kape

1. Even met systeemherstel je PC terugschakelen naar een datum vóór deze problemen zijn begonnen. 2. Word verwijderen en opnieuw installeren.

Laat eerst eens een goede cleaner los op je PC. Mogelijk zitten er nog oude resten in je register die de nieuwe installatie dwarsbomen. Download CCleaner. Installeer het en start het op. Klik in de linkse kolom op “Opties”. Selecteer het tabblad ‘Geavanceerd’ en haal het vinkje weg voor “Verwijder alleen tijdelijke bestanden in de Windows systeemmap die ouder zijn dan 48 uur” en sluit hierna het programma. Start CCleaner op en klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Opschonen'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. En probeer dan eens opnieuw om de printer te installeren. Niet dat dit enige garantie biedt ... maar we lezen hier dan wel hoe het afgelopen is. Overigens is dit wel een heel vreemd bestand xhpzdui01.exe voor een HP Printer. Ben je zeker dat dit de correcte schrijfwijze is ?

Wat Dikken meldde, klopt als een bus. Of dit de enige oorzaak is, is een andere vraag. Het goede nieuws is, dat je logje zo clean is als maar zijn kan. Draai - om zeker te zijn - en eventuele verrassingen te kunnen elimineren even dit : Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder) De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken.Daarna zal het vragen om de Computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht.

Gooi er dan meteen maar een nieuw log van HJT en Combofix tegenaan. Dan bekijken we of er - eventueel nieuwe - besmettingen zijn opgedoken.

Is dat ook zo in veilige modus ? En kan je - op één of andere manier - dat log van Vundofix op het forum krijgen ?

Deze twee vetgedrukte bestanden (indien nog aanwezig), mag je verwijderen via Windows Verkenner. C:\WINDOWS\cgwpf32.ini C:\WINDOWS\system32\PerfStringBackup.TMP Maar dat zal het zo wat zijn. Als je dit achter de rug hebt mag je Combofix verwijderen via Start -> Uitvoeren en typ: combofix /u Combofix wordt verwijderd en een nieuw systeemherstelpunt wordt aangemaakt.

Hoi Mark, Prima werk. Wat mij betreft zijn je problemen opgelost. Als jij nog iets abnormaal opmerkt dan lees ik het wel. Die Bearshare zou ik van je PC houden, want dat is een bron van veel onheil (ook in jouw geval, lijkt me). Maar dat is uiteraard je eigen keuze. Je logje ziet er alvast clean uit. Houden zo KAPE

Er is nog één item in je log, waar ik niet al te zeker over ben. Heeft iets met de Kiwi Toolbar te maken. Persoonlijk zou ik die ook nog even fixen in HJT : O16 - DPF: CabBuilder - http://ak.imgag.com/imgag/kiw/toolba...lerControl.cab En dan zouden we er moeten zijn. Dit is de Windows Update Auto-Update Client. Als je automatisch de essentiële updates van Windows wil binnenhalen, is dit absoluut noodzakelijk. Wil je dit steeds handmatig doen, mag je dit uit je opstart halen.Je log geeft geen enkele aanduiding naar een mogelijk oorzaak van die fout met het openen van een tweede tabblad ... en ik zou ook niet direct weten in welke richting we dit ongemak zouden moeten zoeken.

Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: XBTP02634 - {F97DA966-F09D-4cab-BF29-75A0026986EA} - C:\PROGRA~1\BEARSH~1\BEARSH~2\MediaBar.dll O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll O9 - Extra button: PacificPoker - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~1\pacificpoker.exe (file missing) O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-...4.cab?fgiocv=1 O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (DLM Control) - http://dlm.tools.akamai.com/dlmanage...ex-2.2.3.0.cab O23 - Service: NNServ - New.net, Inc. - C:\Program Files\NewDotNet\nnrun.exe + ALLE 018-LIJNEN !!!! Klik op 'Fix checked' om de items te verwijderen. Verwijder NewDotnet. Je kan één van deze methoden als eens proberen. 1) Start -> Configuratiescherm > Software. Kijk of New.net Domains of New.net Application in de softwarelijst staat en, zo ja, deïnstalleer dit. 2) Zoek in de map C:\Program Files\NewDotNet of daarin een uninstaller staat. Die uninstaller heet uninstallX_XX.exe (waarbij de X'en staan voor cijfers). Zo ja, dubbelklik daarop om New.net te verwijderen. Lukt dit niet, verwijder volgende vetgedrukte map via Windows Verkenner. C:\Program Files\NewDotNet Ook deze vetgedrukte map moet nog weg met de Windows Verkenner. C:\Program Files\BearShare applications Hang een nieuw log van HJT aan je volgende bericht.

