kape

Ga naar de plaats waar SmartBridge staat opgeslagen (bvb. C:\Program Files\...\Smartbridge\...). Zoek PSAPI.dll en geef dit een andere naam bvb. PSAPIold.dll. Herstart je systeem. Laat dan eens weten of je probleem daarmee opgelost is ?

Als ik jou was zou ik nu nog even alle oude herstelpunten verwijderen en een neiuw herstelpunt aanmaken met systeemherstel. Zo heb je een brandschone situatie om op terug te vallen. En ik zou ook nog even een cleaning doen. Mijn aanbevolen programma is CCleaner, maar ook anderen mag je gebruiken. Kies je voor CCleaner doe dan even dit : Download CCleaner. Installeer het en start het op. Klik in de linkse kolom op “Opties”. Selecteer het tabblad ‘Geavanceerd’ en haal het vinkje weg voor “Verwijder alleen tijdelijke bestanden in de Windows systeemmap die ouder zijn dan 48 uur” en sluit hierna het programma. Start CCleaner op en klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Opschonen'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scannen voor fouten’. Als er fouten gevonden worden klik je op ”alle fouten herstellen” en ”OK”. Sluit hierna CCleaner terug af. Graag gedaan ... het was leuk werken met jou. En winnen van de PC geeft altijd een pak voldoening :laugh:

We komen steeds korter bij de eindmeet, maar er is 1 (erg vreemd) bestand dat moeilijk blijft doen en dat verwijderd zou moeten kunnen worden. Kijk eens of je manueel dit kan terugvinden en verwijderen via Windows Verkenner : C:\\DOCUME~1\\BEHEER~1\\LOCALS~1\\Temp\\ebqué é£'£ '%''msn'è%'fix''.exe Lukt dit niet dan moet je volgende zaken eens proberen : Download en unzip Killbox naar je bureaublad. In het veld "Full Path of File to Delete" kopieer en plak je bovenstaand bestand. Klik op de knop: Delete on Reboot Klik op de knop: single file Klik daarna op de rode cirkel met het wit kruisje erin. Killbox zal zeggen dat deze file zal verwijderd worden on reboot.. vraagt om nu te rebooten. Klik YES. Je pc zal nu herstarten. Is het bestand verwijderd, dan is het OK en maak je opnieuw een log van HJT. Is het nog niet weg, dan porbeer je met het volgende : Download KillAFile Dubbelklik op KillAFile.exe en installeer dit op je bureaublad. Er wordt een map gemaakt KillAFile. Open deze map en dubbelklik op kill.bat Kies in het menu voor “Delete a file on reboot”. Geef het volledige pad en de bestandsnaam in van het bestand dat moet worden verwijderd. Indien het bestand bestaat krijg je een melding om alle open vensters te sluiten en zodat de computer kan rebooten. Druk op een toets om verder te gaan en dan zal de computer herstarten. En ook daarna een nieuw log van HJT als het mocht gelukt zijn.

Alles wat je daarvan terugvindt mag weg.

Logje ziet er redelijk uit. Heb je eigenlijk ergens een probleem ? Want als dat zo is, moeten we wat dieper gaan kijken. Dit mag je zeker even uitvoeren : Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: (no name) - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - (no file) O4 - HKCU\..\Run: [ThePrivacyGuard] "C:\Program Files\The Privacy Guard\ThePrivacyGuard.exe" /startup Klik op 'Fix checked' om de items te verwijderen.

Programma Combofix verwijderen van je bureaublad, de map C:/QooBOX deleten en inderdaad via Systeemherstel een nieuw herstelpunt aanmaken. Het is gewaagd om een dergelijke uitspraak te doen : maar ik ben er vrij zeker van dat het ook bij een tweede beurt nog zo zal zijn Hou me op de hoogte.

Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: F2 - REGystem.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUM E~1\BEHEER~1\LOCALS~1\Temp\ebquéé£'£'%''msn'è%'fix ''.exe O2 - BHO: testCPV6 - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Program Files\CPV\CPV7.dll Klik op 'Fix checked' om de items te verwijderen. Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: C:\WINDOWS\system32\kshsxl.exe C:\sqmnoopt05.sqm C:\sqmdata04.sqm C:\sqmnoopt04.sqm C:\sqmdata03.sqm C:\sqmnoopt03.sqm C:\sqmdata02.sqm C:\sqmnoopt02.sqm C:\sqmdata01.sqm Folder:: C:\Program Files\CPV C:\WINDOWS\ERUNT\SDFIX Registry:: [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15421B84-3488-49A7-AD18-CBF84A3EFAF6}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run] "Flash Media"=- [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List] "C:\\DOCUME~1\\BEHEER~1\\LOCALS~1\\Temp\\ebquéé£'£ '%''msn'è%'fix''.exe"=- Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende antwoord samen met een nieuw logje van HijackThis. Zeker, maar dat kan pas als alles weer netjes is. Dat is nu eenmaal het "trieste lot" na even een "link linkje" aan te klikken :s

