kape

Bij CCleaner klik je onder "Downloads" op één van de mirror-sites van MajorGeeks en dan start automatisch de download van CCleaner op. Alle andere links op die pagina mag je negeren. En Norton dient hier niet voor uitgeschakeld te worden.

En ... alles netjes opgeruimd nu ?

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k O4 - HKCU\..\Run: [ZagrebLand] C:\DOCUME~1\Tim\LOCALS~1\Temp\c.exe O4 - HKCU\..\Run: [Videocan] C:\WINDOWS\msa.exe Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computeropnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKCU\..\Run: [LosAlamos] rundll32.exe C:\Windows\system32\sshnas.dll,AddAtomAW O4 - HKCU\..\Run: [J8RPLTROBQ] C:\Users\Lappie\AppData\Local\Temp\c.exe Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computeropnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Is dit niet hetzelfde log dat we via PB aan het behandelen zijn ? Zo ja, kunnen we het hier wel afsluiten.

Malwarebytes heeft een hele bende rotzooi van je PC gehaald, vooral het gevolg van het downloaden van een "fout" antivirusprogramma. Dit mag je verder nog doen : Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,System, O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Je Java software is verouderd. Oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem. Doe eerst deze stappen om Java te de-installeren en de nieuwere versie te installeren: Download Java Runtime Environment (JRE) 6 Update 17. Scroll omlaag naar : "Java SE Runtime Environment (JRE) 6 Update 17". Klik op de "Download" knop aan de rechterkant. In het uitklapmenu rechts naast Platform, selecteer Windows Vink aan: "I agree to the Java SE Runtime Environment 6 with JavaFX License Agreement", en klik op Continue. De pagina zal herladen. Klik op de jre-6u17-windows-i586.exe link ONDER Windows Offline Installation en bewaar het naar je Bureaublad. Sluit alle programma's die eventueel open zijn - Zeker je web browser! Ga dan naar Start > Configuratiescherm > Software of Start > Configuratiescherm > Programma's en onderdelen (bij Vista) en verwijder alle oudere versies van Java uit de Softwarelijst. Vink alles aan met Java Runtime Environment (JRE of J2SE) in de naam. Klik dan op Verwijderen of op de Wijzig/Verwijder knop. Herhaal dit tot alle oudere versies verdwenen zijn. Na het verwijderen van alle oudere versies, herstart je pc. Dubbelklik vervolgens op jre-6u17-windows-i586.exe op je Bureaublad om de nieuwste versie van Java te installeren. Doe daarna een nieuwe scan met Malwarebytes en hang dit logje, samen met een nieuw log van HijackThis aan je volgende bericht.

De actie in Malwarebytes "no action taken", zou er op kunnen wijzen dat je de aangeduide items niet verwijderd hebt. Wil je dat dan nog eens herhalen en nu wél kiezen voor verwijdering. En dan start je Hijackthis opnieuw op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank Klik op 'Fix checked' om de items te verwijderen. Hang beide logjes in je volgende bericht en laat even weten of je nu de weblinks al kan openen ?

Download GMER Rootkit detector Bewaar het op een veilige plaats en pak het uit naar je bureaublad Verbreek je internetverbinding en sluit ALLE programma's Er is een kleine kans dat tijdens het runnen van deze applicatie de computer uitvalt, dus zorg dat je al je werk hebt opgeslagen Dubbelklik gmer.exe en selecteer de “rootkit tab” > klik “scan” Als je een waarschuwing krijgt over "rootkitactiviteiten" en als er wordt gevraagd om toestemming voor de scan geef OK Klik rootkit tab en klik scan als het scannen klaar is klik je copy Open notepad en copy/paste de tekst Herstel je internetverbinding en post de tekst in je volgende antwoord. Plaats de uitslag van Gmer aub.

Ziet er (bijna) goed uit Enkel dit mag je nog uitvoeren : Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll Klik op 'Fix checked' om de items te verwijderen. En laat dan even weten hoe het nu met de snelheid (of traagheid) staat ?

Het programma Combofix zou je - als alles normaal verlopen is - moeten vinden op je bureaublad (rode snelkoppeling). Is dit zo, dan moet je die daar opstarten en wordt de actie uitgevoerd. Is dat niet zo, dan zal je Combofix opnieuw moeten downloaden naar dit bureaublad en een nieuwe scan moeten uitvoeren.

Kijk eens in je C-partitie naar het bestand combofix.txt

Inderdaad. Maar als voor jou de problemen opgelost zijn, hoeven we verder ons hoofd niet te breken over die "onverklaarbare" zaken

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computeropnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Neen ... hier gebeuren onverklaarbare zaken Wil je eens proberen of je met systeemherstel niet kan teruggaan naar een herstelpunt van vóór het ogenblik dat de problemen zich begonnen voordoen. Kijk even naar je eerste bericht ... en neem dan een tweetal dagen eerder een herstelpunt. Daarna kan je dan eens bekijken of hiermee niet meteen je hele probleem van de baan is ?

Dit is goed verlopen. Logje ziet er nu goed uit. Geen idee meer wat de cursor tot die vreemde bokkesprongen kan aanzetten ... en dan nog enkel in "favorieten" ?

Je kan nog eens kijken of je ze via Start -> Uitvoeren -> typ msconfig ... en daar op het tabblad "opstarten" kan uitschakelen (indien aanwezig).

Comnofix heeft behoorlijk wat rotzooi opgeruimd. Dit mag je nog doen : Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\system32\drivers\GETPADD.sys c:\windows\system32\acovcnt.exe Driver:: GETPADD Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

Dan kan je toch blijven doorwerken, door de foutmelding te negeren ?

Krijg je Combofix helemaal niet te zien bij het aanklikken van de hyperlink ? Of kan je het programma downloaden naar je bureaublad en wil het dan niet werken ?

Die CTFMON vermoedelijk o.a. ? Wat je kan opruimen is in elk geval weer een opstarter minder

Heb je de opdracht correct ingebracht met een spatie vóór de slash en geen spatie na de slash ? Dus : ComboFix /Uninstall Not-a-virus zegt genoeg. Wordt herkend als geen normaal bestand, maar niet als een virus. De meeste antivirusscanners hebben het moeilijk met Combofix (geheel ten onrechte).

Dat moet dit bericht dan geweest zijn : Logjes zijn OK nu. Maar er zitten wel wat overbodige opstarters op deze PC. Schakel deze even uit en bekijk dan of dit enige merkbare invloed heeft bij het opstarten. Download Codestuff Starter Start Codestuff Starter op Selecteer het tabblad Automatisch Opstarten en vink volgende items uit. Deze programma’s worden onnodig mee opgestart. O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" –atboottime O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE Staat toch duidelijk leesbaar op het forum, nét boven jouw bericht ?

Je mag dat altijd nog eens als "administrator" uitvoeren ... maar dat lijkt me - in dit geval - geen verschil te zullen opleveren. Maar doe het maar even ter controle.

Klopt ... maar ik bedoelde hier eigenlijk optie 2. Dat verwijdert automatisch gevonden besmettingen.

Dit logje ziet er nog steeds prima uit Het vastlopen moet dan inderdaad door iets anders veroorzaakt worden dan malware.