Welkom op ons forum!

Heb je een computerprobleem of een algemene vraag? Registreer een account op het forum, wij helpen je dan graag verder om het probleem vakkundig op te lossen.

Gebruikersavatar
Lukas
Lid
Berichten: 25
Lid geworden op: 28 jul 2013 17:50

Hallo Forumleden,

Mijn computer was besmet met Win32/Kryptik.BOUP. Deze is in quarantaine d.m.v Eset Online Scanner, maar de locatie waar de trojan zat in de "assembly sourcecode" hoek, leek het op een mogelijk vrij capabele poging om inbreuk te doen op mijn bestanden, en of tegelijk te provoceren. Ik ben zelf geen hacker dus al sla je me dood wat er aangericht kan zijn. Maar ik ben wel benieuwd of jullie nog iets verdachts kunnen vinden? Of dat ik misschien iets meer kan doen om mijn computer virus vrij te maken?
FRST.txt
Addition.txt
Groeten,
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
Gebruikersavatar
abbs
Site Admin
Berichten: 2369
Lid geworden op: 18 jan 2011 18:27

Hallo,

Post hiervan aub een logbestand. Het Eset logbestand kan je mogelijk vinden in de map "C:\Program Files\ESET\ESET Online Scanner" of "C:\Program Files (x86)\ESET\ESET Online Scanner" met de naam log.txt.
Groeten abbs
Afbeelding
Member of UNITE (Unified Network of Instructors and Trained Eliminators)
Goed geholpen hier overweeg een donatie: of plaats hier een bedankje.
Gebruikersavatar
Lukas
Lid
Berichten: 25
Lid geworden op: 28 jul 2013 17:50

Interesting, ik kan zo snel niks vinden onder die naam. Ben nu opnieuw aan het draaien.. Moet de quarantaine ook weer ff zoeken.
Gebruikersavatar
Lukas
Lid
Berichten: 25
Lid geworden op: 28 jul 2013 17:50

Die logfile is niet meer aanwezig, de quarantaine staat nog wel gewoon op zijn plek gelukkig.
Gebruikersavatar
Lukas
Lid
Berichten: 25
Lid geworden op: 28 jul 2013 17:50

Hee, hij stond toch ergens anders.. Ik had weer een hit nadat ik iets gecompiled had dus het lijkt er op dat ik m zelf compile met masm32. En het embedded zit in een van de bewuste asm files?
Goed moet ik nog even over nadenken, wat ik er mee doe.

Meanwhile..
Het is gelijk heel de history, dus drie infecties als het goed is.
log1.txt
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
Gebruikersavatar
abbs
Site Admin
Berichten: 2369
Lid geworden op: 18 jan 2011 18:27

Hallo,

Komt dit bekent voor:
D:\Patches\Downloaded old\camstudio.exe"
D:\Patches\MASM\Asio Marinus 2\project.exe"


Is D:/ een losse schijf?

Download de Afbeelding Emsisoft Emergency Kit naar het bureaublad.
Klik hier voor de complete / uitgebreide handleiding van de Emsisoft Emergency Kit.
  • Dubbelklik op "EmsisoftEmergencyKit.exe".
  • Klik vervolgens op de knop "Install" en de bestanden worden nu automatisch uitgepakt naar de systeemschijf "C:\EEK".
  • Wanneer het uitpakken gereed is opent de map "C:\EEK" dubbelklik op "Start Emergency Kit Scanner".
  • "Emsisoft Emergency Kit" gaat de "definities laden" wanneer u de melding "Wilt u nu updaten?" krijgt klikt u op "Ja".
  • Wanneer de update gereed is klikt u in op "Malware scan" wanneer u de melding "op PUP's mee scannen" krijgt klikt u op "Ja".
  • Het scannen begint, gebruik bij voorkeur de computer niet voor andere bezigheden tijdens de scan.
  • Wanneer de scan gereed is zorg dat alle items staan aangevinkt en klik op de knop "Geselecteerde in quarantaine".
  • Klik vervolgens op de knop "Rapport bekijken" en plaats de inhoud van dit bestand in uw volgende bericht als bijlage.
(Het logbestand is tevens terug te vinden op de systeemschijf (C:\EEK\Run\Reports) met de naam a2scan_130711-154142.txt)
Groeten abbs
Afbeelding
Member of UNITE (Unified Network of Instructors and Trained Eliminators)
Goed geholpen hier overweeg een donatie: of plaats hier een bedankje.
Gebruikersavatar
Lukas
Lid
Berichten: 25
Lid geworden op: 28 jul 2013 17:50

D:\Patches\MASM\Asio Marinus 2\project.exe" lijkt het te zijn. Het is MASM sourcecode. Ik heb zelfs een virgin zipfile van dit met de correcte datestamp. Project.exe is een poging dit te compilen. En de boop zit altijd in het gecompilede bestandje, dus ook in AudioASIOwav.exe. Het is dan ook niet onwaarschijnlijk dat een programmeur zo iets kan doen, maar ik ben voor als nog voorzichtig met mijn conclusies.
Without further adoo moet ik nog even doorwerken maar ik zal de fix spoedig uitvoeren.
Gebruikersavatar
Lukas
Lid
Berichten: 25
Lid geworden op: 28 jul 2013 17:50

scan.txt
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
Gebruikersavatar
abbs
Site Admin
Berichten: 2369
Lid geworden op: 18 jan 2011 18:27

Hallo,

Ik zie verder gen rare dingen meer.
Groeten abbs
Afbeelding
Member of UNITE (Unified Network of Instructors and Trained Eliminators)
Goed geholpen hier overweeg een donatie: of plaats hier een bedankje.
Gebruikersavatar
Lukas
Lid
Berichten: 25
Lid geworden op: 28 jul 2013 17:50

Ok top!

Zij deze potentieel gevaarlijk, als ik vragen mag?
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\AU__RASAPI32 Ontdekt: Application.Win32.InstallExt (A) [270556]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\AU__RASMANCS Ontdekt: Application.Win32.InstallExt (A) [270557]
Gebruikersavatar
abbs
Site Admin
Berichten: 2369
Lid geworden op: 18 jan 2011 18:27

Lukas schreef: 19 okt 2017 11:55 Ok top!

Zij deze potentieel gevaarlijk, als ik vragen mag?
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\AU__RASAPI32 Ontdekt: Application.Win32.InstallExt (A) [270556]
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\AU__RASMANCS Ontdekt: Application.Win32.InstallExt (A) [270557]
Dit zijn instellingen die gedaan zijn en die zijn opgespoord (tracing) die kunnen geen kwaad.

Met het onderstaande tooltje ruim je alle gebruikte tools op:

Download Afbeelding Delfix - Alternatieve downloadlink by Xplode naar het bureaublad.

Dubbelklik op Delfix.exe om de tool te starten.
Zet een vinkje voor het volgende item:
  • Remove disinfection tools
Afbeelding
Klik nu op "Run" en wacht geduldig tot de tool gereed is.
Wanneer de tool gereed is wordt er een logbestand aangemaakt. Dit hoeft je echter niet te plaatsen.
Groeten abbs
Afbeelding
Member of UNITE (Unified Network of Instructors and Trained Eliminators)
Goed geholpen hier overweeg een donatie: of plaats hier een bedankje.

Terug naar “Virus- en malwarebestrijding logfile-sectie”