SERVAKES

[SERVAKES]

Geachte,

Sinds gisteren is mijn PC besmet met een virus of malware.

Volgens mijn mening gaat het hier om UCGARD.

Zonder connectie met internet werkt mijn PC normaal. Het gebruiken van ADWcleaner.exe (versie 5.200.0.0) en Bitdefender Adware Remove tool (BDPUARLauncher) laat het scannen normaal toe, maar bij de optie "verwijderen" reageren beide programma's niet meer. Daarna doe ik best van mijn PC terug te herstarten opdat alles terug normaal zou werken (maar steeds zonder Internet connectie).

In bijlage  vind U een log bestand gemaakt met RSIT64.exe.

Gelieve te noteren dat ik gebruik maakt van een oude laptop voor dit bericht te versturen en met internet in contact te zijn (traag maar zeker).

Reeds bij voorbaat dank voor Uw hulp

Mvg

Servakes

log.txt

[abbs]

Hallo,

 

Download de Farbar Recovery Scan Tool 32 of 64 bit van één van de onderstaande links

• Farbar Recovery Scan Tool 32 bit (x86)
• Farbar Recovery Scan Tool 64 bit (x64)

Hier staat een beschrijving hoe u kunt kijken of u een 32 of 64 bit versie van Windows heeft.

Farbar Recovery Scan Tool uitvoeren

• Klik met de rechtermuisknop op FRST.exe en kies voor de optie "Als administrator uitvoeren".
• Als het programma is geopend klik Yes (Ja) bij de disclaimer.
• Druk vervolgens op de Scan knop, er zal nu eerst een back-up van het register worden gemaakt.
• Wanneer de scan gereed is worden er twee logbestanden aangemaakt met de naam (FRST.txt) & (Addition.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
• Voeg beide logbestanden als bijlage toe aan het volgende bericht.

[SERVAKES]

Hallo,

In bijlage de gevraagde bestanden FRST.txt en Addition.txt uitgevoerd met FARBAR RECOVERY SCAN TOOL 64 BIT.

Groetjes

Servakes

Addition.txt

FRST.txt

[abbs]

Hallo,

 

Is dit een bedrijfs- computer en zo ja mogen wij er veranderingen aanbrengen (zo ja ga door met de volgende stappen)

1. Ga naar Start > Configuratiescherm > (Programma's en Onderdelen) en verwijder daar.

• Setup (HKLM-x32\...\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC}) (Version:  - )

 

2 Zorg dat je Farbar Recovery Scan Tool  vanuit "Gestart vanaf E:\" naar je bureaublad plaatst (dit is zeer belangrijk!)

Note: Dit script is speciaal bedoeld voor deze computer, gebruik dit dan ook niet op andere computers met een gelijkaardig probleem.
Open Kladblok. Klik op Start > Alle Programma's > Bureau-Accessoires > Kladblok.
Kopieer onderstaande code en plak dat in "Kladblok"

