Gebruikersavatar
tuur
Lid
Berichten: 25
Lid geworden op: 18 aug 2008 14:50

Beste Peter,

Nee, geen idee waarom dat er op staat. is dat malware?


Groetjes,

Arthur
Gebruikersavatar
PeterJ
Moderator
Berichten: 3503
Lid geworden op: 22 okt 2007 23:22

Stap 1:
Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem.

Download de bijlage fixlist.txt naar de map, waar ook FRST64.exe aanwezig is.
Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met FRST.
Rechtsklik op Afbeelding FRST64.exe en klik op "Als administrator uitvoeren".
Druk op de knop Fixen.
Na de fix wordt een logbestand gemaakt (Fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
Voeg dit logbestand als bijlage toe aan je volgend bericht.
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
Member of UNITE (Unified Network of Instructors and Trusted Eliminators.)
Tevreden met de geboden hulp, overweeg een vrijblijvende donatie of plaats een bedankje. Hoe je dat doet lees je hier.
Gebruikersavatar
tuur
Lid
Berichten: 25
Lid geworden op: 18 aug 2008 14:50

Beste Peter,

Hierbij het logbestandje.

Groetjes,

Arthur
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
Gebruikersavatar
tuur
Lid
Berichten: 25
Lid geworden op: 18 aug 2008 14:50

Beste Peter,

Ik heb het net even opnieuw getest maar krijg nog steeds de meldingen van MBAM (RTP detectie).

De onderstaande 3 lokaties worden geblokkeerd:
1: 64.58.126.236
2. moolmepercine.online
3. moolmaincineper.online

Hieronder de gegevens vanuit MBAM:

1:
-Details van geblokkeerde website-
Kwaadaardige website: 1
, C:\Program Files (x86)\Google\Chrome\Application\chrome.exe, Geblokkeerd, -1, -1, 0.0.0

-Websitegegevens-
Categorie: Trojaans paard
Domein:
IP-adres: 64.58.126.236
Poort: 443
Type: Uitgaand
Bestand: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

2:
-Details van geblokkeerde website-
Kwaadaardige website: 1
, C:\Program Files (x86)\Google\Chrome\Application\chrome.exe, Geblokkeerd, -1, -1, 0.0.0

-Websitegegevens-
Categorie: Trojaans paard
Domein: moolmepercine.online
IP-adres: 172.67.135.240
Poort: 80
Type: Uitgaand
Bestand: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

3:
-Details van geblokkeerde website-
Kwaadaardige website: 1
, C:\Program Files (x86)\Google\Chrome\Application\chrome.exe, Geblokkeerd, -1, -1, 0.0.0

-Websitegegevens-
Categorie: Trojaans paard
Domein: moolmaincineper.online
IP-adres: 104.27.135.47
Poort: 443
Type: Uitgaand
Bestand: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Ik hoop dat je er iets mee kan?
Heel er bedankt voor alle moeite!

Groetjes,

Arthur
Gebruikersavatar
PeterJ
Moderator
Berichten: 3503
Lid geworden op: 22 okt 2007 23:22

Rechtsklik op Start en klik op Opdrachtprompt (administrator).
Er verschijnt een zwart venster.
Kopieer en plak daar het commando cd C:\Program Files\qemu en druk daarna op de enter-toets.
Kopieer en plak nu qemu-uninstall.exe en druk op de enter-toets.
Als het goed is wordt qemu nu verwijdert.

Vertel of dit gelukt is.
Member of UNITE (Unified Network of Instructors and Trusted Eliminators.)
Tevreden met de geboden hulp, overweeg een vrijblijvende donatie of plaats een bedankje. Hoe je dat doet lees je hier.
Gebruikersavatar
tuur
Lid
Berichten: 25
Lid geworden op: 18 aug 2008 14:50

Hoi Peter,

Ik heb het verwijderd. Ik laat je weten of het gelukt is met de meldingen.

Bedankt.

Groetjes,

Arthur
Gebruikersavatar
tuur
Lid
Berichten: 25
Lid geworden op: 18 aug 2008 14:50

Hoi Peter,

Bij het versturen van bovenstaande reactie komt gelijk weer een melding naar boven dat het geblokkeerd wordt.
Helaas zijn de meldingen nog niet weg.

