Author Topic: Hulp gevraagd bij verwijderen maleware en probleem Avast Firewall  (Read 9815 times)

0 Members and 1 Guest are viewing this topic.

REDACTED

  • Guest
Hallo,

Graag hulp gevraagd bij verwijderen maleware. Het is een Vista computer met Avast Internet Security.

2 weken geleden begon Avast te melden dat de Firewall niet werkte. Nu klik op de knop oplossen, melde Avast dat het niet opgelost kon worden.

Gelijk Avast opstartscan gedraaid en deze vond niets.

Het volgende gedaan:

Snelkoppeling Firefox starten geeft melding "kan niet xpcom.dll" laden, en start niet op.

Uninstall van Firefox werkt niet.

Omgeleid naar andere websites.
Website van Firefox download was anders en haalde verouderde versie in gedeeltes binnen. Het downloaden gestopt en bestanden gewist.

Uninstall diverse toolbars vanuit configuratiescherm> programma’s.
Reactie hier op was dat map met den naam Nxxxxx (x is getal) in program files zeer snel vol liep met circa 100 bestanden, waar onder een file met googlesetup of zo iets.

Spybot Search & Destroy 2.4 geïnstalleerd. Deze kan zijn updates niet binnenhalen en wil dan ook niet gaan scannen.

Avast opstartscan gedraaid. Niets gevonden

Op een andere computer de anti-malware software gedownload en op CD gebrand van daar uit naar de Vista computer gekopieerd.

Handmatig de updates voor Spybot geïnstalleerd en scan gedraaid
Rootkit scan: url.dll No admin in ACL
C:\Boott! s Invisible to Win32

04-02-2016 Kaspersky TDSSKiller met optie TDLFS file aangevinkt in systemveilige modus gedraaid. Niets gevonden

In veilige modus RKill gedraaid en gelijk erna

Malwarebytes Anti-Malware FREE
Deze vond 1100 problemen, deze zijn in de kluis gezet.
Een 2de scan gedraaid met Malwarebytes, deze was schoon.

Hitmanpro vond nog 3 malware en nog wat toolbars

AdwCleaner wilde niet starten, kreeg kleine pop-up venster midden op het bureaublad met daarin het uitroepteken. Het programma AdwCleaner.exe is uit de map verdwenen vanwaar het is opgestart.

AdwCleaner opnieuw van CD naar map op HD gekopieerd.
In veilige modus RKill gedraaid en gelijk erna AdwCleaner.
AdwCleaner vindt nog een aantal bestanden maar toen op de knop Clean werd gedrukt, stopte het programma er mee. Wederom was weer het programma verdwenen van de harde schijf.

Junkware Removal Tool meldt dat hij geen systeem herstelpunt kan aanmaken, druk toets om door te gaan.
Er wordt voor doorgegaan gekozen en deze tool haalt veel weg.

Via programma's in configuratiescherm Avast herstellen.
Opnieuw opstarten geeft blauw scherm met foutmeldingen.
Opnieuw opstarten geeft weer blauw scherm
Opstarten in veilige mode en systeem terug gezet.
Windows start normaal op en Avast Firewall werkt weer.

Windows update, 5 updates gedownload en geinstalleerd.
bij aflsuiten van Windows geeft melding dat de computer niet goed geconfigureerd is.

Volgende opstart van Windows:
Avast Firewall stopt er weer mee. Herstellen helpt niet

19-02-2016 Windows update gedraaid
Cumulatieve beveiligings update voor Internet Exporer 9 voor Windows Vista (KB3134814) mislukt.
KB3126587: Beveiligingsupdate voor Windows Vista mislukt
16-02-2016 dezelfde bovenstaande bestanden mislukt.
13-02-2016 ook mislukt en meerdere updates.
12-02-2016 Cumulatieve beveiligingsupdate voor Internet Explorer 9 mislukt.

Omdat Internet Explorer er telkens plotseling er mee stopt en we nu al een keer dit hele verhaal kwijt zijn geraakt zal ik deze post eerst verzenden zonder bijlages.

Ik hoop op hulp van iemand en wacht af.