Op zich zit er niet veel fout in je log, maar er zijn wel tekenen van een besmetting. Maak voor alle zekerheid eens een log met Combofix. Download Combofix en zet het op je Bureaublad. Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen. NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: O20 - Winlogon Notify: vtutqrq - vtutqrq.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Hang het log van Combofix aan je volgende bericht.

Maak een logje met HiJackThis, hang dit aan een volgend bericht en hang er meteen je resultaat van Vundofix maar even bij.

Ik begrijp uit je vraag dat je de forward van de mails op het niveau van de internetprovider wil instellen. Uit info van collega's mét Telenet meen ik te weten dat dit bij deze provider - en die geeft lisare op - niet beschikbaar is. Ben zelf geen Telenetter, dus mocht het toch wel zo zijn ... "don't shoot the pianist", hij weet het ook alleen maar "van horen zeggen".

Vreemd, want ook nu werkt die link - bij mij althans - naar behoren en blijkbaar heeft XiroN die ook kunnen openen, want hij/zij heeft er zijn/haar opmerkingen bij gepost.Maar forget it ! Kijk eens of volgende procedure - in het register, inderdaad - je kan helpen. Ben alleen niet zeker of dit ook voor Vista identiek is ? Neem vooraf wel een backup van het register voor je hierin wijzigingen aanbrengt (je kan maar beter op veilig spelen). Open de Windows Register-editor via Start >> Uitvoeren, typ regedit en klik op OK. Klik in de Register-editor in het linkervenster op HKEY_LOCAL_MACHINE >> SOFTWARE >> Microsoft >> Windows NT >> CurrentVersion. In het rechter deelvenster ziet u nu de waarden RegisteredOwner (gebruiker) en RegisteredOrganisation (bedrijfsnaam, indien aanwezig) staan met rechts de huidige gegevens. Dubbelklik op RegisteredOwner en wijzig de gebruikersnaam. Dubbelklik op RegisteredOrganisation en wijzig de bedrijfsnaam (indien aanwezig). Sluit de Register-editor via het kruisje rechtsboven. Herstart de PC. De gebruikersnaam en bedrijfsnaam (indien aanwezig) zijn gewijzigd. Lukt het in Vista niet op deze manier, dan kan je de items RegisteredOwner en RegisteredOrganisation eens via de zoekfunctie in het regieter opsnorren en dan 'als je ze kan vinden) daar aanpassen naar wens.

Bill himself vertelt er dit over.

Download SDFix en klik op "uitvoeren". Versie 1.40 en hoger zal de uitgepakte SDFix map automatisch naar je systeemdrive verplaatsen (waarschijnlijk: C:\SDFix). Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: (no name) - AutorunsDisabled - (no file) O2 - BHO: IexploreOmea - {09628AAA-66AD-4FA2-82E2-698185B66463} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: (no name) - {77D301C7-9462-4566-B67B-64A443ADFD8C} - (no file) O4 - HKLM\..\Run: [updater] C:\WINDOWS\system32\updater\explorer.exe O4 - HKLM\..\RunServices: [msmsgr] msmsgss.exe O4 - HKLM\..\RunServices: [browser Help Svc] BHSV.EXE O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe O4 - HKCU\..\RunServices: [browser Help Svc] BHSV.EXE O4 - HKUS\S-1-5-18\..\RunServices: [Norton Antivirus] nortonav.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunServices: [Norton Antivirus] nortonav.exe (User 'Default user') O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) O9 - Extra button: musicMe - {83DF922D-4B34-4997-8CD6-07750881DD69} - (no file) O9 - Extra 'Tools' menuitem: musicMe - {83DF922D-4B34-4997-8CD6-07750881DD69} - (no file) O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe Klik op 'Fix checked' om de items te verwijderen. Verwijder volgende vetgedrukte map met Windows Verkenner. C:\Program Files\Common Files\BOONTY Shared Herstart je PC in veilige modus. Open de SDFix map en dubbelklik op RunThis.bat om het tooltje te starten. Typ Y om het schoonmaakproces te starten. Er zullen Trojan Services en/of Registry Entries worden verwijderd als ze worden gevonden en je zult een toets voor herstart moeten indrukken. De computer zal dan herstarten (dit duurt langer dan gewoonlijk). Wanneer de pc herstart zal het tooltje opnieuw runnen en het verwijderingsproces vervolgen, tot de melding Finished getoond wordt. Druk dan op eender welke toets om het script te beëindigen en je bureaubladiconen weer te laden. Wanneer je bureaubladiconen verschijnen zal het rapportje van SDFix openen. Dit zal dan ook te vinden zijn in de SDFix map als Report.txt. Plak de inhoud van dat rapportje hier met een nieuw HJT-log.

