kape

Problemen van de baan, dan is het tijd voor de “grote schoonmaak” : verwijderen van gebruikte programma’s, een cleaning en het verwijderen van de besmette herstelpunten. En je JAVA kan een update gebruiken. Download CCleaner. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Opschonen'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Configuratiescherm -> Systeem en Onderhoud -> Systeem -> tabblad "Systeembeveiliging" -> vinkje weghalen bij de schijf waarvan je de herstelpunten wil verwijderen -> klikken op "toepassen". Dan krijg je de schermmelding “Weet u zeker dat u systeemherstel wil uitschakelen”. Klik hier op “Systeemherstel uitschakelen”. Dan zijn alle herstelpunten verwijderd op de aangeduide schijf. Zet daarna opnieuw een vinkje bij de harde schijf. Maak meteen ook een nieuw herstelpunt, zodat je niet hoeft te wachten op een automatisch herstelpunt van het systeem. Je Java software is verouderd. Oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem. Download Java Runtime Environment (JRE) 6u12 naar je Bureaublad Sluit alle programma's die eventueel open zijn - Zeker je web browser! Ga dan naar Start> Configuratiescherm> Softwareen verwijder alle oudere versies van Java uit de Softwarelijst. Vink alles aan met Java Runtime Environment (JRE of J2SE) in de naam. Klik dan op Verwijderenof op de Wijzig/Verwijderknop. Herhaal dit tot alle oudere versies verdwenen zijn. Na het verwijderen van alle oudere versies, herstart je pc. Dubbelklik vervolgens op jre-6u12-windows-i586-p.s.exeop je Bureaublad om de nieuwste versie van Java te installeren. That’s it !

Geen idee wat de oorzaak kan zijn van die wijzigingen in firewall, e.d. ... want al deze logjes zien er perfect uit :s

Dit moet je nog wel even uitvoeren om de resten van de besmetting op te ruimen : Download CCleaner. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Opschonen'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. That's it !

Logjes zien er goed uit. Krijg je nu nog meldingen van Trojans ?

Dit is geen actueel log, maar wel het log van gisteren. Zo is controle natuurlijk niet mogelijk

Laat er dit dan nog eens even op los : Download Combofix naar je Bureaublad. OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen! Dubbelklik op Combofix.exe om het te starten. Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate. Volg de instructies, aanvaard de disclaimer door op Ja te klikken. Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA). Klik op OK en Ja om automatisch de Recovery Console te laten installeren. Klik na afloop terug op Ja om het scannen op malware te starten. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen. Post dit logje in je volgende antwoord.

Dat ziet er prima uit, maar mag ik ook nog even - ter controle - een nieuw actueel logje van HiJackThis ?

AVG 8.0 bevat - naar mijn idee - een antivirus en een antispyware, Spybot is enkel een antispyware. Het is dus perfect mogelijk om beiden - zelfs tegelijkertijd - te laten scannen, vermits 2 spywarescanners elkaar niet in de weg zitten. Wel zou ik de realtime bescherming van Spybot - de TeaTimer - uitgeschakeld laten, vermits AVG de controle in realtime al uitvoert. Dat zou enkel tijdverlies en dubbel werk veroorzaken. Het is enkel problematisch als je 2 antivirusprogramma's samen laat werken, omdat die elkaar wel eens durven storen. Maar Spybot is geen antivirusprogramma. Dus : geen probleem. Als je Spybot laat runnen kan je perfect alle AVG-onderdelen actief laten.

PC herstarten en het vinkje terug weg halen. Het vinkje zou er nog moeten staan en dat moet je dus verwijderen.

Bedoeling is dat je naar het register gaat en daar met een zoekopdracht de exacte locatie van het item https tracht te achterhalen. Heb je dit gevonden (dat kan in heel wat stappen gaan) zet je de boomstructuur even in je volgende bericht. Zo'n boomstructuur start bvb. met HKLM ... en eindigt dan met de map waarin je https gevonden hebt. Maar in het algemeen is het al vrij raar dat bij al die andere problemen nog geen wijziging is opgetreden, na alle opruimingen die er gebeurd zijn. En bovendien is het wel heel vreemd dat je sommige items met HiJackThis niet kan fixen. Geen idee wat daar de oorzaak van kan zijn :s

Heb je een legale Windows-versie ?

Dit ziet er niet slecht uit. Krijg je nog virusmeldingen ?

Als je op dat scherm staat, kan je links normaal klikken op "Instellingen van systeemherstel". Klik daar op, dan opent zich een scherm met een tabblad "Systeemherstel" ... en het is daar dat je dat vinkje kan plaatsen.

