kape

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: C:\WINDOWS\system32\tmp.reg C:\WINDOWS\system32\VCCLSID.exe C:\WINDOWS\system32\SrchSTS.exe C:\WINDOWS\system32\Process.exe C:\WINDOWS\system32\VACFix.exe C:\WINDOWS\system32\IEDFix.exe C:\WINDOWS\system32\dumphive.exe C:\WINDOWS\system32\WS2Fix.exe C:\WINDOWS\system32\ijszdqzu.dll C:\Documents and Settings\All Users\Application Data\tmbsbcfy.dll C:\WINDOWS\system32\hjnquqqo.exe C:\Documents and Settings\All Users\Application Data\oxqhqtub.dll C:\WINDOWS\ybinyxyd.exe C:\WINDOWS\system32\drvrid.dll Folder:: C:\Documents and Settings\Samuel\Application Data\PC-Cleaner Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run] "hjnquqqo"="C:\WINDOWS\system32\hjnquqqo.exe" "rjwdtqbo"="C:\WINDOWS\system32\rjwdtqbo.exe" Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd (indien ze nog aanwezig zijn, want normaal niet het geval mag zijn): O4 - HKLM\..\Run: [hjnquqqo] C:\WINDOWS\system32\hjnquqqo.exe O4 - HKLM\..\Run: [rjwdtqbo] C:\WINDOWS\system32\rjwdtqbo.exe Klik op 'Fix checked' om de items te verwijderen. Post de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis. En laat meteen eens weten hoe het staat met je Windows Security Alert ?

De volgende stap : Download Combofix en zet het op je Bureaublad. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: F3 - REG:win.ini: run="" O4 - HKLM\..\Run: [hjnquqqo] C:\WINDOWS\system32\hjnquqqo.exe O4 - HKLM\..\Run: [rjwdtqbo] C:\WINDOWS\system32\rjwdtqbo.exe Klik op 'Fix checked' om de items te verwijderen. Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen. NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan. Hang het log van Combofix en een nieuw log van HJT aan je volgende bericht.

Perfect. Dit is het log wat we nodig hadden. Download SmitfraudFix. Pak het uit naar je bureaublad. Start je PC op in Veilige Modus, open de map SmitfraudFix en dubbelklik op Smitfraudfix.cmd. Kies optie 2 (Clean) om alle besmette bestanden te laten verwijderen. Als er gevraagd wordt om het register op te kuisen, sta je dit toe. Er wordt ook onderzocht of het bestandje wininet.dll besmet is. Indien dit het geval is, zal je de vraag krijgen om deze te vervangen. Type dan Y in achter de prompt en druk op Enter. De kans bestaat dat je PC herstart wordt in normale modus. Is dit niet het geval doe je dit handmatig zodat het zijn taak volledig kan uitvoeren. Er zal een tekstbestandje openen met de resultaten van de fix. ( c:\rapport.txt). Sla dit op je bureaublad op. Herstart de computer in normale modus. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: F3 - REG:win.ini: run="" O2 - BHO: (no name) - {00922FF5-A588-10D0-43A1-06CFEFE74C57} - C:\WINDOWS\system32\gfebrhld.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [rjwdtqbo] C:\WINDOWS\system32\rjwdtqbo.exe O4 - HKLM\..\Policies\Explorer\Run: [C1mlnINwLK] C:\WINDOWS\ybinyxyd.exe O20 - Winlogon Notify: windii32 - windii32.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Verwijder volgende vetgedrukt bestand (indien nog aanwezig) met Windows Verkenner C:\WINDOWS\system32\rjwdtqbo.exe Hang het log van Smitfraud en een nieuw log van HJT aan je volgend bericht.

Op zich is dit niet echt een groot probleem, want volgens je log is die MediaBar wel degelijk verdwenen. Klopt dat ook in de praktijk ? Daar kan alleen jij een antwoord op geven. En ook de rest van de aanpassingen zijn correct uitgevoerd. Om die map te verwijderen zou je het eens in "Veilige Modus" kunnen proberen. Start je computer opnieuw op, blijf tijdens het opstarten tokkelen op F8 en als je in het keuzescherm komt, kies je voor "Veilige Modus". Je scherm zal er wat anders uitzien dan normaal, maar dat is geen probleem. Dan probeer je daar de map C:\Program Files\iMesh Applications te verwijderen. Ik lees wel of dit gelukt is.

Betekent dit dat het enkel alle gegevens zijn die je kwijt bent, of ook je programma's, e.d. Je Windows is - neem ik aan - terug in orde. Of ook niet ?