OK, dan laten we dat logje maar zo. Je hebt ondertussen al lang genoeg zonder foutmelding gewerkt om aan te mogen nemen dat je problemen definitief opgelost zijn. Problemen van de baan, dan is het tijd voor de “grote schoonmaak” : verwijderen van gebruikte programma’s, een cleaning en het verwijderen van de besmette herstelpunten. En je JAVA kan een update gebruiken. Verwijder Combofix: Start -> Uitvoeren en typ: combofix /u Combofix wordt verwijderd en een nieuw systeemherstelpunt wordt aangemaakt. Verwijder Smitfraud van je bureaublad. Download CCleaner. Installeer het en start het op. Klik in de linkse kolom op “Opties”. Selecteer het tabblad ‘Geavanceerd’ en haal het vinkje weg voor “Verwijder alleen tijdelijke bestanden in de Windows systeemmap die ouder zijn dan 48 uur” en sluit hierna het programma. Start CCleaner op en klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Opschonen'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scannen voor fouten’. Als er fouten gevonden worden klik je op ”alle fouten herstellen” en ”OK”. Sluit hierna CCleaner terug af. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. - Ga naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel. - Klik in de linkerhelft van het venster op "Instellingen van systeemherstel". - Zet een vinkje voor "Systeemherstel uitschakelen". - Klik "Toepassen". - Windows vraagt of je dat zeker weet. - Klik "Ja". - Klik "OK". - Start de pc opnieuw op. - Ga weer naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel. - Je krijgt de melding: "Systeemherstel is uitgeschakeld. Wilt u systeemherstel nu inschakelen?" - Klik "Ja". - Verwijder het vinkje voor "Systeemherstel uitschakelen". - Klik "Toepassen". - Klik "OK". - Start de pc opnieuw op - Er is nu een nieuw herstelpunt aangemaakt. Je Java software is verouderd. Oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem. Doe eerst deze stappen om Java te de-installeren en de nieuwere versie te installeren. Download Java Runtime Environment (JRE) 6u5. Scroll omlaag naar : "Java Runtime Environment (JRE) 6u5". Klik op de "Download" knop aan de rechterkant. In het uitklapmenu rechts naast Platform, selecteer “Windows”. Vink aan: "I agree to the Java SE Runtime Environment 6 License Agreement", en klik op “Continue”. De pagina zal herladen. Klik op de jre-6u5-windows-i586-p.exe link ONDER Windows Offline Installation en bewaar het naar je Bureaublad. Sluit alle programma's die eventueel open zijn, zeker je webbrowser. Ga dan naar Start -> Configuratiescherm -> Software en verwijder alle oudere versies van Java uit de Softwarelijst. Vink alles aan met Java Runtime Environment (JRE of J2SE) in de naam. Klik dan op “Verwijderen” of op de “Wijzig/Verwijder” knop. Herhaal dit tot alle oudere versies verdwenen zijn. Na het verwijderen van alle oudere versies, herstart je pc. Dubbelklik vervolgens op jre-6u5-windows-i586-p.exe op je Bureaublad om de nieuwste versie van Java te installeren. That’s it !

Dat ziet er geslaagd uit. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: O2 - BHO: (no name) - {2B0B59B4-55A3-4737-9FD5-B93C6430BF75} - (no file) Klik op 'Fix checked' om de items te verwijderen. Verwijder Combofix: Start -> Uitvoeren en typ: combofix /u Combofix wordt verwijderd en een nieuw systeemherstelpunt wordt aangemaakt. Verwijder nu alle items (ook die Virtumonde) in Spybot. En laat deze eens opnieuw scannen. Net als een nieuwe scan met Panda Active Scan. En dan ben ook ik benieuwd wat die te vertellen hebben ?

