Politievirus

[Wimmerd]

Hallo,

ik heb opnieuw te maken met het politievirus, maar ditmaal lukt het me zelfs niet om in veilige modus met netwerkmogelijkheden op te starten. Als ik mijn bureaublad krijg, sluit ie automatisch af en start gewoon op.

En daar krijg ik natuurlijk het bekende scherm van het politievirus terug.

Weet iemand wat ik moet doen?

Dank bij voorbaat

[Jion]

Dag Wimmerd,

Download "HitmanPro" via de onderstaande link bijvoorbeeld naar het bureaublad op een niet geïnfecteerde computer

Klik hier om de uitgebreide handleiding te raadplegen

Klik hier om de handleiding voor het uitvoeren van HitmanPro.Kickstart via een Boot-CD

• HitmanPro downloaden.(Kies hier de 32 of 64 bit versie).
  
• HitmanPro (32bit)
  
• HitmanPro (64bit)
  
• Dubbelklik op HitmanPro36.exe of HitmanPro36_64.exe om het programma op te starten.
  
• Klik in het beginscherm op de "Kickstartknop" zoals u kunt zien in het onderstaande rode kader.
  
  
• Indien er reeds een USB-stick is aangesloten zal HitmanPro Kickstart deze automatisch herkennen en weergeven.
  
• Klik deze USB-stick éénmaal aan waarna u de keuze krijgt om Kickstart te installeren op de USB-stick.
  
• Voordat HitmanPro.Kickstart wordt geïnstalleerd wordt de USB-stick opnieuw geformatteerd.
  
• Waarschuwing! Bij het opnieuw formatteren gaan alle gegevens verloren die op de USB-stick zijn opgeslagen.
  
• Nadat de HitmanPro Kickstart USB-stick is aangemaakt zal deze automatisch “veilig verwijderd” worden van het betreffende systeem waarop deze is aangemaakt.
  
• Start de geïnfecteerde computer op van de HitmanPro.Kickstart USB-stick. (Hoe u de computer van een USB-stick kunt opstarten lees u hier)
  
• Vink de optie "Ik accepteer de voorwaarden van de gebruikersovereenkomst aan" en klik op "Volgende"
  
• Klik in het setup scherm nu nogmaals op "Volgende", nu zal automatisch de scan starten, doe verder niets op de computer totdat de scan gereed is.
  
• Als de scan klaar is klik je op "volgende"
  
• Activeer nu de gratis licentie, hiermee kunt u 30 dagen gratis HitmanPro gebruiken en de gevonden infecties verwijderen.
  
• Note: indien u reeds eerder gebruik hebt gemaakt van de 30 dagen trial-versie van HitmanPro is het niet meer mogelijk om gratis de gevonden infecties te verwijderen.
  
• Als het verwijderen gereed is klik je onderin het scherm op "Save log" of "Logbestand opslaan" en sla deze op bijvoorbeeld het bureaublad op.
  Post dit logje.
  
• Klik nu op de knop "Herstarten".
  

[Wimmerd]

Bedankt voor de snelle reactie! Ik zal dit vavavond es proberen.

Mvg,

Wimmerd

[juisterr]

"We" w88 vol spanning.!

[Wimmerd]

Mss een domme vraag,maar een Boot cd is dat een gewone lege cd waarop ik hitmanpro op moet branden?

mvg

[Jion]

Kopt. Gewoon een lege cd.

Doe dit wel enkel indien het niet lukt met de usb-stick.

(kwestie van je een cd te besparen) ;-)

[Wimmerd]

Eindelijk de tijd gevonden om jullie tips uit te voeren! Duurde ook wat lang doordat ik hitmanpro moest downloaden met een 10 jaar oude laptop!

Bij deze is hier het logje!

