Hijackthislog

Hoi Peter,
Ik heb het (bijna) duplikaat van de dubbele regel verwijderd en Acronis werkt nog steeds, dus het verwijderen heeft niets verziekt. De computer werkt nog steeds traag, hoewel iets minder dan vóór onze opruimactie. Ik heb de versie 2011 van Acronis op CD en kan die waarschijnlijk weer installeren en mijn geld terug vragen voor de upgrade.
 
 
m.vr.gr.,
 
Jan

[Peter]

Hoi Jan,

Je laatste HijackThis log is gemaakt met een oudere versie van HijackThis.
Je hebt blijkbaar 2 versies op je computer staan.
Start aub HijackThis vanuit deze map: F:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
en post een nieuwe log.

Uit je laatste AutoRuns log blijkt niet dat je 1 van de 2 "Acronis Scheduler Helper" hebt uitgeschakeld.
Ook heb je niet de software ge-deinstalleert wat ik eerder vroeg. Waarom niet?
Door dit laatste is nu o.a je IE startpagina gewijzigd.

De-installeer daarom BearShare en ook de software die ik eerder opsomde.
Maak daarna een nieuwe AutoRuns log.


Peter

Hoi Peter,
BearShare is direct verwijderd via NOD32. Ik hield inderdaad een probleem met een restant van BearShare in IE, maar dat heb ik via HiJackThis opgelost en vervangen door google, zoals het was.
Dat er twee versies van HiJackThis op mijn PC staan is mogelijk. Ik wist niet meer waar het programma was opgeslagen en heb dus gezocht met Zoeken met kennelijk als resultaat een oude versie. Een nieuwe log gaat hierbij van zowel HJT als AutoRuns.
Omdat de opstartprogramma's alleen na een herstart worden getoond, sluit ik mijn computer af en draai Autoruns opnieuw.
Ik heb een aanwijzing voor je voor de mogelijke oorzaak van de trage PC. Het heeft inderdaad met Acronis True Image te maken volgens een melding op internet. Sinds ongeveer ruim een week krijg ik af en toe de foutmelding "Wrappers for Parallels Report has encountered a problem and needs to be closed".
Het lijkt me het beste  Acronis te verwijderen en opnieuw te installeren, maar dan de versie 2011 i.p.v. de upgrade. Omdat ik dat programma niet meer vertrouw heb ik om "money back"  gevraagd.
Sorry Peter, maar ik had de dubbele Acronisregel wel degelijk uitgeschakeld, zoals uit de nieuwe Autoruns die ik net gedraaid heb bleek. Beide logs gaan hierbij.
 
 
m.vr.gr.,
 
Jan

[Peter]

Hoi Jan,

Sorry Peter, maar ik had de dubbele Acronisregel wel degelijk uitgeschakeld, zoals uit de nieuwe Autoruns die ik net gedraaid heb bleek.

Geen probleem hoor, maar ik kan je computer niet 'zien' en moet dus afgaan op de informatie die je geeft.
De HijackThis log is weer met de verouderde versie gemaakt:
Logfile of Trend Micro HijackThis v2.0.2
F:\DOWNLOAD\PERMANENT\HJT\HijackThis.exe

Start deze HijackThis.exe, dat is versie 2.0.4:
F:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

De AutoRuns log toont nog steeds de 2 Acronis items en BearShare is deels verwijdert.
De-installeer nu eerst via Configuratiescherm - Software:

BearShare
Mediabar
WinCore Mediabar
WiseConvert Toolbar

Herstart je computer.

Tevens klopt er iets niet aan de AutoRuns log. Deze lijkt bewerkt te zijn met een editor. Graag het originele export bestand van AutoRuns posten.


Peter

Hoi Peter,
In het Configuratiescherm stond alleen nog WiseConvert Toolbar. De andere waren alle verwijderd. Mogelijk heb ik bij het verzenden een vorige uitvoering verzonden. De Autoruns is gekopieerd naar een kladblokbestand omdat verzenden als bijlage
vaak met dit soort bestanden geweigerd wordt. Ik stuur je beide logs opnieuw toe in de nu gemaakte versies.
 
 
m.vr.gr.
 
Jan

Peter, ik ben nog wat vergeten. Wat vind je van mijn suggestie Acronis True image te verwijderen en de oude versie te installeren. Ik wacht daar nog mee tot na je bevindingen t.a.v. de Wrapper fout.
 
 
Jan

[Peter]

Hoi Jan,

Stap 1:
Start HijackThis (versie 2.0.4):
Klik op 'Do a system scan only'.
Vink alleen onderstaande items aan:
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKLM\..\Run: [TrueImageMonitor.exe] "C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\Jan van der Peet\Local Settings\Application Data\Akamai\netsession_win.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

Klik op 'Fix checked'
Sluit HijackThis.

De Autoruns is gekopieerd naar een kladblokbestand omdat verzenden als bijlage
vaak met dit soort bestanden geweigerd wordt.

Je hebt eerder wel het originele export bestand van AutoRuns gepost.
Waarom je nu denkt dat dat een probleem is is mij onduidelijk. Beide zijn tekstbestanden.
Nogmaals, post het originele export bestand als daarom gevraagd wordt.

