kape

Het wordt er nog vreemder op. Wil je eens opnieuw een log met Combofix maken en dat hier plaatsen. Ik stuur je ondertussen ook een persoonlijk bericht met een speciaal vraagje.

OK, eerst die One Step. Als je hem via Software niet kan verwijderen, doe je dit via Windows Verkenner door volgende vetgedrukte map te deleten : C:\Program Files\OneStepSearch Indien dit niet onmiddellijk lukt kan het zijn dat je de service OneStep Search Service eerst moet uitschakelen. Via HJT mag je dan ook volgende lijn fixen : O23 - Service: OneStep Search Service - OneStepSearch.net, Inc. - C:\Program Files\OneStepSearch\onestep.exe En wat die keylogger betreft :Blazing Tools Keylogger registreert niet alleen je keystrokes, maar kan ze ook verzenden en is dus een veiligheidsrisico. Als je deze bewust gebruikt, mag je hem dus schrappen in het lijstje van te fixen items. Maar persoonlijk ben ik daar absoluut geen voorstander van ... maar het is uiteraard jouw PC.

Sorry, jongens ... dit was me even ontsnapt. Waarschijnlijk omdat het niet in de spyware- en virussectie stond. Maar goed ... Yannick zat al op het goede spoor, maar er is nog meer te doen. Even een volledig overzicht : Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: O3 - Toolbar: Zango - {07AA283A-43D7-4CBE-A064-32A21112D94D} - C:\Program Files\Zango\bin\10.0.370.0\HostIE.dll (file missing) O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [bpk] C:\WINDOWS\system32\bpk.exe O4 - HKLM\..\Run: [ZangoOE] C:\Program Files\Zango\bin\10.0.370.0\OEAddOn.exe O4 - HKLM\..\Run: [ZangoSA] "C:\Program Files\Zango\bin\10.0.370.0\ZangoSA.exe" O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe" O4 - Startup: TA_Start.lnk = C:\Documents and Settings\Compaq_Eigenaar\Local Settings\Temp\BundleDownloader\22.ex_ O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePokerMaster\EmpirePoker\RunEPoker.exe (file missing) O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePokerMaster\EmpirePoker\RunEPoker.exe (file missing) O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll (file missing) O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll (file missing) O9 - Extra button: Bodog Poker - {F47C1DB5-ED21-4dc1-853E-D1495792D4C5} - C:\Program Files\Bodog Poker\BPGame.exe (file missing) Klik op 'Fix checked' om de items te verwijderen. Als je PartyPoker bewust hebt gedownload en gebruikt, mag je de onderstaande lijntjes in HJT laten bestaan. Is dit niet het geval dan mag je deze ook met HJT fixen. O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe Volgende vetgedrukte mappen en./of bestande mag je via Windows Verkenner verwijderen C:\WINDOWS\ALCMTR.EXE C:\WINDOWS\system32\bpk.exe C:\Program Files\Zango C:\Program Files\Save Indien PartyPoker niet gebruikt wordt, moet je ook volgende vetgedrukte map nog verwijderen : C:\Program Files\PartyGaming Blijft er nog een extra vraag : heb je OneStep bewust gedownload of is dit ook een toevallige download. Want dit is een programma met een erg bedenkelijke reputatie dat je beter niet op je PC hebt staan. Laat maar weten, dan volgen de instructies om ook dat (eventueel) te verwijderen. Nog dit : je Java software is verouderd. oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem. Doe eerst deze stappen om Java te de-installeren en de nieuwere versie te installeren: Download Java Runtime Environment (JRE) 6u3 [*]Scroll omlaag naar : "Java Runtime Environment (JRE) 6u3". [*]Klik op de "Download" knop aan de rechterkant. [*]Vink aan: "Accept License Agreement". [*]De pagina zal herladen. [*]Klik op de link om Windows Offline Installation te downloaden met Meerdere-talen, en bewaar het naar je Bureaublad. [*]Sluit alle programma's die eventueel open zijn - Zeker je web browser! [*]Ga dan naar Start > Configuratiescherm > Software en verwijder alle oudere versies van Java uit de Softwarelijst. [*]Vink alles aan met Java Runtime Environment (JRE of J3SE) in de naam. [*]Klik dan op Verwijderen of op de Wijzig/Verwijder knop. [*]Herhaal dit tot alle oudere versies verdwenen zijn. [*]Na het verwijderen van alle oudere versies, herstart je pc. [*]Dubbelklik vervolgens op jre-6u3-windows-i586-p.exe op je Bureaublad om de nieuwste versie van Java te installeren. Download ATF cleaner Dubbelklik op ATF cleaner om het programma te starten. Op het tabblad "Main", plaats je een vinkje bij Select All. Klik op de knop Empty Selected. Maak dan een nieuw log van HiJackThis en hang dit in een volgend bericht. Dan kijken we verder …

OK, probeer dan eens of je de verschillende bestanden - dat lange lijstje - onder de rubriek "file" gewoon via Windows Verkenner kan verwijderen ?