Groetjes,

Arthur
Gebruikersavatar
tuur
Lid
Berichten: 25
Lid geworden op: 18 aug 2008 14:50

Beste Peter,

Het lijkt te gebeuren wanneer ik een nieuwe browser open of een pagina ververs of een reactie plaats.

Groetjes,

Arthur
Gebruikersavatar
PeterJ
Moderator
Berichten: 3503
Lid geworden op: 22 okt 2007 23:22

Maak een screenshot van de melding die je krijgt.
Upload het afbeeldingsbestand naar https://postimages.org/nl
(Klik daar op de knop "Kies afbeeldingen" en selecteer je afbeeldingsbestand.)
Na het uploaden krijg je een aantal links. Kopieer en plak de link achter "Minatuurafbeelding voor fora:" in je volgend bericht.
Member of UNITE (Unified Network of Instructors and Trusted Eliminators.)
Tevreden met de geboden hulp, overweeg een vrijblijvende donatie of plaats een bedankje. Hoe je dat doet lees je hier.
Gebruikersavatar
tuur
Lid
Berichten: 25
Lid geworden op: 18 aug 2008 14:50

Afbeelding

Afbeelding

Afbeelding

Afbeelding

Afbeelding

Afbeelding

Afbeelding

Afbeelding
Gebruikersavatar
tuur
Lid
Berichten: 25
Lid geworden op: 18 aug 2008 14:50

Hoi Peter,

Het valt mij ook op dat er elk uur bijv. precies om 21.00 of precies om 20.00 een melding omhoog komt zonder dat ik iets doe.
Ik hoop echt dat er nog iets aan te redden valt.

Groetjes,

Arthur
Gebruikersavatar
PeterJ
Moderator
Berichten: 3503
Lid geworden op: 22 okt 2007 23:22

Sluit alle openstaande programma's.
Herstel de "Google Chrome" instellingen. Hoe je dat doet lees je hier.

Enige verbetering nu ?
Member of UNITE (Unified Network of Instructors and Trusted Eliminators.)
Tevreden met de geboden hulp, overweeg een vrijblijvende donatie of plaats een bedankje. Hoe je dat doet lees je hier.
Gebruikersavatar
tuur
Lid
Berichten: 25
Lid geworden op: 18 aug 2008 14:50

Hoi Peter,

Ik heb dit gedaan maar het werkt niet. De meldingen blijven omhoog komen.
Het valt me wel op dat ik geen bevestiging krijg dat het gereset is en ik zie dat de snelkoppelingen boven in het venster nog gewoon bestaan.
Chrome maar opnieuw installeren of heb je nog andere ideeën?

Groetjes,

Arthur
Gebruikersavatar
tuur
Lid
Berichten: 25
Lid geworden op: 18 aug 2008 14:50

Beste Peter,

Ook dit zag ook voorbijkomen bij MBAM.

Afbeelding

Ik hoop dat je er iets mee kan?

Groetjes,

Arthur
Gebruikersavatar
tuur
Lid
Berichten: 25
Lid geworden op: 18 aug 2008 14:50

Beste Peter,

Bij MBAM zag ik dat je geavanceerde opties kan aanvinken voor chromium browsers maar geen idee wat dat zijn.
Scan naar rootkits kan ik aanzetten (geen idee wat dat is)?

Voor Chromium browsers of andere browsers kan ik ook het volgende aanzetten:
anti-heap spraying enforcement
BottomUp ASLR enforcement
RET POP gadget detection (64 of 32 bit)
Messagebox payload protection

Onder JAVA beveiliging kan ik het volgende nog aanklikken:
Prevent malicious outbound shell attacks
Allow insecure JAVA operations in internal IP ranges

Ik zie dat QEMU opnieuw geinstalleerd is. Ook staat hij bij taakbeheer er weer bij.

Ik zie in het mapje:
C:\Program Files\qemu

een snelkoppeling naar:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Host Services x64

Welke ook weer een andere snelkoppeling is maar die bestandslocatie kan ik niet openen omdat hij verplaatst is (ik vermoed dat MBAM dit gedaan heeft).

Ik hoop echt dat je me kan helpen.

Groetjes,

Arthur

Terug naar “Opgeloste virus- en overige malware topics”