kape

Dit lijkt niet het volledige logje van zoek te zijn. Wil je eens even kijken of er nog een actueel en compleet log beschikbaar is en dit dan in je volgende bericht hangen ?

Kan je deze bestanden vinden op de PC ? C:\users\Mark\AppData\Roaming\5a4f4850 C:\users\Mark\AppData\Roaming\5a7cf26a C:\users\Mark\AppData\Roaming\5b9311eb

Dit is niet helemaal correct uitgevoerd. Bedoeling is dat je het bestand als een .txt-bestand opslaat (en niet als een link, zoals je gedaan hebt) en dan dit tekstbestand in de snelkoppeling van Combofix sleept. Dan start dit programma automatisch terug op en worden de aangeduide fouten pas verwijderd. Dat is nu nog niet het geval.

Er is alvast een berg rotzooi van je computer gehaald. In welke zin doet de PC vreemde dingen ?

Die cijfermappen zitten duw nog wel degelijk op je PC (zie deel 2 van het zoek-logje). Andere test dan: Dubbelklik vervolgens op Zoek.exe om de tool te starten. Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren. Kopieer nu onderstaande code en plak die in het grote invulvenster: Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem. C:\users\Mark\AppData\Roaming\89339cf8;f C:\users\Mark\AppData\Roaming\8902654c;f C:\users\Mark\AppData\Roaming\1a5f65c0;f C:\users\Mark\AppData\Roaming\1a0a8ed8;f C:\users\Mark\AppData\Roaming\8a8c9940;f C:\users\Mark\AppData\Roaming\8a66beac;f C:\users\Mark\AppData\Roaming\8a376b98;f C:\users\Mark\AppData\Roaming\8a0bbae8;f C:\users\Mark\AppData\Roaming\1be5b464;f C:\users\Mark\AppData\Roaming\1b907b64;f C:\users\Mark\AppData\Roaming\5f31be4;f C:\users\Mark\AppData\Roaming\5cad254;f C:\users\Mark\AppData\Roaming\b6aa0e90;f C:\users\Mark\AppData\Roaming\b652d020;f C:\users\Mark\AppData\Roaming\39cdbb60;f C:\users\Mark\AppData\Roaming\39a6d67c;f C:\users\Mark\AppData\Roaming\397786b0;f C:\users\Mark\AppData\Roaming\3949b19c;f C:\users\Mark\AppData\Roaming\2c6036cc;f C:\users\Mark\AppData\Roaming\2c09b02c;f C:\users\Mark\AppData\Roaming\a33a376b;f C:\users\Mark\AppData\Roaming\a30df7dc;f C:\users\Mark\AppData\Roaming\19dc807c;f C:\users\Mark\AppData\Roaming\198799fc;f C:\users\Mark\AppData\Roaming\db31f6d8;f C:\users\Mark\AppData\Roaming\db039527;f C:\users\Mark\AppData\Roaming\dac9ebc4;f C:\users\Mark\AppData\Roaming\da95abde;f C:\users\Mark\AppData\Roaming\5b84b7f4;f C:\users\Mark\AppData\Roaming\5b30d53c;f C:\users\Mark\AppData\Roaming\f0cec439;f C:\users\Mark\AppData\Roaming\f0a66db2;f C:\users\Mark\AppData\Roaming\82a7fb50;f C:\users\Mark\AppData\Roaming\82539dd8;f C:\users\Mark\AppData\Roaming\da5bd4;f C:\users\Mark\AppData\Roaming\a861f0;f C:\users\Mark\AppData\Roaming\2bcab6c;f C:\users\Mark\AppData\Roaming\292a4d4;f C:\users\Mark\AppData\Roaming\23cfe6c;f C:\users\Mark\AppData\Roaming\213343c;f C:\users\Mark\AppData\Roaming\1be1358;f C:\users\Mark\AppData\Roaming\19457e4;f C:\users\Mark\AppData\Roaming\13b2dac;f C:\users\Mark\AppData\Roaming\10eb410;f C:\users\Mark\AppData\Roaming\b4b1aa98;f C:\users\Mark\AppData\Roaming\b45b99c0;f C:\users\Mark\AppData\Roaming\7c4f4e4d;f C:\users\Mark\AppData\Roaming\7c26a79f;f C:\users\Mark\AppData\Roaming\15e6eb0c;f C:\users\Mark\AppData\Roaming\15bb74f4;f C:\users\Mark\AppData\Roaming\b5d87648;f C:\users\Mark\AppData\Roaming\b5aeb96c;f