Pagina 1 van 2

Setup Version 1.1 / Trojans / Onvrijwillige installaties

Geplaatst: 10 mar 2018 16:22
door alex_probleem2
1. Probleemomschrijving
Allereerst: het probleem doet zich voort op en andere laptop (mijn werklaptop een Dell Latitude E7470 / Windows 10 ). Indien jullie dat niet uit de logjes kunnen halen, zal ik uiteraard de info verschaffen die jullie nodig hebben.

Ik wilde vandaag snel even een tijdlijn in elkaar flansen met powerpoint timeline. Daarvoor wilde ik de volledige versie gebruiken en heb toen een crack gedownload. In mijn haast om lekker met zo'n tijdlijn te gaan knutselen ben ik het gevaar van een crack vergeten. Erg stom, dat begrijp ik.

Wat er vervolgens gebeurde is een melding dat er trojans waren gedetecteerd en dat deze verwijderd waren (dit was in een popup scherm met de titel on-access scan message dat volgens mij bij McAfee hoort).

In de downloads zag ik geen bestanden staan die ik eventueel had gedownload.

Er worden ook continu programma's geïnstalleerd zoals Multitimer, Fire..nogiets, Chromosphere, Avast Free Antivirus (niet te verwijderen) en setup version 1.1 (niet te verwijderen vanwege een corrupte unins0000.exe)

Periodiek blijf ik meldingen krijgen van McAfee dat er weer een trojan is verwijderd (nu ik wat van die programma's heb verwijderd is dat aanzienlijk minder).

2. Wat heb ik zelf geprobeerd?

- Diverse malen de programma's die door de trojan worden geïnstalleerd verwijderd (na het opstarten waren ze er weer).
- McAfee scan -> enkele bestanden gevonden en verwijderd.
- Avast Free Antivirus proces / applicatie gesloten en getracht te verwijderen. Daarbij krijg ik het bericht dat ik weer moet booten. Daar wacht ik maar even mee want dan zijn al die programma's weer opnieuw geïnstalleerd.
- setup version 1.1 geprobeerd te verwijderen maar dan krijg ik een melding dat het om een corrupt unins bestand gaat.

Logjes zitten in de bijlage. Het is een lange tijd geleden dat ik een beroep op jullie heb gedaan maar daarom ben ik niet minder dankbaar voor jullie service. Helden!

Groeten,
Alex

Re: Setup Version 1.1 / Trojans / Onvrijwillige installaties

Geplaatst: 10 mar 2018 18:57
door smeenk
Welkom op hijackthis.nl

Je hebt behoorlijk wat opgelopen door je crack-gebruik, ik zal even je logjes doorlopen.

Groeten smeenk :)

Re: Setup Version 1.1 / Trojans / Onvrijwillige installaties

Geplaatst: 10 mar 2018 19:30
door smeenk
stap 1. Open de map Downloads en sleep de tool FRST naar je bureaublad!

Afbeelding Afbeelding

Download fixlist.txt uit de bijlage naar het bureaublad, waar ook FRST.exe aanwezig is.
  • Klik met de rechtermuisknop op FRST.exe en kies voor de optie Afbeelding Als administrator uitvoeren.
  • Druk op de Fixen knop.
  • Er zal u een logbestand aangemaakt worden (Fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
  • Voeg dit logbestand als bijlage toe aan het volgende bericht.
stap 2. Probeer daarna dit: https://www.avast.com/nl-nl/uninstall-utility

stap 3. Ten slotte doe je het volgende:

Schakel eerst de Antivirussoftware uit voordat je zoek.exe download of uitvoert.
Schakel je antivirus- en antispywareprogramma's tijdelijk uit, deze kunnen namelijk de werking van Zoek.exe nadelig beïnvloeden.
(hier en hier) kan je lezen hoe je dat doet.

Download Afbeelding Zoek.exe naar het bureaublad.(klik hier voor meer informatie over hoe zoek.exe te gebruiken).
  • Wanneer Internet Explorer of een andere browser of virusscanner melding geeft dat dit bestand onveilig zou zijn kan je dat negeren, het is namelijk een onterechte waarschuwing.
Zoek.exe uitvoeren
Wanneer u problemen ondervindt bij het uitvoeren van dit programma of bepaalde foutmeldingen te zien krijgt laat dit dan even weten in uw bericht.
  • Klik met de rechtermuisknop op Afbeelding Zoek.exe en kies voor Afbeelding Als Administrator uitvoeren.
  • Kopieer nu onderstaande code en plak die in het grote invulvenster:
  • Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkwaardig probleem.

