Onbekend virus in een onbekend programmaonderdeel

[Peter]

Hoi Robert,

Een rootkit in Win32 - het huis van alle rootkits (toch?). TDSkiller vond em.

Mooi. Mogen we nog even die log zien.

Doe voor de zekerhied ook nog een volledige scan met MBAM.

Als dit er dan goed uit ziet kunnen we nog wel het een en ander opruimen.


Peter

Van MBAM de navolgende logbestanden plus die van RSIT - de 2e ronde van MBAM verwijderde naar mijn idee de laatste Trojan.

[Peter]

Hoi Robert,

De logfile van RSIT die je stuurde is dezelfde als de 1e. Graag het logbestand info.txt.
De logfiles van MBAM zijn wat verwarrend, de 2e "...(03-02-21)" geeft wel een infectie aan maar doet er niets mee. de 3e "...(03-12-19)" geeft geen infectie aan. Of het bestand nu wel is of opgeschoont is niet duidelijk ook omdat het een snelle scan is.
Laat MBAM nogmaals een volledige scan doen.
Geef weer het logbestand.

Download TFC en plaats het op je buroblad:
(Klik op 'Download')

Sluit alle openstaande programma's.
Start TFC.
(Alle programma's worden afgesloten en alle ikoontjes op je buroblad verdwijnen tijdens het opruimen. Dit is normaal.)
In TFC klik op Start.
Herstart de computer als daarom gevraagd wordt. Dit is belangrijk!
Als de computer niet herstart hoeft te worden, herstart dan wel je antivirus programma!


Peter

Het probleem heeft zich inmiddels verplaatst en is mijn Mozilla browser gekaapt door "greatsearchserver" die alleen en uitsluitend adverteerders doorstuurt zoals "vinden.nl", "Gomeo", etc.
Ik kan dus niet meer het web op muz van de reeds ingestelde bladwijzers.

Ik wacht even met een volledige format totdat ik mijn oude pc heb hersteld. Dan haal ik de C schijf uit deze pc en formatteer die in het geheel.Ik weet het nu ook even niet meer. Het zijn toch allemaal lapmiddelen blijkt. Avira is geen knip voor de neus waard en AVG is ook
gevaarlijk iets aangezien er een kwaadaardige site is die zich als de originele AVG presenteert.

[Peter]

Robert,

Geen paniek.

Sluit alle programma's
Klik op Start
Typ in de witte balk CMD en druk op enter.
Typ in het zwarte venster IPCONFIG /FLUSHDNS en druk op enter.
(Let op de spatie)
Sluit het zwarte venster

Verwijder alle deze systeemtaken:
C:\Windows\tasks\At1.job
C:\Windows\tasks\At10.job
C:\Windows\tasks\At11.job
C:\Windows\tasks\At12.job
C:\Windows\tasks\At13.job
C:\Windows\tasks\At14.job
C:\Windows\tasks\At15.job
C:\Windows\tasks\At16.job
C:\Windows\tasks\At17.job
C:\Windows\tasks\At18.job
C:\Windows\tasks\At19.job
C:\Windows\tasks\At2.job
C:\Windows\tasks\At20.job
C:\Windows\tasks\At21.job
C:\Windows\tasks\At22.job
C:\Windows\tasks\At23.job
C:\Windows\tasks\At24.job
C:\Windows\tasks\At25.job
C:\Windows\tasks\At3.job
C:\Windows\tasks\At4.job
C:\Windows\tasks\At5.job
C:\Windows\tasks\At6.job
C:\Windows\tasks\At7.job
C:\Windows\tasks\At8.job
C:\Windows\tasks\At9.job

NB: Als er gevraagd wordt om logbestandjes of andere zaken, post die dan. Er zijn waarschijnlijk nog verdachte bestanden op je computer aanwezig!
Kun je ook even aangeven wat je wel en watje niet gedaan hebt. We kunnen je computer niet zien.
Voer nogmaals TFC uit
Voer nogmaals TDSSKILLER uit (er is een updated versie!)
Voer nogmaals RSIT uit
Geef van alle programma's de logfiles of de resultaten.

Doe verder zo weinig mogelijk met de computer om verdere besmetting/verspreiding te voorkomen!


Peter

[swake]

Je computer is dus ernstig besmet met backdoors.
Formatteren zal zeker geen oplossing bieden omdat er na het formateringsproces nog steeds sporen achterblijven.
Download hier het ISO bestand op een virusvrije computer.
Brand dit naar een schijfje en start hiermee de computer op.
Voer hiermee een volledige scan uit.
http://www.avira.com/en/support-download-avira-antivir-rescue-system

Dit is volledig Linux gebaseerd waardoor het virus zich niet kan activeren. Zolang jij je computer blijft opstarten in windows blijft dit virus actief.