C:\users\Mark\AppData\Roaming\b552dffc;f C:\users\Mark\AppData\Roaming\b52933e8;f C:\users\Mark\AppData\Roaming\b4cc4150;f C:\users\Mark\AppData\Roaming\b4a23fb0;f C:\users\Mark\AppData\Roaming\b4430e48;f C:\users\Mark\AppData\Roaming\b4194d90;f C:\users\Mark\AppData\Roaming\b3e56270;f C:\users\Mark\AppData\Roaming\b3b40972;f C:\users\Mark\AppData\Roaming\b37110d4;f C:\users\Mark\AppData\Roaming\b31b1154;f C:\users\Mark\AppData\Roaming\f6902920;f C:\users\Mark\AppData\Roaming\f66605dc;f C:\users\Mark\AppData\Roaming\4c6a24d4;f C:\users\Mark\AppData\Roaming\4c143d9c;f C:\users\Mark\AppData\Roaming\d70f326c;f C:\users\Mark\AppData\Roaming\d6e925e8;f C:\users\Mark\AppData\Roaming\d697ffdc;f C:\users\Mark\AppData\Roaming\d672375c;f C:\users\Mark\AppData\Roaming\d6405edc;f C:\users\Mark\AppData\Roaming\d61136b8;f C:\users\Mark\AppData\Roaming\8463ab88;f C:\users\Mark\AppData\Roaming\840f1da8;f C:\users\Mark\AppData\Roaming\c3d75c00;f C:\users\Mark\AppData\Roaming\c3aa566c;f C:\users\Mark\AppData\Roaming\bbece8e4;f C:\users\Mark\AppData\Roaming\bb97ab6c;f C:\users\Mark\AppData\Roaming\f5bf152e;f C:\users\Mark\AppData\Roaming\f598ea72;f C:\users\Mark\AppData\Roaming\f5696426;f C:\users\Mark\AppData\Roaming\f5432412;f C:\users\Mark\AppData\Roaming\f5125e8a;f C:\users\Mark\AppData\Roaming\f4e422e6;f C:\users\Mark\AppData\Roaming\bdd4ec9c;f C:\users\Mark\AppData\Roaming\bd7e57bc;f C:\users\Mark\AppData\Roaming\789dc6a5;f C:\users\Mark\AppData\Roaming\7871aed8;f C:\users\Mark\AppData\Roaming\72ed3df8;f C:\users\Mark\AppData\Roaming\7290afe0;f C:\users\Mark\AppData\Roaming\3c549718;f C:\users\Mark\AppData\Roaming\3c28a66c;f C:\users\Mark\AppData\Roaming\3bc35b68;f C:\users\Mark\AppData\Roaming\3b8d2f40;f C:\users\Mark\AppData\Roaming\4b135a20;f C:\users\Mark\AppData\Roaming\4ac424e0;f C:\users\Mark\AppData\Roaming\fabe30be;f C:\users\Mark\AppData\Roaming\fa7c8a11;f C:\users\Mark\AppData\Roaming\fa4775d3;f C:\users\Mark\AppData\Roaming\f817e679;f C:\users\Mark\AppData\Roaming\f7dfe508;f C:\users\Mark\AppData\Roaming\f6e74461;f C:\users\Mark\AppData\Roaming\f635fe36;f C:\users\Mark\AppData\Roaming\f5fb9750;f C:\users\Mark\AppData\Roaming\e1ccedb0;f C:\users\Mark\AppData\Roaming\e16dac28;f C:\users\Mark\AppData\Roaming\e0f2a438;f C:\users\Mark\AppData\Roaming\ddd62838;f C:\users\Mark\AppData\Roaming\caca4390;f C:\users\Mark\AppData\Roaming\c8782168;f C:\users\Mark\AppData\Roaming\9355587b;f C:\users\Mark\AppData\Roaming\896b6355;f C:\users\Mark\AppData\Roaming\cbcf3ef5;f C:\users\Mark\AppData\Roaming\bca270b5;f C:\users\Mark\AppData\Roaming\bc1d9435;f C:\users\Mark\AppData\Roaming\bbcda825;f C:\users\Mark\AppData\Roaming\bb7a5fe5;f C:\users\Mark\AppData\Roaming\b15b18fd;f C:\users\Mark\AppData\Roaming\aba4cd83;f C:\users\Mark\AppData\Roaming\ab4c03b3;f C:\users\Mark\AppData\Roaming\95eeaf46;f C:\users\Mark\AppData\Roaming\9596d0dd;f C:\users\Mark\AppData\Roaming\86faaf4e;f C:\users\Mark\AppData\Roaming\86a2750d;f C:\users\Mark\AppData\Roaming\ec5624ad;f C:\users\Mark\AppData\Roaming\487680bd;f Klik nu op de knop "Run script". Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is). Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog. Post het geopende logje in het volgende bericht.

