virus

 mijn dochter had een roque virus , power cs geinstalleerd, kan nu mijn bureaublad en programma via start niet meer zien , hoe kan ik dat weer fixen? bvd hans

[Peter]

Welkom Hans,

Kun je wat meer informatie geven:
a) Welke Windows versie?
b) Start de computer nog wel op en kun je ermee naar de verkenner en op internet?
c) Welke virusscanner is geinstalleerd?


Groeten, Peter

windows7 ultimate, hij start nu weer op , maar het bureaublad komt niet terug , en de verkenner werkt niet altijd, maar ik werk veel met total commander, ik moet dan via programfiles de programmas op starten , als ze niet via de pictogrammen werken.
Dus de bureauinstellingen vanaf menu start en bureaublad zijn niet goed werkend , pictogrammen schijnen door , worden niet goed belicht, heb je een oplossing!! Mvrgr, Hans

oh ja virus scanner avast , ik heb het virus verwijderd met webroot secure , dus zie zijn gelukkig weg.

[Peter]

Hoi Hans,

Krijg je de verkenner wel via Taakbeheer - menu Bestand - "Nieuwe taak (uitvoeren)" - typ Explorer
Klik op OK

Avast en Webroot Secure? 2 antivirus pakketen op 1 systeem is niet verstandig. Die kunnen elkaar in de weg zitten.

Download MBAM (Malwarebytes' Anti-Malware).
(klik op Download Now, het bestand mbam-setup-x.xx.x.xxxx.exe wordt dan gedownload)

Dubbelklik erop na het downloaden om het programma te installeren.
Op de vraag 'Wilt u de evaluatieversie nu starten?' kies Weigeren
Verander geen instellingen tijdens de installatie.
Updates worden nu automatisch gedownload en geïnstalleerd.
Wacht tot het programma weer verschijnt.

Als je een antivirus-programma actief hebt, stop dat dan eerst. Het scannen van MBAM gaat dan een stuk sneller.
Ruim eventueel eerst de tijdelijke (internet) bestanden op.

Updaten:
Klik op tab "Update" en dan op "Controleer op updates".

Selecteer tab "Scanner", kies "Volledige Scan" en klik op Scan.
Het scannen kan een tijdje duren, dus wees geduldig.
Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is, daarna klik op "Verwijder geselecteerde".
Na het verwijderen zal een log openen en kan er gevraagd worden om de computer opnieuw op te starten.
Herstart de computer en MBAM
Ga naar tab "Logs" en dubbelklik op de logfile die als laatste gemaakt is.
Post de logfile als bijlage of kopieer de inhoud en plak dat in een nieuw bericht.


Peter

hallo Peter bedankt!! hier is het logfile!!

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Databaseversie: v2012.01.11.06

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
hans :: HANS-PC [administrator]

11-1-2012 7:42:42
mbam-log-2012-01-11 (19-42-42).txt

Scantype: Volledige scan
Ingeschakelde scanopties: Geheugen | Opstarten | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scanopties: P2P
Objecten gescand: 646121
Verstreken tijd: 1 uur/uren, 37 minuut/minuten, 24 seconde(n)

Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels gedetecteerd: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Victor Chandler (PUP.Casino) -> Succesvol in quarantaine geplaatst en verwijderd.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\JMHL Loader (Trojan.Dropper) -> Succesvol in quarantaine geplaatst en verwijderd.

Registerwaarden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registerdata gedetecteerd: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Slecht: (0) Goed: (1) -> Succesvol in quarantaine geplaatst en gerepareerd.

Mappen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Bestanden gedetecteerd:
C:\Poker\Victor Chandler\_SetupCasino_12e5.exe (PUP.Casino) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Program Files (x86)\GetData\Recover My Files v4\armaccess.dll (Malware.Packer) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Program Files (x86)\JMHL Loader\JMHL Loader.exe (Trojan.Dropper) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\hans\Downloads\Adobe.Keygens.CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\hans\Downloads\Adobe.Keygens.CORE\keygen.exe (Trojan.Agent.CK) -> Succesvol in quarantaine geplaatst en verwijderd.
D:\downloads\FDMSetup.exe (Adware.Hotbar) -> Succesvol in quarantaine geplaatst en verwijderd
D:\downloads\setup-trial.exe (Rogue.Installer) -> Succesvol in quarantaine geplaatst en verwijderd.

(einde)


Maar nu nog de vraag !! hoe komen mijn bureaublad en startmenu weer terug, gr. Hans

[Peter]

Hoi Hans,

Zoals verwacht zit er nog wat rommel op je computer.
Download RSIT naar je buroblad.

Start RSIT
(WinVista of Win7: Rechtsklik op RSIT en klik op "Uitvoeren als administrator")
Klik op Continue
Wacht tot het scannen klaar is, dit kan even duren!
(Start geen andere programma's zolang RSIT bezig is)
Notepad wordt geopend met het logbestand log.txt. Dit kan je afsluiten.
In de map C:\RSIT verschijnen nu 2 logbestanden: log.txt en info.txt
Post deze 2 bestanden als bijlage in een nieuw bericht.


Peter

zie bijlagen hoop dat je hiermede verder kunt voor een oplossing mijnerzijds gr. hans

[Peter]

Hoi Hans,

Je hebt een keygen gebruikt? Dat is meestal vragen om ongewenste beestjes!

