Antimalware doctor

[Misterygamer]

Goeienavond Heren en Dames,

Mijn vriendin heeft het zojuist voor elkaar gekregen om antimalware doctor op haar pc te krijgen waardoor haar laptop nu helemaal langzaam gek begint te worden. Aangezien ik nu niet meer vlug die kan op kan gaan vraag ik of er iemand alvast stappen weet diek morgen kan nemen om het virus uit te roeien of hebben jullie daarvoor echt een hijackthis log nodig?

Mvg,

Michael

[kape]

Inderdaad, alles begint bij het logje van HijackThis om de besmetting te detecteren.

[Misterygamer]

Heb nu eintesdelijk haar laptop in mijn handen en ik heb de malwarebytes' Antimal ware al gedraaid op een quick scan en de resultaten verwijderd maar hier heb je dan de hijack this en de malware log.

Ik hoop dat jullie er iets mee kunnen

mbam-log-2010-07-16 (15-18-15).txt

hijackthis.log

[kape]

Malwarebytes heeft al een flinke berg rotzooi van de PC gehaald. Dit mag je doen met HijackThis :

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: (no name) - {2A6FAB85-BFE4-47E6-B56B-04FFC19B26FC} - c:\windows\system32\shptdxx.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Street-Ads Browser Enhancer hplap - {D5E80287-2372-4328-AC46-FC009DFBF982} - C:\Windows\system32\hplap.dll

O4 - HKLM\..\Run: [sta] rundll32 "lplap.dll",,Run

O4 - HKLM\..\Run: [MChk] C:\Windows\system32\yplap.exe

O4 - HKLM\..\Policies\Explorer\Run: [z7b6s8] C:\Users\IMKEST~1\AppData\Local\Temp\r3ghaz.exe

O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Virtual%20Villagers%20-%20The%20Secret%20City/Images/ stg_drm.ocx

O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Artist%20Colony/Images/armhelper.ocx

Klik op 'Fix checked' om de items te verwijderen. En hang dan een nieuw logje in je volgende bericht.

[Misterygamer]

Alvast bedankt voor de snelle reactie op mijn vraag het verwijderen/fixen schijnt goed gelukt te zijn.

Hier is het logje weer

hijackthis.log

[kape]

Er zit er nog eentje moeilijk te doen :

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd:

O2 - BHO: (no name) - {2A6FAB85-BFE4-47E6-B56B-04FFC19B26FC} - c:\windows\system32\shptdxx.dll

Klik op 'Fix checked' om de items te verwijderen.

Download ComboFix van één van deze locaties:

Link 1

Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op

Lees hier meer over correct gebruik van Combofix.

• Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap.
  
• Dubbelklik op ComboFix.exe en volg de meldingen op het scherm.
  
• ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd. Als deze Recovery Console al is geïnstalleerd zal ComboFix automatisch verder gaan met het scannen naar malware
  
• Volg anders de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren. Wanneer de Recovery Console succesvol is geïnstalleerd, klik je op “JA” om verder te gaan met het scannen naar malware.
  

NOTA: Wanneer ComboFix start, kan het zijn dat je een foutmelding krijgt dat “De inhoud van het ComboFix pakket werd gewijzigd”. Ga dan niet verder met de instructies, maar download ComboFix opnieuw. Deze melding kan verschijnen wanneer een file-infector (Virut) actief is op de computer. Blijf je die melding krijgen dan meld je dit.

Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

16 juli 2010 aangepast door kape

[Misterygamer]

Combofix gedraait en na een paar keer opstarten en dingen doen positief afgerond.

Hier is het log bestandje

ComboFix.txt

[kape]

Open een kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

File::

c:\windows\system32\yplap.exe

FireFox::

FF - ProfilePath - c:\users\ImkeStevens\AppData\Roaming\Mozilla\Firefox\Profiles\5l43t7dg.default\

FF - prefs.js: browser.search.defaulturl -

FF - prefs.js: keyword.URL -

Sla dit bestand op je bureaublad op als CFScript.txt.

Sleep CFScript.txt in ComboFix.exe

Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.

Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

[Misterygamer]

Oke beide gedaan en hier zijn de logs

hijackthis.log

ComboFix.txt

[kape]

Nog eentje om te fixen in HijackThis :

O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)

... en dan zou het boeltje netjes moeten zijn. Heb je nu nog merkbare problemen met deze Antimalware Doctor ?