kape

MiniSigStub.exe is een bekend Windows-bestand, met die MD ervoor is het onbekend. En dat is altijd een beetje verdacht. Wijzig de naam van dat bestand eens in MDMiniSigStub.oud ... en kijk dan eens een tijdje of er iets negatiefs merkbaar is. Zo niet, mag je het daarna verwijderen. Zit er trouwens nog iets anders in die map ? Anders zou je (eventueel) die hele map kunnen deleten.

Download HiJackThis Dubbelklik op HJTInstall.exe Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. HijackThis zal openen na het installeren. Klik op "Do a systemscan and save a logfile". Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets. N.B. : gebruikers van Windows Vista en Windows 7 zullen eerst moeten rechtsklikken op HijackThis.exe en dan kiezen voor "Run as Administrator".

Dat is geheel afhankelijk van welk item je fixed met HijackThis. Maar basisidee is dat er o.m. aanpassingen gebeuren in het register waardoor de gefixte items niet meer opstarten en/of de opdracht uitvoeren die in het register aangegeven staat. Dit houdt bvb. in dat "besmettingen" niet meer onmiddellijk actief worden bij opstarten, dat foute toolbars niet worden geladen, e.d. Om al deze "foute" bestanden ook nog helemaal van de PC te verwijderen, volstaat HJT echter niet. Daar zijn dan andere tooltjes of programma's voor nodig.

Ga naar Start - Uitvoeren en tik in: sc stop “sweepsrv.sys” Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc delete “sweepsrv.sys” Druk op Enter. Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: O2 - BHO: MSTBR - {10CA15EA-C0A5-7CAF-B9E9-B8B2A87EFE11} - C:\PROGRA~1\Wanadoo\GLOBAL\Mstbr\mstbr.dll O3 - Toolbar: MSTBR - {10CA15EA-C0A5-7CAF-B9E9-B8B2A87EFE11} - C:\PROGRA~1\Wanadoo\GLOBAL\Mstbr\mstbr.dll O4 - HKLM\..\Run: [Preventon RealTime Antivirus] C:\Program Files\Wanadoo\AntiVirus\AVRealTime.exe Klik op 'Fix checked' om de items te verwijderen. Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Folder:: C:\Program Files\Wanadoo\AntiVirus Driver:: InterCheck Control InterCheck Filter InterCheck Support 01 InterCheck Support 02 InterCheck Support 03 InterCheck Support 04 InterCheck Support 05 InterCheck Support 06 InterCheck Support 07 InterCheck Support 08 InterCheck Support 09 InterCheck Support 10 InterCheck Support 11 InterCheck Support 12 Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Preventon RealTime Antivirus"=- Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

Ga naar Start - Uitvoeren en tik in: sc stop npggsvc Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc delete npggsvc Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc stop fy Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc delete fy Druk op Enter. Je Java software is verouderd. Oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem. Doe eerst deze stappen om Java te de-installeren en de nieuwere versie te installeren: Download Java Runtime Environment (JRE) 6 Update 17. Scroll omlaag naar : "Java SE Runtime Environment (JRE) 6 Update 17". Klik op de "Download" knop aan de rechterkant. In het uitklapmenu rechts naast Platform, selecteer Windows Vink aan: "I agree to the Java SE Runtime Environment 6 with JavaFX License Agreement", en klik op Continue. De pagina zal herladen. Klik op de jre-6u17-windows-i586.exe link ONDER Windows Offline Installation en bewaar het naar je Bureaublad. Sluit alle programma's die eventueel open zijn - Zeker je web browser! Ga dan naar Start > Configuratiescherm > Software of Start > Configuratiescherm > Programma's en onderdelen (bij Vista) en verwijder alle oudere versies van Java uit de Softwarelijst. Vink alles aan met Java Runtime Environment (JRE of J2SE) in de naam. Klik dan op Verwijderen of op de Wijzig/Verwijder knop. Herhaal dit tot alle oudere versies verdwenen zijn. Na het verwijderen van alle oudere versies, herstart je pc. Dubbelklik vervolgens op jre-6u17-windows-i586.exe op je Bureaublad om de nieuwste versie van Java te installeren.

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: O15 - Trusted Zone: ...................... O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computeropnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Is Windows-onderdeel dat alternatieve invoer van tekens (bvb. Chinese) toelaat. Heb je in normale omstandigheden niet nodig, dus.

We zouden het inderdaad wel zeker moeten weten vóór we die Norton er - met absolute zekerheid - kunnen afzwieren ?

Die Wanadoo mag dus volledig weg ? Vraag het nog maar eens voor alle zekerheid, vóór we er aan beginnen ;-)

Hoewel het nergens op de site van Wanadoo te vinden is, lijkt het er sterk op (meer nog, ben ik er wel zeker van) dat hun virusscanner Sophos is. Indien je zeker wil overstappen naar je nieuwe antivirusprogramma, kan je deze Sophos of Wanadoo AntiVirus natuurlijk verwijderen. Kijk dan eens bij software of je daar die Wanadoo terugvindt en kan uninstallen ? Zo niet, gaan we dat varkentje op een andere manier wassen !

