Onbekend virus in een onbekend programmaonderdeel

Avira, een zeer prettig anti-virus medium, heeft kennelijk toch geen voldoende slagkracht om ?? te lijf te gaan.

Voortdurend krijg ik deze melding (zie bijlage).

Ik heb in de betreffende map gekeken maar zie nergens temp etc.

Iemand een idee? Ik vermoed dat het een malware programma is maar wat weet ik niet.

[Joël]

naar mijn weten is temp een losse map met
onnodige bestanden.
dus dat is niet vreemd dat je die niet kan vinden.
wil je bij de map temp komen is het simpel weg:
xp:start-uitvoeren-%temp%
vista: start-uitvoeren/zoeken-temp/%temp%
bij 7 is het het zelfde als bij een windows vista.
en wanneer krijg je die meldingen?
als je een programma opstart of wanner je hem hebt opgestart.


en ik ken de virus scanner een heel klein beetje.
maar vindt hem zelf niet erg goed.
echt een goede een is microsoft secrurity essentials.
of een goede tevens een dure een is norton.
ik kan je nog wel 2 geven maar dat heeft geen nut.


als ik zelf een virus heb die niet weg wil ofzo.
download ik een andere virus scanner vaak wil die hem wel weg halen.
dat is dan meestal avg is opzich goed maar kan erg irritant wezen.


groet


joel

[Peter]

Hoi zzp1,

Download MBAM (Malwarebytes' Anti-Malware).
(klik op Download Now, het bestand mbam-setup-x.xx.x.xxxx.exe wordt dan gedownload)

Dubbelklik erop na het downloaden om het programma te installeren.
Verander geen instellingen tijdens de installatie.
Updates worden nu automatisch gedownload en geïnstalleerd.
Wacht tot het programma weer verschijnt.

Als je een antivirus-programma actief hebt, stop dat dan eerst. Het scannen van MBAM gaat dan een stuk sneller.
Ruim eventueel eerst de tijdelijke (internet) bestanden op.

Updaten:
Klik op tab "Update" en dan op "Controleer op updates".

Selecteer tab "Scanner", kies "Volledige Scan" en klik op Scan.
Het scannen kan een tijdje duren, dus wees geduldig.
Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is, daarna klik op "Verwijder geselecteerde".
Na het verwijderen zal een log openen en kan er gevraagd worden om de computer opnieuw op te starten.
Herstart de computer en MBAM
Ga naar tab "Logs" en dubbelklik op de logfile die als laatste gemaakt is.
Post deze logfile of kopieer de inhoud en plak dat in een nieuw bericht.

Download RSIT
Maak een nieuw map, bijv. C:\RSIT en plaats RSIT.EXE daarin.
Start RSIT
(WinVista of Win7: Rechtsklik op RSIT en klik op "Uitvoeren als administrator")
Klik op Continue
Wacht tot het scannen klaar is, dit kan even duren!
(Start geen andere programma's zolang RSIT bezig is)
In de map verschijnen nu 2 logbestanden: log.txt en info.txt
Post deze 2 bestanden in een nieuw bericht.


groeten, Peter

[Peter]

Hoi Joel,

naar mijn weten is temp een losse map met
onnodige bestanden.
dus dat is niet vreemd dat je die niet kan vinden.
wil je bij de map temp komen is het simpel weg:
xp:start-uitvoeren-%temp%

[warning]Let op de schrijfwijze bij een virus/malware-melding. In dit geval gaat het om de map \tmp en NIET de map %temp%.
[/warning]

Peter

Ben bezig je advies uit te voeren. Zodra ik een overzicht heb plak ik die in een nieuw antwoord.

m.vr.gr.

Robert

[swake]

Na het verwijderen zal een log openen en kan er gevraagd worden om de computer opnieuw op te starten.
Herstart de computer en MBAM

Mbam kan een mededeling geven dat de computer opnieuw moet heropgestart worden om bepaalde infecties te kunnen verwijderen.

Na een scan van MalwareBytes zijn er een aantal objecten gevonden. Na de herstart blijft Avira nog meldingen doorgeven als van Capture 1. Niet lang daarna confirmeerde MalwareBytes het blokkeren ervan - dus verwijdering heeft niet echt plaatsgevonden en zit de bron er nog steeds.

De vijf schermmeldingen heb ik in de bijlagen weergegeven.

Maar: het probleem is dus wel gedetecteerd, maar niet opgelost.

[Peter]

Hoi Robert,

Stuur de logfile bestanden van MBAM en RSIT, geen screenshots ervan.


Peter

Begrepen.

In de protection log staat het adres van de (hacking) site. Dat is een zgn sharesite waar je files op kunt deponeren voor gebruik derden.

Ik kan de kwaadaardigheid niet beoordelen.

Ik zal nu de andere gegevens opsnorren

RSIT Log: zie bijlage

[Peter]

Robert,

Download TDSSKILLER.ZIP naar je buroblad.
Sluit alle overige programma's
Pak de ZIPfile uit in een aparte map.
Blader met de verkenner naar deze map, rechtsklik op TDSSKILLER en klik op 'Uitvoeren als administrator".
Klik op "Start scan" en volg de instructies.
Wanneer de scan klaar is, klik op de knop "Report".
Notepad opent met het resultaat. Plak deze tekst in een nieuw bericht.

Herstart je computer als TDSSKiller daarom vraagt.


Peter

[swake]

Na een scan van MalwareBytes zijn er een aantal objecten gevonden. Na de herstart blijft Avira nog meldingen doorgeven als van Capture 1. Niet lang daarna confirmeerde MalwareBytes het blokkeren ervan - dus verwijdering heeft niet echt plaatsgevonden en zit de bron er nog steeds.

Deze moet dus nog toegevoegd worden aan de database van Malwarebytes.

[Peter]

Robert,

Kun je ook nog even de 2e logfile van RSIT posten, genaamd info.txt.


Peter

[swake]

Deze moet dus nog toegevoegd worden aan de database van Malwarebytes.

Eigenlijk zit je dan hier op de geschikte site. De forumbeheerster zit aan de bron bij Malwarebytes die de updates bijwerkt.

http://www.mivercon.be/forum/index.php

Een rootkit in Win32 - het huis van alle rootkits (toch?). TDSkiller vond em.

Of 'ie weg is weet ik niet.

Het hopeloze van die av programma's is dat ze niet alleen een drempel vormen voor viri, maar ook een obstakel voor het goed werken van de normale programma' s. Ik nam Eset' s NOD 32 en een van m' n grafische programma' s werkte niet meer.
Ik heb nog steeds geen 2e pc omdat ik toch de oude wil repareren.