kape

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Brothersoft Toolbar - {e8de9422-3b2c-4243-bf6f-235da84d8ef8} - C:\Program Files (x86)\Brothersoft\prxtbBrot.dll O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Brothersoft - {e8de9422-3b2c-4243-bf6f-235da84d8ef8} - C:\Program Files (x86)\Brothersoft\prxtbBrot.dll O3 - Toolbar: Brothersoft Toolbar - {e8de9422-3b2c-4243-bf6f-235da84d8ef8} - C:\Program Files (x86)\Brothersoft\prxtbBrot.dll O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll O4 - Startup: ctfmon.lnk = C:\Windows\System32\rundll32.exe Klik op 'Fix checked' om de items te verwijderen. Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Met Mailnavigator zou je dit moeten kunnen openen. Dan kan je alvast eens controleren wat de inhoud is (normaal al je berichten uit Outlook).

Download CCleaner. Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten). In Windows 7 via Start -> Configuratiescherm -> Systeem & Beveiliging -> Systeem -> Systeembeveiliging -> schakel nu systeemherstel uit door de gewenste schijf te selecteren en op "configureren" te klikken. Klik nu op "verwijderen" om alle herstelpunten te verwijderen. Klik op "Toepassen" en "OK". Herstart nu de PC. Indien dit allemaal probleemloos verlopen is, mag je hieronder op "markeer als opgelost" tokkelen !

We zijn er bijna. Nog even dit : Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. DDS:: uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2504091 Firefox:: FF - ProfilePath - c:\users\Jeroen\AppData\Roaming\Mozilla\Firefox\Profiles\g5iovi43.default\ FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com FF - Ext: Softonic-Eng7 Community Toolbar: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - %profile%\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} Sla dit bestand op je bureaublad op als CFScript. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

Kijk eerst nog eens met "zoeken" of je een bestand outlook.pst op de PC kan vinden ?

Ziet er goed uit : heb je nu nog merkbare sporen van Live Security Platinum ?

OK, niet geldig en niet toegankelijk ... zou kunnen. Maar is ze ook niet meer aanwezig ? Overloop eens stap voor stap de root van deze map : te beginnen bij C:\ ga je gewoon manueel verder -> Documents en Settingd -> .... en zo tot -> Microsoft. En dan even zien of daarin de map Outlook nog aanwezig is. Mocht dit niet het geval zijn én je hebt de Office-software niet meer, dan lijkt het me een verloren zaak om nog sporen van je mailprogramma terug te kunnen vinden.

Heb je bij de muis geen CD-tje bijgeleverd gekregen ? Of was alles voorgeïnstalleerd ?

Een gokje : kijk eens of je deze map nog kan vinden : C:\Documents and Settings\Gebruikersnaam\Local Settings\Application Data\Microsoft\Outlook

Neem - voor de zekerheid - ook even die account 1 onder de loep. Normaal mag hij daar niet zitten, maar je weet maar nooit. En dan heb je absolute zekerheid dat de drie account allemaal verlost zijn van het probleembestandje.

Klopt ... de boosdoener zit er nu weer tussen, maar we zitten nu al in normale modus. Behandel hem dan in normale modus opnieuw zoals je eerder al hebt gedaan in "veilige modus" : fixen met HijackThis, dus. Maak voor jezelf een nieuw logje met HijackThis en kijk dan even of je "oude bekende" zich nog steeds in dit nieuwe logje ophoudt ?Zo ja, mag je het volgende doen : Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap. 2. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm. 3. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd. **Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware. 4. Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren. Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd: Klik op Ja om verder te gaan met het scannen naar malware. 5. Wanneer ComboFix klaar is, zal het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht. P.S. : krijg je overigens het scherm van het politievirus nog in normale modus ???

Zet dan de Avira Rescue CD eens in.

De meeste logjes zien er netjes uit, enkel bij je laatste van Malwarebytes blijkt dat je "geen actie ondernomen" zou hebben. Dat zou kunnen betekenen dat de gevonden items daar niet in verwijderd zijn. Wil je - voor de zekerheid - nog eens een nieuwe scan doen met Malwarebytes en - indien nog problemen aanwezig - daar nu wél kiezen voor "verwijderen". Hang dat logje ook even in een nieuw bericht. Voor warmte, schermen en apparaatbeheer kan je best dit eens doen : Download en installeer Speccy. Tijdens de installatie heb je nu de mogelijkheid om Nederlands als taal te selecteren. Start nu het programma en er zal een overzicht gemaakt worden van je hardware. Als dit gereed is selecteer je bovenaan " Bestand - Publiceer Snapshot " en vervolgens bevestig je die keuze met " Ja ". In het venster dat nu opent krijg je een link te zien, kopieer nu die link en plak die in je volgende bericht. Wil je in woord en beeld zien hoe je een logje van Speccy maakt en plaatst kun je dat Hier lezen. Ook Dit (KLIK) filmpje laat zien hoe je een Speccy-logje kan plakken in je antwoord. Na het plaatsen van je logje wordt dit door een expert nagekeken.

