Zware virusinfectie

[Woudje100]

Hallo,

Zorg er voor dat je aangemeld bent op een account met administrator rechten!!

Schakel tijdelijk Windows Defender uit
Want deze kan voor stoorzender spelen bij het fixen met HJT (de fix terug ongedaan maken)

• Open Windows Defender > Klik Tools
• Klik "General Settings" of Options
• Scroll naar "Real Time Protection Options"
• Haal het vinkje weg bij "Turn on Real Time Protection (recommended)" > Klik "Save"
• Sluit Windows Defender
  (als de problemen over zijn, logje weer schoon verklaard is, kan je 'm weer aanzetten)

De Conduit Engine toolbar staat nog steeds op je computer!

Ga naar Start ->Configuratiescherm -> Programma's en onderdelen en verwijder daar Conduit Engine

Herstart je computer.

Je gebruikt nog steeds een verouderde versie van MBAM:ahhhhh:

Start MalwareBytes' Anti-Malware (MBAM)

• Klik op het tabblad "Update" en vervolgens op "Controleer op updates"
• Klik op het tabblad "scanner"
• Kies de optie "snelle scan" en klik op "scannen"
• Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
• Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
• Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.

Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma. Post dit logje met je volgende antwoord.

Download ComboFix van één van deze locaties:

Link 1
Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op.
>>Hier<< kunt u lezen hoe u Combofix dient te gebruiken.

1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix.

* (hier of hier staat een handleiding over hoe je deze kan uitschakelen

2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal.
3. Dubbelklik op "Combofix.exe" om de tool te starten.
4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen.

* Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion." herstart dan de computer.

5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Woudje100

 

[eldritch65]

Hallo

Hierbij het logje van MBAM. ik weet niet wat deze morgen gebeurd is want hij had wel degelijk een update gedaan en klaarblijkelijk niet de juiste. Nu denk ik is het wel degelijk de juiste versie.
ik heb ook combifix geïnstalleerd en alle scanners afgezet maar van zodra ik combifix laat lopen krijg ik een blauw scherm met Physical memory dump en de pc start op nieuw op.
Ik weet het niet meer eerlijk gezegd en ben beetje aan eind van mijn latijn;!
Ik weet echt niet meer wat ik verkeerd doe.

Ik dank je reeds voor het geduld en de geboden hulp

het logje

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Databaseversie: 5426

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999

31/12/2010 13:36:08
mbam-log-2010-12-31 (13-36-08).txt

Scantype: Snelle scan
Objecten gescand: 149043
Verstreken tijd: 11 minuut/minuten, 41 seconde

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 11
Registerwaarden geïnfecteerd: 0
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 1
Bestanden geïnfecteerd: 13

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\CLSID\{36CF5912-3371-0A2A-1457-24B46C7146E5} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36CF5912-3371-0A2A-1457-24B46C7146E5} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{36CF5912-3371-0A2A-1457-24B46C7146E5} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\B60JHDGR6V (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\$NtUninstallMTF197$ (Adware.Adrotator) -> Quarantined and deleted successfully.

Registerwaarden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Mappen geïnfecteerd:
c:\Windows\$ntuninstallmtf197$ (Adware.Adrotator) -> Quarantined and deleted successfully.

Bestanden geïnfecteerd:
c:\Windows\System32\mssttkprp.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Ikke\AppData\Local\Temp\dne12a4.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Ikke\AppData\Local\Temp\dnee7c.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Ikke\AppData\Local\Temp\dne1bcb.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Ikke\AppData\Local\Temp\dne44d.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Ikke\AppData\Local\Temp\dne48a9.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Ikke\AppData\Local\Temp\dne5124.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Ikke\AppData\Local\Temp\dnec93.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Ikke\AppData\Local\Temp\dned03f.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Ikke\AppData\Local\Temp\dne1cf9.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Ikke\local settings\temporary internet files\Content.IE5\VBG0W3RR\13[1].png (Extension.Mismatch) -> Quarantined and deleted successfully.
c:\Windows\$ntuninstallmtf197$\apuninstall.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
c:\Windows\$ntuninstallmtf197$\zrpt.xml (Adware.Adrotator) -> Quarantined and deleted successfully.


Mvg

Peter

 

[Woudje100]

Hallo,

Download HostsXpert
Unzip het programma naar je Bureaublad.
Open de map en dubbelklik op Hoster.exe
Klik op "Restore Microsofts Original Hosts File"
Klik op "OK" en sluit het programma.

