Plaats reactie
1
Uitgevoerd:stappen ondernomen....
Het gaat om een hidden *.sys in (system32/drivers), maar verwijderen met karspersky rootkit tools lukt niet:
Nadat de tool de rootkit heeft verwijderd en reboot, blijft hij terugkomen. Zelfde actie en daarna een nieuw install via usb help ook niets. Ook heb ik modem een factoryreset gegeven en zelfde herhaald.
DDSlog:

Code: Selecteer alles

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2012-11-20.01)
.
Microsoft Windows 10 Home
Boot Device: \Device\HarddiskVolume2
Install Date: 27-2-2018 11:05:35
System Uptime: 27-2-2018 11:22:07 (1 hours ago)
.
Motherboard: ASRock |  | B85 Pro4
Processor: Intel(R) Core(TM) i5-4440 CPU @ 3.10GHz | CPUSocket | 3101/100mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 223 GiB total, 196,452 GiB free.
D: is Removable
E: is CDROM (CDFS)
.
==== Disabled Device Manager Items =============
.
Class GUID: 
Description: 
Device ID: ACPI\INT33A0\0
Manufacturer: 
Name: 
PNP Device ID: ACPI\INT33A0\0
Service: 
.
==== System Restore Points ===================
.
RP1: 27-2-2018 11:18:33 - Windows Update
RP2: 27-2-2018 11:21:28 - rootkitscan 27feb2018-1121uur hardnekkig terugkomen na reboot
.
==== Installed Programs ======================
.
AMD Settings
Catalyst Control Center Next Localization BR
Catalyst Control Center Next Localization CHS
Catalyst Control Center Next Localization CHT
Catalyst Control Center Next Localization CS
Catalyst Control Center Next Localization DA
Catalyst Control Center Next Localization DE
Catalyst Control Center Next Localization EL
Catalyst Control Center Next Localization ES
Catalyst Control Center Next Localization FI
Catalyst Control Center Next Localization FR
Catalyst Control Center Next Localization HU
Catalyst Control Center Next Localization IT
Catalyst Control Center Next Localization JA
Catalyst Control Center Next Localization KO
Catalyst Control Center Next Localization NL
Catalyst Control Center Next Localization NO
Catalyst Control Center Next Localization PL
Catalyst Control Center Next Localization RU
Catalyst Control Center Next Localization SV
Catalyst Control Center Next Localization TH
Catalyst Control Center Next Localization TR
GlassWire 2.0 (remove only)
Microsoft OneDrive
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.30501
Microsoft Visual C++ 2013 x64 Additional Runtime - 12.0.21005
Microsoft Visual C++ 2013 x64 Minimum Runtime - 12.0.21005
Microsoft Visual C++ 2013 x86 Additional Runtime - 12.0.21005
Microsoft Visual C++ 2013 x86 Minimum Runtime - 12.0.21005
Microsoft Visual C++ 2015 Redistributable (x86) - 14.0.23026
Microsoft Visual C++ 2015 x86 Additional Runtime - 14.0.23026
Microsoft Visual C++ 2015 x86 Minimum Runtime - 14.0.23026
Mozilla Firefox 58.0.2 (x64 nl)
Mozilla Maintenance Service
Realtek High Definition Audio Driver
.
==== End Of File ===========================



HELP Afbeelding Afbeelding
2
Hallo,

Download de Afbeelding Farbar Recovery Scan Tool 32 of 64 bit van één van de onderstaande links Hier staat een beschrijving hoe u kunt kijken of u een 32 of 64 bit versie van Windows heeft.

Farbar Recovery Scan Tool uitvoeren
  • Klik met de rechtermuisknop op FRST.exe en kies voor de optie "Als administrator uitvoeren".
  • Als het programma is geopend klik Yes (Ja) bij de disclaimer.
  • Druk vervolgens op de Scan knop, er zal nu eerst een back-up van het register worden gemaakt.
  • Wanneer de scan gereed is worden er twee logbestanden aangemaakt met de naam (FRST.txt) & (Addition.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
  • Voeg beide logbestanden als bijlage toe aan het volgende bericht.
Groeten abbs
Afbeelding
Member of UNITE (Unified Network of Instructors and Trained Eliminators)
Bent u blij met de geboden hulp? klik hier voor een vrijblijvende donatie Afbeelding
4
Hallo,

Stap 1.
Ga naar de map Downloads en sleep de tool FRST naar je bureaublad!
AfbeeldingAfbeelding  
Download fixlist.txt uit de bijlage naar het bureaublad, waar ook FRST.exe aanwezig is.
Fixlist.txt
 
  • Klik met de rechtermuisknop op FRST.exe en kies voor de optie "Als administrator uitvoeren".
  • Druk op de Fixen knop.
  • Er zal u een logbestand aangemaakt worden (Fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
  • Voeg dit logbestand als bijlage toe aan het volgende bericht.