De volgende stap maar weer. . Leeg de Cache and Cookies in IE: Sluit Internet Explorer. Ga naar Configuratiescherm > Internet Opties > tab Algemeen Klik de Cookies verwijderen knop Klik op de Bestanden verwijderen knop ernaast Vink aan: Ook alle off line items verwijderen, klik OK * Leeg andere Temporary files + Prullenbak Ga naar Start > Uitvoeren en typ: cleanmgr en klik ok. Laat het je systeem scannen op bestanden die moeten verwijderd worden Zorg er wel voor dat je daar enkel maar 'tijdelijke bestanden', 'tijdelijke internetbestanden' en 'prullenbak' staan aangevinkt. Klik daarna op OK. Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: C:\WINDOWS\system32\kisowfjv.dll C:\WINDOWS\msn.com C:\Documents and Settings\Bartus De Ridder\Application Data\wklnhst.dat Folder:: C:\VundoFix Backups C:\Temp\QRemove Rzgistry:: [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{21a91937-2a27-482e-bdb5-83ccc9966f5d}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2B0B59B4-55A3-4737-9FD5-B93C6430BF75}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3B378B14-B9A2-4B99-BE09-3FE1666B4784}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{51280983-BFA8-462F-93A4-4A060E047FCF}] [hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks] "{08A8068E-53D1-42B2-B197-6D568843721F}"=- Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende antwoord samen met een nieuw logje van HijackThis. Zou je evt. ook een betere screenshot kunnen maken van die Virtumonde-meldingen in Spybot. Want je vorige was niet echt goed leesbaar ... en ik zou die sleutels wel eens willen zien waarin die zich verstopt heeft.

OK, probleem opgelost, dan laten we het daar bij Laat die twee bestandjes sw20.old en sw24.old (voorlopig) nog eventjes in die map op je bureaublad zitten. Als er bij gebruik van je PC in de volgende dagen geen enkel programma meer naar deze bestanden vraagt, mag je die map na enkele dagen van je PC verwijderen. Want dan betekent het inderdaad dat het geen legitieme en noodzakelijke bestanden waren (en dus wel mogelijke gevolgen van een besmetting). Nu nog even de gebruikte programma's verwijderen, even cleanen en de besmette herstelpunten verwijderen. Verwijder Combofix: Start -> Uitvoeren en typ: combofix /u Combofix wordt verwijderd en een nieuw systeemherstelpunt wordt aangemaakt. Verwijder SDFix via Windows Verkenner. Download CCleaner. Installeer het en start het op. Klik in de linkse kolom op “Opties”. Selecteer het tabblad ‘Geavanceerd’ en haal het vinkje weg voor “Verwijder alleen tijdelijke bestanden in de Windows systeemmap die ouder zijn dan 48 uur” en sluit hierna het programma. Start CCleaner op en klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Opschonen'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scannen voor fouten’. Als er fouten gevonden worden klik je op ”alle fouten herstellen” en ”OK”. Sluit hierna CCleaner terug af. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. - Ga naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel. - Klik in de linkerhelft van het venster op "Instellingen van systeemherstel". - Zet een vinkje voor "Systeemherstel uitschakelen". - Klik "Toepassen". - Windows vraagt of je dat zeker weet. - Klik "Ja". - Klik "OK". - Start de pc opnieuw op. - Ga weer naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel. - Je krijgt de melding: "Systeemherstel is uitgeschakeld. Wilt u systeemherstel nu inschakelen?" - Klik "Ja". - Verwijder het vinkje voor "Systeemherstel uitschakelen". - Klik "Toepassen". - Klik "OK". - Start de pc opnieuw op - Er is nu een nieuw herstelpunt aangemaakt. That's it !

Omdat niet helemaal duidelijk is of die bestanden sw20.exe sw24.exe nu legitiem zijn of niet, gaan we daar even een truukje mee doen. Open een map op je bureaublad (noem die bvb. SW). Wijzig de bestanden C:\WINDOWS\system32\sw20.exe -> naar C:\WINDOWS\system32\sw20.old C:\WINDOWS\system32\sw24.exe -> naar C:\WINDOWS\system32\sw24.old en verplaats deze beide naar de map SW op je bureaublad. Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SW20"="C:\WINDOWS\system32\sw20.exe" "SW24"="C:\WINDOWS\system32\sw24.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtutqrq] Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Download SDFiX naar je bureaublad. Dubbelklik op SDFix.exe en kies voor Install om het tooltje uit te pakken in een eigen map op je bureaublad. Herstart dan je PC in veilige modus. In veilige modus, open de SDFix map op je bureaublad en dubbelklik op RunThis.bat om het tooltje te starten. Typ Y om het clean proces te starten. Het verwijdert alle Trojan Services of Registry Entries die met deze infectie te maken hebben, als het tooltje klaar is zal het jou vertellen om eender welke toets te drukken om je pc te herstarten, doe dit ook. Wanneer de pc herstart zal het tooltje opnieuw runnen en het opruimproces beëindigen en je de melding Finished tonen, druk dan op eender welke toets om het scriptje te beëindigen en je bureaublad zullen tevoorschijn komen. Wanneer je bureaublad icoontjes verschijnen zal het rapportje van SDFix openen en ook in de map bewaren onder de naam Report.txt. Start terug op in normale modus en hang je log van SDFix en Combofix in een volgend bericht. En laat ook eens weten of je die foutmelding bij opstarten nog krijgt ? P.S. : Spyware Doctor en Combofix samen geeft wel eens rare resultaten. Voorlopig niet echt iets om je druk om te maken.