Download Zoek.zip naar het bureaublad. Wanneer Internet Explorer of een andere browser of virusscanner melding geeft dat dit bestand onveilig zou zijn kun je negeren, dit is namelijk een onterechte waarschuwing. Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe (hier en hier) kan je lezen hoe je dat doet. Klik met de rechtermuisknop op Zoek.zip en klik op de optie "Alles uitpakken". Dubbelklik vervolgens op Zoek.exe om de tool te starten. Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren. Kopieer nu onderstaande code en plak die in het grote invulvenster: Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem. chromelook; firefoxlook; {2d8d9acc-f6d7-4362-8876-a275ca929591};c {46735dee-f862-49d1-876d-6382794dc625};c {000342E9-463A-E086-F756-52240EFFE3A6};c C:\ProgramData\Browse2save;fs {5C255C8A-E604-49b4-9D64-90988571CECB};c {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7};c C:\PROGRA~2\Funmoods;fs {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3};c C:\Users\Jip\AppData\Roaming\Betcat;fs {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF};c C:\Program Files (x86)\PokerStars;fs BrowserDefendert;s WebCake Desktop Updater;s C:\Windows\tasks\schedule!451760640.job;f [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000342E9-463A-E086-F756-52240EFFE3A6}];r64 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}];r64 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}];r64 {30F9B915-B755-4826-820B-08FBA6BD249D};c {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3};c [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run];r64 "WebCake Desktop"=-;r64 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows];r64 C:\Users\Jip\AppData\Roaming\Web Cake;fs C:\Program Files (x86)\WebCake;fs C:\ProgramData\BrowserDefender;fs startupall; filesrcm; Klik op de knop "Options" en vink nu de onderstaande opties aan. HijackThis Log Firefox Defaults Reset Chrome IE Defaults Auto Clean Klik nu op de knop "Run script". Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is). Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog. Post nu de inhoud van het geopende logje in het volgende bericht.

Weer vreemd. Wil je met zoek even het volgende doen dan: Dubbelklik op Zoek.exe om de tool te starten. Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren. Kopieer nu onderstaande code en plak die in het grote invulvenster: Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem. C:\users\Mark\AppData\Roaming;v Klik nu op de knop "Run script". Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is). Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog. Post het geopende logje in het volgende bericht.

Dit is wel heel erg vreemd verlopen. Wil je nu eens gewoon opzoeken (als dat lukt) of je deze map C:\users\Mark\AppData\Roaming\89339cf8 nog op de PC kan vinden ?

Het "beruchte" bestand is nu verwijderd, dat is al iets. Maar komt het nu ook weer terug na heropstarten ? En hoe staat het met de melding ?

Download ComboFix van één van de onderstaande locaties naar het bureaublad. Bleeping Computer Info Spyware Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met ComboFix.exe (hier of hier) kan je lezen hoe je de gebruikte beveiligingssoftware kunt uitschakelen. Dubbelklik op "ComboFix" om de tool te starten, Windows Vista, 7 & 8 gebruikers zullen een melding krijgen van UAC (Gebruikersaccountbeheer), klik hier op Ja / yes. Op een Windows XP computer zal ComboFix de "Recovery Console" installeren als deze nog niet aanwezig is. (Een actieve internet verbinding is dan een vereiste). Klik in het venster bij het 'Installeren van de Recovery Console' op "Ok". Klik in het info scherm op "Ja" als de Recovery Console met succes is geïnstalleerd. Klik in het scherm van de disclaimer op "I Agree", de benodigde onderdelen worden nu uitgepakt en middels ERUNT wordt er een register back-up gemaakt. Wanneer dit gereed is zal ComboFix vanzelf starten, in het blauwe scherm ziet u de voortgang van de systeemscan die wordt uitgevoerd. Belangrijk! gebruik de computer tijdens de scan niet voor andere zaken. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden zoals bijvoorbeeld bij de aanwezigheid van een rootkit, dit is normaal. Wanneer ComboFix gereed is, zal het een logbestand aanmaken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht. * Noot !!! Indien u één van de onderstaande meldingen krijgt na het gebruik van ComboFix herstart dan de computer. Er is geprobeerd een ongeldige bewerking uit te voeren op een registersleutel die is gemarkeerd voor verwijdering. Illegal operation attempted on a registry key that has been marked for deletion.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O4 - Global Startup: Empowering Technology Launcher.lnk = ? Klik op 'Fix checked' om de items te verwijderen. Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis. Download ComboFix van één van de onderstaande locaties naar het bureaublad. Bleeping Computer Info Spyware Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met ComboFix.exe (hier of hier) kan je lezen hoe je de gebruikte beveiligingssoftware kunt uitschakelen. Dubbelklik op "ComboFix" om de tool te starten, Windows Vista, 7 & 8 gebruikers zullen een melding krijgen van UAC (Gebruikersaccountbeheer), klik hier op Ja / yes. Op een Windows XP computer zal ComboFix de "Recovery Console" installeren als deze nog niet aanwezig is. (Een actieve internet verbinding is dan een vereiste). Klik in het venster bij het 'Installeren van de Recovery Console' op "Ok". Klik in het info scherm op "Ja" als de Recovery Console met succes is geïnstalleerd. Klik in het scherm van de disclaimer op "I Agree", de benodigde onderdelen worden nu uitgepakt en middels ERUNT wordt er een register back-up gemaakt. Wanneer dit gereed is zal ComboFix vanzelf starten, in het blauwe scherm ziet u de voortgang van de systeemscan die wordt uitgevoerd. Belangrijk! gebruik de computer tijdens de scan niet voor andere zaken. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden zoals bijvoorbeeld bij de aanwezigheid van een rootkit, dit is normaal. Wanneer ComboFix gereed is, zal het een logbestand aanmaken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht. * Noot !!! Indien u één van de onderstaande meldingen krijgt na het gebruik van ComboFix herstart dan de computer. Er is geprobeerd een ongeldige bewerking uit te voeren op een registersleutel die is gemarkeerd voor verwijdering. Illegal operation attempted on a registry key that has been marked for deletion.

