Auteur Topic: Win32/adware.mirar.j.applicatie (gelezen 19780 keer)

Henk van Asselt · « **Gepost op:** 16 februari 2011, 17:12:07 »

Hallo,

Ik heb sinds net een virus: Win32/adware.mirar.j.applicatie

Hoe krijg ik deze verwijderd?

RuudDeWit · « **Reactie #1 Gepost op:** 16 februari 2011, 17:50:14 »

Hallo Henk,

Hoe weet je dat je dit virus hebt opgelopen? Krijg je een melding van je virusscanner of andere beveiliging software? Dan moet je deze opstarten om deze troep te verwijderen. Geef even meer informatie over je anti-virus en beveiliging software.

Henk van Asselt · « **Reactie #2 Gepost op:** 16 februari 2011, 19:38:39 »

Hoi Ruud,

Mijn virusscanner (nod32) geeft dit aan.

Ik heb de pc nu een uur of 3 aan staan en er zijn inmiddels 14 reclamevensters verschenen in IE.

Ik ga het systeem nu ook nog even laten scannen door Spybot S&D.

Peter · « **Reactie #3 Gepost op:** 16 februari 2011, 19:56:00 »

Hoi Henk,

Doe ook eens een volledige systeem scan met MBAM (Malwarebytes' Anti-Malware):
http://www.malwarebytes.org/mbam-download.php
(klik op Download Now, het bestand mbam-setup-x.xx.x.xxxx.exe wordt dan gedownload)

Voeg de logfile van de scan toe als bijlage.

groeten, Peter

Henk van Asselt · « **Reactie #4 Gepost op:** 16 februari 2011, 22:45:10 »

Hoi Peter,

Spybot heb ik ook meerdere keren laten scannen en daar kwam toch wel het nodige boven water.
Ik heb het systeem ook nog gescand met MBam. Deze vond ook nog wat (zie bijlage).

Ik heb via taakbeheer bij tabblad processen een aantal processen gestopt die normaal niet in het rijtje zie staan. Ik weet niet meer exact de proces- en bestands namen. Volgens mij was het iets van pwm.exe, pwl.exe en pze.exe. Nod gaf van pze ook aan dat dit een fout bestand was.
Ik heb de bijbehorende bestanden gewist (ook in de prullenbak). Het lijkt nu weer normaal.

Ik kan nu weer een zoek opdracht in Google geven en op een link klikken, zonder dat ik word omgeleid naar een reclame site.

Peter · « **Reactie #5 Gepost op:** 16 februari 2011, 23:39:04 »

Hoi Henk,

De laatste 2 regels in de MBAM log zitten me toch niet lekker.
Die zou ik verwijderen.

Als je wilt mag je nog een scan doen met RSIT :
Maak een nieuw map, bijv. c:\RSIT en plaats RSIT.EXE daarin.
Start RSIT
(WinVista: Rechtsklik op RSIT en klik op "Uitvoeren als administrator")
Klik op Continue
Wacht tot het scannen klaar is, dit kan even duren!
(Start geen andere programma's zolang RSIT bezig is)
In de map verschijnen nu 2 logbestanden: log.txt en info.txt
Post deze 2 bestanden in een nieuw bericht.

groeten, Peter

Henk van Asselt · « **Reactie #6 Gepost op:** 17 februari 2011, 00:43:29 »

Hoi Peter,

Ik heb de pc opnieuw opgestart en een aantal keer gescand met Nod32, Spybot S&D, MBam en Super Antispyware. Deze laatste vond nog iets, wat de andere 3 niet vonden.
Nu lijkt alles opgeschoond te zijn.

Bedankt voor je tips.
PS: Ik werk met XP home en daar zit het programma RSIT niet bij.

