Adware liveadexchange.com

Ik heb sinds een paar dagen, vermoedelijk door het bezoeken van een CS:GO Custom Server, last van liveadexchange adware. Deze hijackt advertenties om er malware-advertenties van te maken en probeert je door te sturen naar hun website.

Ik gebruik Windows 10 en Bitdefender. Na het opstarten runt er een HitmanPro anti-trackingcookie programma. Ik heb geprobeerd:
- Malwarebytes volledige systemscan, met premium licentie (proefversie), ook in veilige modus
- BitDefender volledige scan
- HitmanPro volledige scan
- Adwcleaner (vond een aantal dingen, verwijderd, probleem niet verholpen)
- JRT (vond een aantal dingen, verwijderd, probleem niet verholpen)
- In configuratiescherm gekeken naar verdachte programma's, niets gevonden
- In Firefox en Chrome gekeken naar verdachte extensies, niets gevonden
- Firefox en Chrome opnieuw ingesteld / opgefrist / gereset
- Windows Defender volledige systeemscan, ook in veilige modus
- Volledige systeemscan met een ander Windows programma, iets van msexe geloof ik, niets gevonden, ook in veilige modus
- Systeemherstel naar 2 verschillende momenten. Dit mislukte doordat een bepaald bestand niet toegankelijk was
- Een Kaspersky tooltje, TDSSkiller, vond ook niets
- Windows opnieuw instellen (alles verwijderen maar niet de schijf helemaal legen. Weet niet precies of dit de juiste benaming is, maar gedaan door eerst met Shift ingedrukt op Opnieuw opstarten te klikken, naar hulpmiddelen te gaan, en opnieuw instellen te klikken (of soortgelijke benamingen). Kreeg de optie om bestanden te bewaren of te verwijderen, heb op verwijderen geklikt. Kreeg optie om de schijf zo goed als leeg te maken (voor doorverkoop) of normaal, heb normaal gekozen)

Na Windows opnieuw ingesteld te hebben krijg ik nog steeds dezelfde advertenties. Ik ben ten einde raad. Iemand die mij kan helpen?

Groeten

Had Rkill als enige van de vermelde stappen nog niet geprobeerd dus heb dat net gedaan. Deze geeft aan een aantal services te missen, tweemaal een incorrect imagepath te hebben gezien en twee incorrecte serviceDLLs te hebben gevonden. Weet je toevallig ook of hij dit alleen checkt of de problemen ook meteen fixt?

Log (alles waar niets is aangetroffen heb ik weggelaten)
Checking Windows Service Integrity:

* agp440 [Missing Service]
* gagp30kx [Missing Service]
* IEEtwCollectorService [Missing Service]
* IoQos [Missing Service]
* nv_agp [Missing Service]
* TimeBroker [Missing Service]
* uagp35 [Missing Service]
* uliagpkx [Missing Service]
* WcsPlugInService [Missing Service]
* wpcfltr [Missing Service]
* WSService [Missing Service]

* AJRouter => %SystemRoot%\system32\svchost.exe -k LocalServiceNetworkRestricted [Incorrect ImagePath]
* WpnService => %systemroot%\system32\svchost.exe -k netsvcs [Incorrect ImagePath]

* vmicrdv => %SystemRoot%\System32\icsvcext.dll [Incorrect ServiceDLL]
* vmicvss => %SystemRoot%\System32\icsvcext.dll [Incorrect ServiceDLL]

PilatuS schreef op zondag 19 maart 2017 @ 23:12:
[...]


Als je Windows net opnieuw ingestelt hebt zou ik gewoon gelijk nu een echte herinstallatie doen. Dat weet je zeker dat je er vanaf bent en dat het niet meer terug komt.

Bij malware problemen is een herinstallatie sowieso altijd al de beste oplossing, maar nu helemaal omdat je dat al half gedaan hebt.

Ik overwoog al een fabrieksreset/volledige wipe, maar was bang dat ik hierdoor vast zou komen te zitten aan Windows 8. Welke reset raad je dan aan?

Mvg

PilatuS schreef op maandag 27 maart 2017 @ 18:38:
[...]


Als je Windows 10 vanuit 8 geupgrade hebt heb je voor 10 geen licentie meer nodig. Je moet dan alleen bij de installatie de vraag voor een licentie overslaan. Zodra je in Windows komt zal Windows 10 automatisch geactiveerd worden.

Om te installeren is de makkelijkste manier een stick maken met de Media Creation Tool van Microsoft. Deze maakt heel makkelijk een stick waarvan je boot en Windows installeerd.

Verder natuurlijk een backup maken en bij de schijf kiezen tijdens de installatie eerst alle partities verwijderen tot dat je 100% ontoegewezen ruimte over hebt. Als je meerdere HDD's/SSD's hebt dan alleen de C schijf even aansluiten bij de installatie.

Heb van het weekend de pc gereset. USB'tje gemaakt op andere, schone pc, erin geplugt, vanaf geboot en ervoor gekozen te installeren. Wanneer ik werd gevraagd op welke partitie dit moest gebeuren heb ik ze eerst allemaal verwijderd (dit waren er een stuk of 8 geloof ik). Helaas is het probleem nog niet verholpen... ik krijg nog steeds meldingen dat ik geredirect wordt.
Wat me ook opviel is dat ik alsnog wat pre-installed software van HP meekreeg, in de vorm van een snelkoppeling naar Ebay in een mapje van HP bij de favorieten. Dit terwijl ik juist dacht dat ook al het voorgeïnstalleerde niet meer terug zou komen.

Mvg

PilatuS schreef op woensdag 5 april 2017 @ 17:05:
[...]


Bij een kale installatie via de Media Creation Tool van MS kan je onmogelijk nog iets van HP op je machine hebben. Er moet dus ergens iets mis gegaan zijn.

Het probleem kan natuurlijk ook zitten in wat je terug plaatst vanuit de backup. Als er in je backup malware zit en je zet die terug zet je het probleem ook terug. Een echte nieuwe kale installatie kan geen HP meuk hebben en het probleem zou ook weg moeten zijn. Geen idee wat je precies verkeerd doet, maar het lijkt er wel heel sterk op dat er ergens iets fout gaat.

Ik had een aantal bestanden op een USB gezet (vooral Word documentjes, pdf'jes, profielen voor mijn muis, en configs voor games) en de rest van m'n bestanden in Onedrive gezet. Ik verdenk nu dat in mijn Firefox profiel een extensie zit die zichzelf automatisch installeert en vervolgens weer verbergt, omdat er op internet vaak wordt aangeraden om je extensies na te kijken als je adware hebt.

PilatuS schreef op woensdag 5 april 2017 @ 17:25:
[...]


Zoiets zou kunnen inderdaad. Daarom is het vaak ook handig om eerst de boel te testen voordat je een backup terug zet. Nu weet je niet of het probleem er na installatie was of pas later teruggekomen is.

Ik zal van het weekend de pc weer resetten met USB en het testen voor mijn browserextensies te synchroniseren. Bedankt voor je antwoord