pc gehackt en geïnfecteerd

[platoz]

Hallo,

Mijn vader is opgelicht door de "Microsoft helpdesk" vanaf deze pc. Voordat de bank zijn rekeningnummer weer wil vrijgeven, moet deze pc daarom eerst opgeschoond worden. Zouden jullie me daarmee kunnen helpen a.u.b.? Mijn vader heeft ook gezien dat er een klein zwart schermpje open heeft gestaan (waarin vroeger DOS werd gedraaid), en dat ongeveer 30 seconden aan lappen tekst/code-taal heeft laten zien. Is dit nog te fixen, of kan ik maar beter alles gewoon formatteren?

Groet, Platoz

[abbs]

Hallo,

Download MalwareBytes Anti-Malware bij voorkeur naar het bureaublad.

• Dubbelklik op mbam-setup-3.X.X.exe om de installatie van Malwarebytes Anti-Malware te starten.
• Volg de verdere aanwijzingen tijdens de volledige installatieprocedure.
• Klik vervolgens op de knop Scan nu om een bedreigingsscan uit te voeren. Er zal nu gecontroleerd worden op beschikbare updates.
• De scan wordt nu automatisch gestart, gebruik de computer bij voorkeur niet tijdens de scan.

Na het scannen:
Als er bedreigingen zijn gevonden:

• Klik op "Selectie in quarantaine plaatsen" en daarna op "Voltooien".
• Er kan gevraagd worden om de computer opnieuw op te starten. Doe dat dan en start daarna opnieuw MBAM.

Start Malwarebytes klik op "Rapporten".
Klik op het recenste "Scanrapport > Rapport bekijken".
Klik op Exporteer en kies Tekstbestand (*.txt).

Vul een bestandsnaam in en bewaar het op je bureaublad zodat je het makkelijk terugvindt.
Post het logbestand als bijlage in je volgend bericht.

[platoz]

Hoi abbs,

Alvast bedankt voor je hulp!

MBAM kon niets vinden (0 treffers), maar er stonden nog wel wat "oude" treats (een stuk of 15) in quarantaine. Deze heb ik allemaal verwijderd. Zie logje.

[abbs]

Hallo,

Doe de volgende stappen (lukt stap 1. niet ga verder met stap 2.

1. Ga naar Start > Configuratiescherm > (Programma's en Onderdelen) en verwijder daar het onderstaande indien aanwezig.

• Tencent QQMail Plugin
• 搜狗拼音输入法 8.8
• 搜狗高速浏览器 6.1.5.20958
• 腾讯QQ

2. Ga naar de map Downloads open die en sleep de tool FRST daaruit naar je bureaublad.

Download fixlist.txt uit de bijlage naar het bureaublad, waar ook FRST.exe aanwezig is.

Fixlist.txt

• Klik met de rechtermuisknop op FRST.exe en kies voor de optie Als administrator uitvoeren.
• Druk op de Fixen knop.
• Er zal u een logbestand aangemaakt worden (Fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
• Voeg dit logbestand als bijlage toe aan het volgende bericht.

Een handleiding via een filmpje van Farbar Recovery Scan Tool kan je HIER vinden.

[platoz]

Tencent QQMail Plugin --> verwijderd.
搜狗高速浏览器 6.1.5.20958 --> verwijderd (is een Chinese browser)

搜狗拼音输入法 8.8 --> Dit is een progje waarmee ik Chinese karakters kan typen. Deze heb ik daarom niet verwijderd.
腾讯QQ --> QQ is een messenger progje (zoals MSN dat was), en heb deze ook nog nodig. Daarom ook niet verwijderd.


Zie bijlage voor Fixlog.txt (de pc heeft hiervoor eenmaal reboot)

[abbs]

搜狗拼音输入法 8.8 --> Dit is een progje waarmee ik Chinese karakters kan typen. Deze heb ik daarom niet verwijderd.
腾讯QQ --> QQ is een messenger progje (zoals MSN dat was), en heb deze ook nog nodig. Daarom ook niet verwijderd.

Misschien moet je die opnieuw installeren er staan ook regels van in de fix dus kijk dat even na doe daarna:

Download AdwCleaner by Malwarebytes naar het bureaublad.

Klik met de rechtermuisknop op AdwCleaner en kies voor de optie Als administrator uitvoeren.

• Klik vervolgens op de knop Nu scannen.
• Wanneer de scan gereed is klikt u vervolgens op de knop Reiniging en Reparaties.
• Klik vervolgens in het informatiescherm op Schoonmaken en nu opnieuw opstarten.
• Nadat de computer opnieuw is opgestart wordt AdwCleaner automatisch geopend, klik op Logbestand bekijken.
• Plaats dit logbestand als bijlage in het volgende bericht.
• (Dit logbestand kunt u tevens terug vinden op de systeemschijf als C:\AdwCleaner\Logs\AdwCleaner[C00].txt.)

