Hallo, mijn laptop is besmet met virus genaamd "XP Internet Security 2012". Ik krijg boodschappen op het scherm lijkende op XP met de melding dat PC is besmet. Deze besmetting zou enkel ongedaan kunnen worden door het aankopen van (valse) software. Het virus is hardnekkig: onmogelijkheid om op internet te gaan, blokkeren van mijn AVG scanner, blokkage van installatie van andere beveiligingssoftware, enz. Iemand raad???

Hoi,

verwijder eerst alles van AVG op je computer, zeker onderstaande vetgedrukte mappen!! <-- zeer belangrijk

C:\Program Files\AVG
C:\Documents and settings\All users\Application data\AVG


Probeer dan via een ander PC volgende te downloaden op usb stick en instaleer en voer het dan uit op je besmette PC!!

1.
Download MalwareBytes' Anti-Malware (http://www.malwarebytes.org/affiliates/g2g/mbam-setup.exe) en sla het op je bureaublad op.
Dubbelklik op mbam-setup.exe om het programma te installeren.
Zorg dat er na de installatie een vinkje is geplaatst bij:

Update MalwareBytes' Anti-Malware
Start MalwareBytes' Anti-Malware
Klik daarna op "Voltooien". Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.

Er zal een pupup vensterje komen met de vraag of je MBAM wil evalueren.
http://img30.imageshack.us/img30/3928/mbam2.png
Klik hier op "Weigeren".

Zodra het programma gestart is, ga je naar het tabblad "Instellingen".

Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
Ga naar het tabblad "Updates" en Update MBAM.
Ga daarna naar het tabblad "Scanner", kies hier voor "Snelle Scan".
Druk vervolgens op "Scannen" om de scan te starten.
Het scannen kan een tijdje duren, dus wees geduldig.
Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.

Indien MBAM vraagt om een herstart, doe dit dan ook.
Wanneer je de restart hebt gedaan, maak je een nieuwe snelle scan met MBAM.
In dat geval post je dus de twee logs.
De log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Bij problemen!!! (Lees de onderstaande instructies)


Problemen bij het installeren van Malwarebytes' Anti-Malware (http://www.pcwebplus.nl/phpbb/viewtopic.php?f=207&t=3419)
Problemen bij het updaten van Malwarebytes' Anti-Malware (http://www.pcwebplus.nl/phpbb/viewtopic.php?f=207&t=3420)
Problemen bij het starten van Malwarebytes' Anti-Malware (http://www.pcwebplus.nl/phpbb/viewtopic.php?f=207&t=3421)





Download ComboFix van één van deze locaties:
Link 1 (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Link 2 (http://www.forospyware.com/sUBs/ComboFix.exe)

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:
Klik hier (http://www.bleepingcomputer.com/forums/topic114351.html)
Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap. Dubbeklik op ComboFix.exe en volg de meldingen op het scherm. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd.
**Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware. Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren.https://vorming.minatica.be/handleiding/canned_speech/cf-rc-auto.jpg

Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd:

https://vorming.minatica.be/handleiding/canned_speech/rc-auto-done.jpg

Klik op Ja om verder te gaan met het scannen naar malware.

Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

1. Proberen AVG verwijderen via Configuratiescherm, Software: antwoord: Kan geen toegang tot het opgegeven apparaat, pad of bestand krijgen. Mogelijks hebt u geen toegangsmachtiging voor het item.

AVG proberen verwijderen via Program Files, de map verwijderen in zijn geheel lukt, niet. Gedeeltelijk verwijderd stuk bij stuk; stukken die niet kunnen verwijderd worden geven boodschap: Fout bij verwijderen van bestand of map, Kan avgse niet verwijderen. De toegang is geweigerd … controleer of het niet in gebruik is. Wat kan is verwijderd, doch een gedeelte staat er nog.

2. Via andere PC mban-setup-1.51.0.1200.exe op bureaublad geplaatst. Proberen installeren; foutmelding: Kan geen toegang tot het opgegeven apparaat, pad of bestand krijgen. Mogelijks hebt u geen toegangsmachtigingen voor het item.
Dit is zo voor verschillende programma’s die ik probeer te installeren (andere scanners, TGC.exe of HJT, combofix, ….
Bijkomende vraag: Kan virus niet via USB stick van geïnfecteerde PC naar goede PC gaan?

