Ga naar inhoud

antimalware doctor. ook al.

doedels
 Delen

Aanbevolen berichten

doedels Groentje

doedels

Geplaatst:
Geplaatst:

Waarde PC-forum-vrienden,

ook ik heb op een onbewaakt ogenblik de antimalware doctor toegang verschaft tot mijn pc. Ik heb jullie verschillende oplolssingen zien aandragen op basis van HijackThis logs. Dus hierbij mijne. Hopelijk kunnen jullie mij ook redden van deze naarling.

Log in bijlage.

Groet,

Doedels.

hijackthis.log

Link naar reactie
Delen op andere sites
kape Grootmeester

kape

Geplaatst:
Geplaatst:

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd:

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe thxr.wgo nwfdtx

O2 - BHO: SmartAds browser enhancer vtusjrjp - {615E1DBA-FF66-43BA-A7C1-DA874639E17E} - C:\WINDOWS\system32\vtusjrjp.dll

O2 - BHO: hotrevenue browser enhancer - {8C664F54-F1A3-CBB2-51B0-348BFF4EFB60} - C:\WINDOWS\system32\vpmoytqcocjyiucr.dll

O2 - BHO: ezLife browser enhancer cnpmyoye - {E3621177-3A80-49F5-B0AB-742998C6A087} - C:\WINDOWS\system32\cnpmyoye.dll

O4 - HKLM\..\Run: [LoadKernel] C:\DOCUME~1\Carla\LOCALS~1\Temp\7.tmp

O4 - HKLM\..\RunServices: [LoadLoad] C:\DOCUME~1\Carla\LOCALS~1\Temp\7.tmp

O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe

O4 - HKCU\..\Run: [80whu3usvuw2] C:\Documents and Settings\Carla\Local Settings\Temp\m.29.tmp.exe

O4 - HKCU\..\Run: [Desktop Security 2010] "C:\Documents and Settings\Carla\Application Data\Desktop Security 2010\Desktop Security 2010.exe" /STARTUP

O4 - HKCU\..\Run: [securityCenter] C:\Documents and Settings\Carla\Application Data\Desktop Security 2010\securitycenter.exe

O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cidrive32.exe

O4 - Startup: Antimalware Doctor.lnk = C:\Documents and Settings\Carla\Application Data\9A6B3284A0556937CA50B40E2C726909\gotnewupdate000.exe

O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)

Klik op 'Fix checked' om de items te verwijderen.

Download MBAM (Malwarebytes Anti-Malware)

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".

Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.

Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.

Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.

Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder).

Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook.

MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen.

Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Link naar reactie
Delen op andere sites
kape Grootmeester

kape

Geplaatst:
Geplaatst:

Dit ziet er al heel wat beter uit :-)

Doe nog even dit :

Download Combofix naar je Bureaublad.

Lees hier meer over correct gebruik van Combofix.

OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw.

Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!

  • Dubbelklik op Combofix.exe om het te starten.
    Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate.
    Volg de instructies, aanvaard de disclaimer door op Ja te klikken.
    Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA).
    Klik op OK en Ja om automatisch de Recovery Console te laten installeren.
    Klik na afloop terug op Ja om het scannen op malware te starten.
    Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.

Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen.

Post dit logje in je volgende antwoord, samen met een nieuw actueel log van Malwarebytes.

Link naar reactie
Delen op andere sites
kape Grootmeester

kape

Geplaatst:
Geplaatst:

Open een kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

File::

c:\windows\system32\gvifzgzugzbf.exe

c:\windows\system32\atcarla.sys

c:\windows\system32\drivers\ztwshrkqtnt3.sys

Driver::

ztwshrkqtnt3

nxthrqb

Sla dit bestand op je bureaublad op als CFScript.txt.

Sleep CFScript.txt in ComboFix.exe

Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.

Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

Link naar reactie
Delen op andere sites
kape Grootmeester

kape

Geplaatst:
Geplaatst:

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd:

O4 - HKCU\..\Run: [80whu3usvuw2] C:\Documents and Settings\Carla\Local Settings\temp\m.27.tmp.exe

O4 - HKCU\..\Run: [Desktop Security 2010] "C:\Documents and Settings\Carla\Application Data\Desktop Security 2010\Desktop Security 2010.exe" /STARTUP

O4 - HKCU\..\Run: [securityCenter] C:\Documents and Settings\Carla\Application Data\Desktop Security 2010\securitycenter.exe

Klik op 'Fix checked' om de items te verwijderen.

Verwijder volgende vetgedrukte map : C:\Documents and Settings\Carla\Application Data\Desktop Security 2010

Laat dan Combofix opnieuw scannen en hand dit log, sameb met een nieuw log van HijackThis in je volgende bericht.

Link naar reactie
Delen op andere sites
doedels Groentje

doedels

Geplaatst:
  • Auteur
Geplaatst:

Goed,

alles weer gedaan zoals aangegeven, alleen de stap :

"Kopieer en plak daarin de onderstaande vetgedrukte tekst.

File::

c:\windows\system32\gvifzgzugzbf.exe

c:\windows\system32\atcarla.sys

c:\windows\system32\drivers\ztwshrkqtnt3.sys

Driver::

ztwshrkqtnt3

nxthrqb

Sla dit bestand op je bureaublad op als CFScript.txt.

Sleep CFScript.txt in ComboFix.exe"

had ik vorige keer nog niet uitgevoerd.

Laat me maar weten of dat alsnog nodig is.

Ik durf mijn (voorheen besmette :argh:) PC nog even niet on-line te laten gaan. Maar heel lang gaat dat denk ik niet meer duren.

Zie de logs, hij doet weer schoon aan.

log combofix.txt

hijackthis3.log

Link naar reactie
Delen op andere sites
 Delen
Ga naar topic overzicht
Logo

OVER ONS

PC Helpforum helpt GRATIS computergebruikers sinds juli 2006. Ons team geeft via het forum professioneel antwoord op uw vragen en probeert uw pc problemen zo snel mogelijk op te lossen. Word lid vandaag, plaats je vraag online en het PC Helpforum-team helpt u graag verder!

SITEMAP

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.