kape

Al eens met systeemherstel een dagje (of meer) laten terugzetten ?

Dan is alles OK. Mag je die foutmelding vergeten en verder al de rest afhandelen. Geen probleem.

Zoek even naar dat bestand C:\windows\system 32\drivers\ect\hosts op je PC, open het met kladblok en kijk of er nog iets in deze map zit. Zo niet vul je daar volgende gegevens in :127.0.0.1 localhost

Niet veel aan de hand in het log. Die 016-lijn is de (besmettelijke) Kazaa. Dit is enkel te fixen met HJT. O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -

Oeps, een antwoord op een log dat er niet meer is ... dat is wel origineel. Maar je mag dit al uitvoeren, hoor. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: ALLE O1-lijnen O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) Klik op 'Fix Checked' om de items te verwijderen. Download HostsXpert Unzip het programma naar je Bureaublad of een permanente map op je harde schijf. Open de map en dubbelklik op Hoster.exe Klik op "Restore Microsofts Original Hosts File" Klik op "OK" en sluit het programma. Download Codestuff Starter Start Codestuff Starter op Selecteer het tabblad Automatisch Opstarten en vink volgende items uit. Deze programma’s worden onnodig mee opgestart. O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ulead Calendar Checker] C:\Program Files\Ulead Systems\Ulead Photo Express 6\CalCheck.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Device Detector 3.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Documents and Settings\Computer\Mijn documenten\Mijn eBooks\CalCheck.exe O4 - Global Startup: WinZip Quick Pick.lnk = G:\geluidsbestanden\WZQKPICK.EXE O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide Deze mag je uitvinken op voorwaarde dat je op regelmatige basis (maandelijks) manueel scant met dit programma. (Niet vergeten te updaten) O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background Om deze uit te schakelen start je de Windows Messenger (Niet de MSN of Windows Live Messenger) op, ga naar Extra -> Opties -> tabblad Voorkeuren en haal de vinkjes weg bij de vier vakjes onder Algemeen Download ATF cleaner Dubbelklik op ATF cleaner om het programma te starten. Op het tabblad "Main", plaats je een vinkje bij Select All. Klik op de knop Empty Selected. Ken jij dit programma : C:\Program Files\JustWrite Office\ScreenMark.exe. En gebruik je dit ? Zo ja, kan je me even vertellen waarvoor dit dient (want ik ken dit zelf niet). Plaats na heel deze procedure een nieuw log van HJT.

Indien je verder geen problemen ondervindt met MSN is het voor mij OK. Alleen waren er nog wat resten in je vorige logs waarvoor ik SDFix nog eens wou inschakelen. Ik heb mijn vorig bericht dan ook enigszins aangepast op basis van je bevestiging dat MSN terug zonder problemen werkt. Dan zouden we - als je dat goed vindt - nog wat opkuiswerk moeten doen : gebruikte programma's verwijderen, cleanen en besmette herstelpunten verwijderen. En ook je JAVA kan een update gebruiken. Verwijder Combofix: Start -> Uitvoeren en typ: combofix /u Combofix wordt verwijderd en een nieuw systeemherstelpunt wordt aangemaakt. Download CCleaner. Installeer het en start het op. Klik in de linkse kolom op “Opties”. Selecteer het tabblad ‘Geavanceerd’ en haal het vinkje weg voor “Verwijder alleen tijdelijke bestanden in de Windows systeemmap die ouder zijn dan 48 uur” en sluit hierna het programma. Start CCleaner op en klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Opschonen'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scannen voor fouten’. Als er fouten gevonden worden klik je op ”alle fouten herstellen” en ”OK”. Sluit hierna CCleaner terug af. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. - Ga naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel. - Klik in de linkerhelft van het venster op "Instellingen van systeemherstel". - Zet een vinkje voor "Systeemherstel uitschakelen". - Klik "Toepassen". - Windows vraagt of je dat zeker weet. - Klik "Ja". - Klik "OK". - Start de pc opnieuw op. - Ga weer naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel. - Je krijgt de melding: "Systeemherstel is uitgeschakeld. Wilt u systeemherstel nu inschakelen?" - Klik "Ja". - Verwijder het vinkje voor "Systeemherstel uitschakelen". - Klik "Toepassen". - Klik "OK". - Start de pc opnieuw op - Er is nu een nieuw herstelpunt aangemaakt. Je Java software is verouderd. Oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem. Doe eerst deze stappen om Java te de-installeren en de nieuwere versie te installeren. Download Java Runtime Environment (JRE) 6u5. Scroll omlaag naar : "Java Runtime Environment (JRE) 6u5". Klik op de "Download" knop aan de rechterkant. In het uitklapmenu rechts naast Platform, selecteer “Windows”. Vink aan: "I agree to the Java SE Runtime Environment 6 License Agreement", en klik op “Continue”. De pagina zal herladen. Klik op de jre-6u5-windows-i586-p.exe link ONDER Windows Offline Installation en bewaar het naar je Bureaublad. Sluit alle programma's die eventueel open zijn, zeker je webbrowser. Ga dan naar Start -> Configuratiescherm -> Software en verwijder alle oudere versies van Java uit de Softwarelijst. Vink alles aan met Java Runtime Environment (JRE of J2SE) in de naam. Klik dan op “Verwijderen” of op de “Wijzig/Verwijder” knop. Herhaal dit tot alle oudere versies verdwenen zijn. Na het verwijderen van alle oudere versies, herstart je pc. Dubbelklik vervolgens op jre-6u5-windows-i586-p.exe op je Bureaublad om de nieuwste versie van Java te installeren. That's it ! En helaas heb ik geen idee waar je het probleem met letters + tekens zou moeten gaan zoeken.