Vriendelijke groeten,

Jasmina

REDACTED

  • Guest
Re: Hulp gevraagd bij verwijderen maleware en probleem Avast Firewall
« Reply #1 on: February 19, 2016, 08:42:29 PM »
De beloofde logbestanden in deze post bijgevoegd.

mvg Jasmina
« Last Edit: September 03, 2016, 07:41:07 PM by Jasmina20 »

REDACTED

  • Guest
Re: Hulp gevraagd bij verwijderen maleware en probleem Avast Firewall
« Reply #2 on: February 19, 2016, 08:52:25 PM »
In deze post de 2 de logs Addition.txt en FRST.txt

Hoop dat je hiermee aan het werk kan.

groeten Jasmina
« Last Edit: September 03, 2016, 07:41:36 PM by Jasmina20 »

Offline Rednose

  • Pirate Party Member
  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 3739
  • Bits of Freedom : https://www.bof.nl
    • Nederlandstalig Avast! forum
Re: Hulp gevraagd bij verwijderen maleware en probleem Avast Firewall
« Reply #3 on: February 20, 2016, 03:51:54 AM »
Hoi Jasmina20, welkom op het forum :)

Ik heb onze beste expert essexboy gevraagd om je te helpen.
Hij is echter een Engelsman, en spreekt geen Nederlands.
Ik hoop dat dat geen probleem voor je is.

Groetjes, Red.
OS: Win 10 / iOS 17 / Debian 12 / Tails 5
Real Time: Avast Premium Security
On Demand: Malwarebytes
VPN: NordVPN ( NordLynx ) with Threat Protection ( Lite )

Offline Eddy

  • Avast Evangelist
  • Maybe Bot
  • ***
  • Posts: 31080
  • Watching (over?) you
    • Malware removal, Biljart and other things.
Re: Hulp gevraagd bij verwijderen maleware en probleem Avast Firewall
« Reply #4 on: February 20, 2016, 04:05:05 AM »
Hé jij daar rendier.
Dat is niet waar he.
Ik ben de beste ;D

Het eerste probleem is 2 av's running in real time :
http://blog.kaspersky.com/multiple-antivirus-programs-bad-idea/

Het tweede probleem is Spybot.
Het was (lang geleden) een goede applicatie, maar helaas is hun detectie voor dingen heel slap geworden.
Daarnaast conflicteerd hun teatimer met heel veel andere anti-malware applicaties.
« Last Edit: February 20, 2016, 04:36:59 AM by Eddy »

Offline Rednose

  • Pirate Party Member
  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 3739
  • Bits of Freedom : https://www.bof.nl
    • Nederlandstalig Avast! forum
Re: Hulp gevraagd bij verwijderen maleware en probleem Avast Firewall
« Reply #5 on: February 20, 2016, 04:12:46 AM »
Pas maar op, of ik kom naar Hengelo :P

Groetjes, Erik.
OS: Win 10 / iOS 17 / Debian 12 / Tails 5
Real Time: Avast Premium Security
On Demand: Malwarebytes
VPN: NordVPN ( NordLynx ) with Threat Protection ( Lite )

Offline essexboy

  • Malware removal instructor
  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 40589
  • Dragons by Sasha
    • Malware fixes
Re: Hulp gevraagd bij verwijderen maleware en probleem Avast Firewall
« Reply #6 on: February 20, 2016, 02:52:04 PM »
CAUTION :  This fix is only valid for this specific machine, using it on another may break your computer

Open notepad and copy/paste the text in the quotebox below into it:
 