start
CreateRestorePoint:
CloseProcesses:
Task: {010DCCF9-DC50-4A7F-93C7-A36104439828} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Geen bestand <==== AANDACHT
Task: {0B5608DE-1E5D-44B9-B967-1F34F90DA510} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Geen bestand <==== AANDACHT
Task: {15EF4CFB-5C78-47A0-ACAB-3174BB77C06F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Geen bestand <==== AANDACHT
Task: {19642905-9A7C-489F-8D67-44951E1E660D} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe
Task: {346AF119-DE39-409C-9F25-FFB17FA80FC4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Geen bestand <==== AANDACHT
Task: {35011EC1-6491-4727-B2CB-FE0E00C5B712} - System32\Tasks\tasklist => C:\Users\Serge\AppData\Roaming\UPUpdata\service90132.exe [2016-06-21] ()
Task: {3D7D9E18-D2CA-4A65-8E62-ADC4874C4440} - System32\Tasks\Arikoiedrumition Configuration => C:\Program Files (x86)\Arikoiedrumition\ArkconfigurationTsk.exe <==== AANDACHT
Task: {53FD75C7-9F12-4517-9901-5D56AA21A038} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Geen bestand <==== AANDACHT
Task: {5F7CF38B-D92D-4C9D-93A5-98DBDEDADD70} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Geen bestand <==== AANDACHT
Task: {9C37BC3A-C791-4EEA-9EFB-688897A17771} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Geen bestand <==== AANDACHT
Task: {9CAA7455-4B0D-492B-BFB4-CF7C17CD3393} - System32\Tasks\AdBlock => AdBlock.exe <==== AANDACHT
Task: {AC7DA894-340E-4F48-9C6C-8F359F542FC7} - System32\Tasks\Semughdabuck Builder => C:\Program Files (x86)\Semughdabuck\SmgBldts.exe
Task: {B765FF40-1BD8-49C0-943E-E3EBE7411A35} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Geen bestand <==== AANDACHT
Task: {CB4BD5AA-6CE4-48FC-B42F-39A7A42551BB} - System32\Tasks\VirusRemover => C:\Users\Serge\AppData\Local\Temp\VirusRemover.exe <==== AANDACHT
Task: {CEB28E5A-6BB2-4981-8D29-6CF93E693FEA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Geen bestand <==== AANDACHT
Task: {E057941D-299C-4EEB-A2FE-4F4E25478BB7} - \Origin -> Geen bestand <==== AANDACHT
Task: {EDD1B799-A80E-440C-9D8C-51D450594F7F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Geen bestand <==== AANDACHT
Task: {F3050F5E-D118-4A4F-8BE9-E1B6B5B033D7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Geen bestand <==== AANDACHT
WMI_ActiveScriptEventConsumer_ASEC: <===== AANDACHT (yeabests)
ShortcutWithArgument: C:\Users\Serge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1466519110&a=1004373&src=sh&uuid=7f81e418-e4b7-4d8e-a797-460a5369e64a"
AlternateDataStreams: C:\Users\Serge\Cookies:L3TsHdvWFEAx2JvqL1alkG [1944]
AlternateDataStreams: C:\Users\Serge\Local Settings:9NqBWxWgggAwBPPH2fxdrJn [2068]
AlternateDataStreams: C:\Users\Serge\AppData\Local:9NqBWxWgggAwBPPH2fxdrJn [2068]
AlternateDataStreams: C:\Users\Serge\AppData\Local\Application Data:9NqBWxWgggAwBPPH2fxdrJn [2068]
137.63.68.242 h33t.to
127.0.0.1 activation.acronis.com 127.0.0.1                   activate.adobe.com
127.0.0.1                   practivate.adobe.com
127.0.0.1                   lmlicenses.wip4.adobe.com
127.0.0.1                   lm.licenses.adobe.com
127.0.0.1       down.baidu2016.com
127.0.0.1       123.sogou.com
127.0.0.1       www.czzsyzgm.com
127.0.0.1       www.czzsyzxl.com
127.0.0.1       union.baidu2019.com
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2767470344-2418330843-2961721033-1001\...\Run: [msiql] => C:\Users\Serge\AppData\Roaming\UPUpdata\msiql.exe [1883136 2016-06-21] ()
HKU\S-1-5-21-2767470344-2418330843-2961721033-1001\...\Run: [QGuan10in12] => C:\Users\Serge\AppData\Roaming\UPUpdata\service90132.exe [1945600 2016-06-21] ()
CHR HKLM\SOFTWARE\Policies\Google: Restrictie <======= AANDACHT
AutoConfigURL: [S-1-5-21-2767470344-2418330843-2961721033-1001] => hxxp://unstops.info/wpad.dat?177d6b026b2a6893778a8d554fc68a3b11991897
ManualProxies: 0hxxp://unstops.info/wpad.dat?177d6b026b2a6893778a8d554fc68a3b11991897
HKU\S-1-5-21-2767470344-2418330843-2961721033-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restrictie <======= AANDACHT
Toolbar: HKU\S-1-5-21-2767470344-2418330843-2961721033-1001 -> Geen Naam - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  Geen bestand
CHR dev: Chrome dev build gedetecteerd! <======= AANDACHT
C:\Users\Serge\AppData\Roaming\R0UNe
C:\WINDOWS\Tasks\UCBrowserUpdater.job
C:\WINDOWS\System32\Tasks\UCBrowserUpdater
C:\Users\Serge\AppData\Local\UCBrowser
C:\Program Files (x86)\UCBrowser
C:\WINDOWS\System32\Tasks\VirusRemover
C:\WINDOWS\System32\Tasks\Arikoiedrumition Configuration
C:\WINDOWS\System32\Tasks\Semughdabuck Builder
C:\Program Files (x86)\Arikoiedrumition
C:\Users\Serge\AppData\Roaming\UPUpdat
C:\Program Files (x86)\Semughdabuck
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh int ip reset c:\resetlog.txt
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy
Hosts:
EmptyTemp:
end

Ga naar Bestand - Opslaan als.
Kies als locatie bureaublad.
Bij "Bestandsnaam" zet je:fixlist.txt.
Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).

Als het goed is staat er nu een text bestand op je bureaublad?

Start de Farbar Recovery Scan Tool.
Als het programma is geopend klik Yes (Ja) bij de disclaimer. (indien nodig)
Druk op de Fix knop.
Er zal u een logbestand aangemaakt worden (fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
Voeg dit logbestand als bijlage toe aan het volgende bericht.

 

 

[SERVAKES]

Hello,

- Mijn PC is geen bedrijfscomputer.