Dubbelklik vervolgens op Zoek.exe om de tool te starten. Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren. Kopieer nu onderstaande code en plak die in het grote invulvenster: Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem. C:\users\Mark\AppData\Roaming\89339cf8;fs C:\users\Mark\AppData\Roaming\8902654c;fs C:\users\Mark\AppData\Roaming\1a5f65c0;fs C:\users\Mark\AppData\Roaming\1a0a8ed8;fs C:\users\Mark\AppData\Roaming\8a8c9940;fs C:\users\Mark\AppData\Roaming\8a66beac;fs C:\users\Mark\AppData\Roaming\8a376b98;fs C:\users\Mark\AppData\Roaming\8a0bbae8;fs C:\users\Mark\AppData\Roaming\1be5b464;fs C:\users\Mark\AppData\Roaming\1b907b64;fs C:\users\Mark\AppData\Roaming\5f31be4;fs C:\users\Mark\AppData\Roaming\5cad254;fs C:\users\Mark\AppData\Roaming\b6aa0e90;fs C:\users\Mark\AppData\Roaming\b652d020;fs C:\users\Mark\AppData\Roaming\39cdbb60;fs C:\users\Mark\AppData\Roaming\39a6d67c;fs C:\users\Mark\AppData\Roaming\397786b0;fs C:\users\Mark\AppData\Roaming\3949b19c;fs C:\users\Mark\AppData\Roaming\2c6036cc;fs C:\users\Mark\AppData\Roaming\2c09b02c;fs C:\users\Mark\AppData\Roaming\a33a376b;fs C:\users\Mark\AppData\Roaming\a30df7dc;fs C:\users\Mark\AppData\Roaming\19dc807c;fs C:\users\Mark\AppData\Roaming\198799fc;fs C:\users\Mark\AppData\Roaming\db31f6d8;fs C:\users\Mark\AppData\Roaming\db039527;fs C:\users\Mark\AppData\Roaming\dac9ebc4;fs C:\users\Mark\AppData\Roaming\da95abde;fs C:\users\Mark\AppData\Roaming\5b84b7f4;fs C:\users\Mark\AppData\Roaming\5b30d53c;fs C:\users\Mark\AppData\Roaming\f0cec439;fs C:\users\Mark\AppData\Roaming\f0a66db2;fs C:\users\Mark\AppData\Roaming\82a7fb50;fs C:\users\Mark\AppData\Roaming\82539dd8;fs C:\users\Mark\AppData\Roaming\da5bd4;fs C:\users\Mark\AppData\Roaming\a861f0;fs C:\users\Mark\AppData\Roaming\2bcab6c;fs C:\users\Mark\AppData\Roaming\292a4d4;fs C:\users\Mark\AppData\Roaming\23cfe6c;fs C:\users\Mark\AppData\Roaming\213343c;fs C:\users\Mark\AppData\Roaming\1be1358;fs C:\users\Mark\AppData\Roaming\19457e4;fs C:\users\Mark\AppData\Roaming\13b2dac;fs C:\users\Mark\AppData\Roaming\10eb410;fs C:\users\Mark\AppData\Roaming\b4b1aa98;fs C:\users\Mark\AppData\Roaming\b45b99c0;fs C:\users\Mark\AppData\Roaming\7c4f4e4d;fs C:\users\Mark\AppData\Roaming\7c26a79f;fs C:\users\Mark\AppData\Roaming\15e6eb0c;fs C:\users\Mark\AppData\Roaming\15bb74f4;fs C:\users\Mark\AppData\Roaming\b5d87648;fs C:\users\Mark\AppData\Roaming\b5aeb96c;fs C:\users\Mark\AppData\Roaming\b552dffc;fs C:\users\Mark\AppData\Roaming\b52933e8;fs C:\users\Mark\AppData\Roaming\b4cc4150;fs C:\users\Mark\AppData\Roaming\b4a23fb0;fs C:\users\Mark\AppData\Roaming\b4430e48;fs C:\users\Mark\AppData\Roaming\b4194d90;fs C:\users\Mark\AppData\Roaming\b3e56270;fs C:\users\Mark\AppData\Roaming\b3b40972;fs C:\users\Mark\AppData\Roaming\b37110d4;fs C:\users\Mark\AppData\Roaming\b31b1154;fs C:\users\Mark\AppData\Roaming\f6902920;fs C:\users\Mark\AppData\Roaming\f66605dc;fs C:\users\Mark\AppData\Roaming\4c6a24d4;fs C:\users\Mark\AppData\Roaming\4c143d9c;fs C:\users\Mark\AppData\Roaming\d70f326c;fs C:\users\Mark\AppData\Roaming\d6e925e8;fs C:\users\Mark\AppData\Roaming\d697ffdc;fs C:\users\Mark\AppData\Roaming\d672375c;fs C:\users\Mark\AppData\Roaming\d6405edc;fs C:\users\Mark\AppData\Roaming\d61136b8;fs C:\users\Mark\AppData\Roaming\8463ab88;fs