Knap, dat is wat we nodig hadden Nu aan de slag. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/eMakeSV/Portal/portal.html O2 - BHO: UrlHelper Class - {474597C5-AB09-49d6-A4D5-2E8D7341384E} - C:\Program Files\iMesh Applications\iMesh MediaBar\iMeshIEHelper.dll O2 - BHO: System - {D1C8F9CE-563E-11D8-813C-005022E14DE3} - C:\Program Files\LNM Client\AddAPI.dll O9 - Extra button: LNM Client - {5D602A21-B929-11d7-A5D3-005022E14DE3} - LNM.eu : Welkom (file missing) O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/pc/LOCALS~1/Temp...p_image002.jpg Klik op 'Fix checked' om de items te verwijderen. Verwijder volgende vetgedrukte map met Windows Verkenner. C:\Program Files\iMesh Applications En nu we toch bezig zijn, nog even dit aanpassen. Je Java software is verouderd. Oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem. Doe eerst deze stappen om Java te de-installeren en de nieuwere versie te installeren. Download Java Runtime Environment (JRE) 6u5. Scroll omlaag naar : "Java Runtime Environment (JRE) 6u5". Klik op de "Download" knop aan de rechterkant. In het uitklapmenu rechts naast Platform, selecteer “Windows”. Vink aan: "I agree to the Java SE Runtime Environment 6 License Agreement", en klik op “Continue”. De pagina zal herladen. Klik op de jre-6u5-windows-i586-p.exe link ONDER Windows Offline Installation en bewaar het naar je Bureaublad. Sluit alle programma's die eventueel open zijn, zeker je webbrowser. Ga dan naar Start -> Configuratiescherm -> Software en verwijder alle oudere versies van Java uit de Softwarelijst. Vink alles aan met Java Runtime Environment (JRE of J2SE) in de naam. Klik dan op “Verwijderen” of op de “Wijzig/Verwijder” knop. Herhaal dit tot alle oudere versies verdwenen zijn. Na het verwijderen van alle oudere versies, herstart je pc. Dubbelklik vervolgens op jre-6u5-windows-i586-p.exe op je Bureaublad om de nieuwste versie van Java te installeren. Tot slot moet je - na dit alles - nog even dat programma dat Yannick geadviseerd had - CCleaner - zijn werk laten doen. En laat dan even horen of je Mediabar naar de "eeuwige jachtvelden" is verhuisd ?

Laat Smitfraud even voor wat het is en voer de volgende acties uit : Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: C:\Documents and Settings\Dimitri\BureaubladTrojan.Win32.BlackBird. exe Folder:: C:\WINDOWS\SxsCaPendDel C:\Program Files\PC-Cleaner Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnnlkl] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\My Web Search Bar Search Scope Monitor] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MyWebSearch Email Plugin] Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Open een nieuw kladblokbestand, kopieer en plak daarin de onderstaande vetgedrukte tekst. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "AntiVirusOverride"=dword:00000000 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000000 Sla dit op op je Bureaublad als regfix.reg, met als type 'alle bestanden' Dubbelklik op regfix.reg en sta het toevoegen aan het register toe. Download Malwarebytes' Anti-Malware Dubbelklik mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Launch Malwarebytes' Anti-Malware, Klik daarna op "finish". Indien een update gevonden werd, zal het die downloaden en de laatste versie installeren. Wanneer het programma volledig up to date is, selecteer "Perform Quick Scan", daarna klik Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik OK, daarna "Show Results" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik: Remove Selected. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie extra nota onderaan) De log wordt automatisch bewaard door MBAM die je kan zien door de "Logs" tab te klikken in MBAM. Extra Nota: Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de Computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. En hang dan de logjes van Combofix, MABM en een nieuw log van HiJackThis aan een volgend bericht.

Ik zie een "dankje" staan. Heeft het ook iets opgeleverd ?

rtvscan.exe is een Symantec Real Time Virus Scan service van Symantec Corporation en onderdeel van Symantec Internet Security Suite. wmpnetwk.exe is de sharing service van Windows Media Player. msmpeng.exe is van Windows Defender Auto-Protect Service. Alle drie dus legitieme programma's. Daar kunnen geen problemen door komen. Enkel die Shaing Service van WMP lijkt me perfect uit te schakelen te zijn, zonder aan veiligheid in te boeten.

(1) Neen, dat lijkt me nu OK te zijn (2) Helaas geen idee meer :s Anderen, misschien ?

Ben je zeker dat dit je volledige log is van HiJackThis ? Er ontbreekt alvast een belangrijk gedeelte ... probeer het eens opnieuw - maar dan in zijn geheel - te plaatsen in een volgend bericht. Het zal zeker nodig zijn, want er zit een flinke besmetting op je PC.

Ziet er goed uit. Hoe staat het met de overflow-melding ?

Download Combofix en zet het op je Bureaublad. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll Klik op 'Fix checked' om de items te verwijderen. Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen. NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan. Hang het log van Combofix en een nieuw log van HJT aan je volgend bericht.

