kape

Gewoon laten staan dan. Is zo minimaal, neemt (bijna) geen ruimte in en doet niets mis.

Erg vreemd. Gaan we toch Windows eens checken : typ sfc /scannow in de zoekopdracht en laat deze de essentiële bestanden eens controleren.

Geen hack, dus ook geen gegevens gestolen van jou !

CCleaner is aangewezen om de restjes op te ruimen en voor Win 7 verwijder je de besmette herstelpunten zo : via Start -> Configuratiescherm -> Systeem -> Systeembeveiliging -> schakel nu systeemherstel uit door de gewenste schijf te selecteren en op "configureren" te klikken. Klik nu op "verwijderen" om alle herstelpunten te verwijderen. Klik op "Toepassen" en "OK". Herstart nu de PC. Als dat probleemloos verlopen is, mag je hieronder op "markeer als opgelost" tokkelen !

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Babylon Search R3 - URLSearchHook: (no name) - {47e161a0-f4ba-41dd-a17b-d2eb26ad6a02} - (no file) O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll O2 - BHO: (no name) - {47e161a0-f4ba-41dd-a17b-d2eb26ad6a02} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll O4 - Startup: msuu0.exe.lnk = C:\WINDOWS\system32\rundll32.exe Klik op 'Fix checked' om de items te verwijderen. Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

En krijg je nu de melding van FCCU nog ?

Download aswMBR.exe naar het bureaublad. Dubbelklik op "aswMBR.exe" om de tool te starten. Klik bij het volgende venster op "Nee" Klik op de knop "scan" Als de scan gereed is klikt u op de knop "save log" Plaats dit log bestand in het volgende bericht.

Steeds vaker werken Windows-gebruikers met 64 bit en het is fijn om te weten dat het uitstekende Malwarebytes Anti-Malware Free vanaf nu sneller scant op deze systemen. Lees meer … Bron: Clickx.be

Plaats even een nieuw logje van HijackThis ter controle voor Kweezie Wabbit !

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - {87775fdb-6972-41f9-ae51-8326e38cb206} - (no file) R3 - URLSearchHook: (no name) - {77f8c945-4b74-4bd6-a073-e0d1997edce8} - (no file) O4 - Startup: msuu0.exe.lnk = C:\Windows\System32\rundll32.exe O4 - Global Startup: Bluetooth.lnk = ? Klik op 'Fix checked' om de items te verwijderen. Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis. Download MBAM (Malwarebytes Anti-Malware) Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook. MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen. Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

We zullen eerst eens nagaan of malware of virussen de oorzaak zijn van je probleem. 1. Download HijackThis. (klik er op) Klik op HijackThis.msi en de download start automatisch na 5 seconden. Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren". Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. Als je geen netwerkverbinding meer hebt, kan je de download doen met een andere pc en het bestand met een usb stick overbrengen Als je enkel nog in veilige modus kan werken, moet je de executable (HijackThis.exe) downloaden. Sla deze op in een nieuwe map op de C schijf (bvb C:\hijackthis) en start hijackthis dan vanaf deze map. De logjes kan je dan ook in die map terugvinden. 2. Klik op de snelkoppeling om HijackThis te starten. (lees eerst de rode tekst hieronder!) Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog". Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets. Krijg je een melding ""For some reason your system denied writing to the Host file ....", klik dan gewoon door op de OK-toets. Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis. (Bekijk hier de afbeelding ---> Klik hier) 3. Na het plaatsen van je logje wordt dit door een expert (Kape of Kweezie Wabbit) nagekeken en begeleidt hij jou verder door het ganse proces. Tip! Wil je in woord en beeld weten hoe je een logje met HijackThis maakt en plaatst op het forum, klik dan HIER.

Maak dan eens een nieuw logje met HijackThis.

