kape

1. Neen 2. Neen, je stelt er slecht 1 in als actieve browser en dat is de enige die werkt. Kan je HIER nog downloaden.

Dan gaan we eerst een beetje resten van de besmetting opruimen : Verwijder Combofix: Start -> Uitvoeren en typ: combofix /u Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Download CCleaner. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Opschonen'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. En laat daarna de PC eens defragmenteren.

Dan is die conime.exe een legitiem bestand.

Hier heb je nog wat info over deze conime.exe. En kijk eens of je deze bestanden in je Taakmanager kan vinden : bfghost.exe en editmm.exe samen met conime.exe ?

Je afbeeldingen zijn - bij mij - wat té onduidelijk om te kunnen bekijken wat ze bevatten ?

Lijkt me logisch ... want ik zie niet echt een virusscanner op je PC :s Of mis ik er hier of daar eentje :s Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd (indien nog aanwezig) : O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O22 - SharedTaskScheduler: Ave's FolderBg - {73526E5A-FD53-4BE7-B5E2-D3C89D7413DC} - (no file) Klik op 'Fix checked' om de items te verwijderen.

Dit ziet er allemaal prima uit. Hoe staat het nu met de virusmelding ?

OK, dan ruimen we alles van CA netjes mee op : Ga naar Start - Uitvoeren en tik in: sc stop CA_LIC_CLNT Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc delete CA_LIC_CLNT Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc stop CA_LIC_SRVR Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc delete CA_LIC_SRVR Druk op Enter. Verwijder volgende vetgedrukte map met Windows Verkenner : C:\Program Files\CA Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd (indien nog aanwezig) : O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe Klik op 'Fix checked' om de items te verwijderen. Maak een nieuw log met HJT en kijk even of die twee 023-lijnen én C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe in je programmalijst verdwenen zijn. Is dit het geval, dan mag je het volgende uitvoeren : Verwijder Combofix: Start -> Uitvoeren en typ: combofix /u Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Download CCleaner. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Opschonen'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen.

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {D263FA6D-84CC-48A8-9AF6-C664362B7A5B} - C:\WINDOWS\system32\winconfig.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe O4 - HKLM\..\Run: [Microsoft Update 64 BIT] winman32.exe O4 - HKLM\..\Run: [sM_IAN] C:\Program Files\AdvancedCleaner Free\ian_monitor.exe O4 - HKLM\..\RunServices: [Microsoft Windows DLL Services Configuration] windir32.exe O4 - HKLM\..\RunServices: [Microsoft Update 64 BIT] winman32.exe O4 - HKCU\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe O4 - HKCU\..\Run: [0D6FC2BF2B38B464634274D376C5A85B] C:\Program Files\A360\av360.exe O4 - Global Startup: THDetect.exe O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Program Files\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU) O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/be/games4.cab O16 - DPF: {B467A3AF-E45B-4B1B-9983-C035D988FB0F} (VacPro.belgio_ver10) - http://advnt01.com/dialer/belgio_ver10.CAB O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - web host providers vmware video at hostance.net Klik op 'Fix checked' om de items te verwijderen. Verwijder volgende vetgedrukte mappen met Windows Verkenner : C:\Program Files\A360 C:\Program Files\AskBarDis Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder) De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computeropnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Zeker weten ? Want dit is bvb. één van de bestanden dat er op zit : lic98rmtd.exe is the license server for Computer Associates products. It is located in "%Programfiles%\CA\SharedComponents\CA_LIC\". This is a required process for your CA application to work properly and should not be terminated. Ook geen andere producten van Computer Associates (CA) op de PC ? Vraag het maar voor alle zekerheid voor we tot verwijdering overgaan.

In principe zouden we nu een aantal ingrepen die we in de voorbije berichten hebben gedaan, weer opnieuw moeten doen. Want deze verbeteringen/aanpassingen/enz. zijn door het teruggaan naar een vorige herstelpunt ook allemaal mee verdwenen. Maar ik zou nu even wachten of je geen tips krijgt in de hardwaresectie. Anders moeten we er weer terug aan beginnen :s

Logje van Combofix moet je vinden op C:\Combofix.txt ... en post dat dan even.