Onder de verwijderde items door Combofix (zie "Andere Verwijderingen" in het log), zit er geen eentje die verwijst naar programma's als Internet Explorer of ITunes. Het verdwijnen ervan is dus zeker niet het gevolg van dit tooltje. Je meldt nu dat alles weer prima verloopt. Betekent dat ook dat de snelheid weer OK is en de traagheid opgelost ?

Als het bewuste lijntje (na opstart en nieuwe scan met Hijackthis) uit je logje verdwenen is (en dat blijkt het geval te zijn), zou je er vanaf moeten zijn. Dan blijft er nog enkel het opruimen van de restjes van de besmetting over. Download CCleaner. Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten). In XP doe je dit via Start -> Configuratiescherm -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. Indien dit allemaal probleemloos verlopen is, mag je hieronder op "markeer als opgelost" tokkelen !

Geen idee ... maar je zou de muissoftware eens opnieuw kunnen installeren.

Na regedit kom je in het register. Bij Bewerken -> Zoeken krijg je het zoekveld. Daar breng je de naam van het bestand csbdmd.dll in ... en laat je speuren naar de aanwezigheid ervan in het register. Indien je een foutmelding daarover krijgt, zou dit moeten betekenen dat het minstens 1 keer in dit register voorkomt. Zoek het nog even uit ;-)

Heb je - bij wijze van test - al eens met een andere muis geprobeerd ? Zo zou je kunnen achterhalen of het mechanisch is (de muis) of eventueel softwarematig (de PC) ?

Dat is hem inderdaad Maar we nemen meteen ook nog wat andere ongewenste spullen uit je logje mee op in de opruiming. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [uIUCU] C:\DOCUME~1\Jimi\LOCALS~1\Temp\UIUCU.EXE -CLEAN_UP –S O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 –u O4 - HKLM\..\Run: [rtwomrencwagyba] C:\Documents and Settings\All Users\Application Data\rtwomren.exe O4 - Global Startup: Digital Line Detect.lnk = ? Klik op 'Fix checked' om de items te verwijderen. Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis. Zet dan nog even een nieuw logje van HijackThis ter controle in je volgende bericht.

Een "grote" lijst, zeg je ... komt dat bestand dan zoveel voor in je register ? Dat zou me sterk verbazen. Via de zoekfunctie zou het aanwezig zijn van csbdmd.dll toch beperkt moeten zijn tot 1 of slechts enkele keren, geen hele uitgebreide lijst ???

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop "Web Assistant Updater" Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete"Web Assistant Updater" Druk op Enter. Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://%20http//google.be/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/pivotstickfigure/{48B68C7E-955E-4420-A793-48207D959DC4 } R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Web Assistant Helper - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension32.dll O2 - BHO: (no name) - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - (no file) O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - (no file) O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - (no file) Klik op 'Fix checked' om de items te verwijderen. Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis. Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier 2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal. 3. Dubbelklik op "Combofix.exe" om de tool te starten. 4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen. Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer. 5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht, samen met een nieuw log van HijackThis.

Hierin is alvast geen enkele spoor van het politievirus te bespeuren. En dit lijkt bovendien het logje van een andere account of PC te zijn dan in het vorige geval. Kan dat ?

Dit is perfect gelukt nu (na de knappe handleiding van Asus) ! Hoe staat het momenteel met de gemelde problemen ?

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing) O16 - DPF: {15589FA1-C456-11CE-BF01-000000000000} - http://www.errornuker.com/products/e...rInstaller.exe O20 - Winlogon Notify: cbXNGaXP - cbXNGaXP.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis. Download ComboFix van één van deze locaties: Link 1 Link 2 * BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op 1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap. 2. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm. 3. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd. **Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware. 4. Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren. Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd: Klik op Ja om verder te gaan met het scannen naar malware. 5. Wanneer ComboFix klaar is, zal het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht. samen met een nieuw HijackThis log.

Vergeet niet de restjes van de besmetting op te ruimen : Download CCleaner. Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten). In Windows 7 via Start -> Configuratiescherm -> Systeem & Beveiliging -> Systeem -> Systeembeveiliging -> schakel nu systeemherstel uit door de gewenste schijf te selecteren en op "configureren" te klikken. Klik nu op "verwijderen" om alle herstelpunten te verwijderen. Klik op "Toepassen" en "OK". Herstart nu de PC.