Hulp gevraagd bij verwijderen maleware en probleem Avast Firewall

Hallo,

Graag hulp gevraagd bij verwijderen maleware. Het is een Vista computer met Avast Internet Security.

2 weken geleden begon Avast te melden dat de Firewall niet werkte. Nu klik op de knop oplossen, melde Avast dat het niet opgelost kon worden.

Gelijk Avast opstartscan gedraaid en deze vond niets.

Het volgende gedaan:

Snelkoppeling Firefox starten geeft melding “kan niet xpcom.dll” laden, en start niet op.

Uninstall van Firefox werkt niet.

Omgeleid naar andere websites.
Website van Firefox download was anders en haalde verouderde versie in gedeeltes binnen. Het downloaden gestopt en bestanden gewist.

Uninstall diverse toolbars vanuit configuratiescherm> programma’s.
Reactie hier op was dat map met den naam Nxxxxx (x is getal) in program files zeer snel vol liep met circa 100 bestanden, waar onder een file met googlesetup of zo iets.

Spybot Search & Destroy 2.4 geïnstalleerd. Deze kan zijn updates niet binnenhalen en wil dan ook niet gaan scannen.

Avast opstartscan gedraaid. Niets gevonden

Op een andere computer de anti-malware software gedownload en op CD gebrand van daar uit naar de Vista computer gekopieerd.

Handmatig de updates voor Spybot geïnstalleerd en scan gedraaid
Rootkit scan: url.dll No admin in ACL
C:\Boott! s Invisible to Win32

04-02-2016 Kaspersky TDSSKiller met optie TDLFS file aangevinkt in systemveilige modus gedraaid. Niets gevonden

In veilige modus RKill gedraaid en gelijk erna

Malwarebytes Anti-Malware FREE
Deze vond 1100 problemen, deze zijn in de kluis gezet.
Een 2de scan gedraaid met Malwarebytes, deze was schoon.

Hitmanpro vond nog 3 malware en nog wat toolbars

AdwCleaner wilde niet starten, kreeg kleine pop-up venster midden op het bureaublad met daarin het uitroepteken. Het programma AdwCleaner.exe is uit de map verdwenen vanwaar het is opgestart.

AdwCleaner opnieuw van CD naar map op HD gekopieerd.
In veilige modus RKill gedraaid en gelijk erna AdwCleaner.
AdwCleaner vindt nog een aantal bestanden maar toen op de knop Clean werd gedrukt, stopte het programma er mee. Wederom was weer het programma verdwenen van de harde schijf.

Junkware Removal Tool meldt dat hij geen systeem herstelpunt kan aanmaken, druk toets om door te gaan.
Er wordt voor doorgegaan gekozen en deze tool haalt veel weg.

Via programma’s in configuratiescherm Avast herstellen.
Opnieuw opstarten geeft blauw scherm met foutmeldingen.
Opnieuw opstarten geeft weer blauw scherm
Opstarten in veilige mode en systeem terug gezet.
Windows start normaal op en Avast Firewall werkt weer.

Windows update, 5 updates gedownload en geinstalleerd.
bij aflsuiten van Windows geeft melding dat de computer niet goed geconfigureerd is.

Volgende opstart van Windows:
Avast Firewall stopt er weer mee. Herstellen helpt niet

19-02-2016 Windows update gedraaid
Cumulatieve beveiligings update voor Internet Exporer 9 voor Windows Vista (KB3134814) mislukt.
KB3126587: Beveiligingsupdate voor Windows Vista mislukt
16-02-2016 dezelfde bovenstaande bestanden mislukt.
13-02-2016 ook mislukt en meerdere updates.
12-02-2016 Cumulatieve beveiligingsupdate voor Internet Explorer 9 mislukt.

Omdat Internet Explorer er telkens plotseling er mee stopt en we nu al een keer dit hele verhaal kwijt zijn geraakt zal ik deze post eerst verzenden zonder bijlages.

Ik hoop op hulp van iemand en wacht af.

Vriendelijke groeten,

Jasmina

De beloofde logbestanden in deze post bijgevoegd.

mvg Jasmina

In deze post de 2 de logs Addition.txt en FRST.txt

Hoop dat je hiermee aan het werk kan.

groeten Jasmina

Hoi Jasmina20, welkom op het forum :slight_smile:

Ik heb onze beste expert essexboy gevraagd om je te helpen.
Hij is echter een Engelsman, en spreekt geen Nederlands.
Ik hoop dat dat geen probleem voor je is.

Groetjes, Red.