Logjes zijn absoluut clean. En dat bewuste lijntje is een verbinding naar operator Orange ? Kan dat je geruststellen ?

Geen probleem mee hoor. Is een nuttige bijdrage

Dat is erg vreemd ... en zie niet meteen de oorzaak waarom HiJackThis deze items niet verwijderd. Kan je eens via Start -> Uitvoeren -> typ regedit ... en dan in het register via "zoeken" opsporen waar bvb "https" zich bevindt. De hele boomstructuur van begin tot einde zou ik graag kennen.En hoe staat het ondertussen met alle problemen uit je eerste bericht ?

Dat je de inhoud van dit log gewoon in een nieuw bericht plakt.

Nu nog enkel deze items met HiJackThis fixen : Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R3 - Default URLSearchHook is missing O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone Klik op 'Fix checked' om de items te verwijderen. En plak een nieuw log van HJT in je volgende bericht.

Ga naar Start - Uitvoeren en tik in: sc delete MySQL Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc delete MySQL5 Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc delete MySQL501 Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc delete MySQL51 Druk op Enter. Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Registry:: [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL][-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL5][-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL501] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL51] Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post dit logje in je volgende antwoord, samen met een nieuw log van HiJackThis.

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: d:\documenten en settings\All Users\Application Data\F6D d:\documenten en settings\All Users\Application Data\160 d:\documenten en settings\All Users\Application Data\D290 d:\documenten en settings\All Users\Application Data\1A186 d:\documenten en settings\All Users\Application Data\298C d:\documenten en settings\All Users\Application Data\142DE d:\documenten en settings\All Users\Application Data\3A2DE d:\documenten en settings\All Users\Application Data\36AB d:\documenten en settings\All Users\Application Data\11FA d:\documenten en settings\All Users\Application Data\331F4 d:\documenten en settings\All Users\Application Data\151C5 d:\documenten en settings\All Users\Application Data\2F d:\documenten en settings\All Users\Application Data\E29F c:\windows\system32\CmdLineExt03.dll Driver:: gtermddo.sys Registry:: [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O4 - HKLM\..\RunOnce: [GrpConv] grpconv –o ALLE 015-LIJNEN O16 - DPF: {6717DA9C-4C48-4D2E-8822-B3CC9094023E} (XionesWebStarter Control) - http://www.xiones.com/gameexec/XionesWebStarter.cab Klik op 'Fix checked' om de items te verwijderen. Tot slot nog een vraagje : gebruik je alles van MySQL ? Of niet ?

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - HKCU\..\Run: [90b66752] rundll32.exe "C:\Users\Tim\AppData\Local\Temp\doeqfuxf.dll",b O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Tim\AppData\Local\Temp\awtsPIca.dll,c O20 - AppInit_DLLs: avgrsstx.dll eNetHook.dll Klik op 'Fix checked' om de items te verwijderen. Open kladblok en plak volgende vetgedrukte tekst in een leeg venster: REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"="avgrsstx.dll" Sla dit op, op je Bureaublad als regfix.reg, met als type "alle bestanden" Dubbelklik op regfix.reg en sta het toevoegen aan het register toe. Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder) De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computeropnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Wil je dan (indien dat lukt) het volgende doen : Start -> Uitvoeren -> typ sfc / scannow . Tijdens het scannen zal er vermoedelijk gevraagd worden naar de Windows CD. Hou deze dan al bij de hand

Start de computer op in “veilige modus”. Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Mickael Meynckens\Menu Start\Programma's\IMVU\Run IMVU.lnk (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O16 - DPF: {70ba88c8-dae8-4ce9-92bb-979c4a75f53b} (GSDACtl Class) - http://launch.gamespyarcade.com/soft...ch/alaunch.cab O24 - Desktop Component 0: Privacy Protection - (no file) Klik op 'Fix checked' om de items te verwijderen. Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\system32\nsq303.dll c:\windows\system32\8.tmp c:\windows\system32\drivers\ec23213a.sys Driver:: ec23213a.sys Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op in gewone modus. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

... mag je ons eens melden of hiermee je probleem van de baan is. Zo ja, is dit het einde van het verhaal en mag je hieronder op "opgelost" klikken. Zo nee, moet je maar even melden wat er nog niet OK is ?

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: O4 - HKCU\..\Run: [PPS Accelerator] C:\Program Files\PPStream\ppsap.exe O4 - Startup: PPS.lnk = C:\Program Files\PPStream\PPStream.exe Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder) De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computeropnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.