Vreemd. Probeer eens het volgende. Open weer een kladblokscherm en plak er enkel dit in : File:: C:\WINDOWS\imsins.BAK Opslaan als CFScript.txt en slepen naar Combofix. En kijk dan eens of hetzelfde gebeurt ?

Open een kladblokbestand en kopieer daar onderstaande vetgedrukte tekst in: File:: C:\WINDOWS\imsins.BAK C:\WINDOWS\DUMPab1f.tmp C:\WINDOWS\DUMPab00.tmp C:\WINDOWS\DUMPa582.tmp C:\WINDOWS\DUMPa488.tmp C:\WINDOWS\DUMPc1d4.tmp C:\WINDOWS\DUMPbcc3.tmp C:\WINDOWS\DUMPb9d5.tmp C:\WINDOWS\DUMPb580.tmp C:\WINDOWS\DUMPa505.tmp C:\WINDOWS\DUMPa4f5.tmp C:\WINDOWS\DUMP8193.tmp C:\WINDOWS\DUMP36ee.tmp C:\WINDOWS\DUMPb215.tmp C:\WINDOWS\DUMP3c6c.tmp C:\WINDOWS\DUMPb2c0.tmp C:\WINDOWS\DUMPb030.tmp C:\WINDOWS\DUMPb04f.tmp C:\WINDOWS\DUMPb987.tmp C:\WINDOWS\DUMPb34d.tmp C:\WINDOWS\DUMPaf65.tmp C:\WINDOWS\DUMPb021.tmp C:\WINDOWS\DUMPaff2.tmp C:\WINDOWS\DUMPb011.tmp C:\WINDOWS\DUMPb10b.tmp C:\WINDOWS\DUMP32c8.tmp C:\WINDOWS\DUMP3f2b.tmp C:\WINDOWS\DUMP3373.tmp C:\WINDOWS\DUMPa812.tmp C:\WINDOWS\DUMPaf07.tmp C:\WINDOWS\DUMPbe3a.tmp Folder:: C:\Program Files\Macrogaming\SweetIM Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SweetIM] -ra------ 2007-10-14 18:09 103712 C:\Program Files\Macrogaming\SweetIM\SweetIM.exe Sla het kladblokbestand op op je bureaublad als: CFScript.txt Sleep dit bestand in het logo van Combofix. Dit zal Combofix doen herstarten. Start opnieuw op als daarom gevraagd wordt. Post de inhoud van het nieuwe log Combofix.txt en een nieuw log van HiJackThis. De rest van je vragen zullen we – al je het goed vindt - aanpakken nadat de resultaten van deze acties gekend zijn.

Tja, een beetje ervaring zeker. En heel wat studie over HJT en spyware. In jouw geval zat het probleem niet in de drie lijntjes die ik je op het einde nog heb laten fixen (dat is eigenlijk maar opkuiswerk), maar wel in je eerste log van HJT. Als je daar kijkt naar deze service : O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe, dan zie je (alleen aan de structuur al) dat er iets mis is. Bovendien is het bestand "svchost" een klassieker in de wereld van de besmettingen. En dan is het uitzoeken met welk tooltje je dit kan opkuisen. In dit geval heeft SDFix de oplossing geboden. In jet log van SDFix zie je dat het deze O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe verwijderd heeft ... en daar lag de kern van je probleem. Wil je wat meer weten over HJT en de verschillende infecties kan je misschien hier al eens wat lezen.Ook ik ben tevreden dat we dat zaakje netjes hebben kunnen oplossen (op een snelle en redelijk "eenvoudige" manier). En je vraag hoe die besmetting is binnengekomen, moet ik helaas onbeantwoord laten. De wondere wereld van de PC en de virus- en andere scanners, zeker

De bijlage van de mail is een afbeelding met een .png-extensie. Nu zijn er heel wat verschillende programma's die deze extensie gebruiken voor het genereren van afbeeldingen ... maar waarschijnlijk heb jij geen enkel programma op je PC dat deze extensie kan verwerken. Vandaar de vreemde codes van de afbeelding. Je kan eens informeren bij de afzenders - als je ze kent - met welk programma de bijlage gecreëerd is, maar dit zal waarschijnlijk je probleem niet oplossen, tenzij je hetzelfde programma download op je PC.