    Code: Selecteer alles

    firefoxlook;
    startupall;
    installedprogs;
    services-list;
    filesrcm;
    chromelook;
    
  • Klik nu op de knop "Run script".
  • Zoek.exe gaat nu een scan uitvoeren, bij sommige systemen kan dit langer dan een half uur duren.
  • Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
  • Mocht er geen logje verschijnen, start zoek.exe dan opnieuw en klik op de knop zoek-results.log, de log verschijnt dan alsnog.
  • Post het geopende logje in het volgende bericht als bijlage.
Zoek.exe logbestand plaatsen
  • Voeg het logbestand met de naam "Zoek-results.log" als bijlage toe aan het volgende bericht. (Dit logbestand kunt u tevens terug vinden op de systeemschijf als C:\Zoek-results.log.)
  • Hoe u een bijlage kunt toevoegen aan het bericht leest u hier.

Re: Setup Version 1.1 / Trojans / Onvrijwillige installaties

Geplaatst: 10 mar 2018 20:56
door alex_probleem2
Hey Smeenk,

Hartelijk dank voor je snelle reactie en hulp.

Stap 1: gelukt

Fixlog zit in de bijlage.

Dit maakt al een heel groot verschil. Geen pop ups meer.

Stap 2: gelukt!

Avast is weg.

Stap 3: niet gelukt. Ik krijg McAfee (Enterprise 8.8) niet tijdelijk gedisabled. Ik heb wat geprobeerd maar zonder succes.

Hierdoor wordt Zoek.exe direct gevonden (z8... ) als trojan. Het log dat wordt opgeleverd is dan ook helemaal leeg omdat het pad niet gevonden kan worden.

Andere optie?

Zoals ik al zei het maakt al weer een heel groot verschil. Ik krijg wel de volgende foutmelding:

Titel: RunDLL
Tekst: There was a problem starting C:\Users\nxf42532\AppData\Local\adrile.dll

Bij voorbaat dank voor je hulp.

Groeten,
Alex

Re: Setup Version 1.1 / Trojans / Onvrijwillige installaties

Geplaatst: 10 mar 2018 23:02
door smeenk
Kan je stap 3 in veilige modus met netwerkverbinding proberen uit te voeren, misschien is je virusscanner dan niet actief?

https://computertotaal.nl/artikelen/app ... dus-69260/

Lukt dit niet maak dan een nieuwe scan met FRST en post het nieuwe log daarvan.

AfbeeldingAfbeelding

Klik met de rechtermuisknop op FRST.exe en kies voor de optie Afbeelding Als administrator uitvoeren.
  • Zorg dat de optie volgende optie is aangevinkt: Afbeelding
  • Druk op de knop Scannen.
  • Na de scan worden 2 logbestanden gemaakt (FRST.txt en Addition.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
  • Voeg deze log bestanden als bijlage toe in je volgende bericht.

Re: Setup Version 1.1 / Trojans / Onvrijwillige installaties

Geplaatst: 11 mar 2018 10:32
door alex_probleem2
Hey Smeenk,

Veilige modus is me niet gelukt daar moet ik een Bitlocker Drive Encryption Recovery Key Entry voor hebben.

Daarom heb ik FRST opnieuw laten scannen.

Zie de logjes in de bijlage.

Groeten,

Alex

Re: Setup Version 1.1 / Trojans / Onvrijwillige installaties

Geplaatst: 11 mar 2018 11:26
door smeenk
Nieuwe fix met FRST :)

Afbeelding Afbeelding

Download fixlist.txt uit de bijlage naar het bureaublad, waar ook FRST.exe aanwezig is.
  • Klik met de rechtermuisknop op FRST.exe en kies voor de optie Afbeelding Als administrator uitvoeren.
  • Druk op de Fixen knop.
  • Er zal u een logbestand aangemaakt worden (Fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
  • Voeg dit logbestand als bijlage toe aan het volgende bericht.
Ik vond deze link: https://kc.mcafee.com/corporate/index?p ... id=KB52204

Kan je dit proberen en daarna alsnog de scan met zoek.exe proberen?

Groeten Smeenk :)

Re: Setup Version 1.1 / Trojans / Onvrijwillige installaties

Geplaatst: 11 mar 2018 16:24
door alex_probleem2
Hey Smeenk,

Bedankt.

Ik heb de nieuwe fix gedaan met FRST en de pop-up bij het opstarten is weg. Het komt weer allemaal als vanouds over.

Fixen log zit in de bijlage.

Ik heb McAfee proberen 'disablen' volgens de link die je voorschrijft maar deze optie kan ik niet selecteren (= uitgeschakeld voor gebruikers zoals ik).

Zal ik FRST opnieuw laten scannen?

