Registersleutels

[Lukas]

Hallo Forumleden,

Ik heb wat malware gehad, ik denk Camstudio. Wat resulteerde in verdwenen fonts. Dit heb ik proberen te verwijderen met Combofix en Eset Online Scanner. En de fonts weer terug aangevuld, maar het resultaat is nog niet helemaal 100%. Nog steeds issues met Steam "fonts". Wat ComboFix heeft verwijdert is een ntuser.pol file. Maar het logje is moeilijk voor me. Zo te zien heb ik een hoop registersleutels op mijn computer?

Hier is het logje van een folow up scan. Ntuser.pol staat hier niet vermeld.

ComboFix.txt

Hopende dat U mij hier meer over kunt vertellen.

Groeten,
Lukas.

[PeterJ]

We kunnen het niet vaak genoeg zeggen. Gebruik NOOIT Combofix op eigen houtje!

Download de Farbar Recovery Scan Tool via onderstaande link:
Farbar Recovery Scan Tool 64 bit (x64)

Rechtsklik op FRST64.exe en klik op "Als administrator uitvoeren".
Als het programma is geopend klik Yes (Ja) bij de disclaimer.
Druk op de knop Scannen.
Na de scan worden 2 logbestanden gemaakt, "FRST.txt" en "Addition.txt" op dezelfde plaats vanwaar de 'tool' is gestart.
Voeg deze 2 logbestanden als bijlage toe aan je volgend bericht.

[Lukas]

Bedankt voor de snelle reactie!

Hier zijn de logjes.

Addition.txt

FRST.txt

[PeterJ]

Download de bijlage fixlist.txt naar de map, waar ook FRST64.exe aanwezig is.
Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met FRST.
Rechtsklik op FRST64.exe en klik op "Als administrator uitvoeren".
Druk op de knop Fixen.
Na de fix wordt een logbestand gemaakt (Fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
Voeg dit logbestand als bijlage toe aan je volgend bericht.

[Lukas]

Catchme?

Fixlog.txt

[PeterJ]

Download de bijlage zoekscript.txt en plaats deze op je bureaublad.
Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem.

Download Zoek.exe naar het bureaublad.

• Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe
  (hier of hier) kan je lezen hoe je dat doet.
• Wanneer je internet browser of virusscanner een melding geeft dat dit bestand onveilig zou zijn kan je dat negeren, het is namelijk een onterechte waarschuwing.
• Verplaats Zoek.exe naar je bureaublad.
• Rechtsklik op Zoek.exe en klik op Als administrator uitvoeren.
• Wacht geduldig totdat Zoek verschijnt, dit kan een paar minuten duren.
• Als Zoek de melding geeft "Zoekscript.txt found!", klik dan op Ja.
• Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
• Mocht er geen logje verschijnen, start zoek.exe dan opnieuw en klik op zoek-results.log, de log verschijnt dan alsnog.
• Sluit het geopende logje.
• Post het bestand c:\zoek-results.log als bijlage in je volgend bericht.

[Lukas]

Okee,

zoek-results.txt

[PeterJ]

Upload het bestand C:\Users\Public\Desktop\sample_01-03-2018_2253.zip naar http://www.filedropper.com en plaats het linkje in je volgend bericht.

[Lukas]

Hallo Peter,

Thanks voor de response!

Ik kan deze files beter niet lezen, wel?

Hier is de link.
http://www.rapidshare.space/QANfLed

[PeterJ]

Doe aub wat gevraagd wordt. rapidshare.space wordt geblokkeerd door mijn antivirus.
Upload het bestand naar filedropper.com zoals aangegeven.

[Lukas]

FIledropper heeft zn certificaten niet op orde volgens mn browser?

[PeterJ]

Apart, ik zie geen problemen met filedropper.com.
Upload het bestand naar sendspace.com en post de downloadlink.

[Lukas]

Die werkt beter iigv.

https://www.sendspace.com/file/wuk3k8

[PeterJ]

De ntuser.pol die verwijdert is, hoorde daar niet staan.
Zijn er nog problemen merkbaar ?

[Lukas]

Bedankt voor de hulp! Dit was we totaal ontgaan anders.

De verdwenen fonts zijn niet automatisch aangevuld bij deze. Maar dat is handmatig te doen..
De ntuser.pol a was al weer te vinden met combofix. Is het in dat geval rinse en repeat?
Ik ben ook wel benieuwd wat het doel van de hack was, de vector zgmr?