Archief - [deleted]

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.

Jurgenv1

Legacy Member
* Je kan deze instructies best uitprinten of opslaan in een kladblokbestand, want straks zal je in veilige modus
moeten gaan werken, en dan is deze pagina niet beschikbaar (geen internet)

* Download smitRem.exe en sla dit op op het Bureaublad.
Dubbelklik op het bestand en pak het uit naar zijn eigen map op het Bureaublad.


* Download, installeer en update de free trial versie van Ewido Security Suite

  1. Tijdens de installatie, onder "Additional Options", haal je de vinkjes weg bij "Install background guard" en "Install scan via context menu".
  2. Als je Ewido voor de eerste keer runt, zal je een foutmelding krijgen "Database could not be found!". Klik dan op OK. Dit is normaal.
  3. In het hoofdscherm van Ewido, klik je op update in het linker menu, en vervolgens op de Start update knop.
  4. Als de updates gedaan zijn, zal er op de status bar beneden "Update successful" staan.
  5. Sluit Ewido. Laat het nog niet scannen

* Als je Adaware SE nog niet geïnstalleerd hebt, download, installeer en update het dan volgens de richtlijnen
die je kan vinden op: http://users.pandora.be/marcvn/spyware/1414188.htm

* ga naar start==>configuratiescherm==>software en de-installeer indien aanwezig:
UnSpyPC <== lees dit eens:
http://www.spywarewarrior.com/rogue_anti-spyware.htm

* Start je computer op in VEILIGE MODUS


* open hijackthis en vink volgende regels aan:

F2 - REGystem.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5613BD7A-A429-4EA7-9237-E961B456DCB6}: NameServer = 85.255.115.35,85.255.112.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{79DA91D3-2557-4747-AF21-96A8911F7CA9}: NameServer = 85.255.115.35,85.255.112.126
O17 - HKLM\System\CS1\Services\Tcpip\..\{5613BD7A-A429-4EA7-9237-E961B456DCB6}: NameServer = 85.255.115.35,85.255.112.126
O17 - HKLM\System\CS2\Services\Tcpip\..\{5613BD7A-A429-4EA7-9237-E961B456DCB6}: NameServer = 85.255.115.35,85.255.112.126


* sluit dan alle vensters behalve hijackthis en klik op 'fix checked'

* verwijder volgende map indien aanwezig:

C:\Program Files\UnSpyPC

* verwijder ook volgende bestanden indien aanwezig:

C:\WINDOWS\System32\kernels32.exe
C:\WINDOWS\System32\hgqhp.exe

* Open de smitrem-map op je bureaublad, en dubbelklik op RunThis.bat. Volg de aanwijzigingen op het scherm.
Je bureaublad en ikoontjes zullen even verdwijnen en daarna terug verschijnen, dit is normaal.
Wacht tot het tooltje zijn werk heeft gedaan en Disk Cleanup afgelopen is. Dit kan enige tijd duren, dus wees geduldig.

* Voer een volledige scan uit met Adaware en verwijder alles wat gevonden wordt.

* Open Ewido Security Suite
  • klik op Scanner
  • Klik op complete system scan
  • Laat het programma je pc scannen
Tijdens de scan zal je gevraagd worden of je gevonden bestanden wil verwijderen. Klik dan op OK
Als de scan beëindigd is, zal je een knop zienBewaar rapport
  • Klik op Bewaar rapport
  • Sla het rapport op op je bureaublad
  • Sluit Ewido af

* Ga dan naar Start -> configuratiescherm -> vormgeving en thema's -> bureaublad ->bureaublad aanpassen -> Website -> haal het vinkje weg bij "Security Info" als het er nog staat.

* Herstart je computer in normale modus.

* Doe een online scan via Panda's online virus scan en bewaar het rapport dat je krijgt na het scannen

* Herstart je pc nogmaals en plaats dan een nieuw logje van Hijackthis, samen met het rapport van Ewido en Panda, Post de log van de smitRem tool, die je hier kan vinden: C:\smitfiles.txt.

Jurgenv1

Legacy Member
klik op start=>uitvoeren en typ daar services.msc.
Zoek in die lijst dan naar messenger en dubbelklik er op.
Klik dan op stoppen en kies bij "opstarttype" voor uitgeschakeld

* start je pc in veilige modus

* open hijackthis en vink volgende regel aan:

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

* sluit dan alle vensters behalve hijackthis en klik op 'fix checked'

* verwijder volgende map:

C:\Documents and Settings\All Users\Favorieten\AdultGambling.url

* verwijder volgende bestanden via verkenner:

C:\WINDOWS\rdt.ini
C:\WINDOWS\system32\vxh8jkdq2.exe
C:\WINDOWS\System32\hgqhp.exe

* start je pc weer normaal en doe opnieuw een scan met panda en post het resultat terug hier met een nieuw hijackthis logje

Jurgenv1

Legacy Member
* Download F-Secure Blacklight naar je bureaublad: http://www.europe.f-secure.com/exclude/blacklight/blbeta.exe
Dubbelklik op blbeta.exe om het programma te starten.
Klik: I accept the agreement > Next
Klik: Scan > Next.
Blacklite zal scannen en een lijst van bestanden weergeven die gevonden zijn.
Laat nog niets hernoemen! Want er staan ook Windows-onderdelen tussen die nodig zijn voor je systeem. Daarom heb ik eerst het logje nodig van Blacklight.
Die zal op je bureaublad staan met de naam fsbl.xxxxxxx.log (de xxxxxx staan voor getallen). Kopieer de inhoud van dat log en plaats het hier in je volgende bericht.