HitmanPro 3.7.2.190
[url="http://www.hitmanpro.com"]www.hitmanpro.com[/url]
  Computer name . . . . : PCDELL
  Windows . . . . . . . : 6.1.1.7601.X64/2
  User name . . . . . . : pcdell\Wim
  UAC . . . . . . . . . : Disabled
  License . . . . . . . : Free
  Scan date . . . . . . : 2013-03-23 21:48:19
  Scan mode . . . . . . : Normal
  Scan duration . . . . : 1m 47s
  Disk access mode  . . : Direct disk access (SRB)
  Cloud . . . . . . . . : Internet
  Reboot  . . . . . . . : No
  Threats . . . . . . . : 4
  Traces  . . . . . . . : 30
  Objects scanned . . . : 984.710
  Files scanned . . . . : 15.977
  Remnants scanned  . . : 180.509 files / 788.224 keys
Malware _____________________________________________________________________
  C:\Users\Wim\AppData\Local\Smartbar\Application\QuickShare.exe
     Size . . . . . . . : 13.824 bytes
     Age  . . . . . . . : 27.3 days (2013-02-24 13:40:26)
     Entropy  . . . . . : 5.3
     SHA-256  . . . . . : 747632ECF9ABC6C37CC7BAC453D71CE9661A72E29326619F8D51A8501951BD41
     Product  . . . . . : Smartbar
     Publisher  . . . . : Smartbar
     Description  . . . : Smartbar
     Version  . . . . . : 1.6.1.714
     Copyright  . . . . :  
     Gossip . . . . . . : QuickShare.exe - Onherstelbare fout
     Desktop  . . . . . : Default
     Parent Name  . . . : C:\Windows\Explorer.EXE
     Running processes  : 2364
   > a-Squared  . . . . : Adware.MSIL.Agent.AMN!A2
   > G Data . . . . . . : Adware.Smartbar.D (Engine A)
     Fuzzy  . . . . . . : 95.0
     Startup
        HKU\S-1-5-21-1301670249-148990362-1122468651-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Browser Infrastructure Helper
  C:\Users\Wim\AppData\Local\Temp\~tmp6791488172484908665.exe
     Size . . . . . . . : 98.304 bytes
     Age  . . . . . . . : 6.3 days (2013-03-17 14:49:09)
     Entropy  . . . . . : 5.6
     SHA-256  . . . . . : C35089558922E3847D65492538B4349E003ED63D386945FF8E991AA99A58DDC0
     Product  . . . . . :        
     Publisher  . . . . : Software            
     Description  . . . : Software       
     Version  . . . . . : 14.0.0.715
     Copyright  . . . . : Copyright             .
   > Ikarus . . . . . . : Trojan-Ransom.Win32.Foreign!IK
     Fuzzy  . . . . . . : 102.0
  C:\Users\Wim\AppData\Roaming\OpenCandy\4D73D28A150047BCA145819A32CDA005\setup__759.exe
     Size . . . . . . . : 150.880 bytes
     Age  . . . . . . . : 27.3 days (2013-02-24 13:40:50)
     Entropy  . . . . . : 7.8
     SHA-256  . . . . . : 40050E8481C00A546EFB529D19B38677CFC0A2EE2D3C54F0127826C723FC505F
     Product  . . . . . : Installer
     Publisher  . . . . : Amonetize
     Description  . . . : Installer
     Version  . . . . . : 1.1.3.71
     Copyright  . . . . : (c) Amonetize ltd., 2012,2013.  All rights reserved.
     RSA Key Size . . . : 2048
     Authenticode . . . : Valid
   > a-Squared  . . . . : Trojan.Win32.Amonetize.AMN!A2
     Fuzzy  . . . . . . : 101.0
  C:\Users\Wim\AppData\Roaming\skype.dat
     Size . . . . . . . : 98.304 bytes
     Age  . . . . . . . : 6.3 days (2013-03-17 14:49:24)
     Entropy  . . . . . : 5.6
     SHA-256  . . . . . : C35089558922E3847D65492538B4349E003ED63D386945FF8E991AA99A58DDC0
     Product  . . . . . :        
     Publisher  . . . . : Software            
     Description  . . . : Software       
     Version  . . . . . : 14.0.0.715
     Copyright  . . . . : Copyright             .
   > Ikarus . . . . . . : Trojan-Ransom.Win32.Foreign!IK
     Fuzzy  . . . . . . : 148.0
        One or more antivirus vendors have indicated that the file is malicious.
        Substitutes Explorer.exe as the default shell. Malware tends to start this way.
        This file was most recently added as automatic startup.
        The file name extension of this program is not common.
        Program starts automatically without user intervention.
        Time indicates that the file appeared recently on this computer.
     Startup
        HKU\S-1-5-21-1301670249-148990362-1122468651-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Cookies _____________________________________________________________________
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\09YUQZFA.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\2D2CHHG5.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\5WIZYCG7.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\5WX9AHKY.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\96V99SQY.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\97MG0PP5.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\C3T9SEIT.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\CX7OD1MT.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\DN2K6OUR.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\FUKPLQO7.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\G0KU8GO1.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\H3M6JLYA.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\HKIS05HY.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\KB0AR0R0.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\L3KLKV8K.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\LA0GLVNI.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\N7WSGA40.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\QK9GBHMH.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\TIV8YEHJ.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\U1X5F6FK.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\XBL6DB6Y.txt
  C:\Users\Wim\AppData\Roaming\Microsoft\Windows\Cookies\YSY1RWGF.txt