Hé jij daar rendier.
Dat is niet waar he.
Ik ben de beste ;D

Het eerste probleem is 2 av’s running in real time :
http://blog.kaspersky.com/multiple-antivirus-programs-bad-idea/

Het tweede probleem is Spybot.
Het was (lang geleden) een goede applicatie, maar helaas is hun detectie voor dingen heel slap geworden.
Daarnaast conflicteerd hun teatimer met heel veel andere anti-malware applicaties.

Pas maar op, of ik kom naar Hengelo :stuck_out_tongue:

Groetjes, Erik.

CAUTION : This fix is only valid for this specific machine, using it on another may break your computer

Open notepad and copy/paste the text in the quotebox below into it:

CreateRestorePoint: HKLM\...\Run: [NWEReboot] => [X] HKLM\...\Run: [] => [X] Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X] HKU\S-1-5-21-3529696287-1631074492-131708819-1000\...\MountPoints2: {f0e72723-5690-11df-99a5-001a922982a4} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL drivecheck.exe URLSearchHook: HKLM - (Geen Naam) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - Geen bestand URLSearchHook: HKU\S-1-5-21-3529696287-1631074492-131708819-1000 - (Geen Naam) - {EEE6C35D-6118-11DC-9C72-001320C79847} - Geen bestand URLSearchHook: HKU\S-1-5-21-3529696287-1631074492-131708819-1000 - MHURLSearchHook Class - {1C4AB6A5-595F-4e86-B15F-F93CCE2BBD48} - C:\Program Files\Family Toolbar\tbhelper.dll () URLSearchHook: HKU\S-1-5-21-3529696287-1631074492-131708819-1000 - (Geen Naam) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Geen bestand URLSearchHook: HKU\S-1-5-21-3529696287-1631074492-131708819-1000 - (Geen Naam) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - Geen bestand SearchScopes: HKU\S-1-5-21-3529696287-1631074492-131708819-1000 -> {6638A9DE-0745-4292-8A2E-AE530E7B9B3F} URL = hxxp://search.kiwee.com/toolbar/search/msn/en-us/TOOLBAR/{SearchTerms}?c=EMKIW15333&tbid={A3DC1233-F750-4E02-A0D2-DB101B48BBBB}&from=ie&sbs=2&sc=2 Toolbar: HKLM - Geen Naam - !{210f1b36-3b7f-41a4-b5da-3eb87f5a56c2} - Geen bestand Toolbar: HKLM - Geen Naam - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Geen bestand Toolbar: HKLM - Geen Naam - !{5347542D-5637-006A-76A7-7A786E7484D7} - Geen bestand Toolbar: HKLM - Geen Naam - !{724d43a0-0d85-11d4-9908-00400523e39a} - Geen bestand Toolbar: HKLM - Geen Naam - !{F3FEE66E-E034-436a-86E4-9690573BEE8A} - Geen bestand Toolbar: HKU\.DEFAULT -> Geen Naam - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Geen bestand Toolbar: HKU\.DEFAULT -> Geen Naam - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - Geen bestand Toolbar: HKU\.DEFAULT -> Geen Naam - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - Geen bestand Toolbar: HKU\S-1-5-21-3529696287-1631074492-131708819-1000 -> Geen Naam - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - Geen bestand Toolbar: HKU\S-1-5-21-3529696287-1631074492-131708819-1000 -> Geen Naam - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - Geen bestand Toolbar: HKU\S-1-5-21-3529696287-1631074492-131708819-1000 -> Geen Naam - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Geen bestand FF Plugin: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll [Geen bestand] FF Plugin: @microsoft.com/WLPG,version=15.4.3508.1109 -> C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll [Geen bestand] FF Plugin: @microsoft.com/WLPG,version=15.4.3538.0513 -> C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll [Geen bestand] FF Extension: Slick Savings - C:\Users\I.Foss\AppData\Roaming\Mozilla\Firefox\Profiles\6qzbq2hw.default-1435071851161\Extensions\{eb8fff7e-1dce-4f3f-a51d-d9513ed6bab4}.xpi [2015-12-02] FF Extension: Geen Naam - C:\Program Files\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c} [2016-01-15] [niet getekend] 2005-12-31 23:03 - 2005-12-31 23:03 - 0000000 _____ () C:\Users\I.Foss\AppData\Local\{62D07774-B691-4040-8CA1-4AAFDCCBEBAC} 2006-01-01 00:03 - 2006-01-01 00:03 - 0000000 _____ () C:\Users\I.Foss\AppData\Local\{7E648C36-AA76-4690-80B0-D866B3E42F97} 2005-12-31 23:03 - 2005-12-31 23:03 - 0000000 _____ () C:\Users\I.Foss\AppData\Local\{9A90530D-87B2-4262-ACFC-34796D05D7EE} CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> geen bestandpad CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{0E55CBE1-B06A-49B6-AD8D-9EFAA0160C6F}\InprocServer32 -> geen bestandpad CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> geen bestandpad CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> geen bestandpad CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> geen bestandpad CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> geen bestandpad CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> geen bestandpad CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> geen bestandpad CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> geen bestandpad CustomCLSID: HKU\S-1-5-21-3529696287-1631074492-131708819-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> geen bestandpad Task: {43054DF1-CC19-45C9-8BC2-02ED0DF29A00} - System32\Tasks\powersuite_monitor => C:\Program Files\Uniblue\Powersuite\powersuite_monitor.exe Task: {65323A2F-8960-48A2-A471-74AD40B1D8A3} - System32\Tasks\{8FDC8EB5-6B62-47DA-9722-87E44BF17D39} => pcalua.exe -a "C:\Program Files\phonostar\unins000.exe" Task: {6B0A1315-C5B2-406C-8304-4EA8712BA36F} - System32\Tasks\{4ED7A734-8B41-4EEB-A230-C9B935FB9B89} => pcalua.exe -a C:\Windows\system32\ISUSPM.cpl -c Program Updates Task: {804D3A17-1158-4ABF-A319-58825F7EF85E} - System32\Tasks\LaunchApp => C:\Program Files\MyPC Backup\MyPC Backup.exe <==== AANDACHT Task: {8F77ED3F-CF49-4838-8FF2-CA8EFCB49050} - \WinZip Malware Protector_startup -> Geen bestand <==== AANDACHT Task: {94920811-93E3-4BB2-96ED-493E78783E59} - System32\Tasks\{C7ED8046-7EE6-420C-9B3D-860D8580A44A} => pcalua.exe -a "C:\Users\I.Foss\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3YOLNXXJ\LimeWireWin[1].exe" -d C:\Users\I.Foss\Desktop Task: {A3ECC38C-1FAC-4577-8A2A-C0BBCA60C9EF} - System32\Tasks\{14B2730A-AFBB-4F26-A5A6-8480269E0CD9} => pcalua.exe -a C:\Windows\system32\jpicpl32.cpl -c Java Reg: reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f Reg: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f RemoveProxy: EmptyTemp: CMD: bitsadmin /reset /allusers