Quote
CreateRestorePoint:
HKLM\...\Run: [NWEReboot] => [X]
HKLM\...\Run: [] => [X]
Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X]
HKU\S-1-5-21-3529696287-1631074492-131708819-1000\...\MountPoints2: {f0e72723-5690-11df-99a5-001a922982a4} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL drivecheck.exe
URLSearchHook: HKLM - (Geen Naam) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} -  Geen bestand
URLSearchHook: HKU\S-1-5-21-3529696287-1631074492-131708819-1000 - (Geen Naam) - {EEE6C35D-6118-11DC-9C72-001320C79847} -  Geen bestand
URLSearchHook: HKU\S-1-5-21-3529696287-1631074492-131708819-1000 - MHURLSearchHook Class - {1C4AB6A5-595F-4e86-B15F-F93CCE2BBD48} - C:\Program Files\Family Toolbar\tbhelper.dll ()
URLSearchHook: HKU\S-1-5-21-3529696287-1631074492-131708819-1000 - (Geen Naam) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -  Geen bestand
URLSearchHook: HKU\S-1-5-21-3529696287-1631074492-131708819-1000 - (Geen Naam) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} -  Geen bestand
SearchScopes: HKU\S-1-5-21-3529696287-1631074492-131708819-1000 -> {6638A9DE-0745-4292-8A2E-AE530E7B9B3F} URL = hxxp://search.kiwee.com/toolbar/search/msn/en-us/TOOLBAR/{SearchTerms}?c=EMKIW15333&tbid={A3DC1233-F750-4E02-A0D2-DB101B48BBBB}&from=ie&sbs=2&sc=2
Toolbar: HKLM - Geen Naam - !{210f1b36-3b7f-41a4-b5da-3eb87f5a56c2} -  Geen bestand
Toolbar: HKLM - Geen Naam - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} -  Geen bestand
Toolbar: HKLM - Geen Naam - !{5347542D-5637-006A-76A7-7A786E7484D7} -  Geen bestand
Toolbar: HKLM - Geen Naam - !{724d43a0-0d85-11d4-9908-00400523e39a} -  Geen bestand
Toolbar: HKLM - Geen Naam - !{F3FEE66E-E034-436a-86E4-9690573BEE8A} -  Geen bestand
Toolbar: HKU\.DEFAULT -> Geen Naam - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Geen bestand
Toolbar: HKU\.DEFAULT -> Geen Naam - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -  Geen bestand
Toolbar: HKU\.DEFAULT -> Geen Naam - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} -  Geen bestand
Toolbar: HKU\S-1-5-21-3529696287-1631074492-131708819-1000 -> Geen Naam - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -  Geen bestand
Toolbar: HKU\S-1-5-21-3529696287-1631074492-131708819-1000 -> Geen Naam - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  Geen bestand
Toolbar: HKU\S-1-5-21-3529696287-1631074492-131708819-1000 -> Geen Naam - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Geen bestand
FF Plugin: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll [Geen bestand]
FF Plugin: @microsoft.com/WLPG,version=15.4.3508.1109 -> C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll [Geen bestand]
FF Plugin: @microsoft.com/WLPG,version=15.4.3538.0513 -> C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll [Geen bestand]
FF Extension: Slick Savings - C:\Users\I.Foss\AppData\Roaming\Mozilla\Firefox\Profiles\6qzbq2hw.default-1435071851161\Extensions\{eb8fff7e-1dce-4f3f-a51d-d9513ed6bab4}.xpi [2015-12-02]
FF Extension: Geen Naam - C:\Program Files\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c} [2016-01-15] [niet getekend]
2005-12-31 23:03 - 2005-12-31 23:03 - 0000000 _____ () C:\Users\I.Foss\AppData\Local\{62D07774-B691-4040-8CA1-4AAFDCCBEBAC}
2006-01-01 00:03 - 2006-01-01 00:03 - 0000000 _____ () C:\Users\I.Foss\AppData\Local\{7E648C36-AA76-4690-80B0-D866B3E42F97}
2005-12-31 23:03 - 2005-12-31 23:03 - 0000000 _____ () C:\Users\I.Foss\AppData\Local\{9A90530D-87B2-4262-ACFC-34796D05D7EE}
CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> geen bestandpad
CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{0E55CBE1-B06A-49B6-AD8D-9EFAA0160C6F}\InprocServer32 -> geen bestandpad
CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> geen bestandpad
CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> geen bestandpad
CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> geen bestandpad
CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> geen bestandpad
CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> geen bestandpad
CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> geen bestandpad
CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> geen bestandpad
CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> geen bestandpad
Task: {43054DF1-CC19-45C9-8BC2-02ED0DF29A00} - System32\Tasks\powersuite_monitor => C:\Program Files\Uniblue\Powersuite\powersuite_monitor.exe
Task: {65323A2F-8960-48A2-A471-74AD40B1D8A3} - System32\Tasks\{8FDC8EB5-6B62-47DA-9722-87E44BF17D39} => pcalua.exe -a "C:\Program Files\phonostar\unins000.exe"
Task: {6B0A1315-C5B2-406C-8304-4EA8712BA36F} - System32\Tasks\{4ED7A734-8B41-4EEB-A230-C9B935FB9B89} => pcalua.exe -a C:\Windows\system32\ISUSPM.cpl -c Program Updates
Task: {804D3A17-1158-4ABF-A319-58825F7EF85E} - System32\Tasks\LaunchApp => C:\Program Files\MyPC Backup\MyPC Backup.exe <==== AANDACHT
Task: {8F77ED3F-CF49-4838-8FF2-CA8EFCB49050} - \WinZip Malware Protector_startup -> Geen bestand <==== AANDACHT
Task: {94920811-93E3-4BB2-96ED-493E78783E59} - System32\Tasks\{C7ED8046-7EE6-420C-9B3D-860D8580A44A} => pcalua.exe -a "C:\Users\I.Foss\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3YOLNXXJ\LimeWireWin[1].exe" -d C:\Users\I.Foss\Desktop
Task: {A3ECC38C-1FAC-4577-8A2A-C0BBCA60C9EF} - System32\Tasks\{14B2730A-AFBB-4F26-A5A6-8480269E0CD9} => pcalua.exe -a C:\Windows\system32\jpicpl32.cpl -c Java
Reg: reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f
Reg: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f
RemoveProxy:
EmptyTemp:
CMD: bitsadmin /reset /allusers