Download de Kaspersky Virus Removal Tool 2010 naar uw Bureaublad.
Herstart uw computer in de Veilige modus, zie hier voor meer informatie.
Note:
In de veilige modus heeft u geen internet, druk de volgende instructies af of sla ze op in een tekstbestand

De installatie
- - - - - - - - -

1. Dubbelklik op de setup om het programma te installeren (de setup is als volgend genoemd: setup_<versie>_<datum>_<tijd>.exe)
2. Accepteer de beveiligingswaarschuwing van Windows om het programma uit te voeren.
3. Kies Nederlands als taal tijdens de installatie en klik op OK om verder te gaan.
4. Klik op Volgende bij het welkomstvenster dat u te zien krijgt.
5. Selecteer "Ik accepteer de licentieovereenkomst" en klik op Volgende.
6. Klik op Volgende wanneer u gevraagd wordt om een doelmap voor de installatie op te geven. Standaard is dit in de map Virus Removal Tool op het Bureaublad.
7. Het programma zal automatisch starten na de installatie.

Het scannen
- - - - - - - - -

1. Onder het tabblad Autoscan moeten de volgende items aangevinkt zijn:
   
   • Verborgen opstartobjecten
   • Systeemgeheugen
   • Opstartsectoren
   • Deze computer
2. Kies het Aanbevolen beschermingsniveau.
3. Verander de actie Bij detectie van een bedreiging naar selecteer actie, u moet nu het volgende zien:
   "Desinfecteren, verwijderen als er niet gedesinfecteerd kan worden".
4. Klik op Scan beginnen.

Note: deze scan kan lang duren, u kan echter instellen dat de computer zichzelf uitschakelt wanneer de scan klaar is. Deze instelling is beschikbaar vanaf de scan gestart is. Klik hiervoor op "Laat de computer" aan en selecteer Afronden.

De resultaten
- - - - - - - - -

1. Indien u gekozen hebt om de computer automatisch af te sluiten na het scannen, dan ziet u bij de volgende herstart een venster met de resultaten van de scan.
   Indien u niet gekozen hebt om de computer automatisch af te sluiten na het scannen, dan klikt u op Rapport rechtsonder.
   
2. Klik nu op Opslaan linksboven. Bewaar de resultaten op uw Bureaublad met als Bestandsnaam AVP en zorg ervoor dat *.txt geselecteerd is als optie bij Opslaan als type.
3. Sluit de Kaspersky Virus Removal Tool af en laat de toepassing zichzelf verwijderen.
4. Herstart de computer in de Normale modus.
5. Open AVP.txt op uw Bureaublad en klik op Bewerken>Alles selecteren, vervolgens Bewerken>Kopiëren.
6. Navigeer naar dit topic en plak de inhoud die u net gekopieerd heeft in uw volgende post (rechtsklik in het tekstvak en klik op Plakken).

Post ook een nieuw HijackThis logje ter controle.

Woudje100

 

[eldritch65]

Hello

Ok bedankt. Van zodra ik de resultaten heb laat ik u die weten. Kan zijn dat wat langer duurt gezien de speciale dagen

Mvg

Peter

 

[eldritch65]

Zware Virusinfectie

Zware Virusinfectie

Hello

Hierbij de twee logjes zoals je gevraagd hebt :

het logje van avp

Autoscan: gestopt 46 minuten geleden (gebeurtenissen: 3, objecten: 22, tijd: 00:12:25)
5/01/2011 9:00:33 Taak gestopt Standaard actie geselecteerd
5/01/2011 8:50:50 Gevonden: Trojan.Win32.Powp.gen C:\Program Files\FileHippo.com\UpdateChecker.exe Standaard actie geselecteerd
5/01/2011 8:48:08 Taak gestart Standaard actie geselecteerd
Desinfecteer actieve bedreigingen: voltooid 39 minuten geleden (gebeurtenissen: 2, objecten: 1702, tijd: 00:07:05)
5/01/2011 9:07:38 Taak voltooid Standaard actie geselecteerd
5/01/2011 9:00:33 Taak gestart Standaard actie geselecteerd
Autoscan: defect (gebeurtenissen: 1, objecten: 0, tijd: Onbekend)
5/01/2011 9:01:40 Taak gestart Standaard actie geselecteerd
Autoscan: gestopt <1 minuut geleden (gebeurtenissen: 2, objecten: 119, tijd: 00:02:59)
5/01/2011 9:46:21 Taak gestopt Standaard actie geselecteerd
5/01/2011 9:43:22 Taak gestart Standaard actie geselecteerd