Wat die letters + tekens betreft, heb ik niet meteen een idee. Dit is trouwens de eerste keer dat ik over een dergelijk probleem lees. Een reden en/of oplossing kan ik je dan ook - helaas - niet aanbieden. Anderen misschien ? Wil je eens opnieuw proberen of je de SDFx nu helemaal correct kan uitvoeren. De uitleg staat in een vorig bericht. Want er zitten nog wat sporen in je logs die me niet bevallen. Post het log van SDFix ... en laat ook maar weten als je problemen bent tegengekomen bij de uitvoering. En dan nog een vraagje : heb je deze C:\Program Files\Windows Live\Family Safety zelf ingesteld ?

Als de persoon die het topic gestart heeft zelf niet meer reageert als om verdere informatie wordt verzocht, stopt het verhaal - buiten onze wil - natuurlijk vanzelf. Op deze vraag : "Zet dan een vers logje van HJT in een volgend bericht en laat eens weten hoe het met opstarten gesteld is ?" is geen antwoord gekomen. En een glazen bol hebben we niet Dit kan je instellen bij je "Gebruikersinstellingen" -> "Abonneren op discussies" en daar "Directe E-mailnotificatie" instellen, dacht ik.En als jij met hetzelfde probleem zit, open dan een eigen topic, geef het een eigen naam, omschrijf je probleem, maak een log met HiJackThis en hang dit aan het nieuwe eigen bericht. Dan kijken we - exclusief - naar jouw probleem. Tussenkomen in een thread van anderen maakt het immers alleen maar onoverzichtelijker om te werken. Laat dus maar komen !

Laat hem in veilige modus eens een log met HiJackThis aanmaken (als hij er in slaagt om dit programma te downloaden, natuurlijk).

Als je dat sportgedoe niet kent, plak dan volgende regel nog eens bij de vetgedrukte regels onder folder:: C:\Program Files\CyberLink\MagicSports En die Bearshare geeft aanleiding tot spywarebesmettingen. Ook die zou je mee kunnen verwijderen, maar dat is uiteraard eigen keuze. Wil je dit wel doen, plak die dan eveneens bij de vetgedrukte regels onder folder:: C:\Program Files\BearShare Applications En dan lezen we je relaas later wel. Veel werkgenot !

Er gebeuren vreemde dingen met je HJT. Dan pakken we het even anders aan. En we pikken ineens die screensaver mee. Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: C:\Windows\drnpfdxwso.dll C:\Windows\system32\pnlzjdgq.exe C:\Windows\bokpkov.dll C:\Windows\system32\FreezeScreenSaver.exe C:\Windows\altvxvm.dll C:\66AE.tmp C:\BB43.tmp C:\Windows\winomnifile.dat C:\Windows\System32\3-D_Sea_Turtle_Paradise_Demo dir C:\Windows\System32\3-D_Sea_Turtle_Paradise_Demo.scr C:\Windows\iun6002.exe C:\Windows\_delis32.ini C:\Windows\_MSRSTRT.EXE C:\Windows\System32\actskn45.ocx C:\Users\ferla\AppData\Roaming\ezpinst.exe Folder: C:\Program Files\Free Fire Screensaver C:\Program Files\Freeze.com Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende antwoord samen met een nieuw logje van HijackThis. Dan twee vraagjes : Is onderstaande programma bekend voor jou ? En zo ja, wat doet dat dan ? C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe Die Bearshare is dat de free-versie ? C:\Program Files\BearShare Applications

Lees dit al even over die screensaver.

Ga HIER eens kijken. Daar zitten ze met dezelfde problemen en ook met dat "Windows Automatisch Systeemherstel". Misschien heb je daar wat aan. Alleen jij kan daar over oordelen.