Heb geen idee wat daarvan de oorzaak kan zijn. Als je CCleaner via die link binnenhaalt, werkt dit normaal zonder problemen. Vervang CCleaner dan even door ATFCleaner om de restjes op te ruimen. Download ATF cleaner Dubbelklik op ATF cleaner om het programma te starten. Op het tabblad "Main", plaats je een vinkje bij Select All. Klik op de knop Empty Selected.

Problemen van de baan, dan is het tijd voor de 'grote schoonmaak" : de gebruikte programma's verwijderen, een cleaning en de besmette herstelpunten verwijderen. Ook je JAVA kan een update gebruiken. Open de map RVAXO op je bureaublad en dubbelklik Uninstall.cmd Daarmee verwijder je alles van RVAXO. Download CCleaner. Installeer het en start het op. Klik in de linkse kolom op “Opties”. Selecteer het tabblad ‘Geavanceerd’ en haal het vinkje weg voor “Verwijder alleen tijdelijke bestanden in de Windows systeemmap die ouder zijn dan 48 uur” en sluit hierna het programma. Start CCleaner op en klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Opschonen'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scannen voor fouten’. Als er fouten gevonden worden klik je op ”alle fouten herstellen” en ”OK”. Sluit hierna CCleaner terug af. Je Java software is verouderd. Oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem. Doe eerst deze stappen om Java te de-installeren en de nieuwere versie te installeren. Download Java Runtime Environment (JRE) 6u5. Scroll omlaag naar : "Java Runtime Environment (JRE) 6u5". Klik op de "Download" knop aan de rechterkant. In het uitklapmenu rechts naast Platform, selecteer “Windows”. Vink aan: "I agree to the Java SE Runtime Environment 6 License Agreement", en klik op “Continue”. De pagina zal herladen. Klik op de jre-6u5-windows-i586-p.exe link ONDER Windows Offline Installation en bewaar het naar je Bureaublad. Sluit alle programma's die eventueel open zijn, zeker je webbrowser. Ga dan naar Start -> Configuratiescherm -> Software en verwijder alle oudere versies van Java uit de Softwarelijst. Vink alles aan met Java Runtime Environment (JRE of J2SE) in de naam. Klik dan op “Verwijderen” of op de “Wijzig/Verwijder” knop. Herhaal dit tot alle oudere versies verdwenen zijn. Na het verwijderen van alle oudere versies, herstart je pc. Dubbelklik vervolgens op jre-6u5-windows-i586-p.exe op je Bureaublad om de nieuwste versie van Java te installeren. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. - Ga naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel. - Klik in de linkerhelft van het venster op "Instellingen van systeemherstel". - Zet een vinkje voor "Systeemherstel uitschakelen". - Klik "Toepassen". - Windows vraagt of je dat zeker weet. - Klik "Ja". - Klik "OK". - Start de pc opnieuw op. - Ga weer naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel. - Je krijgt de melding: "Systeemherstel is uitgeschakeld. Wilt u systeemherstel nu inschakelen?" - Klik "Ja". - Verwijder het vinkje voor "Systeemherstel uitschakelen". - Klik "Toepassen". - Klik "OK". - Start de pc opnieuw op - Er is nu een nieuw herstelpunt aangemaakt That's it !

Dit is maar één deel van je probleem dat opgelost is. Een goed begin alvast Maar mag ik misschien van jou ook nog een nieuw log van HJT, dan kunnen we de volgende stappen zetten ... want we zijn er nog niet helemaal.

Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: ALLE 01-lijnen O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe O4 - HKLM\..\Run: [netw] C:\WINDOWS\svw.exe O4 - HKLM\..\Run: [netx] C:\WINDOWS\svx.exe O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe O4 - HKLM\..\Run: [netzip] C:\WINDOWS\svzip.exe O4 - HKLM\..\Run: [runsql] C:\WINDOWS\runsql.exe O4 - HKLM\..\Run: [netsv32] C:\WINDOWS\sv.exe O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/ADMINI~1/LOCALS~...p_image002.jpg O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/ADMINI~1/LOCALS~...p_image002.gif O24 - Desktop Component 2: (no name) - file:///C:/DOCUME~1/ADMINI~1/LOCALS~...p_image002.gif Klik op 'Fix checked' om de items te verwijderen.. Download: RVAXO Sla het bestand op je bureaublad op, dubbelklik het en kies voor "Unzip" om het uit te pakken. Open nu de map RVAXO op je bureaublad en dubbeklik RVAXO.cmd Er zal een cmd-schermpje openen, daarin zullen snel enkele regels over niet gevonden bestanden voorbijkomen, dit is normaal. Mogelijk start er ook een uninstaller van een rogue scanner op, sluit deze niet af maar volg eventuele aanwijzingen en laat deze gewoon zijn werk doen. Daarna zal je PC herstarten, na de herstart opent het cmd-venster van RVAXO opnieuw. Laat deze lopen en wacht tot er een logfile opent: C:\RVAXO-results.log Herstart je computer niet vanzelf, of start de tool niet na de reboot, doe dit dan handmatig. Post de inhoud van de logfile van RVAXO in je volgende bericht, samen met een nieuw log van HJT.

