Setup Version 1.1 / Trojans / Onvrijwillige installaties

[alex_probleem2]

Hi Smeenk,

Bedankt voor je reactie.

Mijn vermoeden is dat iets wat ik met MBAM heb verwijderd, dat dat heeft veroorzaakt dat ik niet meer kon inloggen. Maar meer dan een vermoeden zal dat nooit worden.

C:\windows\System32\drivers\prilock.sys <-- deze jongen staat niet meer tussen de lijst met drivers (ik heb gecontroleerd met 'hidden' files AAN).

De logjes van FRST zitten in de bijlage.

Wederom bedankt.

Groeten,
Alex

[smeenk]

Hoi Alex

Het goede nieuws is dat al onze voorgaande acties met FRST en Combofix niet ongedaan gemaakt zijn door systeemherstel.
Er is een restantje van prilock.sys dat nog gefixt mag worden met FRST.
Er staan echter wel allerlei policies die eerder gefixt zijn terug in het log, ik vermoedt dat je virusscanner die bewaakt en na de herstart weer terug zet zoals ze waren.
Omdat die virusscanner toch niet uitgezet kan worden heeft het m.i. weinig zin om deze opnieuw te laten fixen en dat doe ik daarom ook niet.

Hier onder de nieuwe fixlist voor FRST:



Download fixlist.txt uit de bijlage naar het bureaublad, waar ook FRST aanwezig is.

• Klik met de rechtermuisknop op FRST.exe en kies voor de optie Als administrator uitvoeren.
• Druk op de Fixen knop.
• Er zal u een logbestand aangemaakt worden (Fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
• Voeg dit logbestand als bijlage toe aan het volgende bericht.

Wat je hierna zou kunnen doen is een volledige systeemscan met je antivirus en daarna nog enkele dagen aankijken of er zich nog problemen voordoen met je computer\software.
Mocht het allemaal naar behoren werken dan meldt je dit over enkele dagen dan kunnen we afronden.

Groeten Smeenk

[alex_probleem2]

Hey Smeenk,

Dat is inderdaad mooi nieuws dat Combofix/FRST niet ongedaan zijn gemaakt.

FRST is met succes uitgevoerd. Het FRST logje zit in de bijlage.

Vanmiddag werd ik opeens gebeld door de IT dat ze malware activities hadden geregistreerd en dat ik McAfee moest draaien. Die heeft toen twee trojans weggehaald. Ze zitten er dus vrij kort op .

Voor de rest werkt alles naar behoren. De hidden files worden wel eens zichtbaar maar ik weet hoe ik dat moet terugzetten.

Nogmaals bedankt.

Indien alles goed blijft verlopen, zal ik over een paar dagen posten dat het onderwerp gesloten mag worden.

Fijn weekend.

Groeten,
Alex

[smeenk]

Hoi Alex

Mooi dat het goed gaat, de FRST-fix is ook goed gelukt.
Weet je wat McAfee precies gevonden heeft en waar die trojans zich bevonden, kan je dat achterhalen?
Daar ben ik altijd nieuwsgierig naar.
Verder wens ik jouw ook een goed weekend toe.

Groeten
Smeenk

[alex_probleem2]

Hi Smeenk,

Goed weekend gehad?

Ja ik dacht dat het serieuze problemen waren maar ik zie nu dat de Trojans die gevonden zijn (aeacd4033... en adrille.dll.xB...) beide in folder "c:\FRST\Quarantine\...." staan. Ik neem aan dat dit geen kwaad kan?

Hetzelfde geld voor Superantispyware die vindt elke keer items (zoals Adware.Neoreklame/Variant en PUP.SystemCleaner/Variant) maar die staan vrijwel altijd in de map: C\FRST\Quarantine\C\....(het vervolg van het pad verschilt tussen Program Files (X86) of Programdata)

Daarnaast merk ik dat Superantispyware heel veel tracking cookies verwijderd (vandaag weer 40).

Momenteel run ik weer een McAfee scan (nog 0 detections).

Niet onbelangrijk: alles werkt gewoon naar behoren. Af en toe worden de 'hidden' items weer zichtbaar, maar ik weet hoe je dit kunt uitzetten via 'regedit'.

Hopende je hierbij voldoende geïnformeerd te hebben.

BIj voorbaat dank voor je hulp.

Groeten,
Alex

[smeenk]

Hoi Alex

Mijn weekend was prima, dank je.
FRST maakt backups van alles dat het verwijderd heeft, in het geval dat er per ongeluk iets verwijderd werd dat legitiem is kan je het altijd terug laten zetten.
Dat SuperAntiSpyware en je virusscanner voornamelijk zaken in die map van FRST vinden is een goed teken, namelijk dat we alles van je systeem verwijderd hebben
Die cookies zou ik me niet zo druk om maken, de meeste websites hebben die gewoon nodig om goed te kunnen werken, je kan ze telkens weg laten halen maar een nieuw bezoek aan die websites zorgt er voor dat ze weer teruggeplaatst worden.

