Mededeling

Collapse
No announcement yet.

Chinese Adware

Collapse
X
  •  
  • Filter
  • Tijd
  • Show
Clear All
new posts

  • Chinese Adware

    Dag allen,

    Heb hier een besmette laptop met Chinese Adware welke niet door alleen MBAM verwijderd kan worden. Na het opnieuw opstarten van de laptop komt de adware echter helaas constant terug en blijft de laptop verder besmetten. Zowel het MBAM logje als het HijackThis logje vinden jullie in de bijlage.

    Alvast bedankt voor de hulp!
    Bijgevoegde Bestanden

  • #2
    Schakel eerst de Antivirussoftware uit voordat je zoek.exe download of uitvoert.
    Schakel je antivirus- en antispywareprogramma's tijdelijk uit, deze kunnen namelijk de werking van Zoek.exe nadelig beïnvloeden.
    (hier en hier) kan je lezen hoe je dat doet.

    en download Zoek.exe naar het bureaublad.
    klik hier voor meer informatie over hoe zoek.exe te gebruiken)
    • Wanneer Internet Explorer of een andere browser of virusscanner melding geeft dat dit bestand onveilig zou zijn kan je dat negeren, het is namelijk een onterechte waarschuwing.
    • Dubbelklik vervolgens op Zoek.exe om de tool te starten.
    • Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
    • Kopieer nu onderstaande code en plak die in het grote invulvenster:
    • Note: Dit script is speciaal bedoeld voor deze Computer, gebruik dit dan ook niet op andere computers met een gelijkaardig probleem.
      Code:
      emptyfolderscheck;delete
      torpigcheck; 
      firefoxlook; 
      Chromelook;
      services-list;  
      autoclean; 
      iedefaults;
    • Klik nu op de knop "Run script".
    • Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
    • Mocht er geen logje verschijnen, start zoek.exe dan opnieuw en klik op de knop zoek-results.log, de log verschijnt dan alsnog.
    • Post het geopende logje in het volgende bericht als bijlage.

    Windows 10 opstarten in Veilige Modus

    Comment


    • #3
      Dag Juisterr,

      Bedankt zover. De scan heeft zeker geholpen (een aantal pop-ups / programma's zijn blijkbaar verwijderd), echter lijkt nog niet alles weg te zijn. In Google Chrome blijft yeabest.cc de home pagina wanneer ik hem opstart (ondanks pogingen een andere startpagina te kiezen) en in de lijst met apps staat nog steeds een app met allerlei chinese tekens.
      In de bijlage vind je in ieder geval het logje van Zoek.exe.

      Bij voorbaat dank voor de verdere hulp!
      Bijgevoegde Bestanden

      Comment


      • #4
        ja kan even duren voor dat alles weg is hoor. Er staat ook nogal wat in.

        Even doorlezen en dan kom ik a.s.a.p. bij je terug.

        Windows 10 opstarten in Veilige Modus

        Comment


        • #5
          Download de Farbar Recovery Scan Tool 32 of 64 bit van één van de onderstaande links
          Hier staat een beschrijving hoe u kunt kijken of u een 32 of 64 bit versie van Windows heeft.

          Farbar Recovery Scan Tool uitvoeren
          • Dubbelklik op FRST.exe om de tool te starten.
          • Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
          • Als het programma is geopend klik Yes (Ja) bij de disclaimer.
          • Druk vervolgens op de Scan knop, er zal nu eerst een back-up van het register worden gemaakt.
          • Wanneer de scan gereed is worden er twee logbestanden aangemaakt met de naam (FRST.txt) & (Addition.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
          • Voeg beide logbestanden als bijlage toe aan het volgende bericht.

          Windows 10 opstarten in Veilige Modus

          Comment


          • #6
            Dag Juisterr,

            Ja? Is het zo erg?

            In de bijlage vind je de twee nieuwe log bestanden.

