Police crime

[kroesje]

Beste,

de laptop van een vriendin is vastgelopen, met de gekende melding van Police crime. Ik probeer het probleem voor haar op te lossen.

Wanneer er geen verbinding wordt gemaakt met internet, kan de computer nog normaal gebruikt worden. Ik heb een scan laten lopen met ESET smart security, maar de virusscan blijkt niet up-to-date. Er werden geen bedreigingen gevonden.

Een extra vraag: Bij het opstarten werd ook het programma "TNOD User password finder" automatisch opgestart (taakbalk). Omdat ik dacht dat dit een risico vormde, heb ik dat ondertussen verwijderd. Mijn vriendin zegt niet te weten dat ze dat heeft geïnstalleerd, al bleek het programma geïnstalleerd sinds mei 2011.

Hierbij de Hijacklog [ATTACH]21390[/ATTACH]

hijackthis.log

[kape]

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O4 - Startup: ctfmon.lnk = C:\ProgramData\lsass.exe

Klik op 'Fix checked' om de items te verwijderen.

Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis.

Download MBAM (Malwarebytes Anti-Malware)

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".

Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.

Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.

Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.

Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder).

Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook.

MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen.

Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

[kroesje]

Bedankt voor de snelle reactie!

Er waren wat onregelmatigheden (computer liep vast bij heropstarten en update kon eerst geen verbinding maken), dus ik hoop dat alles ok is.

hierbij de 2 logjes:

[ATTACH]21414[/ATTACH]

[ATTACH]21415[/ATTACH]

hijackthis.log

mbam-log-2012-09-23 (21-53-35).txt

[kape]

Op basis van de resultaten van beide logjes, zou je nu weer normaal moeten kunnen opstarten in normale modus, zonder het vervelende scherm van het politievirus. Is dat ook effectief zo ?

[kroesje]

De computer start inderdaad op zonder het scherm van het virus, maar niet alles blijkt in orde. Als er bij het opstarten verbinding is met internet, dan loopt de computer vast op een zwart scherm, of op het beeld van het bureaublad -met achtergrondafbeelding, maar zonder iconen om programma's of "deze computer" etc te openen. De taakbalk verschijnt eveneens, maar reageert niet. De muisfunctie werkt wel. De computer reageert niet op toetsenbordcombinaties zoals ctrl-alt-del of alt-F4. Ik kan hem enkel afsluiten door de startknop een aantal seconden ingedrukt te houden.

Als er geen internetverbinding is bij het opstarten, en die pas later wordt aangezet, werkt de computer wel normaal.

Enig idee wat dit probleem is en hoe het kan worden opgelost?

mvg

[kape]

Download ComboFix van één van deze locaties:

Link 1

Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op

1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:

Klik hier

2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal.

3. Dubbelklik op "Combofix.exe" om de tool te starten.

4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen.

Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer.

5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.