Maak eens een logje met HiJackThis en zet dit in je volgend bericht. Kunnen we eens meekijken of daarin een (mogelijke) oorzaak te vinden is.

Het zal NTLDR zijn dat je ontdekt hebt ipv HTLDR. Steek je Windows CD in de CD-drive. Start nu je computer opnieuw op. Als het goed is zal hij nu vanaf de CD opstarten. Laat hem even uitratelen en druk op R. Je zult nu in een DOS achtige omgeving komen, toets daar CHKDSK /r in (hiermee wordt je harde schijf gecontroleerd en worden eventuele fouten hersteld), druk dan op ENTER en daarna voeg je fixboot C: in (hiermee wordt je bootsector hersteld) en druk op ENTER. Verwijder dan de CD uit je drive en start je computer opnieuw op.

Veel heb ik niet moeten doen, alleen een zetje geven De rest heb je zelf handig aangepakt. Prima, zo.

En ook niet (weinig waarschijnlijk, maar je weet maar nooit) blijven plakken in je Postvak UIT ?

Probeer eens of je met de tweede methode in veilige modus geraakt : Ga naar Start -> Uitvoeren en typ msconfig en druk op "Enter". In het scherm dat verschijnt klik je op het tabblad "Boot.ini" Bij "Opstartopties" zet je een vinkje bij de regel "/safeboot". Klik op "OK". Start de computer opnieuw. De pc zal opstarten in veilige modus. Dit kan enige minuten duren. Wil je de computer opnieuw starten in gewone windows modus, dan haal je het vinkje terug weg bij de regel "/safeboot". Of heb je dit al geprobeerd ? En wat dit betreft deel ik je mening. Wat ik tot op heden al te zien heb gekregen van je logs belooft niet echt veel goeds. Maar we blijven proberen.Mocht die Smitfraud in veilige modus niet lukken, waag het er dan eens op in gewone modus. Niet echt de bedoeling, maar je weet maar nooit.

Even bij GMail rondneuzen en hier is je oplossing voor Outlook 2007.

Die Ultimate Cleaner is een vals spywareprogramma, dat in plaats van je boeltje schoon te houden, de boel zelf verziekt met spyware. De berichten (pop-ups) die je ontvangt komen van dit programma. Download SmitfraudFix. Pak het uit naar je bureaublad. Start je PC op in Veilige Modus, open de map SmitfraudFix en dubbelklik op Smitfraudfix.cmd. Kies optie 2 (Clean) om alle besmette bestanden te laten verwijderen. Als er gevraagd wordt om het register op te kuisen, sta je dit toe. Er wordt ook onderzocht of het bestandje wininet.dll besmet is. Indien dit het geval is, zal je de vraag krijgen om deze te vervangen. Type dan Y in achter de prompt en druk op Enter. De kans bestaat dat je PC herstart wordt in normale modus. Is dit niet het geval doe je dit handmatig zodat het zijn taak volledig kan uitvoeren. Er zal een tekstbestandje openen met de resultaten van de fix. ( c:\rapport.txt). Sla dit op je bureaublad op. Herstart de computer in normale modus en zet het rapport van Smitfraud in je volgende bericht. En dan kijken we weer verder. P.S. : de afbeelding in je bericht was niet te lezen.

De .dbx-bestanden zijn inderdaad alle mappen die als standaard in OE gebruikt worden (bvb. Postvak IN.dbx, Verzonden Items.dbx, enz.), maar ook alle mappen die je zelf aangemaakt hebt in OE (bvb. Oude Berichten.dbx of zo), hetzij als onderverdeling van een bestaande standaardmap, hetzij als volledig nieuwe map. Let op : deze .dbx-bestanden zijn "verborgen bestanden", dus als je deze gaat zoeken moet je eerst de "verborgen bestanden" vrijgeven. Mocht blijken dat verzenden en ontvangen met een nieuwe OE optimaal functioneert, dan kan je deze bestanden - één na één - terugplaatsen om te ontdekken welk van de .dbx-bestanden de oorzaak van de problemen is geweest. Uit een beschadigd .dbx-bestand kan je nog steeds de individuele berichten halen om deze terug te plaatsen in de nieuwe mappen van OE. Maar dat is iets voor later ... eerst maar eens kijken of de eerste optie - verzenden/ontvangen met een nieuwe OE - lukt.