[OPGELOST] Conime.exe

[Flore]

Hey,

Ik heb het volgende probleem: mijn laptop gaat de laatste tijd zeer traag, draait zeer luid en krijgt heel erg warm.

Ik vermoed dat er een aantal verborgen processen draaien, daar mijn CPU gebruik relatief normaal lijkt. Nu heb ik wel een proces opgemerkt dat conime.exe heet en er wat verdacht uitziet. Het heeft namelijk een zeer raar icoon en zou gemaakt zijn in juli 2008, terwijl het de laatste keer zou gewijzig zijn in januari 2008:-s

Tevens vindt ik nog een aantal processen met dezelfde datumvermelding, zoals svchost.exe, lsm.exe en lsass.exe. Wanneer ik hiervan de eigenschappen open, zie ik dat deze telkens volledig worden beheerd door 'TrustedInstaller' en ik kan daar dan ook niets aan wijzigen.

Ook is er een proces aanwezig met de naam csrss.exe, waarvan ik de eigenschappen niet kan openen. I

k vroeg mij af of dit allemaal wel normaal is. Ik weet dat mijn laptop met iets geïnfecteerd is, maar weet niet met wat of wat er aan te doen. Is er iemand die mij kan helpen aub?

Dank bij voorbaat.

[kape]

Het hangt er allemaal maar vanaf waar deze bestanden zich bevinden, om te oordelen of ze legitiem zijn of niet. Doe even - om te beginnen - het volgende :

Download HiJackThis

Dubbelklik op HJTInstall.exe

Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. Klik op "Do a systemscan and save a logfile". en hang dit logje aan je volgende bericht.

NB. Ben je een gebruiker van Windows Vista dan moet je eerst rechtsklikken op HijackThis.exe en dan kiezen voor "Run as Administrator".

[Flore]

Ok, alleszins al bedankt voor de reactie! Ik heb dit nu gedaan en heb de log in bijlage gezet.

hijackthis.log

[kape]

Open kladblok en plak volgende vetgedrukte tekst in een leeg venster:

REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"="avgrsstx.dll"

Sla dit op, op je Bureaublad als regfix.reg, met als type "alle bestanden"

Dubbelklik op regfix.reg en sta het toevoegen aan het register toe.

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd:

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Wedding%20Dash%202/Images/stg_drm.ocx

O20 - AppInit_DLLs: eNetHook.dll,avgrsstx.dll

Klik op 'Fix checked' om de items te verwijderen.

Download MBAM (Malwarebytes' Anti-Malware).

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".

Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.

Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.

Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.

Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder)

De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM.

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken.

Daarna zal het vragen om de computeropnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

[Flore]

Heb dit allemaal gedaan, maar had bij het heropstarten de indruk dat hij nog trager ging... Heb logje samen met Hjt logje in de bijlage gezet.

hijackthis2.txt

mbam-log-2009-03-03 (22-37-03).txt

[kape]

Dit zou je nog eens correct moeten herhalen, want schijnt - om één of andere reden - niet gewerkt te hebben :

Open kladblok en plak volgende vetgedrukte tekst in een leeg venster:

REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"="avgrsstx.dll"

Sla dit op, op je Bureaublad als regfix.reg, met als type "alle bestanden"

Dubbelklik op regfix.reg en sta het toevoegen aan het register toe.

Download Combofix naar je Bureaublad.

OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw.

Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!

• 
  Dubbelklik op Combofix.exe om het te starten.
  Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate.
  Volg de instructies, aanvaard de disclaimer door op Ja te klikken.
  Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA).
  Klik op OK en Ja om automatisch de Recovery Console te laten installeren.
  Klik na afloop terug op Ja om het scannen op malware te starten.
  Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.
  

Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen.

Post dit logje in je volgende antwoord, samen met een nieuw log van HiJackThis.

[Flore]

Dit is mss een domme vraag, maar ik heb AVG 8.0, hoe kan ik deze uitschakelen? Als ik bij Resident Shield het vinkje van resident shield active uitzet, blijft deze namelijk actief en gebeurt er niks.

[kape]

HIER kan je een handleiding vinden voor het uitschakelen van allerlei scanners.

[Flore]

Ja, ik heb dat nu al meerdere keren zo gedaan, maar Combofix blijft zeggen dat AVG actief is.

[kape]

Als je alles correct hebt uitgevoerd, zitten we natuurlijk met een probleem. Eén mogelijkheid is om AVG volledig (maar tijdelijk) te verwijderen (als het om de free-versie gaat kan je deze altijd terug downloaden) ... en dan even Combofix binnen te halen via download. Risico is dan wel dat je even het net opgaat zonder virusscanner. Als je enkel naar Combofix gaat lijkt me dat niet echt een probleem, maar het blijft altijd een beetje tricky. Denk daar zelf even over na of je dit wel wil doen. In feite staat dat natuurlijk gelijk aan de andere actie waarbij je tijdelijk AVG-Resident Shield uitschakelt ... ook dan ben je even zonder scanner op het net.