            Alvast bedankt weer!!!
            Bijgevoegde Bestanden

            Comment


            • #7
              2. Note: Dit script is speciaal bedoeld voor deze computer, gebruik dit dan ook niet op andere computers met een gelijkaardig probleem.
              Open Kladblok. Klik op Start → Alle Programma's → Bureau-Accessoires → Kladblok.
              Kopieer onderstaande code en plak dat in "Kladblok"

              Code:
              start
              CreateRestorePoint:
              CloseProcesses: 
              HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTRAY.EXE" /regrun /qqrepair
              
              ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMGCShellExt64.dll Geen bestand
              BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSWebMon64.dat => Geen bestand
              
              FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\npQMExtensionsMozilla.dll [Geen bestand]
              
              S2 dowidoly; geen ImagePath
              S2 QQPCRTP; "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe" -r [X]
              
              S2 QQRepair164d; "C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair164d" [X]
              S2 QQRepaira05; "C:\Program Files (x86)\Tencent\QQPCMGR\QQRepaira05" [X]
              S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC [X]
              S2 zigipyro; geen ImagePath
              
              S2 QQSysMonX64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQSysMonX64.sys [X]
              
              S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys [X]
              S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [X]
              S3 TFsFlt; system32\Drivers\TFsFltX64.sys [X]
              S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSDefenseBT64.sys [X]
              S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [X]
              
              2016-06-13 18:25 - 2016-06-13 18:26 - 00000000 ____D C:\Users\Ger鄋 Los\AppData\Roaming\Tencent
              
              2016-06-13 18:25 - 2016-06-13 18:25 - 00143992 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelEx64.sysearch
              
              2016-06-13 18:25 - 2016-06-13 18:25 - 00099480 _____ (Tencent) C:\WINDOWS\system32\Drivers\TAOAccelerator64.sysearch
              
              2016-06-13 18:25 - 2016-06-13 18:25 - 00000000 ____D C:\Users\Ger鄋 Los
              2016-06-13 18:25 - 2016-06-13 18:25 - 00000000 ____D C:\Program Files\Common Files\Tencent
              
              2016-06-13 18:10 - 2016-06-13 19:05 - 00000000 ____D C:\Users\Geràn Los\AppData\Roaming\Tencent
              
              2016-06-13 19:47 - 2016-06-13 19:47 - 00000000 ____D C:\Users\Ger脿n Los
              2016-06-13 19:36 - 2016-06-15 21:40 - 00000000 ____D C:\Program Files\¿ìѹ
              
              C:\Users\Ger脿n Los\AppData\Local\Temp\TempQMSystemSetup_11.5.17490.219_489617394(1).exe
              C:\Users\Ger脿n Los\AppData\Local\Temp\TempQMSystemSetup_11.5.17490.219_489617394(2).exe
              C:\Users\Ger脿n Los\AppData\Local\Temp\TempQMSystemSetup_11.5.17490.219_489617394.exe
              C:\Users\Ger脿n Los\AppData\Local\Temp\TempQMWechatBackupSetup_11.7.58881.501_1465274404071(1).exe
              C:\Users\Ger脿n Los\AppData\Local\Temp\TempQMWechatBackupSetup_11.7.58881.501_1465274404071.exe
              
              
              RemoveProxy:
              EmptyTemp:
              end
              Ga naar Bestand - Opslaan als.
              Bij "Opslaan in" kies je: C:\Users\Gebruiker\Desktop
              Bij "Bestandsnaam" zet je:fixlist.txt.
              Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).

              Als het goed is staat er nu een text bestand op je bureaublad?

              Zorg dat je Farbar Recovery Scan Tool vanuit de download map naar je bureaublad plaatst (dit is zeer belangrijk)
              Dubbel klik op de tool zodat hij start.
              Als het programma is geopend klik Yes (Ja) bij de disclaimer.
              Druk op de Fix knop
              Er zal u een logbestand aangemaakt worden (fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
              Voeg dit logbestand als bijlage toe aan het volgende bericht

              Windows 10 opstarten in Veilige Modus

              Comment


              • #8
                Dank weer.
                In de bijlage het logje.
                Bijgevoegde Bestanden

                Comment


                • #9
                  Prima, wil je dit nu nog een keer uitvoeren aub.
                  http://www.nucia.eu/forum/threads/74...l=1#post721936

                  Vertel ook even hoe het nu gaat.

