kape

Dit ziet er allemaal netjes uit. Volstaat dit ?

Logje is ook OK. Zou dit geen melding zijn van MBAM dat je PC benaderd werd door een IP van bedenkelijk allooi en dat MBAM deze automatisch heeft tegengehouden ... eerder dan een melding dat jouw PC besmet is ?

Twee mogelijkheden : - ofwel uitvoeren als "administrator" - ofwel uitvoeren in "veilige modus" ... en als geen enkele van deze twee lukt, zal het helaas het eerste deel van het verhaal in mijn vorig bericht worden, vrees ik.

Voor alle zekerheid : Download HiJackThis Dubbelklik op HJTInstall.exe Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. Klik op "Do a systemscan and save a logfile". en hang dit logje aan je volgende bericht. NB. Ben je een gebruiker van Windows Vista dan moet je eerst rechtsklikken op HijackThis.exe en dan kiezen voor "Run as Administrator".

Kijk HIER eens voor wat extra tips bij een "trage" computer.

Op basis van je log is het duidelijk dat je met een Virut-infectie worstelt. Dit is een virus dat de laatste tijd enorm vlug verspreidt. Het infecteert legitieme exe-bestanden, dus ook al je programma's, enz ... SystemLookup - Global Search= Het slechte nieuws is dat bij een Virut enkel een format en herinstallatie een goede oplossing is, alle andere pogingen zijn (meestal) een verloren zaak. Lees hierover even dit verhaal : Spyware Kortom 80% van de exe-bestanden zijn geïnfecteerd hier. Dus, indien je een backup neemt van je bestanden vooraleer een format en herinstallatie te doen, zorg ervoor dat je geen backup neemt van exe, scr, html, htm, asp, php bestanden, want ook deze zijn allemaal geïnfecteerd. Maar we kunnen wel eens een poging wagen (zonder garantie op succes) om één en ander recht te zetten. Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - (no file) O2 - BHO: (no name) - {9A7A29F4-B3AD-4BDF-A272-F53278A83143} - (no file) O2 - BHO: (no name) - {CB30D7DB-A881-4029-9F27-24FE32F596D3} - (no file) O4 - HKLM\..\Run: [system Services] zaitwll.exe O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe O4 - HKLM\..\RunServices: [system Services] zaitwll.exe O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Mieke 1\reader_s.exe O4 - HKUS\S-1-5-21-583907252-1229272821-682003330-1010\..\Run: [reader_s] C:\Documents and Settings\Mieke 1\reader_s.exe (User '?') O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\mieke\Menu Start\Programma's\IMVU\Run IMVU.lnk (file missing) O20 - AppInit_DLLs: C:\WINDOWS\system32\logonui.dll O20 - Winlogon Notify: pmnlkjj - pmnlkjj.dll (file missing) O20 - Winlogon Notify: ssqro - C:\WINDOWS\system32\ssqro.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Download Combofix naar je Bureaublad. Lees hier meer over correct gebruik van Combofix. OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen! Dubbelklik op Combofix.exe om het te starten. Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate. Volg de instructies, aanvaard de disclaimer door op Ja te klikken. Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA). Klik op OK en Ja om automatisch de Recovery Console te laten installeren. Klik na afloop terug op Ja om het scannen op malware te starten. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen. Post dit logje in je volgende antwoord, samen met een nieuw log van HiJackThis.

Ga naar Start - Uitvoeren en tik in: sc stop appdrvrem01 Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc delete appdrvrem01 Druk op Enter. Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\System32\appdrvrem01.exe Driver:: mailKmd appdrvrem01 Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

Download HiJackThis Dubbelklik op HJTInstall.exe Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. Klik op "Do a systemscan and save a logfile". en hang dit logje aan je volgende bericht. NB. Ben je een gebruiker van Windows Vista dan moet je eerst rechtsklikken op HijackThis.exe en dan kiezen voor "Run as Administrator".

Vraag 1 : kijk eens in de Prullenbak of daar een bestand PostvakIN.bak te vinden is ?

Download HiJackThis Dubbelklik op HJTInstall.exe Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. Klik op "Do a systemscan and save a logfile". en hang dit logje aan je volgende bericht. NB. Ben je een gebruiker van Windows Vista dan moet je eerst rechtsklikken op HijackThis.exe en dan kiezen voor "Run as Administrator".

Logjes zien er goed uit. Nog merkbare problemen ?

