Help!

PC-Problemen?
De vrijwilligers van Oplossing.be zoeken gratis met u mee!

Hulp bij posten

Recente topics

Auteur Topic: malware  (gelezen 5604 keer)

0 leden en 1 gast bekijken dit topic.

Offline theo

  • Volledig lid
  • **
  • Berichten: 224
  • Geslacht: Man
  • De Oplossing!
malware
« Gepost op: 04 februari 2015, 23:01:07 »
Dag beste oplossers.

Ik heb een vraag. Gelukkig is het mij niet overkomen maar mijn vriend doet een scan met Malwarebytes en vindt 2 x Trojan.dnschanger als registerdata. De malware wordt netjes opgeruimd en ter controle doet hij de scan nog eens en hij vindt opnieuw die 2 trojans. Dan word ik er bij gehaald en ik doe een scan in veilige modus en alles is in orde. Geen trojan meer te zien. Daarna opnieuw een scan in gewone modus ter controle en daar staan ze weer, alle twee identiek als de vorige.

Omdat dit zeer eigenaardig is installeer ik Emsisoft anti-malware en die vind niets. Wat moeten we hier nu van denken. Is die pc nu geïnfecteerd of niet ? Zo ja, hoe moeten we dat oplossen ? Ik heb al op internet gezocht maar nog niets doeltreffend gevonden. Iemand een idee ?

Met beste dank.
Theo

Helaas kan ik (nog) geen logbestand toevoegen omdat het niet op mijn pc is maar indien nodig kan ik er misschien wel voor zorgen.
HP Desktop Pavilion 570 - Windows 10 Home - Intel core i5-7400 CPU 3.00GHZ - Nvidia Geforce GTX 1050 - 8GB Ram - SSD 256 GB - HDD 1 TB - Antivirus Bitdefender - ADSL2+ - Scarlet

Offline SoftAid

  • Administrator
  • Ambassadeur
  • *****
  • Berichten: 20.128
  • Geslacht: Man
  • Nobody is perfect, not even me...
Re: malware
« Reactie #1 Gepost op: 05 februari 2015, 11:02:38 »
Hallo Theo,

Je (vriend) zit inderdaad met een infectie.
Echter is de registerdata niet de infectie, maar enkel een gevolg van de infectie.
Als je de registerdata verwijderd, dan zal de malware netjes die registerdata opnieuw aanmaken.
Als je in veilige modus opstart, dan wordt het malware-programma niet mee opgestart met Windows, en wordt er ook geen registerdata door de malware aangemaakt.

Voer volgende 2 programma's eens uit, en post de logjes in je volgend bericht:


---- 1 -----

Download  AdwCleaner by Xplode naar je bureaublad !
  • Het is raadzaam de actieve beveiligingssoftware te deactiveren, zodat mogelijke conflicten met AdwCleaner.exe uitgesloten worden.
  • Hier  en hier vindt je gegevens hoe beveiligingssoftware te deactiveren.

  • Sluit alle openstaande vensters.
  • Gebruikers van Vista, Win 7 en Win 8.1: Rechtsklik op AdwCleaner en selecteer: "Als Administrator uitvoeren..."
  • XP gebruikers: Gewoon dubbelklikken op AdwCleaner.exe.

  • Klik vervolgens op "Scannen".
  • Zodra de knop "Verwijderen" actief wordt, klik je er op.
  • Je krijgt een informatievenster dat alle programma's zullen worden afgesloten. Sla je werk op en klik dan op OK.
  • Nu zie je een waarschuwing dat de PC zal herstart worden. Klik op OK.
Indien tijdens de acties de snelkoppelingen op je bureaublad verdwijnen, is dat normaal.
Nadat de PC opnieuw is opgestart, opent er een bestand dat je ook terug vindt als C:\AdwCleaner\AdwCleaner[S1].txt.

Hang dit bestand als bijlage aan in je volgende bericht. Hoe post ik een bijlage?


---- 2 -----

Download Zoek.exe van deze site.

  • Dubbelklik op Zoek.exe om de tool te starten.
  • Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.

    Indien je een melding krijgt van je Anti-virus, of als het bestand Zoek.exe wordt verwijderd door je Anti-virus, schakel deze dan tijdelijk uit en herhaal de bovenstaande stappen.

  • Klik op de knop "More Options" en vink nu de onderstaande opties aan.
    • Do a Quick Scan
    • Auto Clean
    • HijackThis Log
    • Firefox Look
    • Klik daarna op de knop "Run script".
    • Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
    • Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog.
    • Post nu de inhoud van het geopende logje in het volgende bericht.
    Hang dit bestand als bijlage aan in je volgende bericht. Hoe post ik een bijlage?


     :) SoftAid  :)             
Maximum grootte bijlagen vergroot naar 4 MB
Dubbelposten, het posten op verschillende forums van dezelfde vraag, dient op
voorhand gemeld te worden, met een link naar het topic op de andere site.
Overtreding van deze regel kan bestraft worden met verbanning !