- In bijlage het bestand fixlog.txt

Groetjes

SERVAKES

Fixlog.txt

[abbs]

Hallo,

 

Plaats weer nieuwe logjes van Farbar Recovery Scan Tool (zet eerst rechts onder een vinkje voor Addition.txt )

[SERVAKES]

Hello,

In bijlage opnieuw 2 logbestanden van FARBAR RECOVERY SCAN TOOL via scannen.

Groetjes

SERVAKES

Addition.txt

FRST.txt

[abbs]

Hallo,

 

Lukt het nu om op internet te komen zo nee doe het volgende;

 

Download de MiniToolBox bij voorkeur naar het bureaublad.

• Klik met de rechtermuisknop op "MiniToolBox.exe" en kies voor de optie "Als administrator uitvoeren".
• Vink vervolgens de onderstaande opties aan.
  
  • Report IE Proxy Settings
  • Report FF Proxy Settings
  • List content of hosts
  • List IP Configuration
  • List Winsock Entries
  • List last 10 Event Viewer Errors
  • List Installed programs
  • List Devices

  

• Klik vervolgens op de knop Go.
  

• Wanneer de tool gereed is wordt er een logbestand geopend, plaats deze als bijlage in uw bericht.
  

• Dit logbestand wordt tevens op de locatie als results.txt opgeslagen waar de MiniToolbox is uitgevoerd.

[SERVAKES]

Goede avond,

Internet verbinding van PC terug aangesloten. De eerste vaststelling was dat mijn browser FIREFOX verdwenen was.

Via EDGE en GOOGLE Firefox gedownload en installatie uitgevoerd.

Browser en Gmail werken terug normaal alsook verschillende sites die ik regelmatig bezoekt.

Op gebied van de gegevens schijnt er niets abnormaals te zijn.

Morgen nog wat controle uitvoeren, maar naar mijn mening werkt alles terug normaal.

Wenst U misschien dat ik de test met MiniToolBox toch nog uitvoer ?

Reeds nu kan ik U alleen maar duizend maal bedanken voor de hulp die U mij verleent hebt.

Mvg

SERVAKES

 

[abbs]

Hallo,

Dan gaan we de goede kant op, MiniToolBox hoef je niet meer uit tevoeren.

Ik zie het volgende nog in je programma lijst staan (verwijder deze volgende)
Setup (HKLM-x32\...\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC}) (Version:  - )
Shopping Helper Smartbar Engine

1. Note: Dit script is speciaal bedoeld voor deze computer, gebruik dit dan ook niet op andere computers met een gelijkaardig probleem.
Open Kladblok. Klik op Start > Alle Programma's > Bureau-Accessoires > Kladblok.
Kopieer onderstaande code en plak dat in "Kladblok"

start
CreateRestorePoint:
CloseProcesses:
AlternateDataStreams: C:\Users\Serge\Cookies:L3TsHdvWFEAx2JvqL1alkG [1944]
C:\Users\Serge\AppData\Roaming\UPUpdata
C:\WINDOWS\system32\Drivers\etc\hp.bak
C:\ProgramData\iolo
C:\WINDOWS\SysWOW64\mfc45.dat
C:\Program Files (x86)\iolo
C:\Users\Serge\AppData\Local\Apps\2.0
end

Ga naar Bestand - Opslaan als.
Kies als locatie bureaublad.
Bij "Bestandsnaam" zet je:fixlist.txt.
Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).

Als het goed is staat er nu een text bestand op je bureaublad?

Start de Farbar Recovery Scan Tool.
Als het programma is geopend klik Yes (Ja) bij de disclaimer. (indien nodig)
Druk op de Fix knop.
Er zal u een logbestand aangemaakt worden (fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
Voeg dit logbestand als bijlage toe aan het volgende bericht.

 

2. Download MalwareBytes Anti-Malware bij voorkeur naar het bureaublad.

• Dubbelklik op mbam-setup-2.1.exe om de installatie van Malwarebytes Anti-Malware te starten.
• Volg de verdere aanwijzingen, de volledige installatieprocedure kunt u nalezen op de volgende link - Malwarebytes Anti-Malware installeren.
• Klik vervolgens op de knop Scan nu om een bedreigingsscan uit te voeren. Er zal nu gecontroleerd worden op beschikbare updates.
• De scan wordt nu automatisch gestart, gebruik de computer bij voorkeur niet tijdens de scan.

Na het scannen:
Als er bedreigingen zijn gevonden:

• Klik op "Verwijder geselecteerde" en daarna op "Voltooien".
• Er kan gevraagd worden om de computer opnieuw op te starten. Doe dat dan en start daarna opnieuw MBAM.

Klik in Malwarebytes op "Historie > Programmalogboeken".
Klik op het recenste "Scanlogboek".
Klik op Exporteer en kies Tekstbestand (*.txt).

Vul een bestandsnaam in en bewaar het op je bureaublad zodat je het makkelijk terugvindt.
Post het logbestand als bijlage in je volgend bericht.