kape

Dat betekent normaal dat je onmiddellijk op "uitvoeren" hebt geklikt. Bedoeling is dat je Combofix eerst download naar bureaublad en daar opstart vanaf de rode snelkoppeling.

Laat dit bestand C:\Windows\ati2evxx.exe eens scannen bij Jotti en hang het resultaat in je volgende bericht.

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: C:\WINDOWS\system32\drivers\accalyja.sys C:\WINDOWS\system32\ssprs.dll C:\WINDOWS\system32\lsprst7.dll Driver:: accalyja Registry:: [-HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41806296-b71c-11de-8e2b-001111eab221}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62e2f8f6-8d4d-11dc-be16-001111eab221}] Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

Dan gaan we toch nog even iets dieper kijken : Download Combofix naar je Bureaublad. Lees hier meer over correct gebruik van Combofix. OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen! Dubbelklik op Combofix.exe om het te starten. Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate. Volg de instructies, aanvaard de disclaimer door op Ja te klikken. Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA). Klik op OK en Ja om automatisch de Recovery Console te laten installeren. Klik na afloop terug op Ja om het scannen op malware te starten. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen. Post dit logje in je volgende antwoord.

Dit ziet er prima uit En al je angsten over "onzichtbare" problemen, mag je wel opbergen. De essentiële besmettingen zijn door Malwarebytes en HijackThis netjes van je PC verwijderd. Mochten er nog verdoken zaken zitten, dan zou je nu nog steeds geconfronteerd worden met merkbare problemen ... en dat blijkt het geval niet meer te zijn. Herformateren is voor een dergelijk minimaal probleem (naar mijn normen, uiteraard ) helemaal niet nodig. En wat de privacy van de logjes betreft. Het internet barst van dergelijke logjes en niemand kan er iets mee, zolang men niet op je PC kan tokkelen. Trouwens : persoonlijke info kan je er ook niet in terugvinden. Conclusie : zelfs een lichte 'paranoia' is echt niet nodig ;-) Wat je wel nog mag doen is de resten van de besmetting opruimen : Download CCleaner. Klik op deze pagina op één van de mirrorsites van MajorGeeks en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. That's it !

Enkel "schoonheidsfoutje" te fixen met HJT : O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) Verder alles prima in log

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Folder:: c:\documents and settings\All Users\Application Data\Dumb inside itch noun c:\program files\Conduit c:\program files\Nova-DU c:\documents and settings\Nele Seeuws\Application Data\EXTRA MATH COMP Registry:: [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{782360ec-f998-485e-b688-0339e1e396fc}"=- [-HKEY_CLASSES_ROOT\clsid\{782360ec-f998-485e-b688-0339e1e396fc}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{782360ec-f998-485e-b688-0339e1e396fc}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{782360ec-f998-485e-b688-0339e1e396fc}"=- [-HKEY_CLASSES_ROOT\clsid\{782360ec-f998-485e-b688-0339e1e396fc}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{782360EC-F998-485E-B688-0339E1E396FC}"=- [-HKEY_CLASSES_ROOT\clsid\{782360ec-f998-485e-b688-0339e1e396fc}] Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

Malwarebytes heeft al een behoorlijke hoop rotzooi verwijderd van de PC. Wil je nu eens een nieuw logje van HijackThis posten ... en even laten weten hoe het nu met de problemen staat ?

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Mirar= R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = Mirar= O2 - BHO: (no name) - {01EDA5FD-2B44-44A3-B048-410E9194A64e} - C:\WINDOWS\System32\fsusd32.dll O2 - BHO: (no name) - {0229EC4E-1437-41C8-88FE-92BBD8A80AEf} - C:\WINDOWS\System32\dsound3d32.dll (file missing) O2 - BHO: (no name) - {03DB4BFB-2B44-44A3-B048-410E9194A64e} - C:\WINDOWS\System32\fsusd32.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKCU\..\Run: [WhereSphere] C:\Documents and Settings\Lieven\Application Data\WhereSphere\wheresphere.exe O4 - HKCU\..\Run: [sfKg6wIPuS] C:\Documents and Settings\Lieven\Application Data\Microsoft\Windows\oulwsv.exe O4 - HKCU\..\RunOnce: [shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6; .NET CLR 1.1.4322; .NET CLR 2.0.50727; OfficeLiveConnector.1.3; OfficeLivePatch.0.0; InfoPath.1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" -"Mission at Dawn | 1000+ Free Flash Games | Andkon Arcade" O20 - AppInit_DLLs: C:\WINDOWS\System32\fontext32.dll O20 - Winlogon Notify: 8c931173724 - C:\WINDOWS\System32\fontext32.dll Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Verwijder Combofix: Start -> Uitvoeren en typ: ComboFix /Uninstall Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Verwijder volgende vetgedrukte map met Windows Verkenner : C:\Qoobox (indien nog aanwezig). Download CCleaner. Klik op deze pagina op één van de mirrorsites van MajorGeeks en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen.