 
Save this as fixlist.txt, in the same location as FRST.exe

Run FRST and press Fix
On completion a log will be generated please post that

THEN

Please download AdwCleaner by Xplode onto your desktop.
  • Close all open programs and internet browsers.
  • Double click on AdwCleaner.exe to run the tool.
  • Click on Scan.
  • After the scan is complete click on "Clean"
  • Confirm each time with Ok.
  • Your computer will be rebooted automatically. A text file will open after the restart.
  • Please post the content of that logfile with your next answer.
  • You can find the logfile at C:\AdwCleaner[S0].txt as well.

REDACTED

  • Guest
Re: Hulp gevraagd bij verwijderen maleware en probleem Avast Firewall
« Reply #7 on: February 20, 2016, 08:15:01 PM »
@Rednose
Dank Erik voor het doorsturen. Fijn dat je hulp biedt! Engels is wel lastig voor mij, maar ik ga het proberen. De instructies kan ik wel opvolgen in het Engels maar of ik het probleem ook helder kan krijgen???
 
@Eddy en @essexboy
Hoi Eddy ook dank, jouw hulp is ook meer dan welkom.
Ik zal Spybot er afhalen.
 
Misschien is het verhelderend als ik wat meer info geef. Het is niet mijn eigen computer, maar die van een kennis die ik probeer te helpen. Vandaar dat ik ook niet alles er van af weet.
 
Nu is inmiddels het volgende alweer gebeurd na mijn 1e post hier.
 
Zij start vandaag haar Vista computer. En deze begint gelijk met een Avast boot-time scan. (die zonder mijn medeweten al gepland was voordat ik de post hier en de logfiles gepost had)
 
Deze boot-time scan loopt vast.
Zij vertelde mij dat hij vastliep bij de regel C:\MOSCach\...... .htm
De computer vraagt of hij het systeem moet terug zetten. Ja dus.
Het systeem is terug gezet
De computer start op en Avast begint weer met een boot-scan. Daar is hij nog steeds meer bezig.
 
Nu is de vraag of we de fix nog kunnen gebruiken die door essexboy is gegeven?
 
Of moeten we nieuwe logfiles inleveren en welke heb je dan nodig?
 
mvg. Jasmina

Offline Eddy

  • Avast Evangelist
  • Maybe Bot
  • ***
  • Posts: 31080
  • Watching (over?) you
    • Malware removal, Biljart and other things.
Re: Hulp gevraagd bij verwijderen maleware en probleem Avast Firewall
« Reply #8 on: February 20, 2016, 08:28:12 PM »
Omdat er dingen zijn veranderd op het systeem zijn nieuwe log bestanden nodig.

Ik vermoed dat je de msocache folder bedoelt.
Dat is een folder die MS-Office gebruikt voor tijdelijke bestanden gedurende de installatie.

