kape

Maak met HiJackThis eens een log, hang dat in je volgende bericht ... en we kijken eens welke opstarters er allemaal nutteloos meedraaien en welke je kan uitschakelen.

Ga naar de map van HiJackThis. Geef het bestand hijackthis.exe eens een andere naam bvb. scan.exe ... en probeer dan eens opnieuw.

Daar twijfelde ik niet echt aan, maar het is leuk om het te lezen. Kan je daar ook eens een screenshot van maken van wat je dan te zien krijgt ? Kunnen we eens kijken of daar iets uit af te leiden valt, want normaal is dat natuurlijk niet.

Proficiat :laugh: Het heeft je bloed, zweet en tranen gekost - want dit was wel een heel hardnekkig beestje - maar je hebt hem onder de knoet gekregen. Wat mij betreft is je PC terug clean. Nog eerst even de rommel opkuisen en dan mag je MSN terug aan boord. Problemen van de baan, dan is het tijd voor de “grote schoonmaak” : verwijderen van gebruikte programma’s, een cleaning en het verwijderen van de besmette herstelpunten. Verwijder Combofix: Start -> Uitvoeren en typ: combofix /u Combofix wordt verwijderd en een nieuw systeemherstelpunt wordt aangemaakt. Verwijder The Avenger - Malwarebytes - Killbox - KillAFile en SDFIx. Download CCleaner. Installeer het en start het op. Klik in de linkse kolom op “Opties”. Selecteer het tabblad ‘Geavanceerd’ en haal het vinkje weg voor “Verwijder alleen tijdelijke bestanden in de Windows systeemmap die ouder zijn dan 48 uur” en sluit hierna het programma. Start CCleaner op en klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Opschonen'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scannen voor fouten’. Als er fouten gevonden worden klik je op ”alle fouten herstellen” en ”OK”. Sluit hierna CCleaner terug af. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. - Ga naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel. - Klik in de linkerhelft van het venster op "Instellingen van systeemherstel". - Zet een vinkje voor "Systeemherstel uitschakelen". - Klik "Toepassen". - Windows vraagt of je dat zeker weet. - Klik "Ja". - Klik "OK". - Start de pc opnieuw op. - Ga weer naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel. - Je krijgt de melding: "Systeemherstel is uitgeschakeld. Wilt u systeemherstel nu inschakelen?" - Klik "Ja". - Verwijder het vinkje voor "Systeemherstel uitschakelen". - Klik "Toepassen". - Klik "OK". - Start de pc opnieuw op - Er is nu een nieuw herstelpunt aangemaakt. That’s it ! Oef ...... en nu even wat beter opletten als je nog eens zo'n leuk fotootje wordt aangeboden via MSN.

Het is duidelijk een ander product. De gratis versie Adobe Express wordt voorlopig enkel door Adobe HIER aangeboden in betaversie en is - in principe - momenteel enkel beschikbaar voor de Amerikaanse markt. Maar er is natuurlijk niemand die naar je identiteitskaart vraagt als je inlogt

Adobe heeft beslist om een - wat uitgeklede - versie van Photoshop gratis ter beschikking te stellen, om meer mensen kennis te laten maken met hun programma. Lees hier maar het artikel uit De Morgen. Het is dus volkomen legaal.

We halen nog een extra middeltje van stal. Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder) De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken.Daarna zal het vragen om de Computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Kopieer en plak de inhoud van het logje in je volgend bericht, samen met een nieuw HijackThis log.

Het derde lijntje, je kent het ondertussen al. Dat met ebquéé£'£'%' 'msn'è%'fix''.exe in. Enkel dat ene lijntje !!! En kijk dan eens opnieuw in HiJackThis naar die F2-lijn. Mocht ze er nog zijn, mag je ze weer eens proberen te fixen in HJT. Ik ben benieuwd.