Even over het hoofd gezien dat je met Vista werkt. Daar is dat systeemherstel als volgt te behandelen : via Configuratiescherm -> Systeem en Onderhoud -> Systeem -> tabblad "Systeembeveiliging" -> vinkje weghalen bij de schijf waarvan je de herstelpunten wil verwijderen -> klikken op "toepassen". Dan krijg je de schermmelding “Weet u zeker dat u systeemherstel wil uitschakelen”. Klik hier op “Systeemherstel uitschakelen”. Dan zijn alle herstelpunten verwijderd op de aangeduide schijf. Zet daarna opnieuw een vinkje bij de harde schijf. Maak meteen ook een nieuw herstelpunt, zodat je niet hoeft te wachten op een automatisch herstelpunt van het systeem. En die (heel) oude JAVA update 2 mag je inderdaad verwijderen. Ondertussen is er al een nieuwe versie op de markt. Zie hieronder hoe je deze ophaalt. Je Java software is verouderd. Oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem. Download Java Runtime Environment (JRE) 6u12 naar je Bureaublad Sluit alle programma's die eventueel open zijn - Zeker je web browser! Ga dan naar Start > Configuratiescherm > Software en verwijder alle oudere versies van Java uit de Softwarelijst. Vink alles aan met Java Runtime Environment (JRE of J2SE) in de naam. Klik dan op Verwijderen of op de Wijzig/Verwijder knop. Herhaal dit tot alle oudere versies verdwenen zijn. Na het verwijderen van alle oudere versies, herstart je pc. Dubbelklik vervolgens op jre-6u12-windows-i586-p.s.exe op je Bureaublad om de nieuwste versie van Java te installeren. Dat zou het dan moeten zijn.

Dit logje ziet er goed uit, mag ik ook dat van Malwarebytes nog even bekijken ?

Dikke pech, natuurlijk ... maar je zou kunnen proberen om tot die datum terug te gaan en dan eens te zien hoe je laptop dan reageert. Is het niet naar wens dan kom je daarna terug naar een meer recent herstelpunt. Je maakt - vóór je dit herstelpunt van 20 februari neemt - eerst een herstelpunt van vandaag aan, dan kan je daar altijd naar terugkeren als de situatie van 20 februari je niet bevalt.

Mij lijkt me Antivir ook een goede keuze, net zoals AVG. Hangt dus een beetje van je eigen keuze en je gebruiksgemak af. Nog een vraagje : in je log zitten ook nog sporen van een virusscanner van CA. Die zal je dus niet meer gebruiken neem ik aan. Laat dat even weten, dan nemen we een (eventuele) verwijdering ervan mee op in de opruiming die je nog moet uitvoeren.

Ben niet zo'n Vista-fanaat ... maar kijk eens of je hier ergens geen aanduiding vindt naar herstelpunten : Configuratiescherm -> Systeem en Onderhoud -> Systeem -> tabblad "Systeembeveiliging" ???

Combofix heeft zijn werk nochtans goed gedaan. Dit vetgedrukt bestand nog even verwijderen met Windows Verkenner : c:\windows\system32\TDSSqqcn.dll Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file) Klik op 'Fix checked' om de items te verwijderen. En probeer dan eens of je die sites allemaal terug kan bereiken ?

En heb je soms enig idee wanneer je dat spel gedownload hebt ... dan zou je eventueel met systeemherstel een vroeger herstelpunt kunnen terugzetten op een datum vóór het installeren van het spel.

Ook dit logje ziet er weer goed uit ... en dan moeten we besluiten dat malware zo goed als uitgesloten is. Dan lijkt het eerder in de richting te gaan van een hardwareprobleem. Maar dat is - helaas - not my cup of tea. Misschien kan je nog eens proberen om hier in de hardwaresectie van het forum een berichtje te plaatsen over dat geluid en die warme laptop. Dan kunnen de hardwarespecialisten je misschien een zetje geven in welke richting je moet zoeken.

Combofix heeft wel wat te verwijderen gevonden. Doe nu even dit : Verwijder Combofix: Start -> Uitvoeren en typ: combofix /u Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Download CCleaner. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Opschonen'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. En probeer dan eens opnieuw of de fout zich nog voordoet bij downloaden en/of installeren ?

Nee, gewoon doorgaan. Maar er gebeuren - zo van op afstand bekeken - toch wat vreemde dingen op die laptop :s

Doe het wel even in "veilige modus", want daar zit nog een flink besmet bestand in.

Dit ziet er goed uit. Combofix heeft een besmet deel opgelost. Nog even dit manueel uitvoeren : Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a97350c8-81d3-11dd-b3a9-001b38255833}] Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht en laat dan eens weten of je nog problemen hebt ?

Het log van Combofix ziet er - als begin - wel goed uit ... maar de inhoud ervan ontbreekt. Enkel de titel is afgedrukt in je bijlage. Kan je eens kijken of dat ook bij het originele bestand zo is ? Indien ja, probeer dan eens een nieuw logje te maken ... en dan maar weer kijken of dat enige inhoud heeft.