RuudDeWit · « **Reactie #7 Gepost op:** 17 februari 2011, 18:31:12 »

Hallo Henk,

Fijn dat het opgelost is. Ik gebruik ook NOD32 en blijf gelukkig verschoont van deze troep. Ik adviseer je wel om eens een andere browser te gaan gebruiken. Internet Explorer van MS/Windows is erg gevoelig voor dit soort rotzooi, het is voor de hackers nog steeds een uitdaging om deze browser te ondermijnen. Ik gebruik zelf Firefox zonder problemen en kan er alles mee doen.

Peter · « **Reactie #8 Gepost op:** 17 februari 2011, 19:46:05 »

Hoi Henk,

Citaat

Ik werk met XP home en daar zit het programma RSIT niet bij.

Dat klopt. RSIT kun je downloaden door op de link te klikken die ik gaf.

Peter

Henk van Asselt · « **Reactie #9 Gepost op:** 18 februari 2011, 10:35:22 »

Hoi Peter,

Door op jou link http://www.malwarebytes.org/mbam-download.php
te klikken, kom ik op een site van majorgeeks. Waar kan ik rsit vinden? Of staat het onder een andere naam. Als ik Ctrl-F doe en als zoekopdracht rsit, dan kan de tekst niet gevonden worden.

Peter · « **Reactie #10 Gepost op:** 18 februari 2011, 19:31:50 »

Hoi Henk,

De link naar RSIT stond in het bericht maar ik over RSIT berichtte. Hier nogmaals de downloadlink:
http://images.malwareremoval.com/random/RSIT.exe

groeten, Peter

Henk van Asselt · « **Reactie #11 Gepost op:** 19 februari 2011, 01:07:20 »

Hoi Peter,

Hierbij de gevraagde bestanden.

Ik heb de pc ook nog even gescand met hijackthis 1.99. Ook het logbestand hiervan heb ik bijgevoegd.

Peter · « **Reactie #12 Gepost op:** 19 februari 2011, 17:28:25 »

Hoi Henk,

De-installeer het volgende programma:
Java(TM) 6 Update 11
(Dit is een oude versie, de nieuwste kun je hier downloaden:
http://www.java.com/nl/download/
)

Vervang eerst Hijackthis v1.99 door de nieuwste:
http://free.antivirus.com/hijackthis/
Start de vernieuwde Hijackthis en vink de volgende items aan:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
(KHALMNPR.EXE wordt 2 keer gestart, vermoedelijk een installatiefoutje van LogiTech ?)

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1103471 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" -"http://www.smash-test-it.com/main.htm"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: E-mail.lnk = ?

O4 - Startup: Windows Media Player.lnk = C:\Program Files\Windows Media Player\wmplayer.exe
(Wil je WMP bij elke computerstart uitvoeren? Nee, dan deze aanvinken)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=26688

Klik op "Fix Checked"
Sluit Hijackthis

Wat doet de ingestelde taak "Stoppen" ?

Kun je dit bestand eens laten scannen op http://www.virustotal.com/:
C:\WINDOWS\system32\drivers\av2mjngz.sys

groeten, Peter

Henk van Asselt · « **Reactie #13 Gepost op:** 20 februari 2011, 00:52:17 »

Hoi Peter,

Ik heb morgenavond pas weer tijd om je tips op te volgen. Ik laat het je weten, zodra ik je tips heb opgevolgd.

Citaat van: Peter op 19 februari 2011, 17:28:25

Wat doet de ingestelde taak "Stoppen" ?

Dan verschijnt er 's avonds om 22.00 uur een venster met de melding dat het 22.00 uur is en dat ik dan even moet pauzeren / stoppen. Ik vergeet namelijk de tijd als ik eenmaal lekker bezig ben.

Peter · « **Reactie #14 Gepost op:** 20 februari 2011, 01:17:56 »

Hoi Henk,

Citaat

Ik vergeet namelijk de tijd als ik eenmaal lekker bezig ben.

Aha. een bekend kwaaltje

Peter

Hallo

Zoeken

Recent

Wie zijn hier

Account

Nieuws