Save this as fixlist.txt, in the same location as FRST.exe

https://dl.dropboxusercontent.com/u/73555776/FRSTfix.JPG

Run FRST and press Fix
On completion a log will be generated please post that

THEN

Please download AdwCleaner by Xplode onto your desktop.

[*]Close all open programs and internet browsers.
[*]Double click on AdwCleaner.exe to run the tool.
[*]Click on Scan.
[*]After the scan is complete click on “Clean”
[*]Confirm each time with Ok.
[*]Your computer will be rebooted automatically. A text file will open after the restart.
[*]Please post the content of that logfile with your next answer.
[*]You can find the logfile at C:\AdwCleaner[S0].txt as well.

@Rednose
Dank Erik voor het doorsturen. Fijn dat je hulp biedt! Engels is wel lastig voor mij, maar ik ga het proberen. De instructies kan ik wel opvolgen in het Engels maar of ik het probleem ook helder kan krijgen???

@Eddy en @essexboy
Hoi Eddy ook dank, jouw hulp is ook meer dan welkom.
Ik zal Spybot er afhalen.

Misschien is het verhelderend als ik wat meer info geef. Het is niet mijn eigen computer, maar die van een kennis die ik probeer te helpen. Vandaar dat ik ook niet alles er van af weet.

Nu is inmiddels het volgende alweer gebeurd na mijn 1e post hier.

Zij start vandaag haar Vista computer. En deze begint gelijk met een Avast boot-time scan. (die zonder mijn medeweten al gepland was voordat ik de post hier en de logfiles gepost had)

Deze boot-time scan loopt vast.
Zij vertelde mij dat hij vastliep bij de regel C:\MOSCach.… .htm
De computer vraagt of hij het systeem moet terug zetten. Ja dus.
Het systeem is terug gezet
De computer start op en Avast begint weer met een boot-scan. Daar is hij nog steeds meer bezig.

Nu is de vraag of we de fix nog kunnen gebruiken die door essexboy is gegeven?

Of moeten we nieuwe logfiles inleveren en welke heb je dan nodig?

mvg. Jasmina

Omdat er dingen zijn veranderd op het systeem zijn nieuwe log bestanden nodig.

Ik vermoed dat je de msocache folder bedoelt.
Dat is een folder die MS-Office gebruikt voor tijdelijke bestanden gedurende de installatie.