C:\users\Mark\AppData\Roaming\840f1da8;fs C:\users\Mark\AppData\Roaming\c3d75c00;fs C:\users\Mark\AppData\Roaming\c3aa566c;fs C:\users\Mark\AppData\Roaming\bbece8e4;fs C:\users\Mark\AppData\Roaming\bb97ab6c;fs C:\users\Mark\AppData\Roaming\f5bf152e;fs C:\users\Mark\AppData\Roaming\f598ea72;fs C:\users\Mark\AppData\Roaming\f5696426;fs C:\users\Mark\AppData\Roaming\f5432412;fs C:\users\Mark\AppData\Roaming\f5125e8a;fs C:\users\Mark\AppData\Roaming\f4e422e6;fs C:\users\Mark\AppData\Roaming\bdd4ec9c;fs C:\users\Mark\AppData\Roaming\bd7e57bc;fs C:\users\Mark\AppData\Roaming\789dc6a5;fs C:\users\Mark\AppData\Roaming\7871aed8;fs C:\users\Mark\AppData\Roaming\72ed3df8;fs C:\users\Mark\AppData\Roaming\7290afe0;fs C:\users\Mark\AppData\Roaming\3c549718;fs C:\users\Mark\AppData\Roaming\3c28a66c;fs C:\users\Mark\AppData\Roaming\3bc35b68;fs C:\users\Mark\AppData\Roaming\3b8d2f40;fs C:\users\Mark\AppData\Roaming\4b135a20;fs C:\users\Mark\AppData\Roaming\4ac424e0;fs C:\users\Mark\AppData\Roaming\fabe30be;fs C:\users\Mark\AppData\Roaming\fa7c8a11;fs C:\users\Mark\AppData\Roaming\fa4775d3;fs C:\users\Mark\AppData\Roaming\f817e679;fs C:\users\Mark\AppData\Roaming\f7dfe508;fs C:\users\Mark\AppData\Roaming\f6e74461;fs C:\users\Mark\AppData\Roaming\f635fe36;fs C:\users\Mark\AppData\Roaming\f5fb9750;fs C:\users\Mark\AppData\Roaming\e1ccedb0;fs C:\users\Mark\AppData\Roaming\e16dac28;fs C:\users\Mark\AppData\Roaming\e0f2a438;fs C:\users\Mark\AppData\Roaming\ddd62838;fs C:\users\Mark\AppData\Roaming\caca4390;fs C:\users\Mark\AppData\Roaming\c8782168;fs C:\users\Mark\AppData\Roaming\9355587b;fs C:\users\Mark\AppData\Roaming\896b6355;fs C:\users\Mark\AppData\Roaming\cbcf3ef5;fs C:\users\Mark\AppData\Roaming\bca270b5;fs C:\users\Mark\AppData\Roaming\bc1d9435;fs C:\users\Mark\AppData\Roaming\bbcda825;fs C:\users\Mark\AppData\Roaming\bb7a5fe5;fs C:\users\Mark\AppData\Roaming\b15b18fd;fs C:\users\Mark\AppData\Roaming\aba4cd83;fs C:\users\Mark\AppData\Roaming\ab4c03b3;fs C:\users\Mark\AppData\Roaming\95eeaf46;fs C:\users\Mark\AppData\Roaming\9596d0dd;fs C:\users\Mark\AppData\Roaming\86faaf4e;fs C:\users\Mark\AppData\Roaming\86a2750d;fs C:\users\Mark\AppData\Roaming\ec5624ad;fs C:\users\Mark\AppData\Roaming\487680bd;fs C:\Users\Mark\Downloads\spsetup122.exe;f C:\Users\Mark\AppData\Local\Temp\BRRTORRRUO.exe;f C:\Users\Mark\AppData\Local\Temp\OO.exe;f C:\Users\Mark\AppData\Local\Temp\NLMBTUPAOD.exe;f C:\Users\Mark\AppData\Local\Temp\RS.exe;f C:\Users\Mark\AppData\Local\Temp\Rar$EX00.685\RootkitRevealer.exe;f C:\Users\Mark\AppData\Local\Temp\tmp-yvy.xpi;f C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA};fs C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA};fs C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA};fs C:\Users\Public\Desktop\µTorrent.lnk;f C:\Users\Mark\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk;f C:\Users\Mark\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk;f Klik op de knop "Options" en vink nu de onderstaande opties aan. Firefox Look Chrome Look IE Defaults Auto Clean Klik nu op de knop "Run script". Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is). Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog. Post nu de inhoud van het geopende logje in het volgende bericht.