Groeten

Alex

Re: Setup Version 1.1 / Trojans / Onvrijwillige installaties

Geplaatst: 11 mar 2018 18:19
door smeenk
Ik heb nog een nieuwe fix voor FRST gemaakt voor je :)


Stap 1. Afbeelding Afbeelding

Download fixlist.txt uit de bijlage naar het bureaublad, waar ook FRST.exe aanwezig is.
  • Klik met de rechtermuisknop op FRST.exe en kies voor de optie Afbeelding Als administrator uitvoeren.
  • Druk op de Fixen knop.
  • Er zal u een logbestand aangemaakt worden (Fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
  • Voeg dit logbestand als bijlage toe aan het volgende bericht.
Probeer daarna de volgende tool uit te voeren:

Stap 2. Download Afbeelding ComboFix naar je bureaublad.
Gebruik het programma nog niet.
Note: Dit script is speciaal bedoeld voor deze computer, gebruik dit dan ook niet op andere computers met een gelijkaardig probleem.
CFScript.txt
  • Sla CFScript.txt vanuit de bijlage op je Bureaublad op.
  • Sluit openstaande vensters en programma's.
  • Sleep CFScript.txt in ComboFix.exe zoals getoond in onderstaand voorbeeld:
  • Wanneer u problemen ondervindt bij het uitvoeren van dit programma of bepaalde foutmeldingen te zien krijgt laat dit dan even weten in uw bericht.
    Afbeelding
Nu zal ComboFix vanzelf worden gestart, gebruik de computer niet voor andere taken tijdens het uitvoeren van ComboFix.

Sluit ALLE vensters, ook je browser en laat ComboFix rustig zijn werk doen.
Open dus geen andere applicaties totdat ComboFix de log heeft gepresenteerd.
Wanneer ComboFix klaar is met scannen, dit kan eventueel na een reboot zijn, opent er een logfile (ComboFix.txt).
Deze kan je vinden op C:\ComboFix.txt.
Post het ComboFix-logje ook als bijlage in je volgende bericht.

Re: Setup Version 1.1 / Trojans / Onvrijwillige installaties

Geplaatst: 12 mar 2018 08:47
door alex_probleem2
Hey Smeenk,

Stap 1.

FRST is opnieuw gedraaid en het logje zit in de bijlage. FRST dwong tot een restart en daarbij kwam wel een blauw scherm (windows collection information for crash dump...).

Stap 2.

Combofix is uitgevoerd en de log zit in de bijlage. Tijdens de uitvoering werd wel gevraagd om McAfee te disablen maar dat ging dus niet. Daarnaast kwam er ook een on-access scan message tijdens de uitvoering die een onderdeel had verwijderd.

--------------------------------------------------------------------

Tijdens het schrijven van deze reply krijg ik nog de foutmelding:
C:\Program Files\Common Files\McAfee\SystemCore\entvutil.exe
Illegal operation attempted on a registry key that has been marked for deletion.

Bij voorbaat dank!

Groeten,
Alex

Re: Setup Version 1.1 / Trojans / Onvrijwillige installaties

Geplaatst: 12 mar 2018 09:00
door smeenk
Hoi Alex

Jammer dat je virusscanner de werking van de verschillende tools telkens in de weg zit. Desondanks hebben we je systeem al behoorlijk kunnen opschonen :)

Het blauwe scherm had wellicht te maken met een driver die via FRST-fixlist verwijderd werd, dit ging kennelijk niet helemaal vanzelf.

De foutmelding die je nu nog krijgt heeft betrekking op ComboFix.
Herstart even de computer, dat zou deze foutmelding moeten doen verdwijnen.

Download de gratis versie van Afbeelding MalwareBytes Anti-Malware (website).
(het bestand mbam-setup-consumer-x.xx.x.xxxx.exe wordt dan gedownload)
Na het downloaden, dubbelklik erop om het programma te installeren.
Verander geen instellingen tijdens de installatie.

De eerste keer na installatie krijg je de volgende melding:
"Welkom bij uw 14-Daagse Premium proef-periode". Sluit dit venster.

In het opstartscherm van "Malwarebytes Anti-Malware", klik op "Dashboard" en vervolgens op de knop "Scan nu".
Indien er updates beschikbaar zijn worden deze eerst gedownload.
Het scannen kan een tijdje duren, dus wees geduldig.

Na het scannen:
Als er bedreigingen zijn gevonden:
  • Klik op "Verwijder geselecteerde" en daarna op "Voltooien".
  • Er kan gevraagd worden om de computer opnieuw op te starten. Doe dat dan en start daarna opnieuw MBAM.
Klik in Malwarebytes op "Rapporten".
Plaats een vinkje bij het recentste "Scanrapport".
Klik op Exporteer en kies Tekstbestand (*.txt).
Afbeelding
Vul een bestandsnaam in en bewaar het op je bureaublad zodat je het makkelijk terugvindt.
Voeg het logje daarna als bijlage toe aan het volgende bericht.