Het puntje achter Localhost was gewoon het puntje van het einde van de zin, dus niet van de tekst die je in de HOSTS moest zetten Nu de standaard-localhost aanwezig is, mag je die nieuwe (met puntje) verwijderen. Kijk nadat je deze verwijderd hebt, eens opnieuw via kladblok of verwijderen gelukt is. En herhaal dit dan ook voor de andere items eronder, want ook die blijken inderdaad nu manueel nog niet verwijderd te zijn. Voer alles eens uit in "veilige modus", zonder netwerkverbinding. En kijk ook daarna weer via kladblok of die hele trits ongewenste items wél uit de HOSTS verdwenen zijn ?

Vermits beide Hosts-programma's blijkbaar niet werken, moeten we het anders aanpakken. Probeer eerst of je in het .txt-bestand en MSN-bestand alle items uit O1 kan verwijderen en zet het volgende in de plaats 127.0.0.1 Localhost. Indien gelukt, plaats je het .txt-bestand terug op zijn oude locatie ... en dan maar weer een logje met HijackThis maken.

Dus in het MSN-bestand zitten ook alle gegevens van de 01-lijnen ? Bijkomend vraagje : zit je .txt-bestand nog in je Prullenbak nà verwijderen ?

Eerst een vraagje : is dit een bedrijfs-PC ? Want er zitten wel een aantal aanduidingen in die richting in. En dan is het belangrijk om weten vóór we belangrijke (maar voor ons onbekende) gegevens zouden aanpakken ?

TDSSKiller en Emsisoft Emergency Kit mag je verwijderen. De malwaremogelijkheden zijn nu zo'n beetje uitgeput. Probleem is dat er bij het downloaden van keygens en ander onduidelijk spul, wel wat problemen op de PC zijn verschenen. De massa ervan is opgelost, maar er kunnen nog altijd kleine restjes overgebleven zijn. Je kan nog eens defragmenteren en CCleaner laten cleanen ... en dat zou het dan zowat moeten zijn.

Het lijkt me dat je Firefox als browser gebruikt. Ga dan even via Extra -> AddOns -> Plugins -> en bekijk daar de verschillende plugins even. Verwijder daar alle onbekende plugins ... en dan zou je probleem nu opgelost moeten zijn.

Dit gedeelte lijkt niet uitgevoerd of niet gelukt te zijn ? Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop "Application Updater" Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete"Application Updater" Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop "Boonty Games" Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete "Boonty Games" Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop BOONTY Druk op Enter. Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete BOONTY Druk op Enter. Wil je dat nog eens herhalen, maar doe het nu meteen in "veilige modus". Hang daarna een nieuw logje van HijackThis in een volgend bericht. P.S. : is inmiddels de Text Enhance al verdwenen ?

Problemen van de baan, dan is het tijd voor de “grote schoonmaak” : verwijderen van gebruikte programma’s, een cleaning en het verwijderen van de besmette herstelpunten. Verwijder manueel TDSSKiller en Unhide. Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht en typ: ComboFix /Uninstall Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Indien aanwezig mag je de map C:\Qoobox manueel verwijderen. Download CCleaner. Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen.

OK, dan kijken we morgen verder ... is al laat genoeg vandaag

En hoe is de toestand van de PC nu ?

Verwijder dan het .txt-bestand en kies dan opnieuw voor die MVPS Hosts (eerder gemeld) om uit te voeren.

OK ... dan gaan we de goede richting uit. Typ nu in je zoekvak onderaan de opdracht regedit. Daarmee ga je naar het register van de PC. Speur daar via "zoeken" naar het bestand msaefe.axe. Indien gevonden, open je het mapje in de linkerkolom door rechtsklikken en wijzig je Permissions-Machtigingen -> Special/Speciale Machtigingen -> Full Control/Volledig Beheer. Als dat gebeurd is, kan je de sleutel met het bestand in de rechterkolom gewoon verwijderen. Start dan de PC opnieuw op ... en dan zou de melding moeten verdwenen zijn.

Open het bestand met extensie .txt eens met kladblok. Bekijk dan of de items uit je HJT-log - alle O1-lijnen - daar in staan. Herhaal dit ook voor het bestand met extensie NEW en laat even weten wat het resultaat is ?