Download ComboFix van één van deze locaties:
Link 1 (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Link 2 (http://www.infospyware.net/antimalware/combofix/)

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op, maar start deze nog niet.
Open Kladblok.
Kopieer en plak het volgende (vetgedrukte, blauwe tekst) in een leeg venster:

REGISTRY::
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayRSA lert]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtraySca nFinished]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtraySca nFinishedThreatFound]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtraySca nStarted]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayUpd End]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayUpd EndFail]
[-HKEY_CURRENT_USER\AppEvents\EventLabels\avgtrayUpd Start]
[-HKEY_CURRENT_USER\AppEvents\Schemes\Apps\avgtray]
[-HKEY_CURRENT_USER\Software\Avg]
[-HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AV G9 Shell Extension]
[-HKEY_CLASSES_ROOT\.avgdx]
[-HKEY_CLASSES_ROOT\CLSID\{1152F8E0-69DB-4935-AFC3-59F8A5A86A3E}]
[-HKEY_CLASSES_ROOT\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]
[-HKEY_CLASSES_ROOT\CLSID\{41B21542-2055-4212-A6F2-395CD109B14B}]
[-HKEY_CLASSES_ROOT\CLSID\{50A96677-4378-434d-9F4B-6B28B485933F}]
[-HKEY_CLASSES_ROOT\CLSID\{6F59E522-4689-156E-316C-D5B48819DE95} ]
[-HKEY_CLASSES_ROOT\CLSID\{86E8C5B0-75B6-4ff2-B04F-6789CC7AE386}]
[-HKEY_CLASSES_ROOT\CLSID\{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}]
[-HKEY_CLASSES_ROOT\CLSID\{EF0BB4CD-81FA-48AF-99B3-AB6C1F079BEC}]
[-HKEY_CLASSES_ROOT\CLSID\{F1FE4608-7924-4908-8E12-81CFA206F00A}]
[-HKEY_CLASSES_ROOT\CLSID\{F274614C-63F8-47D5-A4D1-FBDDE494F8D1}]
[-HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandle rs\AVG9 Shell Extension]
[-HKEY_CLASSES_ROOT\Installer\Features\36E852A15FD8B DA48923830A21D156BE]
[-HKEY_CLASSES_ROOT\Installer\Features\69BC3230A1222 404483A39DE4E0799CF]
[-HKEY_CLASSES_ROOT\Installer\Features\CFD2C1F142D26 0E3CB8B271543DA9F98]
[-HKEY_CLASSES_ROOT\Installer\Products\36E852A15FD8B DA48923830A21D156BE]
[-HKEY_CLASSES_ROOT\Installer\Products\69BC3230A1222 404483A39DE4E0799CF]
[-HKEY_CLASSES_ROOT\Installer\Products\CFD2C1F142D26 0E3CB8B271543DA9F98]
[-HKEY_CLASSES_ROOT\Installer\UpgradeCodes\06DD9E4F7 F3FF9C41BC2BD64A2CE18FE]
[-HKEY_CLASSES_ROOT\Installer\UpgradeCodes\38F747DBD C97B4E459142E21199F9D10]
[-HKEY_CLASSES_ROOT\Installer\UpgradeCodes\41A387AA3 A7A33D3590FA953D1350011]
[-HKEY_CLASSES_ROOT\LinkScannerIE.NavFilter]
[-HKEY_CLASSES_ROOT\LinkScannerIE.NavFilter.1]
[-HKEY_CLASSES_ROOT\MicroScanner.MicroScanner]
[-HKEY_CLASSES_ROOT\piffile\shellex\ContextMenuHandl ers\AVG9 Shell Extension]
[-HKEY_CLASSES_ROOT\PROTOCOLS\Handler\linkscanner]
[-HKEY_LOCAL_MACHINE\SOFTWARE\AVG]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DevDiv\VC]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\App Paths\AVGSE.DLL]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\{0323CB96-221A-4042-84A3-93EDE47099FC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\{1A258E63-8DF5-4ADB-9832-38A0121D65EB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\AlwaysUnloadDll]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\AVG]
DRIVER::
Avg
AVGIDSAgent
AVGIDSDriver
AVGIDSEH
AVGIDSFilter
AVGIDSShim
Avgldx86
Avgmfx86
Avgrkx86
Avgtdix
avgwd
FOLDER::
%SYSTEMDRIVE%\$AVG
%COMMONAPPDATA%\AVG10
%COMMONAPPDATA%\MFAData
%COMMONPROGRAMS%\AVG 2011
%APPDATA%\AVG10
%PROGRAMFILES%\AVG
%SYSTEM%\drivers\AVG
File::
%COMMONAPPDATA%\Common Files\6F59E522-4689-156E-316C-D5B48819DE95.dat
%COMMONDESKTOP%\AVG 2011.lnk
%SYSTEM%\drivers\AVGIDSDriver.sys
%SYSTEM%\drivers\AVGIDSEH.sys
%SYSTEM%\drivers\AVGIDSFilter.sys
%SYSTEM%\drivers\AVGIDSShim.sys
%SYSTEM%\drivers\avgldx86.sys
%SYSTEM%\drivers\avgmfx86.sys
%SYSTEM%\drivers\avgrkx86.sys
%SYSTEM%\drivers\avgtdix.sys

Sla dit op op je Bureaublad als CFScript.txt

Sleep CFScript.txt in ComboFix.exe zoals getoond in onderstaand voorbeeld:
http://users.pandora.be/bluepatchy/miekiemoes/images/CFScript.gif
Dit zal ComboFix laten starten.
Start opnieuw op als daarom gevraagd wordt, en post de inhoud van de Combofix.txt in je volgende antwoord.