Nog één probeersel in de trukendoos ... en dan zijn de ideeën echt op. Als dit niets oplevert twijfel ik sterk aan een softwareprobleem, maar eerst nog even Combofix loslaten op je PC. Download Combofix.exe en zet het op je Bureaublad. Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen. NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan. Hang dan het log van Combofix in een volgend berichtje. Succes ermee.

SDFIx heeft zijn werk perfect gedaan. Nog even dit opkuisen. Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 –u Klik op 'Fix checked' om de items te verwijderen. Download ATF cleaner Dubbelklik op ATF cleaner om het programma te starten. Op het tabblad "Main", plaats je een vinkje bij Select All. Klik op de knop Empty Selected. En wat vertelt je Avast nu ? Laat eens horen of hij zich nu koest houdt ?

Laat ons hiermee starten : Download en bewaar SDFIx op je bureaublad. Dubbelklik op SDFix.exe en kies voor Install om het tooltje uit te pakken in een eigen map op je bureaubad. Herstart dan je pc in veilige modus. In veilige modus, open de SDFix map op je bureaublad en dubbelklik op RunThis.bat om het tooltje te starten. Typ Y om het clean proces te starten. het verwijdert alle Trojan Services of Registry Entries die met deze infectie te maken hebben, als het tooltje klaar is zal het jou vertellen om eender welke toets te drukken om je pc te herstarten, doe dit ook. Wanneer de pc herstart zal het tooltje opnieuw runnen en het opruimproces beëindigen en je de melding Finished tonen, druk dan op eender welke toets om het scriptje te beëindigen en je bureaublad zullen tevoorschijn komen. Wanneer je bureaublad icoontjes verschijnen zal het rapportje van SDFix openen en ook in de map bewaren onder de naam Report.txt. Kopieer en plak nu de inhoud van dat rapportje hier met een nieuw hijackthis logje.

Hoi Nineke, Dat ziet er perfect uit. En wat die Antivir betreft. Als je die wil vervangen kan je misschien AVG Free van Grisoft downloaden (degelijke en lichte scanner). KAPE

Dat lijkt me allemaal perfect verlopen te zijn. De items die je niet terugvindt in Codestuff Starter moeten niet meer mee opstarten, dus horen daar niet noodzakelijk te staan. Graag nog een nieuw log aanmaken met HiJackThis, dit in of als bijlage aan een volgend berichtje hangen ... en dan zouden we er bijna moeten zijn. En dan nog de cruciale vraag : gaat het al wat sneller ?

Download HiJackThis, opslaan in een eigen map (bvb. C:\ProgramFiles\TrendMicro\HiJackThis), maak hiermee een log en hang dit (hijackthis.log) als bijlage aan een volgend bericht. Kunnen we eens meekijken wat er (eventueel) te doen valt.

Download Accelerator (toch zeker de free-versie) bevat inderdaad advertentiebanners en is daarvoor verbonden met advertentienetwerken. Ook links die in spyware-middens erg bekend zijn (bvb. Cydoor). Dus eigenlijk af te raden. Minstens even goed qua werking, veel gebruiksvriendelijker en zonder spyware is Leechget.

Hier zijn we er mee Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) Klik op 'Fix checked' om de items te verwijderen. Ofwel mag je SweetIMBarForIE verwijderen via Configuratiescherm -> Software. Als het zich daar niet bevindt doe je het via de Windows Verkenner en verwijder je deze vetgedrukte map : C:\Program Files\Macrogaming\SweetIMBarForIE Je hebt ook een aantal programma's die onnodig mee opstarten. Dat lossen we zo op. Download Codestuff Starter. Start Codestuff Starter op. selecteer het tabblad Automatisch Opstarten en vink volgende items uit. O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb1 0.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background Deze start MSN bij iedere systeemstart mee op. Persoonlijk zou ik deze uitschakelen in MSN zelf (bij Extra -> Opties -> tabblad Algemeen vinkjes weghalen onder "Aanmelden") Download ATF cleaner Dubbelklik op ATF cleaner om het programma te starten. Op het tabblad "Main", plaats je een vinkje bij Select All. Klik op de knop Empty Selected. Nadat je dit uitgevoerd hebt, maak je een nieuw log van HJT, plaats dit in een nieuw bericht en laat eens horen hoe het met de ttttrrrraaaaggggheid is gesteld.