Indien er geen output is, betekent dit dat de fundamentele Windows-bestanden OK zijn. Dan gebeurt er ook verder niets. In het andere geval zou er een foutbericht zijn verschenen. Ga naar Start - Alle programma's - Bureauaccesoires. Zoek het icoon van het opdrachtprompt en klik er op met de rechter muisknop en kies dan in het lijstje voor “uitvoeren als administrator” om het opdrachtprompt te openen. Tik in: sc stop DefaultTabSearch en druk op Enter. Tik in: sc delete DefaultTabSearch en druk op Enter. Tik in exit en druk Enter. Als je op een van deze instructies een foutmelding krijgt, ga dan gewoon door met de volgende instructie. Download AdwCleaner by Xplode naar je bureaublad. Sluit alle openstaande vensters. Dubbelklik op AdwCleaner om hem te starten. Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren, Door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren. Klik vervolgens op Scan. Klik vervolgens op Clean als er items zijn gevonden. Klik bij Herstarten Noodzakelijk op OK Nadat de PC opnieuw is opgestart, opent meestal een logfile. Anders is het hier terug te vinden C:\AdwCleaner\AdwCleaner[R1].txt. Post aansluitend de inhoud van dit log in je volgende bericht.

Download Zoek.zip naar het bureaublad. Wanneer Internet Explorer of een andere browser of virusscanner melding geeft dat dit bestand onveilig zou zijn kun je negeren, dit is namelijk een onterechte waarschuwing. Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe (hier en hier) kan je lezen hoe je dat doet. Klik met de rechtermuisknop op Zoek.zip en klik op de optie "Alles uitpakken". Dubbelklik vervolgens op Zoek.exe om de tool te starten. Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren. Kopieer nu onderstaande code en plak die in het grote invulvenster: Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem. chromelook; firefoxlook; {50fafaf0-70a9-419d-a109-fa4b4ffd4e37};c {3bbd3c14-4c16-4989-8366-95bc9179779d};c {95B7759C-8C7F-4BF1-B163-73684A933233};c C:\Program Files (x86)\AVG Secure Search\15.5.0.2\AVG Secure Search_toolbar.dll;f {EE932B49-D5C0-4D19-A3DA-CE0849258DE6};c C:\Program Files (x86)\Common Files\DVDVideoSoft;fs {F274614C-63F8-47D5-A4D1-FBDDE494F8D1};c C:\Program Files\Web Assistant;fs {336D0C35-8A85-403a-B9D2-65C292C39087};c {8E9E3331-D360-4f87-8803-52DE43566502};c C:\Program Files (x86)\Mozilla Firefox\extensions\ffxtlbr@babylon.com;ff C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml;f C:\Program Files (x86)\Mozilla Firefox\searchplugins\Search_Results.xml;f C:\Users\Vicky\AppData\Roaming\Mozilla\Firefox\Profiles\4x8775zd.default\extensions\ffxtlbr@babylon.com;ff C:\Users\Vicky\AppData\Roaming\Mozilla\Firefox\Profiles\4x8775zd.default\searchplugins\askcom.xml;f C:\Users\Vicky\AppData\Roaming\Mozilla\Firefox\Profiles\4x8775zd.default\searchplugins\babylon.xml;f C:\Users\Vicky\AppData\Roaming\Mozilla\Firefox\Profiles\4x8775zd.default\searchplugins\delta.xml;f C:\Users\Vicky\AppData\Roaming\Mozilla\Firefox\Profiles\4x8775zd.default\searchplugins\Search_Results.xml;f [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}];r [-HKEY_LOCAL_MACHINE\SOFTWARE\wow6432node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}];r C:\ProgramData\BrowserDefender;fs C:\Users\Vicky\AppData\Roaming\BabSolution;fs startupall; filesrcm; Klik op de knop "Options" en vink nu de onderstaande opties aan. HijackThis Log Firefox Defaults Reset Chrome IE Defaults Auto Clean Klik nu op de knop "Run script". Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is). Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog. Post nu de inhoud van het geopende logje in het volgende bericht.