Het logje van HJT

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:01:49, on 5/01/2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18999)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\Windows Searchqu Toolbar\Datamngr\datamngrUI.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\explorer.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Compaq | MSN
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Compaq | MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Yahoo! UK
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Yahoo! Search - Web Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Yahoo! Search - Web Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! UK
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {9565115d-c7d6-46d3-bd63-b67b481a4368} - (no file)
R3 - URLSearchHook: (no name) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)
O2 - BHO: IEPlugin Class - {11222041-111B-46E3-BD29-EFB2449479B1} - C:\PROGRA~1\ArcSoft\MEDIAC~1\INTERN~1\ARCURL~1.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.4.12.6.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: AOL Toolbar BHO - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O2 - BHO: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~1\Windows Searchqu Toolbar\ToolBar\SearchquDx.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O3 - Toolbar: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~1\Windows Searchqu Toolbar\ToolBar\SearchquDx.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\Windows Searchqu Toolbar\Datamngr\datamngrUI.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Software Informer\softinfo.exe" -autorun
O4 - HKCU\..\Run: [msnotepad] C:\Users\Ikke\AppData\Roaming\wscntfy.exe
O4 - HKCU\..\Run: [Update Service] C:\Program Files\Common Files\Teknum Systems\update.exe "/startup"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [!SearchquFF] RUNDLL32.EXE C:\Windows\TEMP\InstallHelper.dll,_SetFFAssets Search Search,WebSearch,Search-results Web Search, (User 'SYSTEEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [!SearchquFF] RUNDLL32.EXE C:\Windows\TEMP\InstallHelper.dll,_SetFFAssets Search Search,WebSearch,Search-results Web Search, (User 'Default user')
O8 - Extra context menu item: &AOL-werkbalk Zoeken - C:\ProgramData\AOL\ieToolbar\resources\nl-BE\local\search.html
O8 - Extra context menu item: &D&ownload &met BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload alles met BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Free YouTube Download - C:\Users\Ikke\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Ikke\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.4.12.6.dll/206 (file missing)
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\Program Files\Ashampoo\Ashampoo WinOptimizer 7\Dfsdks.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: ISP Monitor (ISPMonitorSrv) - How2 Studios - C:\Program Files\ISP Monitor\ISPMonitorSrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 10954 bytes


Hopelijk is er al weer wat beterschap

Dank bij voorbaat

Mvg

Peter

 

[Antwanneke]

bij de browser helper objects heb je wel één en ander staan dat voor mij weg mag. tenzij je er héél erg aan houdt natuurlijk, maar het kan spy opleveren. het is sowieso een hook die kan misbruikt worden.

ik zou de toolbars van AOL, Live, Bitcomet, Conduit en Acrobat verwijderen. als je dat doet laat je best een registeropschoner zoals Ccleaner draaien daarna.

bij je voorkeursinstellingen van IE zie ik dat je verliefd bent op Yahoo. is daar een reden voor? de instellingen op deze manier lijken mij 'prefab' en geforceerd geïnstalleerd.

onder services zie ik dat je zowel avira als avast draait. maak een keuze en gebruik slechts 1 AV, meer kan conflicten geven. ik zou voor Avast! kiezen.

 

[Woudje100]

Hallo,

Voer al mijn stappen precies uit zoals ik heb uitgelegd!!


Schakel tijdelijk Windows Defender uit
Want deze kan voor stoorzender spelen bij het fixen met HJT (de fix terug ongedaan maken)

• Open Windows Defender > Klik Tools
• Klik "General Settings" of Options
• Scroll naar "Real Time Protection Options"
• Haal het vinkje weg bij "Turn on Real Time Protection (recommended)" > Klik "Save"
• Sluit Windows Defender
  (als de problemen over zijn, logje weer schoon verklaard is, kan je 'm weer aanzetten)

Ga naar Start -> Configuratiescherm -> Programma's en onderdelen en verwijder daar het volgende:

Searchqu Toolbar
Conduit Engine

Herstart je computer!!