Er is nog één essentiële map niet verwijderd en dat is hard nodig om de PC volledig van besmetting te vrijwaren : MyWebSearch. Dat moet hier zitten : C:\Program Files\MyWebSearch. Je zou dit (eventueel) ook moeten kunnen verwijderen via Start -> Configuratiescherm -> Software. Start daarna Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing) O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...p=ZNxdm119YYBE O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...1.0.0.15-3.cab Klik op 'Fix checked' om de items te verwijderen. En dan is er nog een bestandje waar ik mijn twijfels bij heb. Wil je dit C:\WINDOWS\V0470Mon.exe eens opladen bij Jotti en de resultaten laten weten. Daarna graag een nieuw logje van HJT, samen met die Jotti-resultaten.

Ik vrees dat het een beetje aan de vraag zou kunnen liggen. Heb geen idee wat je bedoelt met "ter revisie". Is dat iets dat je in je mailprogramma doet ? En zo ja, wat dan ?

Op zich heeft SDFix al behoorlijk zijn werk gedaan en al flink wat besmettingen opgekuist. Maar die mappen moeten eerst nog opgeruimd worden, vóór we verder kunnen kijken of alles OK is. Voorlopig laten we het dan hier even bij - ondertussen geen MSN gebruiken tot zaterdag, helaas - en dan lees ik het wel als je zelf de nodige ingrepen hebt gedaan met die mappen. Wil je ook eens informeren of Gamevance een progje is dat gebruikt wordt. Zo niet, mag je ook deze map volledig verwijderen (want ik heb daar zo mijn twijfels bij).

Met alle respect voor die collega van jou, maar het lijkt me een ontzettend vreemde keuze om op je basispartitie (de C) slecht 6 GB te voorzien en al je andere partities (D & E) van een ongeremde grootte te maken. Normaal installeren je softwareprogramma's zich allemaal (standaard) op je C-partitie en dienen de andere partities meer voor opslag van gegevens of backups. Of je van die C-partitie veel kan afhalen, zonder de normale werking van je PC te verstoren, lijkt me onwaarschijnlijk. Eerder moet er - lijkt me - gezocht worden naar een mogelijkheid om meer geheugen op die C-partitie te krijgen en die D- en E-partitie te verkleinen. Maar dat laat ik aan de specialisten over ... want ik zou het je zelf niet - eenvoudig - kunnen uitleggen :s

Dat verhaal klopt helemaal … veel rommel aan boord van die PC. Download SDFix en klik op "uitvoeren". Versie 1.40 en hoger zal de uitgepakte SDFix map automatisch naar je systeemdrive verplaatsen (waarschijnlijk: C:\SDFix). Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll F2 - REGystem.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\%%%.exe O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll O2 - BHO: ALOT Toolbar - {5AA2BA46-9913-4dc7-9620-69AB0FA17AE7} - C:\Program Files\alot\bin\alot.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll O3 - Toolbar: ALOT Toolbar - {5AA2BA46-9913-4dc7-9620-69AB0FA17AE7} - C:\Program Files\alot\bin\alot.dll O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKLM\..\Run: [V0470Mon.exe] C:\WINDOWS\V0470Mon.exe O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w O4 - HKLM\..\Run: [sweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1423.exe 61A847B5BBF7281336993B466188719AB689201522886B092C BD44BD8689220221DD3257 O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKCU\..\Run: [sweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe O4 - Global Startup: Bluetooth.lnk = ? O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...p=ZNxdm119YYBE O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...1.0.0.15-3.cab Klik op 'Fix checked' om de items te verwijderen. Verwijder volgende vetgedrukte mappen met Windows Verkenner : C:\Program Files\MyWebSearch C:\Program Files\Macrogaming\SweetIMBarForIE C:\Program Files\alot C:\Program Files\Macrogaming\SweetIM Herstart je PC in veilige modus. Open de SDFix map en dubbelklik op RunThis.bat om het tooltje te starten. Typ Y om het schoonmaakproces te starten. Er zullen Trojan Services en/of Registry Entries worden verwijderd als ze worden gevonden en je zult een toets voor herstart moeten indrukken. De computer zal dan herstarten (dit duurt langer dan gewoonlijk). Wanneer de pc herstart zal het tooltje opnieuw runnen en het verwijderingsproces vervolgen, tot de melding Finished getoond wordt. Druk dan op eender welke toets om het script te beëindigen en je bureaubladiconen weer te laden. Wanneer je bureaubladiconen verschijnen zal het rapportje van SDFix openen. Dit zal dan ook te vinden zijn in de SDFix map als Report.txt. Haal in normale modus de inhoud van het rapportje van SDFix op en maak een nieuw HJT-log. Hang beide in je volgende bericht.