Download HijackThis

In het kader Version 2.0.4, klik op de link Executable
Op de vraag "Wilt u dit bestand uitvoeren of opslaan ?" kies Opslaan.
Maak een nieuwe map, bijv HJT en plaats het bestand daarin.
Na het downloaden, kies Map openen.
Rechtsklik op HijackThis en klik op "uitvoeren als administrator"
Op de vraag "Wilt u dit bestand uitvoeren ?" kies uitvoeren
In Hijackthis, klik op de knop "Do a system scan and save a logfile"
Als deze knop niet verschijnt, klik op "Scan"
LET OP: sluit nu eerst alle verkenners en internet browsers!!!
Vink alleen deze regels aan:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=mtz&s={searchTerms}&f=4
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
(onnodige adobe opstart-items)
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
(deze adobe-items zijn ook nodig bij elke windows start?)
O4 - HKLM\..\Run: [EEventManager] "C:\Program Files (x86)\Epson Software\Event Manager\EEventManager.exe"
(alleen nodig als je op de epson printer/scanner de scan-knop gebruikt)
O4 - HKCU\..\Run: [Swhst] C:\Users\hans\AppData\Roaming\Swhst\swhst.exe

Klik op "Fix checked"

Download ESET Onlinescanner:

Klik op de knop "Run ESET Online Scanner"
Zet een vinkje bij YES, I accept the Terms of Use
Klik op Start
Installeer het ActiveX control.
Zet een vinkje bij:
- Remove found threats
- Scan archives
Klik op "Advanced Settings"
- Scan for potentially unwanted applications
- Scan for potentially unsafe applications
- Enable Anti-Stealth technology
Klik op Start
De computer wordt nu gescand. Dit kan even duren...
Na het scannen, klik op 'List of found threats'
Klik op 'Export to text file....'
Opslaan op het buroblad en geef een bestandsnaam, ala 'eset+datum'.
Daarna het venster sluiten.
Stuur het logbestand van eset, op je buroblad, als bijlage.


Peter

bureaublad heb ik nu op orde, alleen startmenu ontbreken mijn programmas nog maar we kunnen nu vooruit , dank u van harte , gegroet bij deze hans

[Peter]

Hoi Hans,

De ESET log geeft nog een hele reeks beestjes of restanten.

Start MBAM, updaten indien nodig, en doe een complete systeemscan.
Start Hijackthis, klik op Scan en als dat klaar is op "Save log". Geef een bestandsnaam en klik op Opslaan

Stuur de logbestanden van MBAM en Hijakthis als bijlage.

alleen startmenu ontbreken mijn programmas nog

Zijn die weg of transparant?


Peter

nou het startmenu is vanaf programmas leeg, alleen de nieuwe proggies staan erop !kijk in debijlage van de scans , ik hoor nog van je, gr. hans

[Peter]

Hoi Hans,

Er klopt iets niet met de log van MBAM:
- De tekst lijkt gekopieerd + er is een snelle scan ipv een volledige scan uitgevoerd.
Start opnieuw MBAM en controleer eerst op updates.
Op tab "Scanner", selecteer "Perform full scan" en klik dan op "Scan"

Start Hijackthis via rechtsklik en klik op "Uitvoeren als administrator"
Klik op Scan
Vink alleen de volgende items aan:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
(had je deze 3 de vorige ronde ook aangevinkt?)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=;ftp=;https=;
(als je geen proxyserver hebt mag je deze aanvinken)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
(restant van de Yahoo toolbar. had je deze de vorige ronde ook aangevinkt?)
Klik op "Fix checked"
Sluit Hijackthis

Geef antwoord op de 2 vragen bij de hijackthis items!!!

Klik op Start - typ in de witte balk CMD
Wacht tot deze naam of 'cmd.exe' bovenaan in de lijst verschijnt.
Rechtsklik erop en klik op "uitvoeren als administrator"
Het zwarte venster "cmd.exe" verschijnt.
Typ SC DELETE !SASCORE en druk op enter.
Sluit het venster.

Verwijder deze map:
C:\Program Files\SUPERAntiSpyware

Nu gaan we wat bestanden verwijderen:
Sluit alle openstaande programma's.
Start Hijackthis via rechtsklik en klik op "Uitvoeren als administrator"
Klik op Config - Misc tools - Delete a file on reboot
Selecteer het bestand
C:\Program Files (x86)\Mozilla Firefox\searchplugins\SearchquWebSearch.xml
Op de vraag "Wilt u de computer nu opnieuw opstarten?" klik Ja

Herhaal bovenstaande met deze bestanden:
C:\Program Files (x86)\Mozilla Firefox\searchplugins\yahoo-nl.xml
C:\Users\hans\AppData\Roaming\Mozilla\Firefox\Profiles\vbabwhpk.default\searchplugins\askcom.xml
C:\Users\hans\AppData\Roaming\Mozilla\Firefox\Profiles\vbabwhpk.default\searchplugins\conduit.xml
C:\Users\hans\AppData\Roaming\Mozilla\Firefox\Profiles\vbabwhpk.default\searchplugins\SearchquWebSearch.xml

We wachten verder even op de nieuwe MBAM log.


Peter

okay het gaat nu goed , heb alles uitgevoerd , ik dank je voor je goede uitleg en begeleiding, als ik nog iets voor jullie forum kan betekenen hoor ik dat graag. Mvrgr hans

mbam bijlage is naar mijn inziens nu goed.

[Peter]

Hoi Hans,

Er staan weer rare tekens in de mbam log. Open de laatste log eens met Notepad, selecteer alle tekst en plak dat in een bericht. Dus niet als bijlage sturen!

Als dit ook niet goed gaat moeten we met andere tools aan de slag.


Peter