[Jion]

Deze heeft alvast het een en ander verwijderd.

Kan je nu al terug normaal opstarten?

Plaats dan eens een HijackThis logje:

1. Download HijackThis. (klik er op)

Klik op HijackThis.msi en de download start automatisch na 5 seconden.

Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren".

Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst.

Als je geen netwerkverbinding meer hebt, kan je de download doen met een andere pc en het bestand met een usb stick overbrengen

Als je enkel nog in veilige modus kan werken, moet je de executable (HijackThis.exe) downloaden.

Sla deze op in een nieuwe map op de C schijf (bvb C:\\hijackthis) en start hijackthis dan vanaf deze map.

De logjes kan je dan ook in die map terugvinden.

---

2. Klik op de snelkoppeling om HijackThis te starten. (lees eerst de rode tekst hieronder!)

Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog".

Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets.

Krijg je een melding ""For some reason your system denied writing to the Host file ....", klik dan gewoon door op de OK-toets.

Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\\Program Files\\Trend Micro\\HiJackThis of C:\\Program Files (x86)\\Trend Micro\\HiJackThis. (Bekijk hier de afbeelding ---> Klik hier)

---

3. Na het plaatsen van je logje wordt dit door een expert nagekeken en hij begeleidt jou verder door het ganse proces.

Tip!

Wil je in woord en beeld weten hoe je een logje met HijackThis maakt en plaatst op het forum, klik dan HIER.

[Wimmerd]

Daar u zo vlug reageert, ik ook !

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 22:19:45, on 23/03/2013

Platform: Windows 7 SP1 (WinNT 6.00.3505)

MSIE: Internet Explorer v9.00 (9.00.8112.16470)

Boot mode: Normal

Running processes:

C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe

C:\Program Files (x86)\Extrasoft\Iconremover\iconremover.exe

C:\windows\AdzRemove\AdzRemove.exe

C:\Users\Wim\AppData\Roaming\SearchProtect\bin\cltmng.exe

C:\Program Files (x86)\iTunes\iTunesHelper.exe

C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe

C:\Program Files (x86)\Internet Explorer\iexplore.exe

C:\Program Files (x86)\Internet Explorer\iexplore.exe

C:\HijackThis.exe

C:\Windows\SysWOW64\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, het laatste nieuws en entertainment | MSN.NL

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Hotmail, Messenger, het laatste nieuws en entertainment | MSN.NL