Uit je logje blijkt alvast niet dat dit een malwareprobleem is ? Blijven nog over : hardware- of software ?

Download Codestuff Starter Start Codestuff Starter op Selecteer het tabblad Automatisch Opstarten en vink volgende items uit. Deze programma’s worden onnodig mee opgestart. O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE En nog 2 speciale gevallen (naar eigen wens te doen of niet te doen) : O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background Deze start MSN bij iedere systeemstart mee op. Persoonlijk zou ik deze uitschakelen in MSN zelf (bij Extra -> Opties -> tabblad Algemeen vinkjes weghalen onder "Aanmelden") O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background Om deze uit te schakelen start je de Windows Messenger (Niet de MSN of Windows Live Messenger) op, ga naar Extra -> Opties -> tabblad Voorkeuren en haal de vinkjes weg bij de vier vakjes onder Algemeen

Download HiJackThis Dubbelklik op HJTInstall.exe Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. HijackThis zal openen na het installeren. Klik op "Do a systemscan and save a logfile". Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets. N.B. : gebruikers van Windows Vista en Windows 7 zullen eerst moeten rechtsklikken op HijackThis.exe en dan kiezen voor "Run as Administrator".

Dat is toch al iets Probleem met dergelijke zaken is dat al snel een deel van de harde schijf met nieuwe gegevens wordt overschreven. Als daar op die locatie net de gegevens stonden die je zocht, kan geen enkel programma deze terughalen (wegens verdwenen of deels onbruikbaar). En dat is natuurlijk brute pech

Heb je via "zoeken" al eens naar de map van Sophos op je PC gespeurd. In je logjes zit er ook geen merkbare aanwijzing. Maar dat wil niet alles zeggen

Heb je die antispam en virusscanner van Base ook moeten downloaden ? Zie daar niet echt een spoor van in je logje ?

Beetje simpel Fouten maakt iedereen ... maar hier maak je fouten met de PC van een ander. En dat maakt er wel een héél ander verhaal van Dan is deze argumentatie iets te gemakkelijk. Doe je dat met je eigen computer, dan moet je zelf op de blaren zitten.Maar goed ... hopelijk zijn er geen potten gebroken. Want we horen (of lezen) de TS niet echt meer om daar duidelijkheid over te krijgen

Helaas niet, vrees ik ... want dit is echt iets tussen koper (jij) en leverancier (Medion) ... een handelszaak tussen twee partijen, waarvan er eentje behoorlijk onbetrouwbaar is. Maar hier is er niemand die je daarbij kan helpen, tenzij je het advies geven om daar verder mee te gaan naar consumentenverenigingen, e.d. Maar daar kennen ze Medion al wel, denk ik

Tja ... een beetje laat om daar nu aan te denken, hé

Neen, dat hoeft niet noodzakelijk een groot log te zijn. Beter niet, zelfs. Die Trojan zat trouwens netjes ingebed in je herstelpunten. Deze gaan we dan ook eerst aanpakken. Download CCleaner. Klik op deze pagina op één van de mirrorsites van MajorGeeks en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. En dat antivirusprogramma : zit je niet met een actief antivirus van Wanadoo ? Of is dat die Sophos ?

@ Damoriamarti, Altijd positief dat je wil helpen, maar dan graag wel meer gericht en niet zo algemeen als in dit vorig bericht. Je aanwijzing om alles via msconfig uit te schakelen kan - bij een foute keuze van het uitvinken - tot ernstige problemen leiden bij het opstarten van de PC. Ofwel geef je dus een duidelijke aanwijzing over welke programma's kunnen uitgeschakeld worden bij opstart, ofwel laat je het beter zo. De risico's zijn nu eenmaal te groot @ Niels, Download Codestuff Starter Start Codestuff Starter op Selecteer het tabblad Automatisch Opstarten en vink volgende items uit. Deze programma’s worden onnodig mee opgestart. O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

Krijg je dan een zwart scherm waar je kan kiezen voor o.m. "veilige modus" ? Zo ja, daarvoor kiezen en dan doen wat Kweezie Wabbit je aanbevolen had.

Opstarten laptop en tijdens opstarten blijven tokkelen op de F8-toets.

Het lijkt er op dat je de juiste beslissing hebt genomen door de toegang te weigeren. Geen echte aanduiding van een besmetting in dit log. Om zeker te zijn zou je even - ter controle - volgend programma moeten laten scannen : Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computeropnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht.

Enkele "schoonheidsfoutjes" in dit log mag je verwijderen. Verder mag je - wat besmettingen betreft - op je twee oren slapen (al schijnt dat héél moeilijk te zijn) Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Ask.com Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE Klik op 'Fix checked' om de items te verwijderen.