Start MalwareBytes' Anti-Malware (MBAM)

• Klik op het tabblad "Update" en vervolgens op "Controleer op updates"
• Klik op het tabblad "scanner"
• Kies de optie "snelle scan" en klik op "scannen"
• Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
• Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
• Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.

Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma. Post dit logje met je volgende antwoord.

Download ComboFix van één van deze locaties:

Link 1
Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op.
>>Hier<< kunt u lezen hoe u Combofix dient te gebruiken.

1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix.

* (hier of hier staat een handleiding over hoe je deze kan uitschakelen

2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal.
3. Dubbelklik op "Combofix.exe" om de tool te starten.
4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen.

* Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion." herstart dan de computer.

5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Woudje100

 

[eldritch65]

Hallo Antwanneke

Ja de toolbars die je vemeld zal ik wegdoen. Inzake de IE : ja da is nog van in het begin dat de Yahoo instellingen darop staan. Gezien ik nooit IE gebruik heb ik dit nooit verwijderd of aangepast. Ik zal daar werk van maken deze te verwijderen. Is nog van de tijd dat ik voltijds op Yahoo zat voor communicatie met de mensen aldaar.
Inzake de virusscanner's : de avira is reeds tijdje gewist. Ik draai alleen nog op avast omdat ik ook vind dat dit de beste is.

Dank voor uw opmerking. Ik doe het nodige

Mvg

Peter

 

[eldritch65]

Hallo woud

Bedankt voor de info. ik doe het nodige. Maar ik heb de indruk dat u denkt dat ik uw stappen niet opvolg. Dit is zeker niet het geval. Ik volg alles zoals je mij vraagt maar heb de indruk dat de resultaten dan in mijn nadeel spreken. Zoals de Conduit engine : ik heb deze met de tool van windows verwijderd maar zag nu ook dat hij er nog steeds inzat. Ik heb dan terug gekeken bij configuratiescherm maar daar vond windows deze zelfs al niet. Ik heb deze dan handmatig opgespoord en ze verwijderd met ashampoo advanced. Deze zou nu moeten volledig verwijderd zijn. Idem voor Searchqu toolbar. Windows vond die niet en heb deze opdezelfde manier verwijderd als met conduit engine.
Ook voor de afstelling van Windows defender : deze staat wel degelijk af. Ik heb alle scanner's afgezet, avast windows defender, firewall alles. ik kan alleen maar doen wat u mij vraagt maar klaarblijkelijk zijn de resultaten mij niet gunstig gezind.
Ik zal de nodige log's terugzetten als ik de bewerkingen heb uitgevoerd.

Reeds mijn grote dank voor alles.

Mvg

Peter

 

[eldritch65]

Zware Virusinfectie

Zware Virusinfectie

Hallo

Hierbij de logjes die gevraagd werden. Voor MBAM heb ik de update uitgevoerd en het logje vind u hieronder.
Voor combofix had ik weer hetzelfde probleem als voorheen zijnde het blauwe scherm met fysical dump of memory. Ik heb dan combofix uitgevoerd als administrator en dit ging zonder problemen.

De logjes van MBAM en Combofix zijn in de bijlagen terug te vinden.

Hierbij dan het logje van HJT

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:46:05, on 6/01/2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18999)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\notepad.exe
C:\Windows\explorer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Windows\system32\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Compaq | MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! UK
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: IEPlugin Class - {11222041-111B-46E3-BD29-EFB2449479B1} - C:\PROGRA~1\ArcSoft\MEDIAC~1\INTERN~1\ARCURL~1.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.4.12.6.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Software Informer\softinfo.exe" -autorun
O4 - HKCU\..\Run: [Update Service] C:\Program Files\Common Files\Teknum Systems\update.exe "/startup"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: &D&ownload &met BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload alles met BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Free YouTube Download - C:\Users\Ikke\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Ikke\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.4.12.6.dll/206 (file missing)
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\Program Files\Ashampoo\Ashampoo WinOptimizer 7\Dfsdks.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: ISP Monitor (ISPMonitorSrv) - How2 Studios - C:\Program Files\ISP Monitor\ISPMonitorSrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 7785 bytes

De firewall en avast heb ik al weer ingeschakeld. Windows defender heb ik nog niet weer ingeschakeld.

Hopelijk al weer wat beter

Dank

Mvg

Peter

 

[Ivan]

Woudje is niet langer lid hier op het forum, op zijn vraag is zijn account verwijderd.