\Local Settings\Application Data\kbdcryptd9 Driver:: ef40c4f APR XDva136 Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cja128448"=- Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

Download Codestuff Starter Start Codestuff Starter op Selecteer het tabblad Automatisch Opstarten en vink volgende items uit. Deze programma’s worden onnodig mee opgestart. O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" –atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\eraser.exe –hide O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" En je kan inderdaad je andere softwareprogramma's nog wel eens aan een kritische blik onderwerpen. Misschien heb je van bepaalde zaken mogelijk wel té veel progjes op je PC (bvb. McAfee én Avast). En die hebben allemaal hun invloed op de snelheid, natuurlijk Ondertussen mag je ook nog dit doen : Verwijder Combofix: Start -> Uitvoeren en typ: ComboFix /Uninstall Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Download CCleaner. Klik op deze pagina op één van de mirrorsites van MajorGeeks en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

Dit is perfect verlopen. De enkele items die niet verwijderd zijn, zijn slechts "schoonheidsfoutjes" die geen invloed hebben op de werking van de PC. Hoe staat het nu met de originele foutmelding die je kreeg ? Die is verdwenen neem ik aan

Dit logje ziet er prima uit Het vreemde aan het A-Squared-verhaal is inderdaad dat deze bestanden door de scanner bij herhaling als riskware of trojan worden omschreven, zonder dat daar effectief een aanduiding voor is. Wil je - bij wijze van test en ter controle - de verschillende bestanden eens opladen bij Jotti. C:\HP\BIN\EndProcess.exe C\Program Files\Hewlett-Packard\HP TCS\SetACL.exe C:\ProgramData\WildTangent\f405496e-4cd5-4891-a8bc-3e58bd47b25c-extr.exe/wtap.dll

Die website jetroute.net op de afbeelding die je hebt meegestuurd, is dat een bekende site voor jou (waar je je eventueel zelf op geregistreerd hebt) ?

Dan lijkt het er sterk op dat de uninstall toch - onopvallend misschien - zijn werk heeft gedaan

OK, dan gaan we de zaak manueel verwijderen. Ga naar je C-partitie en verwijder daar de mappen Combofix en Qoobox (indien aanwezig). Verwijder daarna de snelkoppeling van Combofix op je bureaublad en maak een nieuw herstelpunt.

Hoe staat het nu met het vastlopen ?

Bij het opstarten van de PC blijven tokkelen op de F8-toets. Zo kom je in "veilige modus" en kan je daar de opdracht uitvoeren.

Heb je de exacte schrijfwijze ingebracht ... want dat wordt wel eens foutief overgetikt : ComboFix /Uninstall mét spatie voor de slash en geen spatie nà de slash. Indien je die spatie niet meeneemt, werkt de opdracht inderdaad niet.