Je hebt dus inderdaad een (lichte) besmetting aan je broek. Download Combofix en zet het op je Bureaublad. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {1A4C3DDC-29BD-40D2-92BA-A86DE036149F} - C:\WINDOWS\system32\cdosy.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O24 - Desktop Component 0: (no name) - about:Home Klik op 'Fix checked' om de items te verwijderen. Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen. NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan. Vraagje : laat even weten of dit een bekende website is voor jou ? O1 - Hosts: 64.182.102.212 Sythe.Org Forums - Powered by vBulletin Plaats het log van Combofix en een nieuw log van HJT in je volgend bericht.

Je mag de stap met CCleaner even vergeten. Begin maar meteen met het downloaden van HiJackThis - zoals Yannick al aanraadde - want Winreanimator is een "fake" beschermingsprogramma, dat je PC volpropt met spyware i.p.v. je er van te verlossen.

Dat ziet er erg netjes uit. Verwijder alleen het volgende vetgedrukte bestand met Windows Verkenner : C:\Windows\IFinst27.exe en dan wordt het afwachten of Bullguard in de toekomst nog wat te vertellen heeft. Ik neem aan van niet ... maar mocht het toch zo zijn, laat dan hier maar weer iets van je horen. Verwijder nog wel even het gebruikte programma Combofix van je PC. Verwijder Combofix: Start -> Uitvoeren en typ: combofix /u Combofix wordt verwijderd en een nieuw systeemherstelpunt wordt aangemaakt.

Dit zou de laatste stap moeten zijn, voor de “grote schoonmaak” kan beginnen. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) Klik op 'Fix checked' om de items te verwijderen. Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: C:\sqmnoopt05.sqm C:\sqmdata05.sqm C:\sqmnoopt04.sqm C:\sqmdata04.sqm C:\sqmnoopt03.sqm C:\sqmdata03.sqm C:\sqmnoopt02.sqm C:\sqmdata02.sqm C:\WINDOWS\system32\bdod.bin C:\sqmnoopt01.sqm C:\sqmdata01.sqm C:\sqmnoopt00.sqm C:\sqmdata00.sqm C:\Program Files\page.html Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

Dat log ziet er perfect uit. Dan moeten we even dieper gaan kijken. Download Combofix en zet het op je Bureaublad. Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen. NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan. Hang het log van Combofix aan je volgend bericht.

De uitleg van Bullguard - hoewel wel ontzettend snel toegekomen - lijkt me een normale procedure om toe te passen op deze besmette bestanden en dus betrouwbaar. Wil je toch nog even de kat uit de boom kijken - omdat je ergens aan twijfelt - maak dan eens een logje met HiJackThis. Dan kunnen we eens meekijken naar de oorzaken van de besmetting en (eventueel) een oplossing aanbieden.

In principe zijn SDFix en nog andere tooltjes die gebruikt worden bij het verwijderen van virussen en spyware geen progjes die je - zonder begeleiding - op regelmatige basis mag gebruiken. Het programma op zich is geen probleem, dat zal wel correct runnen, maar het is de interpretatie van de resultaten die essentieel is. En daar heb je toch wel wat ervaring voor nodig. Niets of niemand kan jou natuurlijk beletten om dit tooltje wél te gebruiken. Maar als ik je dan een goede raad mag geven : als je het toch doet, download dan steeds opnieuw de meest recente versie. Dergelijke tooltjes worden immers constant aangepast aan nieuwe besmettingen en voorzien van nieuwe controles, zodat een oude versie wel eens behoorlijk achterhaald kan zijn. Maar als je het mij vraagt : afblijven is de boodschap ! Zeker als er geen problemen zijn op je PC !