Toch zijn we alweer een stapje verder Download en bewaar SDFix op je bureaublad. Dubbelklik op SDFix.exe en kies voor Install om het tooltje uit te pakken in een eigen map op je bureaubad. Herstart dan je pc in veilige modus. In veilige modus, open de SDFix map op je bureaublad en dubbelklik op RunThis.bat om het tooltje te starten Typ Y om het clean proces te starten. Verwijdert alle Trojan Services of Registry Entries die met deze infectie te maken hebben, als het tooltje klaar is zal het jou vertellen om eender welke toets te drukken om je pc te herstarten, doe dit ook. Wanneer de pc herstart zal het tooltje opnieuw runnen en het opruimproces beëindigen en je de melding Finished tonen, druk dan op eender welke toets om het scriptje te beëindigen en je bureaublad zullen tevoorschijn komen. Wanneer je bureaublad icoontjes verschijnen zal het rapportje van SDFix openen en ook in de map bewaren onder de naam Report.txt. Terug in normale modus open je een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run] "runner1"="C:\WINDOWS\mrofinu1423.exe" [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List] "C:\\DOCUME~1\\BEHEER~1\\LOCALS~1\\Temp\\ebquéé£'£ '%''msn'è%'fix''.exe"= Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Verwijder volgende vetgedrukte bestanden (indien nog aanwezig) met Windows Verkenner. C:\WINDOWS\mrofinu1423.exe C:\WINDOWS\17PHolmes1423.exe Post na herstart de inhoud van de Combofix, het logje van SDFix en een nieuw logje van HijackThis. En dan kijken we weer verder.

De logjes zien er goed uit, maar de extra klachten - veilige modus, bureaublad - zouden wel eens in de richting van een corrupte Windows kunnen wijzen. Laten we eens proberen dit te herstellen met de optie sfc /scannow. Via Start -> Uitvoeren -> typ sfc /scannow (let op de spatie voor de slash). Het kan dat tijdens deze procedure de Windows-CD wordt gevraagd. Hou die al even bij de hand. En kijk daarna eens of die veilige modus en het aanpassen van je bureaublad nu wel lukt. Nadat je dit hebt uitgevoerd en nu je HJT-log geen negatieven aanwijzingen meer geeft, zou ik eventjes from scratch willen beginnen met een vers log van Combofix (in een nieuwe poging om de actuele toestand in te schatten), vermits er blijkbaar toch nog ergens een oorzaak moet te vinden zijn voor die pop-ups. Wat me nu ineens opvalt bij het overlzen van dit hele verhaal : ik ging er van uit dat je bij de start van je probleem MSN verwijderd had. Was dat wel het geval ? Of heb je die gewoon laten staan tijdens de hele procedure ?

Ondanks een aantal - misschien verrassende - gebeurtenissen, ben je toch op de goede weg. Nu is het inderdaad tijd voor een scan met Combofix (zoals je zelf ook al aangaf). Hang het logje van Combofix samen met een nieuw log van HJT aan je volgend bericht en we kijken verder wat er nog te doen valt. Kan je - voor je aan Combofix begint - ook eens proberen of ja alle items in Spybot - behalve Virtumonde uiteraard - kan deleten ?