                  Windows 10 opstarten in Veilige Modus

                  Comment


                  • #10
                    Dag Juisterr,

                    Hierbij de nieuwe log.
                    Voor de rest gaat het goed. Alleen kom ik op de één of andere manier maar niet van die startpagine http://yeabests.cc/ af...
                    Bijgevoegde Bestanden

                    Comment


                    • #11
                      Wil je kijken of deze items in je extensions van je browser staan.
                      Yeabests
                      Tencent
                      Freefixer

                      zo ja verwijder die dan.

                      controleer ook je software daarop.

                      Wil je nu de stappen herhalen van deze post http://www.nucia.eu/forum/threads/74...l=1#post721942
                      en gebruik nu deze code aub.

                      Code:
                      start
                      CreateRestorePoint:
                      CloseProcesses: 
                      
                      2016-06-13 19:47 - 2016-06-13 19:47 - 00000000 ____D C:\Users\Ger脿n Los
                      2016-06-13 18:12 - 2016-06-13 18:17 - 00000000 ____D C:\Users\Geràn Los\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
                      2016-06-13 18:25 - 2016-06-13 18:26 - 00000000 ____D C:\Users\Ger鄋 Los\AppData\Roaming\Tencent
                      2016-06-13 18:25 - 2016-06-13 18:25 - 00000000 ____D C:\Users\Ger鄋 Los
                      2016-06-13 17:54 - 2016-06-13 19:19 - 00000000 ____D C:\Users\Geràn Los\AppData\Local\bvyvbvyf
                      C:\Users\Ger脿n Los\AppData\Local\Temp\TempQMSystemSetup_11.5.17490.219_489617394(1).exe
                      C:\Users\Ger脿n Los\AppData\Local\Temp\TempQMSystemSetup_11.5.17490.219_489617394(2).exe
                      C:\Users\Ger脿n Los\AppData\Local\Temp\TempQMSystemSetup_11.5.17490.219_489617394.exe
                      C:\Users\Ger脿n Los\AppData\Local\Temp\TempQMWechatBackupSetup_11.7.58881.501_1465274404071(1).exe
                      C:\Users\Ger脿n Los\AppData\Local\Temp\TempQMWechatBackupSetup_11.7.58881.501_1465274404071.exe
                      
                      EmptyTemp:
                      end
                      mag ik dan weer de uitslag zien?
                      Last edited by Juisterr; 17-06-16, 11:53.

                      Windows 10 opstarten in Veilige Modus

                      Comment


                      • #12
                        Juisterr,

                        Ik kon geen extensies vinden. Heb het scriptje nogmaals gedraaid. Wederom geen resultaat (zie log in bijlage).
                        Ik heb vervolgens Google Chrome gewoon verwijderd van de computer en opnieuw geïnstalleerd. Dit lijkt resultaat te hebben. Ook na een aantal keren opnieuw opstarten blijft de startpagina gewoon www.google.nl.
                        Alles lijkt nu dus verholpen. Ik heb voor de zekerheid ook nog MBAM gedraaid. Deze vindt ook helemaal niets meer (op een paar HOST files van HiJackThis na, maar die kunnen geen kwaad).
                        Wat mij betreft kan deze topic afgesloten worden, tenzij jij nog iets hebt gevonden in het log bestandje.

                        In ieder geval alvast hartelijk dank voor alle hulp!!!
                        Bijgevoegde Bestanden

                        Comment


                        • #13
                          Download AdwCleaner by Xplode naar je bureaublad.

                          Sluit alle openstaande programma's.
                          Rechtsklik op AdwCleaner en klik op 'Als administrator uitvoeren...'.

                          Klik op Scannen.
                          Na het scannen, klik op Verwijderen.
                          In het venster '- AdwCleaner – Programma's sluiten -' klik op OK.

                          Tijdens de opruim-actie zullen de snelkoppelingen verdwijnen, dit is normaal.
                          Na het verwijderen verschijnen 2 meldingen:
                          In het venster '- AdwCleaner – Informatie -' klik op OK.
                          In het venster '- AdwCleaner – Herstart benodigd -' klik op OK.

                          Nadat de computer herstart is, opent een logbestand.
                          Sluit het logbestand.
                          Post het bestand C:\AdwCleaner\AdwCleaner[C1].txt als bijlage in je volgend bericht.

                          Windows 10 opstarten in Veilige Modus

                          Comment

                          Sorry, you are not authorized to view this page
                          Working...
                          X