Jurgenv1

Legacy Member
* Zorg ervoor dat verborgen bestanden worden weergegeven: http://users.telenet.be/marcvn/spyware/1117602.htm

* 1. Open Blacklight en laat het opnieuw scannen. Klik daarna Next.
Selecteer de volgende items (één voor één) en kies steeds voor hernoemen:

C:\WINDOWS\system32\wbem\wbemtest.exe
C:\WINDOWS\system32\favme.exe
C:\WINDOWS\system32\filesaver32.exe
C:\WINDOWS\system32\hlmicro.exe
C:\WINDOWS\system32\hwiper.exe
C:\WINDOWS\system32\csyez.exe

Na het hernoemen moet je Next klikken.
Blacklight zal tenslotte aangeven dat de pc opnieuw moet worden opgestart. Start de pc dan dus opnieuw op.
.

2. Na het heropstarten, open je de map C:\WINDOWS\system32

Zoek naar de bestanden die je met Blacklight hebt hernoemd, dus naar:


C:\WINDOWS\system32\wbem\wbemtest.exe
C:\WINDOWS\system32\favme.exe
C:\WINDOWS\system32\filesaver32.exe
C:\WINDOWS\system32\hlmicro.exe
C:\WINDOWS\system32\hwiper.exe
C:\WINDOWS\system32\csyez.exe

Let op: waarschijnlijk staat er nu .ren achter de bestandsnamen, dus:

C:\WINDOWS\system32\wbem\wbemtest.exe.ren
C:\WINDOWS\system32\favme.exe.ren
C:\WINDOWS\system32\filesaver32.exe.ren
C:\WINDOWS\system32\hlmicro.exe.ren
C:\WINDOWS\system32\hwiper.exe.ren
C:\WINDOWS\system32\csyez.exe.ren

Verwijder die bestanden indien aanwezig.
Leeg daarna de prullenbak.


* Start de pc opnieuw op.

* Maak een nieuw Blacklight-logje en plaats dat hier met een nieuw logje van hijackthis. (Verwijder om verwarring te voorkomen eerst het oude Blacklight-log van je pc)

Jurgenv1

Legacy Member
* open hijackthis en vink volgende regel aan:

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

* sluit dan alle vensters behalve hijackthis en klik op 'fix checked'

* maak alle verborgen mappen en bestanden zichtbaar en verwijder dan in veilige modus, volgend bestand:

C:\WINDOWS\System32\hgqhp.exe

* start je pc weer normaal

* Download Rootkitrevealer.
unzip het en dubbelklik op RootkitRevealer.exe
Laat het programma zijn werk doen.
Wanneer het klaar is ga je naar "File" en kies je voor "Save".
Het log van RootkitRevealer wordt nu opgeslagen.
Post de inhoud van dit logje met een nieuw hijackthis logje

Jurgenv1

Legacy Member
graag gedaan ;)

Nog een paar tips om problemen te voorkomen in de toekomst:

Installeer alvast volgende GRATIS programmatjes indien je ze nog niet hebt:

Spywareblaster
Adaware se
Spybot s&d


Tijdens het surfen, klik niet overal klakkeloos op ja als je dit gevraagd wordt... doe dit enkel wanneer je het volledig vertrouwt.

En kies eventueel een alternatieve browser zoals Opera of Firefox.

En ik raad je ook aan om af en toe een online virusscan uit te voeren. housecall en/of Bitdefender. Want, wat de ene scanner niet kan vinden, kan een andere misschien wel.
Zorg er ook voor dat je virusscanner die op je systeem geïnstalleerd is altijd up to date is!!

En... geregeld eens een bezoekje brengen aan: http://windowsupdate.microsoft.com/

Bekijk ook eens deze 2 filmpjes.. Heel interessant:
http://www2.trosradar.nl/mediaplayer/player.php?videoID=524&mode=dossier#
http://www.benedelman.org/spyware/security-111804.wmv


Meer preventietips zijn ook op volgende sites te vinden:

http://www.bluemedicine.be
http://users.telenet.be/marcvn/spyware
How did I get infected in the first place (article by TonyKlein)
Het voorkomen van spyware-infecties en browserhijacking
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan