Computer blijft soms hangen na het opstarten

[erwin969]

Ok, gedaan:

# AdwCleaner v2.006 - Verslag gemaakt op 01/11/2012 om 20:49:28

# Geactualiseerd op 30/10/2012 door Xplode

# Besturingssysteem : Windows Vista Home Premium Service Pack 2 (32 bits)

# Gebruiker : Erwin - WORKGROUP

# Opstarten Modus : Normale modus

# Gelanceerd vanaf : C:\Users\Erwin\Desktop\adwcleaner.exe

# Optie [Verwijderen]

***** [Diensten] *****

***** [Files / Mappen] *****

File Verwijdert : C:\Program Files\Mozilla Firefox\searchplugins\avg-secure-search.xml

File Verwijdert : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml

File Verwijdert : C:\user.js

Map Verwijdert : C:\Program Files\AVG Secure Search

Map Verwijdert : C:\ProgramData\AVG Secure Search

Map Verwijdert : C:\Users\Erwin\AppData\Local\AVG Secure Search

Map Verwijdert : C:\Users\Erwin\AppData\Local\Babylon

Map Verwijdert : C:\Users\Erwin\AppData\LocalLow\AVG Secure Search

Map Verwijdert : C:\Users\Erwin\AppData\Roaming\Babylon

Verwijdert bij het opstarten : C:\Program Files\Common Files\AVG Secure Search

***** [Register] *****

Sleutel Verwijdert : HKCU\Software\AppDataLow\Software

Sleutel Verwijdert : HKCU\Software\AVG Secure Search

Sleutel Verwijdert : HKCU\Software\IGearSettings

Sleutel Verwijdert : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

Sleutel Verwijdert : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}

Sleutel Verwijdert : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{C99FDC39-A1AE-4B24-8D71-E5274F8D7C54}

Sleutel Verwijdert : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}

Sleutel Verwijdert : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}

Sleutel Verwijdert : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}

Sleutel Verwijdert : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706}

Sleutel Verwijdert : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}

Sleutel Verwijdert : HKLM\Software\AVG Secure Search

Sleutel Verwijdert : HKLM\Software\Babylon

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\AppID\{1FDFF5A2-7BB1-48E1-8081-7236812B12B2}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\AppID\{BB711CB0-C70B-482E-9852-EC05EBD71DBB}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\AppID\escort.DLL

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\AppID\NCTAudioCDGrabber2.DLL

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\AppID\ScriptHelper.EXE

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\AppID\ViProtocol.DLL

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\AVG Secure Search.BrowserWndAPI

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\AVG Secure Search.BrowserWndAPI.1

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\AVG Secure Search.PugiObj

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\AVG Secure Search.PugiObj.1

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\CLSID\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\CLSID\{B658800C-F66E-4EF3-AB85-6C0C227862A9}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\CLSID\{CADAF6BE-BF50-4669-8BFD-C27BD4E6181B}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\CLSID\{CC5AD34C-6F10-4CB3-B74A-C2DD4D5060A3}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\CLSID\{F25AF245-4A81-40DC-92F9-E9021F207706}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\Interface\{2A42D13C-D427-4787-821B-CF6973855778}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\Interface\{3D8478AA-7B88-48A9-8BCB-B85D594411EC}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\Interface\{E67D5BC7-7129-493E-9281-F47BDAFACE4F}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\Prod.cap

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\viprotocol

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi.1

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\TypeLib\{74FB6AFD-DD77-4CEB-83BD-AB2B63E63C93}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\TypeLib\{C2AC8A0E-E48E-484B-A71C-C7A937FAAB94}

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE

Sleutel Verwijdert : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE.1

Sleutel Verwijdert : HKLM\Software\Freeze.com

Sleutel Verwijdert : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}

Sleutel Verwijdert : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F25AF245-4A81-40DC-92F9-E9021F207706}

Sleutel Verwijdert : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{08858AF6-42AD-4914-95D2-AC3AB0DC8E28}

Sleutel Verwijdert : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C6FDD0C3-266A-4DC3-B459-28C697C44CDC}

Sleutel Verwijdert : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{F25AF245-4A81-40DC-92F9-E9021F207706}

Sleutel Verwijdert : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TBSB00982.TBSB00982Toolbar

Sleutel Verwijdert : HKLM\SOFTWARE\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin

Waarde Verwijdert : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [Avg@toolbar]

***** [browsers] *****

-\\ Internet Explorer v8.0.6001.19328

Vervangen : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxps://isearch.avg.com/tab?cid={08301E54-52AF-4069-93ED-B18787203693}&mid=6c924ba3e1e9adefb4b8e68774c045c9-214bf2847130b43465c6bdbc2482bbe2fae2d990〈=nl&ds=AVG&pr=fr&d=2012-06-02 16:13:42&v=12.2.5.32&sap=nt --> hxxp://www.google.com

-\\ Mozilla Firefox v16.0.2 (nl)

Profielnaam : default

File : C:\Users\Erwin\AppData\Roaming\Mozilla\Firefox\Profiles\qln992me.default\prefs.js

C:\Users\Erwin\AppData\Roaming\Mozilla\Firefox\Profiles\qln992me.default\user.js ... Verwijdert !

Verwijdert : user_pref("avg.install.installDirPath", "C:\\ProgramData\\AVG Secure Search\\11.1.0.7");

Verwijdert : user_pref("avg.install.userSPSettings", "AVG Secure Search");

Verwijdert : user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");

Verwijdert : user_pref("browser.search.defaultenginename", "AVG Secure Search");

Verwijdert : user_pref("browser.search.order.1", "Search the web (Babylon)");

Verwijdert : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");

Verwijdert : user_pref("extensions.BabylonToolbar_i.babExt", "");

Verwijdert : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=110141");

Verwijdert : user_pref("extensions.BabylonToolbar_i.hardId", "6c6910db00000000000000ff77a4a843");

Verwijdert : user_pref("extensions.BabylonToolbar_i.id", "6c6910db00000000000000ff77a4a843");

Verwijdert : user_pref("extensions.BabylonToolbar_i.instlDay", "15391");

Verwijdert : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");

Verwijdert : user_pref("extensions.BabylonToolbar_i.newTab", true);

Verwijdert : user_pref("extensions.BabylonToolbar_i.newTabUrl", "hxxp://search.babylon.com/?AF=110141&babsrc=NT_s[...]

Verwijdert : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");

Verwijdert : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");

Verwijdert : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");

Verwijdert : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");

Verwijdert : user_pref("extensions.BabylonToolbar_i.tlbrId", "base");

Verwijdert : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");

Verwijdert : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1717:47:58");

Verwijdert : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");

Verwijdert : user_pref("keyword.URL", "hxxps://isearch.avg.com/search?cid={08301E54-52AF-4069-93ED-B18787203693}&[...]

-\\ Google Chrome v [Onmogelijk de versie te verkrijgen]

File : C:\Users\Erwin\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] De file bevat geen enkele ongeoorloofde invoer.

*************************

AdwCleaner[R1].txt - [9509 octets] - [01/11/2012 20:48:55]

AdwCleaner[s1].txt - [9312 octets] - [01/11/2012 20:49:28]

########## EOF - C:\AdwCleaner[s1].txt - [9372 octets] ##########

[kape]

En hoe staat het nu met de gemelde problemen bij het opstarten ?

[erwin969]

Dat gaat goed. Ze zijn al niet meer voorgekomen nadat we de dingetjes die via Hijackthis naar voren kwamen hebben verwijderd. Dus dat kan het probleem misschien al geweest zijn.

Overigens valt me wel op dat ik nu die Acer Empowering button (eRecovery Management) op mijn desktop kwijt ben. Die stond er al op sinds de aankoop van deze PC. Is dat ding zo vertragend?