Als je uit het nieuwe log van HJT kan afleiden dat de aangeduide lijnen nu wel verdwenen zijn (en je geen foutmeldingen meer van HJT gekregen hebt), zou ik ook graag een nieuw log van Combofix te zien krijgen. Is dit niet het geval dan mag je het log van Combofix even laten voor wat het is.

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: C:\155.tmp C:\154.tmp C:\WINDOWS\system32\bhlnwl.exe C:\WINDOWS\system32\SET10.tmp C:\WINDOWS\iun6002.exe C:\WINDOWS\inf\SET46.tmp C:\WINDOWS\inf\SET42.tmp Folder:: C:\WINDOWS\LastGood Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende antwoord.

De foutmeldingen van HJT hebben er voor gezorgd dat het programma zijn werk niet goed gedaan heeft. Voor die 023-lijn schakel je eerst even de service uit via Start -> Uitvoeren -> typ msconfig. Bij de services zet je die FreezeScreenSaver.exe op stop. Wil je eens alles herhalen - het fixen van de lijnen met HJT - behalve die 016-lijn en die 023-lijn. Maak dan een nieuw log met HJT en laat eens horen of je nog foutmeldingen hebt gekregen.

Download Combofix en zet het op je Bureaublad. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: GNX Rolex - {2899EA9F-F4E4-4B4B-8ECB-6AB7B33679CB} - C:\Windows\drnpfdxwso.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [pnlzjdgq] C:\Windows\system32\pnlzjdgq.exe O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} – O21 - SSODL: bokpkov - {B9E5D8AB-DDF4-41B2-86D2-420AEF38106E} - C:\Windows\bokpkov.dll O21 - SSODL: altvxvm - {8B81EA70-2377-4B7F-80AD-5F69861E83A8} - C:\Windows\altvxvm.dll O23 - Service: FreezeScreenSaver - Unknown owner - C:\Windows\system32\FreezeScreenSaver.exe Klik op 'Fix checked' om de items te verwijderen. Verwijder volgende vetgedrukte bestanden via Windows Verkenner. C:\Windows\System32\pnlzjdgq.exe C:\Windows\system32\FreezeScreenSaver.exe Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen. NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan. Hang het log van Combofix en een nieuw log van HJT aan een volgend bericht.

En ? Allles OK ondertussen ?

Maak eens een logje met HiJackThis en hang dit aan een volgend bericht. Een about-blankmelding kan (hoeft niet noodzakelijk) het gevolg van een lichte besmetting zijn.

Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing) O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing) O4 - HKCU\..\Run: [Comrade.exe] C:\Program Files\GameSpy\Comrade\Comrade.exe O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...rch.jhtml?p=ZN Klik op 'Fix checked' om de items te verwijderen. Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: C:\WINDOWS\system32\bhlnwl.exe C:\WINDOWS\system32\SET10.tmp Folder:: C:\Program Files\MyWebSearch C:\Program Files\Macrogaming\SweetIMBarForIE C:\Program Files\GameSpy\Comrade Refistry:: [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende antwoord samen met een nieuw logje van HijackThis.

Je hebt spyware/adware aan boord van je PC. Maak eens een log met HiJackThis en hang dit aan een volgend berichtje. Dan kijken we even mee.

Dat heeft al een flinke verbetering teweeggebracht, maar we zijn er nog niet helemaal. Nog even dit : Download Combofix en zet het op je Bureaublad. Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen. NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan. Hang dan een vers log van HJT en het log van Combofix aan je volgend bericht.

Je hebt een combinatie van het MSN-virus en een spywarebesmetting op je PC. Verwijder eerst MSN (en alle andere Messengers). Download en bewaar SDFix op je bureaublad. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = F2 - REGystem.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUM E~1\LOUISC~1.000\LOCALS~1\Temp\services.exe O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing) O2 - BHO: (no name) - {CDE8EAB9-CEF3-4885-B12F-26960A25C800} - C:\Program Files\Video ActiveX Access\iesplg.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing) O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing) O3 - Toolbar: Protection Bar - {DF4E7A0C-E233-4906-B4C1-A404356541FF} - C:\Program Files\Video ActiveX Access\iesbpl.dll (file missing) O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 –u O4 - HKLM\..\Run: [Flash Media] C:\DOCUME~1\LOUISC~1.000\LOCALS~1\Temp\services.ex e O16 - DPF: RaptisoftGameLoader - http://www.raptisoft.com/webgames/ra...gameloader.cab O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/.../Installer.exe ALLE 018-LIJNEN O22 - SharedTaskScheduler: biographers - {e7aff349-39e1-4a96-a13d-24983440b44a} - C:\WINDOWS\system32\xikor.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Verwijder volgende vetgedrukte map via Windows Verkenner. C:\Program Files\Macrogaming\SweetIMBarForIE Dubbelklik op SDFix.exe en kies voor Install om het tooltje uit te pakken in een eigen map op je bureaubad. Herstart dan je pc in veilige modus. In veilige modus, open de SDFix map op je bureaublad en dubbelklik op RunThis.bat om het tooltje te starten. Typ Y om het clean proces te starten. Het verwijdert alle Trojan Services of Registry Entries die met deze infectie te maken hebben, als het tooltje klaar is zal het jou vertellen om eender welke toets te drukken om je pc te herstarten, doe dit ook. Wanneer de pc herstart zal het tooltje opnieuw runnen en het opruimproces beëindigen en je de melding Finished tonen, druk dan op eender welke toets om het scriptje te beëindigen en je bureaublad zullen tevoorschijn komen. Wanneer je bureaublad icoontjes verschijnen zal het rapportje van SDFix openen en ook in de map bewaren onder de naam Report.txt. Kopieer en plak nu de inhoud van dat rapportje hier met een nieuw HJT-log.