Start -> Alle Programma's -> Menu Start -> Aanpassen-> Geavanceerd -> vinkje in "Door programma's bladeren" uitvinken. Edit : Oei, Karel was me juist voor. Maar het is gelukkig dezelfde oplossing.

Belangrijk : over welke Windows-versie heb je het ?

Zeker ben je natuurlijk nooit, maar als de defrag niet meer verder gaat zou ik hem nu maar stoppen. Het heeft al lang genoeg geduurd. Het afleggen van je scherm is zeker geen probleem geweest, de defrag gebeurt in je PC niet op je scherm. Met welk defragmentatieprogramma heb je eigenlijk gewerkt : het klassieke Windows-onderdeel of een ander ? Nog een extra vraagje ter info : hoeveel vrije ruimte heb je nog op je harde schijf ? Mag ik je nog eens terug verwijzen naar mijn suggestie over HiJackThis. Voer dat eens uit en plaats een log. Misschien geeft dat een richting aan waarin we kunnen zoeken.

Kan best ... afhankelijk van hoe lang het geleden is dat je nog eens gedefragmenteerd hebt, kan je PC behoorlijk in de war zitten. En dan zijn enkele uurtjes niet uitzonderlijk. Nu je toch al aan 93% zit, zou ik hem zeker laten doorwerken tot het bittere einde

Was dit nà het uitvoeren van de fixen met HiJackThis ? Heb je al een nieuw log van HiJackThis (na het fixen en het installeren van de nieuwe Java) ? Zet dat dan maar in een berichtje.

OK, laat dan - nadat je al de instructies hebt uitgevoerd - eerst opnieuw je virusscanner lopen, zodat je meteen kan laten weten wat die na de aanpassingen te vertellen heeft. Klopt het dat je twee virusscanners op je PC hebt : AVG en Antivir. Welke van de twee gebruik je ? En welke van de twee heeft die Trojan gemeld ?

En zeker dat het geen besmetting is die de oorzaak van de traagheid was ? Anders eens een log van HiJackThis aanmaken. Kunnen we eerst eens meekijken vóór je aan het zware werk begint.

Waar heb je uit afgeleid dat je een Trojan aan boord hebt. Heeft een virusscanner o.i.d. je daarop gewezen ? Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) Klik op 'Fix checked' om de items te verwijderen. Als je de Spybot S&D option ˜Lock homepage from changes” zelf actief hebt gemaakt, dan hoef je onderstaande regels niet te fixen, anders wel: O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present Je Java software is verouderd. oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem. Doe eerst deze stappen om Java te de-installeren en de nieuwere versie te installeren: Download Java Runtime Environment (JRE) 6u3. [*]Scroll omlaag naar : "Java Runtime Environment (JRE) 6u3". [*]Klik op de "Download" knop aan de rechterkant. [*]Vink aan: "Accept License Agreement". [*]De pagina zal herladen. [*]Klik op de link om Windows Offline Installation te downloaden met Meerdere-talen, en bewaar het naar je Bureaublad. [*]Sluit alle programma's die eventueel open zijn - Zeker je web browser! [*]Ga dan naar Start > Configuratiescherm > Software en verwijder alle oudere versies van Java uit de Softwarelijst. [*]Vink alles aan met Java Runtime Environment (JRE of J3SE) in de naam. [*]Klik dan op Verwijderen of op de Wijzig/Verwijder knop. [*]Herhaal dit tot alle oudere versies verdwenen zijn. [*]Na het verwijderen van alle oudere versies, herstart je pc. [*]Dubbelklik vervolgens op jre-6u3-windows-i586-p.exe op je Bureaublad om de nieuwste versie van Java te installeren. Download ATF cleaner Dubbelklik op ATF cleaner om het programma te starten. Op het tabblad "Main", plaats je een vinkje bij Select All. Klik op de knop Empty Selected. Als dit afgewerkt is, plaats dan een nieuw log van HJT en laat eens horen hoe het zit met die Trojan-melding ?

Bij een echte clean install verplaats je eerst alle dbx-bestanden naar een andere locatie op je PC en verwijder je de volledige map Outlook Express. En dan pas opnieuw installeren, natuurlijk.