Ik heb een nieuwe W7 op mijn E\schijf gezet.
 
Ik ga jullie adviezen opvolgen. Voor wat betreft MBAM staat de laatste log in de laatste post.
Andere zijn er niet. Ik heb een volledige uitdraai gamaakt van de laatste (volledige) scan 12 pgs
maar kan met mijn lekenogen niets vinden behalve restanten van pctools.
Maar W7 is niet makkelijk binnen te komen.
Ik ga eerst proberen hoe jullie adviezen uitpakken.

Wat is een schijf initializeren? Vraag het even bij voorbaat. Een simpele format is blijkbaar in W7 niet mogelijk.

[Peter]

Hoi Robert,

Nu en elke maandagavond van 21:00 to 22:00 is er een chat-uurtje.
Misschien heb je daar even tijd voor om wat informatie uit te wisselen.


Peter

De rootkit blijft hardnekkig zitten. Vragenuurtje voorbij en ik weet dat jullie wel in de goede richting zitten want zegge 20 seconden had ik contact met het net om daarna direct ge-redirected te worden naar een van die adverteerders die gebruik maken van hackers.
Dus dat wordt denk ik toch een format C.
Maar ook hier ie iets vreemds. Zoals met DOS formattteren kan niet meer. Maar hoe dan wel? In de support van MS niet te vinden. Maar dat wist ik. Om van W7 uit te formatteren lukt ook niet.
Of zijn er nog alternatieven?

[Peter]

Robert,

In de chat vroeg ik om ESET Onlinescanner uit te voeren. Gaf die nog problemen aan, en zijn die gerepareerd?
Geef de logfile, waarschijnlijk staat die in "C:\Program Files\ESET\ESET Online Scanner\log.txt"

De-installeer de volgende programma's via Configuratiescherm - Progamma's en onderdelen
PCTools Firewall Plus
Conduit Engine


Ga naar de map C:\RSIT.
Indien aanwezig, verwijder de bestanden log.txt en info.txt.
Blader naar de map waar RSIT.EXE staat.
Rechtsklik erop en klik op "Als administrator uitvoeren".
Wacht tot RSIT klaar is.
Notepad opent met het bestand log.txt. Sluit dit af.
Geef de logbestanden c:\rsit\log.txt en c:\rsit\info.txt


Peter

[swake]

Of zijn er nog alternatieven?

Een alternatief.
Je pc is besmet met backdoors.
Download tdsskiller op een virusvrije pc naar een USB stick.
Ontkoppel alles van je internetverbinding en start de computer.
Koppel de USB stick aan en voer vanop de USB stick TDSSkiller uit.
Lukt dit niet, probeer dan wat ik reeds geschreven had van dat Avira bootschijfje. Je computer start dan op in een Linux omgeving en de rootkit kan zich dan niet activeren, en zo moet het lukken.Je moet wel geduld hebben want die scan kan 3-4 uur duren.

Swake: Ik heb nu W7 op de E schijf staan (ik heb 3 separate ATA disks: C,D, en E.)
Ik zal het gaan proberen.


Bedankt tot zover
gr
Robert

Met dat Avira programma gebeurde er niets, werkte op geen enkele manier.
Na lang peinzen schoot me de naam te binnen van dat oorspronkelijke progje dat jaren geleden een gemene Trojan weghaalde
- en met succes -. Ik heb het via mijn e-schijf binnengehaald en getransporteerd (ellendige Administrator, wat is dat nou weer voor narigheid?) en uitgevoerd.
De Trojan TR/ATRAPS.Gen2 lijkt verleden tijd.
Bijgaand de logfile van Combofix, het bewuste progje. Pas op, er is ook een criminele uitgave van Combofix!
Ik hoop dat het opgelost is, maar ben er (nog) niet zeker van. Mocht het opgelost zijn dan heb ik weer wat nieuwe problemen:
1) Hoe raak ik verlost van W7 op mijn E schijf;
2) Hoe zorg ik dat de PC weer normaal boot. Op dit moment is het een wissel: in een zwart scherm moet ik kiezen tussen boven (E) W7 en beneden C (W7) en dan het elimineren van die onbekende administrator.


Maar intussen bedank ik Swake en Peter voor hun nachtelijk meedenken- en helpen dit probleem op te lossen.

[Peter]

Hoi Robert,

Ik hoop dat het opgelost is, maar ben er (nog) niet zeker van.

Gefeliciteerd, klinkt goed. Doe voor de zekerheid het volgende:
- Update Avira en doe een volledige systeem scan.
- Update MBAM en doe een volledige systeem scan.
- Een volledige systeem scan met ESET Onlinescanner

Er valt nog wel het een en ander op te ruimen. Draai RSIT nogmaals en geef de 2 logbestanden. (zie mijn bericht van 5 september 2011, 23:36


Peter