In Windows XP wordt bij het afsluiten van Outlook Express telkens de waarde van een teller in het register verhoogd. Als de teller de waarde 100 heeft bereikt, zal bij afsluiten van Outlook Express automatisch gecomprimeerd en de teller terug op 1 gezet worden. Het is belangrijk om deze comprimeeractie volledig te laten uitvoeren (niet annuleren). Je kunt comprimeren altijd als volgt zelf op een gunstig tijdstip starten (en daarmee de teller terug op 1 zetten): - Open Outlook Express - Open menu: Bestand -> Map -> Alle mappen comprimeren - Comprimeren van alle Outlook Express mappen wordt gestart Je kan dit ook manueel beïnvloeden door in het register de code aan te passen die deze teller stuurt : Via Start -> UItvoeren -> typ regedit -> zoek naar registersleutel HKEY_CURRENT_USER - Identities - ... lang cijfer - Software - Microsoft - Outlook Express - 5.0 - Compact Check Count en daar de waarde REG DWORD (aantal tussen haakjes) aanpassen. Nadeel hiervan is dat je dit steeds manueel moet doen, want OE blijft automatisch doortellen. Bij het comprimeren worden er backup-bestanden aangemaakt. Deze kan je terugvinden in je prullenbak onder bvb. de naam PostvakIN.bak. Deze zijn identiek aan de oorspronkelijke .dbx-bestanden van OE (en zou je na wijziging van de extensie terug kunnen zetten op de standaardlocatie van OE). Het uitschakelen van deze comprimeeractie is in principe niet aan te bevelen. Regelmatig comprimeren van Outlook Express mappen is belangrijk om ongebruikte ruimte in de bestanden vrij te maken en kans op beschadigingen in de folders te verkleinen. Je leest vaak dat die bestanden en mappen na comprimeren verdwenen zijn, iets wat ik - na jaren gebruik - nog nooit heb meegemaakt. Maar blijkbaar gebeurt dit dus toch. Ophalen uit de prullenbak is dan mogelijk.

Download The Avenger en pak het uit op je Bureaublad. Unzip het. Start het programma door op avenger.exe te klikken. In het venster "Input Script here", plak je het volgende (vetgedrukte). Files to delete: C:\WINDOWS\system32\fkayxj.exe C:\WINDOWS\E-SFDDg.dat C:\WINDOWS\system32\hayydq.exe C:\WINDOWS\system32\pucxqy.exe C:\WINDOWS\system32\imgpzy.exe C:\WINDOWS\system32\wjwptk.exe C:\WINDOWS\system32\vxdxdt.exe C:\WINDOWS\system32\bmurer.exe C:\WINDOWS\_MSRSTRT.EXE C:\WINDOWS\system32\lapfwu.exe C:\WINDOWS\system32\adcvyk.exe C:\WINDOWS\system32\ltxqud.exe C:\WINDOWS\system32\ttouua.exe C:\WINDOWS\system32\pktdei.exe C:\WINDOWS\system32\tezlod.exe C:\WINDOWS\system32\gryyqi.exe C:\WINDOWS\system32\pzxwpm.exe C:\WINDOWS\system32\tplnod.exe C:\WINDOWS\system32\qjdbrc.exe C:\WINDOWS\system32\lsqmrd.exe C:\WINDOWS\system32\xlzfie.exe C:\WINDOWS\NV42564460.TMP C:\WINDOWS\system32\nmllm.ini2 C:\WINDOWS\system32\nmllm.bak2 Folders to delete: D:\Deckard Klik daarna op de knop "Execute". Avenger zal aangeven dat de computer gaat herstarten, sta dit toe. Na nieuwe opstart opent een logfile (avenger.txt). Post de inhoud van de logfile. Deze logfile post je in je volgende berichtje samen met een nieuw log van HJT. En probeer daarna eens of je nu Combofix terug kan verwijderen en/of gebruiken.