Offline theo

  • Volledig lid
  • **
  • Berichten: 224
  • Geslacht: Man
  • De Oplossing!
Re: malware
« Reactie #2 Gepost op: 05 februari 2015, 23:18:57 »
O.K. dankuwel SoftAid, maar dat zal niet voor vandaag of morgen zijn want helaas wonen we een eindje van mekaar. Maar ik ga dat zo vlug mogelijk uitvoeren en dan ziet u nog van mij.
Beste groeten en tot dan.
Theo
HP Desktop Pavilion 570 - Windows 10 Home - Intel core i5-7400 CPU 3.00GHZ - Nvidia Geforce GTX 1050 - 8GB Ram - SSD 256 GB - HDD 1 TB - Antivirus Bitdefender - ADSL2+ - Scarlet

Offline theo

  • Volledig lid
  • **
  • Berichten: 224
  • Geslacht: Man
  • De Oplossing!
Re: malware
« Reactie #3 Gepost op: 08 februari 2015, 20:28:18 »
Dag SoftAid


Ik heb eindelijk uw instructies kunnen uitvoeren. Alles is zeer goed gegaan en zoals gevraagd hecht ik hier dan die twee logskes. Ik moet wel zeggen dat na het script van zoeken de internetverbinding weg viel. Iets met de server maar ik weet niet meer precies wat het was. Enkele uren daarna was de internetverbinding terug normaal. Ik heb terug een scan gedaan met mbam en niettegenstaande die trojans verwijderd zijn (volgens mbam) zijn ze nog altijd aanwezig in.

Met beste groeten en tot een volgende keer maar dan zal het weer vanop mijn computer zijn.
Theo
HP Desktop Pavilion 570 - Windows 10 Home - Intel core i5-7400 CPU 3.00GHZ - Nvidia Geforce GTX 1050 - 8GB Ram - SSD 256 GB - HDD 1 TB - Antivirus Bitdefender - ADSL2+ - Scarlet

Offline timescapez

  • Ambassadeur
  • *****
  • Berichten: 1.517
  • Geslacht: Man
  • Oplossing.be
Re: malware
« Reactie #4 Gepost op: 09 februari 2015, 21:07:40 »
Goedenavond theo,

kan je volgende stap uitvoeren op die pc aub?

Download ComboFix van één van deze locaties:

Link 1
Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op
   
1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix.
Hier is een handleiding over hoe je ze kan uitschakelen:  Klik hier.
De Handleiding voor Bitdefender Total Security 2013: Bladzijde 72,  paragraaf 18.1.1

2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal.
3. Dubbelklik op "Combofix.exe" om de tool te starten.
4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen.

Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer.

5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt)

Mvg,
Times
Windows 7 Professional SP1 NLD 64bit
Intel(R) Core(TM) i5-4690K CPU @ 3.50GHz 770
MAXIMUS VII RANGER
NVIDIA GeForce GTX 580 1536MB 1680 x 1050
NVIDIA High Definition Audio
Nr: 1 Model: SAMSUNG HD103SJ ATA Device
Nr: 2 Model: SAMSUNG SSD 830 Series ATA Device
Nr: 3 Model: ST3250624AS ATA Device
Antec Twelvehundred case, 850W PSU

Offline theo

  • Volledig lid
  • **
  • Berichten: 224
  • Geslacht: Man
  • De Oplossing!
Re: malware
« Reactie #5 Gepost op: 09 februari 2015, 21:33:40 »
Dkuwel timescapez, maar dat zal iets zijn voor woensdagavond 11/2; dan kan ik nog eens op die bewuste pc uw instructies uitvoeren.
Beste groeten en tot dan.
Theo
HP Desktop Pavilion 570 - Windows 10 Home - Intel core i5-7400 CPU 3.00GHZ - Nvidia Geforce GTX 1050 - 8GB Ram - SSD 256 GB - HDD 1 TB - Antivirus Bitdefender - ADSL2+ - Scarlet

Offline theo

  • Volledig lid
  • **
  • Berichten: 224
  • Geslacht: Man
  • De Oplossing!
Re: malware
« Reactie #6 Gepost op: 11 februari 2015, 21:24:23 »
Hello Timescapez

Zoals afgesproken heb ik deze avond (11/02) uw "a la lettre" uitgevoerd (zelfs 2 maal). Alles is zeer goed gegaan zonder problemen maar die trojans zijn niet kapot te krijgen. Mbam blijft ze dedecteren. Ik heb hierbij ook het logsken van Combofix gevoegd.
Dank voor uw tussenkomst maar we staan nog even ver. Moet er misschien een herinstallatie van Windows overwogen worden ?
Met beste groeten.
Theo
HP Desktop Pavilion 570 - Windows 10 Home - Intel core i5-7400 CPU 3.00GHZ - Nvidia Geforce GTX 1050 - 8GB Ram - SSD 256 GB - HDD 1 TB - Antivirus Bitdefender - ADSL2+ - Scarlet

Offline timescapez

  • Ambassadeur
  • *****
  • Berichten: 1.517
  • Geslacht: Man
  • Oplossing.be
Re: malware
« Reactie #7 Gepost op: 12 februari 2015, 21:27:25 »
Goedemiddag theo,

niet zo'n simpel geval om deze op te lossen.
Ik moet je logjes tot in het detail bestuderen, ik voorzie hier komend weekend wat tijd voor vrij te maken ;).