Zo wordt het verdomd handig voor mij, want dat is nu net wat ik je zou voorgesteld hebben om als volgende poging te wagen. Maar dan is dit inmiddels al gebeurd en met succes. Zal ik hier dan maar stoppen, de rest krijg je zelf ook wel opgelost Nee, ernstig nu. Die vermelding in die "Prefetch"-map mag je verwijderen (als dit lukt) via Windows Verkenner. Voor de definitieve "doodsteek" gaan we even in je "register" moeten werken. Heb geen idee of je daar al ervaring mee hebt, maar het is de enige uitweg die momenteel nog rest. Ga via Start -> Uitvoeren -> typ regedit en OK. Dan opent zich het register van je PC. Maak - voor alle veiligheid - een backup van dit register via Bestand -> Exporteren. Dan ga je op zoek naar de plaats waar die rare bestandsnaam te vinden is : waarschijnlijk is dit ergens als : HKLM\System\ControlSet001\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List. Mocht je deze root niet vinden op je PC dan moet je met een zoekactie de juiste plaats in je register opsnorren. Zoek dan bvb. naar "Firewallpolicy". Op die plek zou je dat rare bestand ebquéé£'£'%' 'msn'è%'fix''.exe moeten terugvinden. De sleutel waarin dit staat mag je dan verwijderen. De boel sluiten, je PC terug opstarten ... en dan lees ik het wel.

Dit is het laatste wat je nog zou moeten doen om de boel op orde te brengen. Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File: C:\WINDOWS\system32\tmp.reg Folder:: C:\Program Files\Malwarebytes' Anti-Malware C:\Documents and Settings\Paul\Application Data\Malwarebytes C:\Documents and Settings\All Users\Application Data\Malwarebytes Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\My Web Search Bar Search Scope Monitor] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MyWebSearch Email Plugin] Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart – ter controle – een nieuw log van Combofix. Wat ik hiermee bedoel is het verwijderen van alle programma's die we tijdens heel deze operatie "verwijder virus & spyware" hebben gebruikt, een grondige cleaning (met inbegrip van je register) en het verwijderen van de besmette herstelpunten, zodat je deze niet meer kan terugzetten. Je kan natuurlijk ook nog verder gaan door wat spywarescanners en wat on-line virusscanners te laten bollen. Na je volgende bericht - het laatste log van Combofix - zal ik je de "menukaart" wel even aanbieden. Daar kan je van op aan Neen, dit is puur vrijwilligerswerk ... of je kan het beter een uit de hand gelopen "hobby" noemen. Dat geldt trouwens ook voor alle andere "medewerkers" op dit forum, ieder met zijn of haar specialiteit. Maar het is ook een beetje een uitdaging om die besmette PC uit de handen van de PC-boer te houden (met alle respect voor de "goede" specialisten), die toch maar zou kiezen voor het formatteren van de PC (met een aangepaste factuur en vaak het verlies van toch wel wat gegevens op de PC) in jouw geval.

Neen, niet opnieuw beginnen, want dit ziet er al prima uit. Verwijder nu die overblijvende Messenger nog - je weet nooit of daar nog een besmetting op zit - en maak een logje met Combofix. Download Combofix en zet het op je Bureaublad. Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen. NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan. En hang dan het log van Combofix en een nieuw log van HJT aan je volgende bericht.

Om dit te unzippen moet je beschikken over een programma als Winzip, waarmee je alle bestanden uit de zip-file kan omzetten.

Verwijder MSN (en alle andere Messengers). Download SDFix en klik op "uitvoeren". Versie 1.40 en hoger zal de uitgepakte SDFix map automatisch naar je systeemdrive verplaatsen (waarschijnlijk: C:\SDFix). Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: F2 - REGystem.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUM E~1\Maxime\LOCALS~1\Temp\services.exe O2 - BHO: (no name) - {47649891-2355-73FA-0215-2800C9C9DF9E} - C:\WINDOWS\system32\eeejc.dll (file missing) O4 - HKLM\..\Run: [Flash Media] C:\DOCUME~1\Maxime\LOCALS~1\Temp\services.exe O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1423.exe 61A847B5BBF7281336993B466188719AB689201522886B092C BD44BD8689220221DD3257 O4 - HKCU\..\Run: [Hepc] "C:\DOCUME~1\Maxime\MIJNDO~1\SEMBLY~1\taskmgr. exe" -vt yazb O4 - Global Startup: Acer Empowering Technology.lnk = ? O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) Klik op 'Fix checked' om de items te verwijderen. Verwijder volgende vetgedrukte bestanden met Windows Verkenner. C:\WINDOWS\17PHolmes1423.exe C:\WINDOWS\mrofinu1423.exe Herstart je PC in veilige modus. Open de SDFix map en dubbelklik op RunThis.bat om het tooltje te starten. Typ Y om het schoonmaakproces te starten. Er zullen Trojan Services en/of Registry Entries worden verwijderd als ze worden gevonden en je zult een toets voor herstart moeten indrukken. De computer zal dan herstarten (dit duurt langer dan gewoonlijk). Wanneer de pc herstart zal het tooltje opnieuw runnen en het verwijderingsproces vervolgen, tot de melding Finished getoond wordt. Druk dan op eender welke toets om het script te beëindigen en je bureaubladiconen weer te laden. Wanneer je bureaubladiconen verschijnen zal het rapportje van SDFix openen. Dit zal dan ook te vinden zijn in de SDFix map als Report.txt. Kopieer en plak nu de inhoud van dat rapportje met een nieuw HJT-log. in je volgende bericht.