2 november 2012 aangepast door erwin969

[kape]

Eens kijken of we die button terug kunnen zetten.

Start Hijack This op klik op "do a systemscan only "

Klik rechtsonder op Config....

In het volgende venster bovenin op Backups

Zet nu een vinkje voor O4 - Global Startup: Empowering Technology Launcher.lnk = ? en klik aan de rechterkant op restore.

Is er dan enig resultaat ?

2 november 2012 aangepast door kape

[erwin969]

Nou, hij hoeft niet persé terug hoor. Gebruikte het ding nooit. Was alleen een vraag. In iedergeval bedankt.

[kape]

Problemen van de baan, dan is het tijd voor de “grote schoonmaak” : verwijderen van gebruikte programma’s, een cleaning en het verwijderen van de besmette herstelpunten.

Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht/Programma’s en bestanden zoeken en typ daar: ComboFix /Uninstall (met spatie voor de /).

Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt.

Indien aanwezig mag je de map C:\Qoobox manueel verwijderen.

Download CCleaner.

Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op.

Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af.

Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten). In Vista : via Configuratiescherm -> Systeem en Onderhoud -> Systeem -> tabblad "Systeembeveiliging" -> vinkje weghalen bij de schijf waarvan je de herstelpunten wil verwijderen -> klikken op "toepassen". Dan krijg je de schermmelding “Weet u zeker dat u systeemherstel wil uitschakelen”. Klik hier op “Systeemherstel uitschakelen”. Dan zijn alle herstelpunten verwijderd op de aangeduide schijf.

Zet daarna opnieuw een vinkje bij de harde schijf. Maak meteen ook een nieuw herstelpunt, zodat je niet hoeft te wachten op een automatisch herstelpunt van het systeem.

Indien dit allemaal probleemloos verlopen is, mag je hieronder op "markeer als opgelost" tokkelen !

[erwin969]

Gedaan, alleen kreeg ik de map C:\Qoobox niet verwijderd. Uiteindelijk wel met TuneUp Schredder, alleen niet alle bestanden maar wel de map. Er staat nu alleen een ander mapje in mij C:\ schijf, namelijk het mapje C:\ZZZZZZ met daarin BackNV die ik vervolgens niet kan openen 'geen toegang tot de map'. Ik dus die hele C:\ZZZZZZ map niet verwijderen. Ik weet ook niet waar het van is, datum van aanmaak is in iedergeval 30-10-2012.

[kape]

• Download The Avenger by Swandog46 naar je bureaublad.
  
• Klik op Avenger.zip
  
• Pak het bestand uit naar je bureaublad.
  
• Start The Avenger door op het icoontje te dubbelklikken.
  
• Vista en Windows 7 ->rechtsklik uitvoeren als Administrator.
  

Zet een vinkje bij 'Scan for rootkits en vink Automatically disable any rootkits found' uit.

In het venster Input Script here, kopieer en plak je het volgende:

Folders to delete:
C:\ZZZZZZ 

Opgelet: Bovenstaande code werd enkel gemaakt voor deze computer/situatie/user. Indien je deze code op een andere computer gebruikt kan het schade toebrengen!

Klik nu op de knop Execute.

Klik Yes om te bevestigen.

Klik Yes wanneer gevraagd wordt om je PC te rebooten.

Je PC zal rebooten, indien niet doe het dan manueel.

Na reboot opent een logfile (avenger .txt). Post de inhoud van de logfile.

De logfile van Avenger staat ook in C:\avenger.txt

[erwin969]

Gelukt:

Logfile of The Avenger Version 2.0, © by Swandog46

Swandog46's Public Anti-Malware Tools

Platform: Windows Vista

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

Folder "C:\ZZZZZZ" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[kape]

Dan mag je The Avenger verwijderen van de PC ... en zouden we er nu helemaal door moeten zijn