Download VundoFix naar je bureaublad. [*]Dubbelklik VundoFix.exe om het te starten. [*]Klik op de Scan for Vundo knop. [*]Eenmaal gedaan met scannen, klik op de Remove Vundo knop. [*]Je zal een melding krijgen of je de bestanden wilt laten verwijderen, klik YES [*]Nadat je Yes hebt geklikt, zullen de icoontjes op je Bureaublad verdwijnen tijdens het verwijderen van Vundo. [*]Wanneer voltooid zal je de melding krijgen dat het je PC zal afsluiten, klik OK. [*]Start je pc terug opnieuw op. Nota: Het is mogelijk dat VundoFix een bestand vindt dat niet kan verwijderd worden. In dit geval zal VundoFix na het heropstarten van je pc nog eens opstarten. Dan moet je de instructies van hierboven nog eens uitvoeren vanaf: "Klik op Scan for Vundo." Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd (indien nog aanwezig) : O2 - BHO: (no name) - {3B378B14-B9A2-4B99-BE09-3FE1666B4784} - (no file) O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Windows live Messenger] msn.com O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Bartus De Ridder\Local Settings\Application Data\Google\Update\1.1.25.0\GoogleUpdate.exe" /lang en O4 - Startup: YouTube Uploader.lnk = C:\Documents and Settings\Bartus De Ridder\Local Settings\Application Data\YouTube\Uploader\youtubeuploader.exe O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (DownloadManager Control) - http://dlm.tools.akamai.com/dlmanage...ex-2.2.1.6.cab O20 - Winlogon Notify: tuvTMgFW - C:\WINDOWS\SYSTEM32\tuvTMgFW.dll Klik op 'Fix checked' om de items te verwijderen. Verwijder volgend vetgedrukt bestand met Windows Verkenner. C:\WINDOWS\msn.com Post de inhoud van C:\vundofix.txt en een nieuwe log van HJT in je volgende bericht en laat meteen eens weten hoe het met de problemen gesteld is ?

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: C:\Documents and Settings\Beheerder\ljzech.exe C:\WINDOWS\system32\mqecdo.exe C:\sqmnoopt02.sqm C:\sqmdata01.sqm Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List] "C:\\DOCUME~1\\BEHEER~1\\LOCALS~1\\Temp\\ebquéé£'£ '%''msn'è%'fix''.exe"= Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder (indien nog aanwezig, wat normaal niet het geval zal zijn) genoemd: F2 - REGystem.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUM E~1\BEHEER~1\LOCALS~1\Temp\ebquéé£'£'%''msn'è%'fix ''.exe Klik op 'Fix checked' om de items te verwijderen. Post na herstart de inhoud van de Combofix.txt in je volgende antwoord samen met een nieuw logje van HijackThis. En laat dan eens weten of alles OK is ?

Laat - nu de zaak wat stabieler loopt - die Smitfraud eens runnen in normale modus.

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: C:\WINDOWS\system32\opppoqhj.ini C:\sqmdata02.sqm C:\sqmnoopt02.sqm C:\sqmdata01.sqm C:\sqmnoopt01.sqm C:\sqmdata00.sqm C:\sqmnoopt00.sqm C:\WINDOWS\17PHolmes572.exe C:\WINDOWS\TinyBHO.dll Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtutqrq] Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende antwoord samen met een nieuw logje van HijackThis.

Verwijder eerst MSN (en alle andere Messengers). Download Combofix en zet het op je Bureaublad. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: F2 - REGystem.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUM E~1\BEHEER~1\LOCALS~1\Temp\ebquéé£'£'%''msn'è%'fix ''.exe O4 - HKLM\..\Run: [Flash Media] C:\DOCUME~1\BEHEER~1\LOCALS~1\Temp\ebquéé£'£'%''ms n'è%'fix''.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemp...ogin-devel.cab Klik op 'Fix checked' om de items te verwijderen. Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen. NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan.. Hang het log van Combofix en een nieuw log van HJT aan je volgend bericht.

Gewoon een vroegere instelling van je PC terugzetten, liefst van een datum vóór je problemen begonnen zijn. Je kan in XP naar systeemherstel gaan via Alle Programma's -> Bureauaccessoires -> Systeemwerkset -> Systeemherstel en daar dan een vorige situatie terugplaatsen.

Dat heeft een behoorlijke opruiming opgeleverd. Al zijn er nog twee items die hardnekkig verzet blijven bieden. Kan je eens kijken of je manueel - op welke manier dan ook - volgend bestand kan verwijderen : C:\Documents and Settings\Dimitri\BureaubladTrojan.Win32.BlackBird. exe En met Hijackthis dit item: O20 - Winlogon Notify: pmnnlkl - C:\WINDOWS\ En dan lees ik het wel, hoe dit weer verlopen is ? Zijn er - los van je problemen met die 'veilige modus' - nog andere zaken die niet correct zijn (pop-ups, e.d.) en die je permanent tegenkomt ?

sw24.exe behoort normaal tot een grafische kaart van MGI, maar kan ook een besmetting zijn als je dit soort kaart niet hebt. Download Combofix en zet het op je Bureaublad. Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen. NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan. Hang je log van Combofix aan je volgend bericht.

Zo hoort het. Maar zou ik nog even het logje van Combofix mogen zien, voor we aan de "schoonmaak" beginnen ?

Maak eens een logje met HiJackTHis, want er zal meer nodig zijn dan alleen dat ene bestandje te verwijderen, vrees ik.