generic host process for win32 services

[kape]

Download Dr.Web CureIt en sla het op je bureaublad op.

• Dubbelklik drweb-cureit.exe en sta het toe om te express scan te starten.
  Indien er een popup verschijnt met het voorstel tot kopen/50% korting mag je deze sluiten.
  
• De express scan zal de bestanden scannen die momenteel in het geheugen geladen zijn. Wanneer er iets gevonden wordt klik op 'alles selecteren' kies nu voor 'repareren' en uit het kleine menutje dat verschijnt kies je 'verplaatsen'.
  
• Kies bovenaan in het menu voor Language/Taal en wijzig deze naar Dutch (Nederlands) indien deze bij jou anders staat ingesteld.
  
• Druk op F9, kies daarna voor het tabblad Acties en stel daar het volgende in onder Malware:
  
  • 
    
  • Adware: Verplaats
    
  • Dialers: Verplaats
    
  • Jokes: Rapportage
    
  • Riskware: Rapportage
    
  • Hacktools: Verplaats
    
  • Haal dan het vinkje weg bij 'Prompt bij actie'.
    

  [*]Kies daarna voor het tabblad Scan en verwijder het vinkje bij Heuristische analyse.

  Druk vervolgens op Toepassen gevolgd door OK.

  [*]Eenmaal als de korte scan is beëindigd vink je aan: Volledige scan.

  Druk daarna op het groene pijltje (start knop) om de scan te starten.

  [*]Gevonden bestanden worden naar '%USERPROFILE%\DocterWeb\Quarantine' -map verplaatst indien het herstellen niet mogelijk is.

  [*]Nadat de scan gedaan is ga dan naar Bestand en kies Rapportage lijst opslaan.

  Bewaar deze op je bureaublad en sluit daarna Dr.Web CureIt.

  [*]Herstart vervolgens de computer!! Dit is een belangrijke stap want het kan zijn dat Dr.Web CureIt bestanden zal verplaatsen/verwijderen tijdens herstart.

  [*]Na het herstarten, kopieer en plak de inhoud van die log die je eerder hebt bewaard in je volgende post.

[Wouwter]

Na de eerste (express) scan vroeg hij of ik opnieuw op wilde starten zodat hij bestanden kon repareren, waaronder winlogon.exe en explorer.exe. Ze waren allebei geinfecteerd met win32.dat.11.

Daarna heb ik de volledige scan laten lopen (man wat duurde die lang .

Logbestand:

A0015628.exe C:\System Volume Information\_restore{56AC1AD4-12E3-4D55-A15E-09DE9F9B0455}\RP12 Win32.Dat.11 Gerepareerd.

A0015629.exe C:\System Volume Information\_restore{56AC1AD4-12E3-4D55-A15E-09DE9F9B0455}\RP12 Win32.Dat.11 Gerepareerd.

A0005429.exe C:\System Volume Information\_restore{56AC1AD4-12E3-4D55-A15E-09DE9F9B0455}\RP5 Trojan.Fakealert.18698 Verwijderd.

[kape]

Bij eerste gebruik kan Dr.Web behoorlijk tijdrovend zijn, maar het graaft dan ook diep in de bestanden van de PC. Indien de bestanden winlogon.exe en explorer.exe hersteld zijn, is er een essentieel probleem opgelost.

Dan mag je eerst dit nog even doen :

Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen.

Maak dan een nieuw logje met Combofix ... en hang dit in je volgende bericht.

[Wouwter]

Ik denk dat er nog steeds een probleem is, Combofix vond weer een probleem met winlogon.exe en explorer.exe.

[ATTACH]7341[/ATTACH]

ComboFix.txt

[kape]

Ga naar Start -> Uitvoeren -> typ sfc /scannow om je Windows te controleren en eventueel te herstellen. Je hebt normaal de Windows-CD nodig. Hou deze alvast bij de hand.