Offline essexboy

  • Malware removal instructor
  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 40589
  • Dragons by Sasha
    • Malware fixes
Re: Hulp gevraagd bij verwijderen maleware en probleem Avast Firewall
« Reply #9 on: February 20, 2016, 09:50:02 PM »
Bent u in staat om in veilige modus? Als zo dan dat doen en lopen een FRST scannen vanaf daar en ik moeten zitten kundig voor Verwijder de vermelding bootscan. Als dat niet werkt dan wellicht we verwijderen Avast

Are you able to get into safe mode ?   If so then do that and run an FRST scan from there and I should be able to remove the bootscan entry.  If that does not work then we may need to uninstall Avast

REDACTED

  • Guest
Re: Hulp gevraagd bij verwijderen maleware en probleem Avast Firewall
« Reply #10 on: February 21, 2016, 08:14:45 PM »
@essexboy
 
Hi essexboy,
 
Thank you very much for your help.
 
I haven't run your fix given in the post before, because the computer has crashed and then it repair the system. So the system is changed and I need another fix from you. This crash has nothing to do with you fix.
So please, would you create another fix for me? I appreciate your help.
 
Are you able to get into safe mode ?   If so then do that and run an FRST scan from there and I should be able to remove the bootscan entry.  If that does not work then we may need to uninstall Avast

Yes, I can run in safe mode. I shall run FRST scannen in safe mode.
 
I think I run first your new fix and later on I first try Avast to repair in Control Panel, before uninstall the whole Avast.
 
An overview since yesterday:
- Start Computer
- Avast Boot-time scan starts and crashed by scanning C:\msocache\..... .htm
- Restart and a window Startup Repair asked: Do you want to restore your computer using System Restore? I choose restore. (note this is a English text in an Dutch version of windows) I don't know Vista very well, but is this een legal window? (look attachement).
- Restart computer
- Avast Boot-time scan is running and nothing found, it is clean.
- Windows start normal.
- Spybot is uninstall
- Then, when I want to start the programs I find out that they are disappeared from de hard disk.
AdwClaener.exe, aswmbr.exe, frst.exe were gone! Could it be that this done by repair system? I had to copy again this programs to the HD.
 
Here are the new log files in the attachments. They all run in save mode.

We waiting for your answer.
 
 Jasmina
« Last Edit: September 03, 2016, 07:42:26 PM by Jasmina20 »

Offline essexboy

  • Malware removal instructor
  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 40589
  • Dragons by Sasha
    • Malware fixes
Re: Hulp gevraagd bij verwijderen maleware en probleem Avast Firewall
« Reply #11 on: February 22, 2016, 09:46:55 PM »
A restore will delete programmes from the desktop as the desktop folder is replaced by an older copy :)

Is the computer behaving now ?  As there is no indication of a boot scan start.

You can run the previous fix as it was just to tidy up the system a bit

REDACTED

  • Guest
Re: Hulp gevraagd bij verwijderen maleware en probleem Avast Firewall
« Reply #12 on: February 25, 2016, 09:36:52 PM »
Here we back again. Before we run your fix the computer crashed serveral times.
There where problems with Avast starting.
Then we reboot again en were be able to run your fix in safe mode.

We also run the ADW Cleaner in safe mode.

Now the Avast and the Avast Firewall works well.  :D

Here are the new logfiles.

Thanks for help so far.
« Last Edit: September 03, 2016, 07:42:44 PM by Jasmina20 »

Offline essexboy

  • Malware removal instructor
  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 40589
  • Dragons by Sasha
    • Malware fixes
Re: Hulp gevraagd bij verwijderen maleware en probleem Avast Firewall
« Reply #13 on: February 26, 2016, 04:35:44 PM »
Do you have any dump files in C:\windows\minidumps

REDACTED

  • Guest
Re: Hulp gevraagd bij verwijderen maleware en probleem Avast Firewall
« Reply #14 on: February 26, 2016, 06:51:26 PM »
Here are the 3 dump files. I have to rename the extention to txt for download it here.

The computer starts fine today.

We schutdown the computer yesterday and refuse to install the 2 important Windows Updates, because it is already installed succesfully. (one of the is Cumulatieve beveiligings update voor Internet Exporer 9 voor Windows Vista (KB3134814))

I think this may be caused the chrased and the problems with the Avast Firewall.

We are waiting for instructions from you.
« Last Edit: September 03, 2016, 07:43:25 PM by Jasmina20 »