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O4 - HKLM\..\Run: [Windows Runtime Manager] C:\windows\system32\drivers\rundll32.exe Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computeropnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Nieuwe logje van Malwarebytes ziet er inderdaad netjes uit Lijkt wel degelijk opgelost !

Daar beginnen we hier pas aan als het ECHT niet anders kan. Voer de suggestie van Jürgen maar eerst uit ... wie weet komen we er zo wel

Met AM-Deadlink kan je bvb. één en ander herstellen.

Het zou - in jouw geval - met de verscheidenheid aan problemen, mogelijk wel de beste oplossing zijn (al ben ik er niet echt voorstander van). Maar er zijn altijd uitzonderingen

Hotmail zou normaal deze SPAM-berichten moeten filteren. Maar wegens de hardnekkigheid, kunnen we eens kijken of er toch geen besmetting aanwezig is. Download HiJackThis Dubbelklik op HJTInstall.exe Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. HijackThis zal openen na het installeren. Klik op "Do a systemscan and save a logfile". Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets. N.B. : gebruikers van Windows Vista en Windows 7 zullen eerst moeten rechtsklikken op HijackThis.exe en dan kiezen voor "Run as Administrator".

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla O2 - BHO: XBTP01621 - {C66AF7F0-2CF6-48cb-9F94-04EC2504B4FC} - (no file) O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O4 - HKCU\..\Run: [RegTool] C:\Program Files\RegTool\RegTool.exe -boot O4 - Global Startup: ~Disabled O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab O21 - SSODL: BSteSRZN - {262916F1-8C83-BC5B-CA18-B3B25CAA8E4A} - (no file) Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computeropnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Neen ... ook E-Mail-Notifier laat de webbased mailprogramma's als Hotmail en MSN links liggen

Kan je nog aan systeemherstel op deze PC ?

E-Mail-Notifier van Chrysanth al eens bekeken ? Of EPrompter ?

Bij Malwarebytes moet je de aangeduide items wel verwijderen. De melding "no action taken" kan er op wijzen dat je dat niet gedaan hebt. En dat is noodzakelijk om de besmette bestanden van je computer te halen. Wil je Malwarebytes nog eens terug uitvoeren ... en nu wél kiezen voor verwijderen. Dan zou je probleem opgelost moeten zijn. Post daarna een nieuw log van Malwarebytes in je volgende bericht.

Er is wel flink wat "besmet" materiaal verwijderd, dus nu zou het moeten OK zijn. Download CCleaner. Klik op deze pagina op één van de mirrorsites van MajorGeeks en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. That's it !

Volgende poging : schakel de antivirusscanner eens (tijdelijk) uit ... en probeer dan eens wat dit zegt ? Uiteraard uitvoeren zonder een aangeschakelde internetverbinding. En op voorwaarde dat je over de CD beschikt om daarna de scanner terug te installeren.

Dit ziet er netjes uit. Hoe staat het nu met de snelheid ?

Combofix heeft de aangeduide bestanden niet kunnen verwijderen. Probeer eens of je dat lijstje manueel kan wegtoveren : c:\windows\system32\drivers\bcm42rly.sys c:\windows\system32\bcm42rly.sys c:\windows\bcm42rly.sys c:\windows\system32\GTW32N50.dll c:\windows\system32\GTGina.dll c:\windows\system32\GTNDIS5.sys