Helaas zie ik geen enkele aanwijzing in je logs voor je problemen. Kan aan mij liggen, natuurlijk ... maar ik denk dat er andere (niet-softwarematige) oorzaken moeten zijn. Alleen is dat niet echt my-cup-of-tea. Andere en betere forummers gezocht, in dit geval :s

Download Combofix en zet het op je Bureaublad. Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen. NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan. Daarna open je een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\system32\bmdgb.dll C:\WINDOWS\SYSTEM32\nqdsf.dll Registry:: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\vtq46] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\zsqalpdt] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\zsqalpdt\security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\v tq46] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\z sqalpdt] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\z sqalpdt\security] Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: O4 - HKLM\..\Run: [fjrjb] rundll32.exe "C:\DOCUME~1\Eigenaar\LOCALS~1\Temp\bbjljffnnjp.dr v" WLEntryPoint O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Policies\Explorer\Run: [goolieko] rundll32.exe "C:\WINDOWS\System32\jqpgnatgj.drv" WLEntryPoint O10 - Unknown file in Winsock LSP: c:\windows\system32\bmdgb.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\bmdgb.dll O20 - Winlogon Notify: nqdsf - C:\WINDOWS\SYSTEM32\nqdsf.dll Klik op 'Fix checked' om de items te verwijderen. Post na herstart de inhoud van de twee logs van Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

Kweezie Wabbitt heeft eerder al - terecht - geschreven dat deze bestandjes onbekend zijn. Jouw suggestie om ze dan gewoon te downloaden zal dus zeker niet werken.

Op basis van je huidige log is er niet meteen een aanwijzing naar een softwarematig probleem, dat het vastlopen van je computer zou kunnen veroorzaken. Het log van HJT is nog even netjes als na de vorige behandeling. Moet dus - dit keer - een andere reden hebben. Download opnieuw Combofix en zet het op je Bureaublad (dan kunnen we misschien iets meer ontdekken). Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen. NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan. Hang het log van Combofix aan je volgende bericht.

Download SDFix en klik op "uitvoeren". Versie 1.40 en hoger zal de uitgepakte SDFix map automatisch naar je systeemdrive verplaatsen (waarschijnlijk: C:\SDFix). Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [Windows© Registry Service] registry.exe O4 - HKLM\..\RunServices: [Windows© Registry Service] registry.exe O4 - HKCU\..\Run: [Windows© Registry Service] registry.exe O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Lode\AppData\Local\Temp\mlJCRjGx.dll,#1 O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Lode\AppData\Local\Temp\tuvUMfca.dll,c Klik op 'Fix checked' om de items te verwijderen. Herstart je PC in veilige modus. Open de SDFix map en dubbelklik op RunThis.bat om het tooltje te starten. Typ Y om het schoonmaakproces te starten. Er zullen Trojan Services en/of Registry Entries worden verwijderd als ze worden gevonden en je zult een toets voor herstart moeten indrukken. De computer zal dan herstarten (dit duurt langer dan gewoonlijk). Wanneer de pc herstart zal het tooltje opnieuw runnen en het verwijderingsproces vervolgen, tot de melding Finished getoond wordt. Druk dan op eender welke toets om het script te beëindigen en je bureaubladiconen weer te laden. Wanneer je bureaubladiconen verschijnen zal het rapportje van SDFix openen. Dit zal dan ook te vinden zijn in de SDFix map als Report.txt. Terug in normale modus plak je de inhoud van het rapportje van SDFix hier met een nieuw HJT-log.