Download RSIT van de onderstaande locaties en sla deze op het bureaublad op. Hier staat een beschrijving hoe je kan kijken of je een 32- of 64-bitversie van Windows heeft. RSIT 32 bit (RSIT.exe) RSIT 64 bit (RSITx64.exe) Dubbelklik op RSIT.exe om de tool te starten. Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren. Vervolgens wordt de "Disclaimer of warranty" getoond, klik vervolgens op "Continue" Wanneer de tool gereed is wordt er een kladblok bestand genaamd "Log" geopend. Plaats de inhoud hiervan in het volgende bericht.

Dubbelklik op Zoek.exe om de tool te starten. Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren. Kopieer nu onderstaande code en plak die in het grote invulvenster: Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem. C:\Users\Marc\AppData\Local\Temp\-x0jkqc5.dll;f C:\Users\Marc\AppData\Local\Temp\ESGScanner.sys;f C:\Users\Marc\AppData\Local\Temp\SHSetup.exe;f C:\Users\Marc\AppData\Local\Temp\p43c66ui.dll;f C:\Users\Marc\AppData\Local\Temp\jz-fzajm.dll;f C:\Windows\SysWOW64\ybxjc.txt;f C:\Windows\Sysnative\Tasks\{CDBA77A4-CE8D-4123-B236-CBCBFC9DABA8};fs C:\rbtts.txt;f C:\tvkrw.txt;f C:\autoexec.bat;f C:\AdwCleaner[s3].txt;f C:\users\Marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qxjkxkfrd.exe;f Klik nu op de knop "Run script". Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is). Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog. Post het geopende logje in het volgende bericht.

Download en installeer Speccy. Speccy is er ook in Nederlandstalige versie, bij de installatie (of update) kan je de taal wijzigen van Engels naar Nederlands ... als je op het driehoekje klikt, krijg je een uitrolmenu waarin je Nederlands kan selecteren. Wanneer, tijdens het installeren van Speccy, de optie aangeboden wordt om Google Chrome of Google Toolbar "gratis" mee te installeren dien je de vinkjes weg te halen, tenzij dit een bewuste keuze is. Start nu het programma en er zal een overzicht gemaakt worden van je hardware. Als dit gereed is selecteer je bovenaan " Bestand - Publiceer Snapshot " en vervolgens bevestig je die keuze met " Ja ". In het venster dat nu opent krijg je een link te zien, kopieer nu die link en plak die in je volgende bericht. Zo krijgen we een gedetailleerd overzicht van je hardware. Meer info over deze procedure lees je HIER.

Je hebt nu een logje van HijackThis kunnen aanmaken (malwareproblemen zitten er niet echt in). Kan je misschien ook in het opdrachtvak de taak sfc/ scannow intikken en laten uitvoeren ?

Download Zoek.zip naar het bureaublad. Wanneer Internet Explorer of een andere browser of virusscanner melding geeft dat dit bestand onveilig zou zijn kun je negeren, dit is namelijk een onterechte waarschuwing. Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe (hier en hier) kan je lezen hoe je dat doet. Klik met de rechtermuisknop op Zoek.zip en klik op de optie "Alles uitpakken". Dubbelklik vervolgens op Zoek.exe om de tool te starten. Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren. Kopieer nu onderstaande code en plak die in het grote invulvenster: Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem. {87775fdb-6972-41f9-ae51-8326e38cb206};c {5C255C8A-E604-49b4-9D64-90988571CECB};c {EEE6C35C-6118-11DC-9C72-001320C79847};c C:\Users\Mark\AppData\Roaming\winupd\winup.exe;f {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA};c {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA};c {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA};c [-HKEY_LOCAL_MACHINE\SOFTWARE\wow6432node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}];r64 [-HKEY_LOCAL_MACHINE\SOFTWARE\wow6432node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}];r64 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run];r64 "HKCU"=-;r64 "AdobeBridge"=-;r64 startupall; filesrcm; Klik op de knop "Options" en vink nu de onderstaande opties aan. HijackThis Log Firefox Look Chrome Look Firefox Defaults Reset Chrome Shortcut Fix IE Defaults Auto Clean Klik nu op de knop "Run script". Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is). Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog. Post nu de inhoud van het geopende logje in het volgende bericht.