Bent u in staat om in veilige modus? Als zo dan dat doen en lopen een FRST scannen vanaf daar en ik moeten zitten kundig voor Verwijder de vermelding bootscan. Als dat niet werkt dan wellicht we verwijderen Avast

Are you able to get into safe mode ? If so then do that and run an FRST scan from there and I should be able to remove the bootscan entry. If that does not work then we may need to uninstall Avast

@essexboy

Hi essexboy,

Thank you very much for your help.

I haven’t run your fix given in the post before, because the computer has crashed and then it repair the system. So the system is changed and I need another fix from you. This crash has nothing to do with you fix.
So please, would you create another fix for me? I appreciate your help.

Yes, I can run in safe mode. I shall run FRST scannen in safe mode.

I think I run first your new fix and later on I first try Avast to repair in Control Panel, before uninstall the whole Avast.

An overview since yesterday:

  • Start Computer
  • Avast Boot-time scan starts and crashed by scanning C:\msocache.… .htm
  • Restart and a window Startup Repair asked: Do you want to restore your computer using System Restore? I choose restore. (note this is a English text in an Dutch version of windows) I don’t know Vista very well, but is this een legal window? (look attachement).
  • Restart computer
  • Avast Boot-time scan is running and nothing found, it is clean.
  • Windows start normal.
  • Spybot is uninstall
  • Then, when I want to start the programs I find out that they are disappeared from de hard disk.
    AdwClaener.exe, aswmbr.exe, frst.exe were gone! Could it be that this done by repair system? I had to copy again this programs to the HD.

Here are the new log files in the attachments. They all run in save mode.

We waiting for your answer.

Jasmina

A restore will delete programmes from the desktop as the desktop folder is replaced by an older copy :slight_smile:

Is the computer behaving now ? As there is no indication of a boot scan start.

You can run the previous fix as it was just to tidy up the system a bit

Here we back again. Before we run your fix the computer crashed serveral times.
There where problems with Avast starting.
Then we reboot again en were be able to run your fix in safe mode.

We also run the ADW Cleaner in safe mode.

Now the Avast and the Avast Firewall works well. :smiley:

Here are the new logfiles.

Thanks for help so far.

Do you have any dump files in C:\windows\minidumps

Here are the 3 dump files. I have to rename the extention to txt for download it here.

The computer starts fine today.

We schutdown the computer yesterday and refuse to install the 2 important Windows Updates, because it is already installed succesfully. (one of the is Cumulatieve beveiligings update voor Internet Exporer 9 voor Windows Vista (KB3134814))

I think this may be caused the chrased and the problems with the Avast Firewall.

We are waiting for instructions from you.

One question:

The Nethwork profiles of the Avast Firewal near the MAC-adress must it set to private or public if it is connected to the Internet?
One is the router and they other is the computer MAC-adress.

It should be to private on a home network… The minidumps are inconclusive they reference no drivers or file

Hi @essexboy,

Thank you for checking the dump files.

De computer works fine now. All the Windows updates were successful.
Also Avast Firewall is works good. :slight_smile:

I have the Chrome browser configured so that no longer Yahoo searchpage appears.

There is one problem that worries me.
Both browsers, Internet Explorer and Chrome wants to download an older version (3.1) of Fire Fox.

I type the adress https://www.mozilla.org and than choose the download link on their website. And then the wrong version is offered.

The Laptop computer Win 8.1, download the right version FF 4.4.

Have you any idea how this could happen? What can we do about this? Is it a router problem?

There is already a Fire Fox install, but wich can not be started, error Couldn’t load XPCOM.
We can not uninstall it through control panel, Programs, because there is no uninstall there.
In uninstalle in the map C:\Program Files\Mozilla Firefox\uninstall\helper.exe, does not work.

Thank you for taking your time to help us.

Delete the entire FireFox folder.
Remove all registry entries that FireFox is using.
Reboot
Download and install the latest version.

@essexboy,
Today there were computer problems.

An overview:

  • Yesterday we have remove in the Program Files the map WinZip (empty) and the Family Toolbars to the Bin.
  • Then reboot the computer
  • The computer starts fine
  • Change the setting of the Chrome browser
  • Try to download Fire Fox with IE which we stopped.
  • We have tried te start the Fire Fox from the desktop, but it does not start. Also de uninstall does not work (see post before)
  • Shut down the computer, and it is going well.

Today, around half past 7 pm starts the computer with the error "the computer is not properly closed’, and begins a Startup Repair.
Then we were on the desktopscreen and the mouse cursor frozen for a view minutes. Suddenly a black screen and than a blue screen of death. That was about 5 minutes after the Startup Repair.

So the system is not stable yet.

Do you still have options for this problems?

Here are a new mini dump file.