Groetjes
Times
Windows 7 Professional SP1 NLD 64bit
Intel(R) Core(TM) i5-4690K CPU @ 3.50GHz 770
MAXIMUS VII RANGER
NVIDIA GeForce GTX 580 1536MB 1680 x 1050
NVIDIA High Definition Audio
Nr: 1 Model: SAMSUNG HD103SJ ATA Device
Nr: 2 Model: SAMSUNG SSD 830 Series ATA Device
Nr: 3 Model: ST3250624AS ATA Device
Antec Twelvehundred case, 850W PSU

Offline timescapez

  • Ambassadeur
  • *****
  • Berichten: 1.517
  • Geslacht: Man
  • Oplossing.be
Re: malware
« Reactie #8 Gepost op: 15 februari 2015, 21:13:10 »
Dag Theo,

ik begin te twijfelen of het systeem wel effectief geïnfecteerd is, en dat er geen sprake is van een zogenaamde "false-positive" (een foute melding van MBAM).

- Ga naar start, type "cmd" (niet op Enter drukken).
- Rechterklik op het zwarte icoon van cmd en kies "Als administrator uitvoeren".
- Typ: "ipconfig /all" (zonder "", MET spatie tussen de g en de /).
- Zoek de getallen welke achter "DNS-servers" staan (Vorm: xxx.xxx.xxx.xxx, met x = getal tussen 0 & 255).
- Ga naar de website van de FBI (klik).
- Voeg hier de getallen in welke je daarnet bij "DNS - servers" gevonden hebt, en druk op "Controleer uw DNS".
- Doe dit voor alle DNS - adressen welke je gevonden had.

Geeft hij op eender welke DNS - server de melding "you are infected"?

Mvg,
Times
Windows 7 Professional SP1 NLD 64bit
Intel(R) Core(TM) i5-4690K CPU @ 3.50GHz 770
MAXIMUS VII RANGER
NVIDIA GeForce GTX 580 1536MB 1680 x 1050
NVIDIA High Definition Audio
Nr: 1 Model: SAMSUNG HD103SJ ATA Device
Nr: 2 Model: SAMSUNG SSD 830 Series ATA Device
Nr: 3 Model: ST3250624AS ATA Device
Antec Twelvehundred case, 850W PSU

Offline theo

  • Volledig lid
  • **
  • Berichten: 224
  • Geslacht: Man
  • De Oplossing!
Re: malware
« Reactie #9 Gepost op: 23 februari 2015, 00:12:19 »
Dag beste Oplossers

Ik heb heel goed nieuws. Ik heb op de website van Microsoft hun Microsoft Safety Scanner gevonden. Dit is wel een on-demand-scanner met 3 soorten scans. Eerst probeerde ik de gewone en die vond niets. Daarna deed ik een in-depth-scan en die vond wel 1 bedreiging. De derde scan was een aangepaste maar die heb ik niet genomen. Uiteraard was ik wel benieuwd naar die gevonden dreiging maar omdat de naam anders was dan die Trojan dacht ik dat het een tweede malware was. In ieder geval werd die bedreiging netjes verwijderd en deed ik opnieuw een scan met MBAM en.... alles o.k.; geen bedreiging gevonden, alles normaal. Vandaag (enkele dagen later) heb ik opnieuw een scan gedaan met MBAM en terug was alles normaal. Het antivirusprogramma vond ook niets. Bedreiging was weg.

Ik denk niet dat het een false-positive was want I.E. heeft klappen gekregen. Bij elke website, ook die van oplossing, verscheen er een popup waarschuwing van MBAM. Ik heb dan Mozilla Firefox geïnstalleerd en daar was alles normaal mee. Ik denk dat we niet meer kunnen doen. Alle antimalwareprogs reageren normaal, computer is normaal en mijn vriend is ook tevreden en die werkt nu met Firefox.

Ik denk dat met deze dit topic mag gesloten worden en aan alle betrokkenen mijn beste dank voor al hun goede zorgen. Theo.
HP Desktop Pavilion 570 - Windows 10 Home - Intel core i5-7400 CPU 3.00GHZ - Nvidia Geforce GTX 1050 - 8GB Ram - SSD 256 GB - HDD 1 TB - Antivirus Bitdefender - ADSL2+ - Scarlet

 


www.combell.com