Download Zoek.zip naar het bureaublad. Wanneer Internet Explorer of een andere browser of virusscanner melding geeft dat dit bestand onveilig zou zijn kun je negeren, dit is namelijk een onterechte waarschuwing. Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe (hier en hier) kan je lezen hoe je dat doet. Klik met de rechtermuisknop op Zoek.zip en klik op de optie "Alles uitpakken". Dubbelklik vervolgens op Zoek.exe om de tool te starten. Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren. Kopieer nu onderstaande code en plak die in het grote invulvenster: Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem. chromelook; {87775fdb-6972-41f9-ae51-8326e38cb206};c {872b5b88-9db5-4310-bdd0-ac189557e5f5};c C:\Program Files (x86)\uTorrentBar_NL;fs C:\Program Files (x86)\DVDVideoSoftTB;fs DefaultTabSearch;s C:\Program Files (x86)\DefaultTab;fs [-HKEY_LOCAL_MACHINE\SOFTWARE\wow6432node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}];r64 [-HKEY_LOCAL_MACHINE\SOFTWARE\wow6432node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{87775fdb-6972-41f9-ae51-8326e38cb206}];r64 [-HKEY_LOCAL_MACHINE\SOFTWARE\wow6432node\Microsoft\Internet Explorer\Toolbar];r64 C:\Users\Benne\AppData\Roaming\DefaultTab;fs firefoxlook; startupall; filesrcm; Klik op de knop "Options" en vink nu de onderstaande opties aan. Chrome Look Firefox Defaults Reset Chrome IE Defaults Auto Clean Klik nu op de knop "Run script". Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is). Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog. Post nu de inhoud van het geopende logje in het volgende bericht.

Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem. Schakel alle antivirus- en antispywareprogramma's uit, want deze kunnen namelijk conflicteren met ComboFix. (hier of hier) kan je lezen hoe je de gebruikte beveiligingssoftware kunt uitschakelen. Open een nieuw leeg Kladblok scherm, kopieer en plak hierin de volgende code. Folder:: c:\program files\Common Files\DVDVideoSoft c:\program files\DVDVideoSoft C:\Expat Shield c:\program files\Expat Shield c:\program files\Conduit c:\program files\Expat_Shield c:\programdata\{CED89F1A-945F-46EC-B23C-5EAF6D2DB12A} Registry:: [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] [-HKEY_CLASSES_ROOT\clsid\{a060276a-53be-45ec-8ebe-b94b1e803179}] [-HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{3706EE7C-3CAD-445D-8A43-03EBC3B75908}] [-HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{a060276a-53be-45ec-8ebe-b94b1e803179}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] [-HKEY_CLASSES_ROOT\clsid\{a060276a-53be-45ec-8ebe-b94b1e803179}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] [-HKEY_CLASSES_ROOT\clsid\{a060276a-53be-45ec-8ebe-b94b1e803179}] Sla dit op op je Bureaublad als CFScript.txt Sleep CFScript.txt in ComboFix.exe zoals getoond in onderstaand voorbeeld: Nu zal ComboFix vanzelf worden gestart. Start opnieuw op als daarom gevraagd wordt, en post de inhoud van de Combofix.txt in je volgende antwoord.

Dit ziet er nu prima uit. Nog merkbare problemen ergens ? Anders kunnen we aan de opruiming beginnen.

Nu zijn we zowat aan het einde van het verhaal ... heeft de PC al een bevredigende snelheid nu ?

Download Zoek.zip naar het bureaublad. Wanneer Internet Explorer of een andere browser of virusscanner melding geeft dat dit bestand onveilig zou zijn kun je negeren, dit is namelijk een onterechte waarschuwing. Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe (hier en hier) kan je lezen hoe je dat doet. Klik met de rechtermuisknop op Zoek.zip en klik op de optie "Alles uitpakken". Dubbelklik vervolgens op Zoek.exe om de tool te starten. Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren. Kopieer nu onderstaande code en plak die in het grote invulvenster: Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem. chromelook; {87775fdb-6972-41f9-ae51-8326e38cb206};c C:\Users\Claude\AppData\Roaming\DVDVideoSoftIEHelpers:fs npggsvc;s firefoxlook; startupall; filesrcm; Klik op de knop "Options" en vink nu de onderstaande opties aan. HijackThis Log Firefox Defaults Reset Chrome IE Defaults Auto Clean Klik nu op de knop "Run script". Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is). Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog. Post nu de inhoud van het geopende logje in het volgende bericht.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file) O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis. Download MalwareBytes' Anti-Malware (website) en sla het op je bureaublad op. Zorg dat er na de installatie een vinkje is geplaatst bij: Update MalwareBytes' Anti-Malware Start MalwareBytes' Anti-Malware Je krijgt hier ook de keuze om de evaluatie versie van MBAM te gebruiken, indien je dit niet wilt vink dit dan uit. Klik daarna op "Voltooien". Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden. Zodra het programma gestart is, ga dan naar het tabblad "Instellingen". Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware". Ga daarna naar het tabblad "Scanner", kies hier voor "Snelle Scan". Druk vervolgens op "Scannen" om de scan te starten. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde". Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. Herstart de computer indien nodig en post hierna de log in het volgende bericht, samen met een nieuw logje van HijackThis.