Prima Dan mag je nog een beetje opruimingswerk doen : Verwijder Combofix: Start -> Uitvoeren en typ: combofix /u Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Verwijder volgende vetgedrukte map met Windows Verkenner : C:\Qoobox (indien nog aanwezig). Download CCleaner. Klik op deze pagina op één van de mirrorsites van MajorGeeks en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. That's it !

Combofix heeft iets verwijderd, log Malwarebytes ziet er goed uit ... is dit voldoende ? Of is de opstart van de browser nog altijd traag ?

OM - voorlopig - onduidelijke redenen, wil Combofix de fouten niet herstellen. Voer het volgende nu eens uit, maar dan in "veilige modus". Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Driver:: DMSKSSRh FIREFOX:: FF - prefs.js: keyword.URL - hxxp://mystart.hiyo.com/?loc=ff_address&search= Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\WSYS049.SYS c:\windows\System32\A7E9485A94.dll Driver:: mailKmd Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

Download Combofix naar je Bureaublad. Lees hier meer over correct gebruik van Combofix. OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen! Dubbelklik op Combofix.exe om het te starten. Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate. Volg de instructies, aanvaard de disclaimer door op Ja te klikken. Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA). Klik op OK en Ja om automatisch de Recovery Console te laten installeren. Klik na afloop terug op Ja om het scannen op malware te starten. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen. Post dit logje in je volgende antwoord.

Ziet er goed uit Zijn er problemen met deze PC of is het gewoon een routinecontrole ?

Je mag inderdaad van zijn huidige toestand een nieuw herstelpunt maken.

Uitstekend

Geen ernstige problemen in dit logje. Voor alle zekerheid eens dieper kijken : Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Download Combofix naar je Bureaublad. Lees hier meer over correct gebruik van Combofix. OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen! Dubbelklik op Combofix.exe om het te starten. Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate. Volg de instructies, aanvaard de disclaimer door op Ja te klikken. Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA). Klik op OK en Ja om automatisch de Recovery Console te laten installeren. Klik na afloop terug op Ja om het scannen op malware te starten. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen. Post dit logje in je volgende antwoord, samen met het log van Malwarebytes.

De fouten bij Excel en Acrobat : zijn die pas verschenen na het virus ? En zo ja, wanneer heb je die besmetting gehad ?

Vreesde ik al ... leek me niet echt een malwareprobleem te zijn :s Maar wat dan wel ? Je mag Combofix verwijderen via Start -> Uitvoeren -> typ combofix /u

Combofix heeft weer enkele "lastige klanten" opgeruimd. Is hiermee ook je probleem opgelost ?

Onderstaande items mag je fixen met HiJackThis : Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - HKUS\S-1-5-18\..\RunOnce: [DelayShred] "c:\program files\mcafee\mshr\ShrCL.EXE" /P10 /q C:\Users\Tar\AppData\Local\Temp\HSPERF~1.SH! C:\Users\Tar\AppData\Local\Temp\Low\HSPERF~1.SH! (User 'SYSTEEM') O4 - HKUS\.DEFAULT\..\RunOnce: [DelayShred] "c:\program files\mcafee\mshr\ShrCL.EXE" /P10 /q C:\Users\Tar\AppData\Local\Temp\HSPERF~1.SH! C:\Users\Tar\AppData\Local\Temp\Low\HSPERF~1.SH! (User 'Default user') Klik op 'Fix checked' om de items te verwijderen.

Ga naar Start - Uitvoeren en tik in: sc stop navapsvc Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc delete navapsvc Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc stop SBService Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc delete SBService Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc stop SCardSvr Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc delete SCardSvr Druk op Enter. Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REGystem.ini: Shell=Explorer.exe "C:\burbuzzu.exe" F2 - REGystem.ini: UserInit=C:\WINDOWS\system32\userinit.exe,"C:\burbuzzu.exe", O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file) O3 - Toolbar: Isonal Internet Toolbar - {C4F5E343-9494-4744-8E35-440449E45FD5} - (no file) O4 - HKLM\..\Run: [lsass.exe] C:\WINDOWS\lsass.exe O9 - Extra button: Isonal Internet Toolbar - {C4F5E343-9494-4744-8E35-440449E45FD5} - (no file) O9 - Extra 'Tools' menuitem: Isonal Internet Toolbar - {C4F5E343-9494-4744-8E35-440449E45FD5} - (no file) Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computeropnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.