Shit ... sorry :s Andere poging : Download The Avenger en plaats het op je bureaublad: Unzip het. Start het programma door op avenger.exe te klikken. In het venster "Input Script here", plak je het volgende (vetgedrukte): Files to delete: C:\Documents and Settings\beheerder\LocalSettings\Temp\ebquéé£'£'%''msn'è%'fix''.exe Klik daarna op de knop "Execute". Avenger zal aangeven dat de computer gaat herstarten, sta dit toe. Na nieuwe opstart opent een logfile (avenger.txt). Post de inhoud van de logfile.

Op grond van je laatste HJT-log zou je inderdaad moeten vaststellen dat die pop-ups e.d. voorgoed van de baan zijn. Het logje van Combofix - dat ik je in mijn vorig bericht nog vroeg - zou daar uitsluitsel over kunnen geven. Of die "mood swings" softwarematig zijn of (eventueel) een hardwareprobleem, zou ik niet kunnen vertellen. Ik heb absoluut geen idee wat daar dan de oorzaak van kan zijn. Zonder die Windows-CD kan ook die herstelling niet uitgetest worden ... dus zitten we een beetje aan het einde van ons Latijn. In principe lijkt me MSN er terug op te kunnen, maar daarvoor zou ik nog eerst eens een "grote schoonmaak" houden op de PC. Maar die beslissing laat ik aan jou over. Mijn ideeënbus is leeg.

Volgende poging : Kopieer onderstaande vetgedrukte tekst in een kladblok. REGEDIT4 [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List] "C:\\DOCUME~1\\BEHEER~1\\LOCALS~1\\Temp\\ebquéé£'£ '%''msn'è%'fix''.exe"= Klik op Bestand -> Opslaan als... Opslaan als type: Alle bestanden Sla het bestand op het bureaublad als fix.reg Sluit kladblok en dubbelklik op fix.reg Klik JA om de wijziging in het register toe te voegen. Laat dan opnieuw HJT scannen en kijk eens of die F2-lijn nog in het log staat : F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUM E~1\BEHEER~1\LOCALS~1\Temp\ebquéé£'£'%''msn'è%'fix ''.exe Ik lees het wel.

Kan je mij de volledige naam eens geven zoals jij hem op je PC terugvindt ? En een nieuw logje van HJT ?

Dit is het uitgebreide verhaal : - Ga naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel. - Klik in de linkerhelft van het venster op "Instellingen van systeemherstel". - Zet een vinkje voor "Systeemherstel uitschakelen". - Klik "Toepassen". - Windows vraagt of je dat zeker weet. - Klik "Ja". - Klik "OK". - Start de pc opnieuw op. - Ga weer naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel. - Je krijgt de melding: "Systeemherstel is uitgeschakeld. Wilt u systeemherstel nu inschakelen?" - Klik "Ja". - Verwijder het vinkje voor "Systeemherstel uitschakelen". - Klik "Toepassen". - Klik "OK". - Start de pc opnieuw op - Er is nu een nieuw herstelpunt aangemaakt.