Stap 2:
Start AutoRuns
Vink de volgende items UIT:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   DATAMNGR
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
   DataMngr
   Wincore Mediabar
HKLM\Software\Microsoft\Internet Explorer\Toolbar
   Wincore Mediabar
Task Scheduler
   Check for updates (Spybot - Search & Destroy).job
   RealUpgradeLogonTaskS-1-5-18.job
   RealUpgradeLogonTaskS-1-5-21-1202660629-602162358-725345543-1003.job
   RealUpgradeScheduledTaskS-1-5-18.job
   RealUpgradeScheduledTaskS-1-5-21-1202660629-602162358-725345543-1003.job
   Refresh immunization (Spybot - Search & Destroy).job
   Scan the system (Spybot - Search & Destroy).job
HKLM\System\CurrentControlSet\Services
   Avgfwdx
   Avgfwfd
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
   G:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\datamngr.dll
   G:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\IEBHO.dll

Sluit AutoRuns

Stap 3:
Post een nieuwe HijackThis log en AutoRuns log.

Hoi Peter,
 
Aangehecht screenshot geeft aan waarom ik eerder een teksbestand van Autoruns  stuurde. Het enige wat ik dus kan doen is er een tekstbestand of een log van maken.
 
 
Jan

[Peter]

Hoi Jan,

Aangehecht screenshot geeft aan waarom ik eerder een teksbestand van Autoruns  stuurde.

Een .arn bestand kun je inderdaad niet uploaden.
Je hebt een stap overgeslagen in de procedure, zie de rode regel hieronder.

Er wordt nu een lijst samengesteld van alle automatisch gestarte programma's, uitgezonderd die van Microsoft en Windows.

Klik op menu File - Save
Bij "Opslaan als type", selecteer "Text (*.txt)"
Klik op Opslaan
Post de logfile in een nieuw bericht.


Peter

Peter,
Hier komt de Autoruns.
Zonder tegenbericht ga ik Acronis True Image morgen compleet verwijderen, tenzij je iets anders vermoedt achter de onwerkzame PC.
 
 
Jan

[Peter]

Hoi Jan,

Hier komt de Autoruns.

Ok, dat ziet er al beter uit.
Verwijder de volgende map:
g:\program files\bearshare applications\

Ik zie dat je inmiddels ook "Malwarebytes Anti-Malware" geinstalleerd hebt.
Wacht even met Acronis de-installeren.
Geef eerst antwoord op deze vragen:
a) Heb je met "Spybot S&D 2" een volledige systeemscan gedaan enof heeft het iets gevonden?
    Zoja, post deze resultaten.

b) Heb je met "Malwarebytes Anti-Malware" een volledige systeemscan gedaan enof heeft het iets gevonden?
Zoja, post deze resultaten.
Zonee, controleer eerst op updates en doe dat dan alsnog. Post de resultaten log.


Peter
 

Peter,
Spybot heeft het een en ander gevonden. Zie printscreen.
Malwarebytes heeft niets gevonden (Spybot had dat al geaan).
 
 
Jan
 

[Peter]

Hoi Jan,

Spybot heeft het een en ander gevonden. Zie printscreen.

Waarschijnlijk allemaal cookies. Laat ze aangevinkt en klik op "Geselecteerde problemen repareren".
Daarna mag je Spybot S&D 2 de-installeren, of anders het TeaTimer onderdeel uitschakelen. Dan geeft je computer wat meer vrij geheugen. Ik zou af en toe een volledige systeemscan doen met MBAM.

Doe eens een volledige systeemscan met ESET OnlineScanner
Klik op de knop "Run ESET Online Scanner"
Zet een vinkje bij YES, I accept the Terms of Use
Klik op Start
Installeer het ActiveX control.
Zet een vinkje bij:
- Remove found threats
- Scan archives
Klik op "Advanced Settings" en zink een vinkje bij:
- Scan for potentially unwanted applications
- Scan for potentially unsafe applications
- Enable Anti-Stealth technology
Klik op Start
De computer wordt nu gescand. Dit kan even duren...
Na het scannen, klik op "List of found threats"
Klik op "Export to text file...."
Geef een bestandsnaam, zoals "ESET+datum" en kies opslaan op het bureaublad.
Daarna het venster sluiten.
Stuur het logbestand als bijlage.


Peter

Hoi Peter,
Hier is de scan. Ik heb de betreffende  onderdelen verwijderd en opnieuw opgestart. Maar de computer is nog even traag.
Bij het scannen kwam ook NOD32 met een waarschuwing. Ik begrijp niet dat NOD32 de met de online scan gevonden fouten
ook niet gevonden heeft. Ik neem aan dat ze dezelfde software gebruiken. Ik hecht beide aan.
Dus toch maar Acronis verwijderen?
 
 
Jan

[Peter]

Hoi Jan,

Er staan nog wat restanten van MediaBar op je computer.
Verwijder de volgende vetgedrukte submap:
G:\Recycled\Dg1\MediaBar

Start Schijfopruiming om tijdelijke bestanden en de prullenbak op te ruimen:
Ga naar Start - Uitvoeren
Typ CLEANMGR en klik op OK
Plaats een vinkje bij:
Tijdelijke Internet-bestanden
Tijdelijke bestanden
Prullenbak

Klik op OK en dan op Ja.

De licentie van NOD32  v5 is verlopen op 9-1-2011 ? Dat is meer dan een jaar geleden.
Klopt je systeemdatum en tijd?

Sluit Windows af. Schakel de computer uit. Trek het netsnoer uit het stopcontact en druk een paar keer op de aan/uit knop.
Sluit het netsnoer weer aan en herstart je computer.
Klopt de systeemdatum en tijd nu nog?


Peter