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

F2 - REG:system.ini: UserInit=userinit.exe,

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: QuickShare WidgetEngine - {31ad400d-1b06-4e33-a59a-90c2c140cba0} - mscoree.dll (file missing)

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll

O2 - BHO: Aanmeldhulp voor Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll

O2 - BHO: DVDVideoSoft.WebPageAdjuster - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Program Files (x86)\Common Files\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll

O3 - Toolbar: QuickShare Widget - {ae07101b-46d4-4a98-af68-0333ea26e113} - mscoree.dll (file missing)

O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [searchProtectAll] C:\Program Files (x86)\SearchProtect\bin\cltmng.exe

O4 - HKCU\..\Run: [icon Remover] C:\Program Files (x86)\Extrasoft\Iconremover\iconremover.exe /hideapp

O4 - HKCU\..\Run: [EPSON SX230 Series] C:\Windows\system32\spool\DRIVERS\x64\3\E_IATIHKE.EXE /FU "C:\Users\Wim\AppData\Local\Temp\E_S7C8.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [EPSON SX125 Series] C:\Windows\system32\spool\DRIVERS\x64\3\E_IATIGGE.EXE /FU "C:\Windows\TEMP\E_SB5F6.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [searchProtect] C:\Users\Wim\AppData\Roaming\SearchProtect\bin\cltmng.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')

O8 - Extra context menu item: Free YouTube Download - C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\freeytvdownloader.htm

O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\freeytmp3downloader.htm

O9 - Extra button: Free YouTube Download - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Program Files (x86)\Common Files\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll

O9 - Extra 'Tools' menuitem: Free YouTube Download - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Program Files (x86)\Common Files\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll

O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll

O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O16 - DPF: {49C9FECC-02EE-49D9-8171-F548577E7ACD} (Uploader Control) - http://ua.foto.com/ImageUploader8.cab

O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll

O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Search Protect by Conduit Updater (CltMngSvc) - Conduit - C:\Program Files (x86)\SearchProtect\bin\CltMngSvc.exe

O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: HitmanPro Scheduler (HitmanProScheduler) - SurfRight B.V. - C:\Program Files\HitmanPro\hmpsched.exe

O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--

End of file - 8810 bytes

[Jion]

Ga naar Start - Configuratiescherm - Programma's

Verwijder daar het volgende programma:

SearchProtect

Herstart de computer.

Ga naar Start - Alle programma's - Bureauaccesoires.

Zoek het icoon van het opdrachtprompt en klik er op met de rechter muisknop en kies dan in het lijstje voor “uitvoeren als administrator” om het opdrachtprompt te openen.

Tik in: sc stop CltMngSvc en druk op Enter.

Tik in: sc delete CltMngSvc en druk op Enter.

Tik in exit en druk Enter.

Als je op een van deze instructies een foutmelding krijgt, ga dan gewoon door met de volgende instructie.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

O2 - BHO: QuickShare WidgetEngine - {31ad400d-1b06-4e33-a59a-90c2c140cba0} - mscoree.dll (file missing)

O3 - Toolbar: QuickShare Widget - {ae07101b-46d4-4a98-af68-0333ea26e113} - mscoree.dll (file missing)

O4 - HKLM\..\Run: [searchProtectAll] C:\Program Files (x86)\SearchProtect\bin\cltmng.exe

O4 - HKCU\..\Run: [searchProtect] C:\Users\Wim\AppData\Roaming\SearchProtect\bin\cltmng.exe

Klik op 'Fix checked' om de items te verwijderen.

Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\\Program Files\\Trend Micro\\HiJackThis of C:\\Program Files (x86)\\Trend Micro\\HiJackThis.

Download MBAM (Malwarebytes Anti-Malware)

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".

Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.

Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.

Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.

Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder).

Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook.

MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen.

Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis logje.

24 maart 2013 aangepast door kape
haakjes