Re: Setup Version 1.1 / Trojans / Onvrijwillige installaties

Geplaatst: 12 mar 2018 20:36
door alex_probleem2
Hey Smeenk,

Inderdaad, het zit goed dichtgetimmerd, maar aangezien ik bij een multionational werk, stemt mij die beveiliging wel tevreden. En inderdaad het voelt al weer allemaal als vertrouwd aan. Daarvoor dank.

De foutmelding van Combofix is inderdaad verdwenen, thanks.

MBAM is succesvol uitgevoerd. Het logje zit in de bijlage.

Vraagje: kan ik MBAM weer verwijderen? (Het blokkeert namelijk een script dat vanuit mijn werk geregeld is, is wel te vertrouwen).

Wederom hartelijk dank.

Groeten,
Alex

Re: Setup Version 1.1 / Trojans / Onvrijwillige installaties

Geplaatst: 12 mar 2018 23:12
door smeenk
Je mag MalwareBytes weer verwijderen als je het niet wilt blijven gebruiken.
Momenteel heb je een uitprobeerversie van de betaalde variant van MBAM, deze kan je omzetten naar een gratis versie zonder bewaking, dan zal het ook die scripts niet meer blokkeren, de keuze is aan jezelf :)

Ik denk dat we bijna klaar zijn, voer voor de zekerheid toch de volgende tool ook nog maar even uit want er was ook DNS-malware aanwezig en wellicht dat AdwCleaner daar nog wat vindt\verwijderd.

Download Afbeelding AdwCleaner - Alternatieve downloadlink by Xplode naar het bureaublad.

AdwCleaner uitvoeren
  • Sluit alle openstaande vensters.
  • Klik met de rechtermuisknop op AdwCleaner.exe en kies voor Afbeelding Als administrator uitvoeren.
  • Klik vervolgens op de knop Scan.
  • Er wordt nu eerst gecontroleerd of er updates beschikbaar zijn en zo nodig gedownload.
  • Wanneer de scan gereed is Klikt u vervolgens op de knop Opruimen.
  • Klik vervolgens in het informatiescherm op Ok, en hierna nogmaals op Ok om de computer opnieuw op te starten.
  • Nadat de computer opnieuw is opgestart wordt het logbestand automatisch geopend. "C:\AdwCleaner[C0].txt"
  • Plaats dit logbestand als bijlage in het volgende bericht.

Re: Setup Version 1.1 / Trojans / Onvrijwillige installaties

Geplaatst: 14 mar 2018 10:41
door alex_probleem2
Hey Smeenk,

Excuus voor de late reactie.

Er is namelijk hetvolgende gebeurd: Maandagavond heb ik Malware Bytes gedraaid zoals je aan het logje kan zien. Daarna heb ik MBAM weer verwijderd. Dinsdagochtend kon ik helaas niet inloggen, het scherm bleef op 'Welcome' hangen. Daarop heb ik de IT ingeschakeld omdat ik die dag wel gewoon moest werken. Ze hebben toen via Safe Mode een systeem herstel gedaan terug naar 12 Maart 8 uur 's ochtends. Ik heb teruggerekend en is de tweede keer uitvoeren van FRST, de uitvoering van Combofix en de uitvoering van MBAM teruggedraaid.

Vanuit de IT moest ik toen verplicht SuperAntiSpyware draaien en daar zijn System Healer + Tracking cooking verwijderd. Ik vraag me af of dit voldoende is.

Ik ben benieuwd wat je nu aanraadt, want ik wil niet nog een keertje niet in mijn computer kunnen omdat ik dan weer bij de IT te rade moet gaan.

Bij voorbaat dank.

Groeten,
Alex

Re: Setup Version 1.1 / Trojans / Onvrijwillige installaties

Geplaatst: 14 mar 2018 11:27
door smeenk
Het is moeilijk te zeggen waardoor het probleem veroorzaakt is, lijkt me sterk dat het door het verwijderen van MBAM gekomen is.
De eerste fixlist voor FRST heeft de meeste malware-problemen opgelost.
De latere stappen waren voornamelijk om restanten in het register te verwijderen en deze: C:\windows\System32\drivers\prilock.sys => https://www.virustotal.com/file/a73893f ... 520222553/
Als je meer over dit bestand weet? Volgens VirusTotal is het malware.
Misschien is het het beste om nu een nieuwe log met FRST te maken om te zien wat de stand van zaken is na het systeemherstel.

Groeten Smeenk