Note: indien je een melding krijgt van AVG negeer deze dan!

Nogmaals bedankt,

Bij het openen van kladblok krijg ik als antwoord: WINDOWS\system32\notepad.exe ... Kan geen toegang tot het opgegeven apparaat enz. Mogellijks hebt u geen toegangsmachtigingen ...

Ik probeerde het dan via word. Doch als ik het word document naar Combofix sleep krijg ik als antwoord: Documents en settings\bureaublad\comboFix.exe .... kan geen toegang krijgen.

P.S. Mail werkt wel nog. AVG heb ik voor zover ik kon verwijderd.

't Ziet er niet goed uit....

Probeer eens UAC uit te schakelen, kun je terugvinden in configuratiescherm, en probeer dan mijn instructies opnieuw!

Hallo, ik was enkele dagen afwezig, vandaar geen reactie.

Ik zocht in Configuratiescherm, doch vind UAC niet. Waar staat dit juist? P.S. Voor de meeste zaken in configuratiescherm heb ik geen machtiging meer

Hallo,

Ondertussen vond ik de gebruiksaccounts, doch ook hier hetzelfde: geen toegangsmachtigingen meer.

Teneinde raad overweeg ik om mijn (Medion PC) weer naar de fabriekstoestand te herstellen, doch daar ook na het inbrengen van de Recovery CD krijg ik eerst het Medion- welkomscherm, maar bij het verder gaan: Not authorised.

Iemand nog enige raad?

Bedankt alvast.

Sorry voor de late reactie! Ik zit momenteel in Spanje doch ik vraag aan iemand van de collega's of zij raad weten.

Hoi,

Ik neem het even over van Rosty aangezien hij in Spanje zit.
Kan je eens proberen om Malwarebytes te draaien in veilige modus (met netwerk ondersteuning): http://users.telenet.be/marcvn/spyware/1378056.htm


Start MalwareBytes' Anti-Malware (MBAM)

Klik op het tabblad "Update" en vervolgens op "Controleer op updates"
Klik op het tabblad "scanner"
Kies de optie "volledige scan" en klik op "scannen"
Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma. Post dit logje met je volgende antwoord.

Problemen bij het updaten van Malwarebytes' Anti-Malware (http://www.pcwebplus.nl/phpbb/viewtopic.php?f=207&t=3420)
Problemen bij het starten van Malwarebytes' Anti-Malware (http://www.pcwebplus.nl/phpbb/viewtopic.php?f=207&t=3421)
2.
Wanneer dit niet werkt doe je het volgende, dit kan ook op een andere pc gedownload en gebrand worden:

Download het Avira AntiVir Rescue System (http://www.avira.com/en/support-download-avira-antivir-rescue-system) en sla deze op je bureaublad op.

Stop een lege CD/DVD in je computer.
Dubbelklik op rescue_system-common-en.exe.
Selecteer het station waar de lege CD/DVD in zit.
Klik op de knop Burn CD om het Avira AntiVir Rescue System op die lege CD/DVD te branden.

Voer deze stappen uit op de geïnfecteerde pc:

Stop de CD/DVD, met daarop het Avira AntiVir Rescue System, in je geïnfecteerde PC.
Start die PC opnieuw op.
Druk op de toets 1 om je computer vanaf de CD/DVD op te starten.
Het Avira AntiVir Rescue System zal automatisch worden geopend.
Klik linksonder op de Engelse vlag als je alles in het Duits ziet. Zo wordt de taal Engels.
Klik links op de knop Configuration.
Zorg ervoor dat Scan all files onder Scan Mode is geselecteerd.
Zorg ervoor dat Try to repair infected files en Rename files, if the cannot be removed? onder Action at malware discovery is geselecteerd.
Klik links op de knop Virus Scanner en klik vervolgens op Start Scanner.
Het Avira AntiVir Rescue System zal je computer nu gaan scannen. De scan kan veel tijd in beslag nemen.
Haal de CD/DVD uit je computer als het scannen klaar is en start je computer daarna opnieuw op.

Succes,
Eveline.

Hoi Eveline, Rosty en anderen,


Ben enkele dagen terug en kon één en ander proberen. De problemen bleven. Ten einde raad heb ik mijn Laptop met een Recovery CD terug naar de fabrieksstand hersteld. (Medion stuurde die mij gratis toe ook al was de laptop uit garantie!) Bij deze wens ik jullie uitdrukkelijk te bedanken voor de belangeloze inzet! Als men al de raad leest van de Minatica mensen beseft men toch dat de computerkennis van een doorsnee gebruiker als mij niet veel voorstelt

mvg

Bedankt voor de afmelding. Jammer dat het niet anders kon. Ik zal hier een slotje op zetten.