Ik denk dat we af kunnen ronden omdat je ook geen problemen meer met het systeem ervaart.

Doe het volgende maar om alle tools, bijbehorende logjes en ook alle aangemaakte mappen te verwijderen:

Download Delfix by Xplode naar het bureaublad, deze zal de gebruikte tools en logbestanden weer verwijderen.

Klik met de rechtermuisknop op Delfix.exe en kies voor de optie: Als administrator uitvoeren.
Zet nu een vinkje voor de volgende regels:

• Remove disinfection tools
• Purge System Restore
• Reset system settings

Klik nu op "Run" en wacht geduldig tot de tool gereed is.

Wanneer de tool gereed is wordt er een logbestand aangemaakt, deze mag je ter controle als bijlage in je volgende bericht plaatsen.

[alex_probleem2]

Hey Smeenk,

Klinkt goed dat we mogen afronden

Ik heb Delfix.exe gedraaid. Volgens mij is alles in orde gegaan pas bij het opleveren van het tekst bestandje ging het fout:

"H:\DelFix.txt
The system cannot find the drive specified."

Kan ik er vanuit gaan dat het in orde is?

Nogmaals bedankt voor jullie hulp. Ik vind het echt geweldig wat jullie doen.

Met vriendelijke groeten,
Alex

[smeenk]

Hoi Alex

Delfix verwijderd de gebruikte tools, bijbehorende mappen en logbestanden.
Het verwijderd zichzelf en zijn logje ook, dit gebeurd wanneer je het geopende logje afsluit(dat had ik je er niet bij verteld )
Maar als alles goed gegaan is dan zouden ook alle oude systeemherstelpunten gewist moeten zijn en er weer een nieuw herstelpunt aangemaakt zijn.
Dit kan je even checken, mochten er nog logjes e.d. overgebleven zijn van onze opschoningsacties dan mag je die zelf verwijderen.

Verder heb ik je graag geholpen, we doen dit voornamelijk omdat het een leuke bezigheid is waarmee je ook nog andere mensen blij kan maken.

Groeten
Henri

[alex_probleem2]

Hey Henri,

Ik begrijp dat Delfix alles verwijderd inclusief zichzelf maar ik kreeg werkelijk geen logje te zien, enkel de foutmelding en toen ik die wegklikte er, zoals het hoort, neem ik aan, niks meer van Delfix te vinden. Kortom, niks mee te vinden van alle tools/apps die gebruikt zijn.

De oude herstelpunten zijn inderdaad gewist en er is een nieuwe gemaakt. Daarnaast maakt de laptop periodiek een restore point aan (laatste is van 4 april), daar ben ik blij mee.

Ik verbeeld me dat elk problem waar iemand jullie mee benadert, jullie zien als een soort van mini-escaperoom. Dat is misschien omdat ik van escaperooms hou en daar altijd erg veel plezier aan beleef. Ik hoor graag of die verbeelding een beetje klopt Jullie hebben sowieso een donatie verdiend want je hebt me echt uit de brand geholpen.

Tot slot heb ik nog de volgende vraag: Ik heb hier enkele logjes achter gelaten met scans van mijn systeem. Het betreft een werk pc en ik vroeg me af hoe dit zit met bepaalde gevoelige informatie. Is het bijvoorbeeld mogelijk de thread te verwijderen?

Nogmaals bijzonder bedankt Henri.

Een fijne dag.

Met vriendelijke groeten,

Alex

[smeenk]

Hoi Alex

Een mini-escaperoom, zo had ik het nog niet bekeken
Maar het klopt wel een beetje, het liefst kom ik een systeem tegen dat helemaal verziekt is door de malware(zoals die van jouw ) des te groter de uitdaging om het weer goed te krijgen.
Een donatie zou fijn zijn, dit forum bevat geen enkele vorm van advertentie-inkomsten, dus alle hulp in de vorm van donaties is welkom om dit vrijwilligerswerk te kunnen blijven doen.
Ik heb al je logs uit dit topic verwijderd, is dat ook oké wat jouw betreft?

Groeten
Henri

[alex_probleem2]

Hey Henri,

Haha dat klinkt als een goede uitdaging inderdaad.

Ik heb een tientje gedoneerd en mijn dank is groot.

Bedankt voor het verwijderen van de logjes. Kun je in mijn vorige reactie eventueel nog mijn achternaam verwijderen, dan ben ik helemaal tevreden.

Ik ga straks het schoonmaakprogramma runnen voor mijn eigen laptop dus wie weet tot de volgende.

Groeten en ga zo door!

Alex

[smeenk]

Graag gedaan hoor Alex, bedankt voor de donatie
Ik zet nu een slotje op deze thread en verplaats het naar de "Opgeloste logs/topics".

Groeten
Henri