[platoz]

Geen probleem om die progjes even na te lopen, zijn zo weer geïnstalleerd.

Adw-logje, zie bijlage.

[abbs]

Hallo,

1. Download de Emsisoft Emergency Kit naar het bureaublad.
Klik hier voor de complete / uitgebreide handleiding van de Emsisoft Emergency Kit.

• Dubbelklik op "EmsisoftEmergencyKit.exe".
• Klik vervolgens op de knop "Install" en de bestanden worden nu automatisch uitgepakt naar de systeemschijf "C:\EEK".
• Wanneer het uitpakken gereed is opent de map "C:\EEK" dubbelklik op "Start Emergency Kit Scanner".
• "Emsisoft Emergency Kit" gaat de "definities laden" wanneer u de melding "Wilt u nu updaten?" krijgt klikt u op "Ja".
• Wanneer de update gereed is klikt u in op "Malware scan" wanneer u de melding "op PUP's mee scannen" krijgt klikt u op "Ja".
• Het scannen begint, gebruik bij voorkeur de computer niet voor andere bezigheden tijdens de scan.
• Wanneer de scan gereed is zorg dat alle items staan aangevinkt en klik op de knop "Geselecteerde in quarantaine".
• Klik vervolgens op de knop "Rapport bekijken" en plaats de inhoud van dit bestand in uw volgende bericht als bijlage.

(Het logbestand is tevens terug te vinden op de systeemschijf (C:\EEK\Run\Reports) met de naam a2scan_130711-154142.txt)


2.

Klik met de rechtermuisknop op FRST.exe en kies voor de optie Als administrator uitvoeren.

• Zorg dat de volgende optie is aangevinkt:
• Druk op de knop Scannen.
• Na de scan worden 2 logbestanden gemaakt (FRST.txt en Addition.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
• Voeg deze log bestanden als bijlage toe in je volgende bericht.

[platoz]

Zie bijlagen.

[abbs]

Hallo,

Ik zie dat er een illegale Malwarebytes is gedownload, begin daar a.u.b. nooit aan zo word de pc onbetrouwbaar omdat Keygens een open verbinding
met internet hebben en zo de pc open staat voor aanvallen.
De gratis versie zou al genoeg zijn om te gaan gebruiken dus ik raad aan de illegale te verwijderen.
Verder ziet alles er netjes uit, hoe draait de pc nu?

[platoz]

De pc draait weer prima. Ik heb het hele bestand (map) waar die Malwarebytes met Keygen in stond verwijderd.

Er staan echter ook nog programmatjes op mijn bureaublad zoals ZHPDiag, ZHPFix en SecurityCheck. Hoe deïnstalleer ik deze?

[abbs]

Hallo,

Met het onderstaande tool ruim je de meeste tools op die we hebben gebruikt:

Download Delfix - Alternatieve downloadlink by Xplode naar het bureaublad.

Dubbelklik op Delfix.exe om de tool te starten.
Zet een vinkje voor het volgende item:

• Remove disinfection tools

Klik nu op "Run" en wacht geduldig tot de tool gereed is.
Wanneer de tool gereed is wordt er een logbestand aangemaakt. Dit hoeft je echter niet te plaatsen.
Note: Start je pc hierna opnieuw op, mochten er nog programma's of log bestanden aanwezig zijn mag je die handmatig verwijderen.
Maak indien nodig ook een nieuw herstelpunt (als je die aan heb staan) Handleiding.

[platoz]

Alle tools zijn inderdaad weer verwijderd met Delfix.

De reden om deze pc na te laten kijken was omdat met deze pc fraude is gepleegd, doordat deze pc door de fraudeurs is overgenomen met een Teamview-achtig programmatje en er wellicht malware op was gezet als achterdeurtje om weer toegang tot deze pc te krijgen.

Kan ik mijn vader door middel van deze opschoning weer met een gerust hart achter de pc laten werken?

[abbs]

Alle tools zijn inderdaad weer verwijderd met Delfix.

De reden om deze pc na te laten kijken was omdat met deze pc fraude is gepleegd, doordat deze pc door de fraudeurs is overgenomen met een Teamview-achtig programmatje en er wellicht malware op was gezet als achterdeurtje om weer toegang tot deze pc te krijgen.

Kan ik mijn vader door middel van deze opschoning weer met een gerust hart achter de pc laten werken?

Ja je vader kan weer veilig zijn pc gebruiken, belangrijkste zet is in eerste instantie altijd alle wachtwoorden te veranderen ook van de router en wifi.

[platoz]

Ja, de belangrijkste accounts/websites hebben inmiddels andere wachtwoorden gekregen.

De modem heeft een reset gekregen (router hebben we niet), maar dan krijgt de modem toch altijd het standaard wachtwoord weer terug wat op de sticker staat? Kan ik die gewoon zo laten? Er zat overigens nooit een ander wachtwoord op.