Stap 2.
Download de Afbeelding Emsisoft Emergency Kit naar het bureaublad.
Klik hier voor de complete / uitgebreide handleiding van de Emsisoft Emergency Kit.
  • Dubbelklik op "EmsisoftEmergencyKit.exe".
  • Klik vervolgens op de knop "Install" en de bestanden worden nu automatisch uitgepakt naar de systeemschijf "C:\EEK".
  • Wanneer het uitpakken gereed is opent de map "C:\EEK" dubbelklik op "Start Emergency Kit Scanner".
  • "Emsisoft Emergency Kit" opent, wanneer u de melding "Wilt u nu updaten?" krijgt klikt u op "Ja".
  • Wanneer de update gereed is klikt u op "Malware scan" wanneer u de melding "om PUP's mee scannen" krijgt klikt u op "Ja".
  • Het scannen begint, gebruik bij voorkeur de computer niet voor andere bezigheden tijdens de scan.
  • BELANGRIJK: Wanneer de scan gereed is verwijder niks en plaats ook niks in "Quarantaine".
  • Klik vervolgens op de knop "Rapport bekijken" sla dit bestand op b.v. je bureaublad en sluit EmsisoftEmergencyKit.
  • Plaats nu het gemaakte logje als als bijlage in je volgende antwoord.
    (Het logbestand is teven terug te vinden op de systeemschijf (C:\EEK\Run\Reports) met de naam scan_xxxx.txt).
Als gast kunt u geen bijlagen bekijken. Registreer via deze link een (gratis) account om bijlagen te kunnen bekijken.
Groeten abbs
Afbeelding
Member of UNITE (Unified Network of Instructors and Trained Eliminators)
Bent u blij met de geboden hulp? klik hier voor een vrijblijvende donatie Afbeelding
6
Hallo,

Wil je de volgende bestanden laten controleren:

Ga hiervoor naar de site  Virustotal  

Klik op Afbeelding Verkenner opent kopieer en plak: C:\Windows\System32\drivers\16684837.sys na "Bestandsnaam" en klik op Openen.
Afbeelding Wacht het resultaat af, sla dit op en plak dit in je volgende post.
Klik op heranalyseer als het bestand al eens eerder gescand werd.


Download AfbeeldingMalwarebytes Anti-Rootkit naar het bureaublad.
Klik hier voor de complete handleiding van Malwarebytes Anti-Rootkit.

Malwarebytes Anti-Rootkit uitvoeren
  • Pak het ZIP bestand uit en dubbelklik hierna op "mbar.exe" om de tool te starten.
  • Let op! Malwarebytes Anti-Rootkit dient onder een account met administrator rechten te worden uitgevoerd.
  • Klik in het introductiescherm op "next" om door te gaan.
  • Klik in het volgende scherm op Update om Malwarebytes Anti-Rootkit van de laatste definities te voorzien.
  • Klik als de update gereed is op "Next" en klik hierna op "Scan".
  • Als de scan gereed is en er geen malware is gedetecteerd klik dan op "Exit"
  • Indien er malware wordt gedetecteerd zorg dat de items zijn aangevinkt en klik op "Cleanup" en herstart de computer.
  • Open na de herstart de map van MBAR en plaats de twee aangemaakte logbestanden als bijlage in het volgende bericht
Groeten abbs
Afbeelding
Member of UNITE (Unified Network of Instructors and Trained Eliminators)
Bent u blij met de geboden hulp? klik hier voor een vrijblijvende donatie Afbeelding
7
C:\Windows\System32\drivers\16684837.sys staat niet in de map! Kan niet uploaden, wellicht hidden?
Ook met verkenner gezocht geen resultaten op die file. (Heeft zich goed verborgen?!) :( Andere opties?

Mbam-log bijgevoegd.
MvG
Als gast kunt u geen bijlagen bekijken. Registreer via deze link een (gratis) account om bijlagen te kunnen bekijken.
8
Hallo,

Stap 1. AfbeeldingAfbeelding  
Download fixlist.txt uit de bijlage naar het bureaublad, waar ook FRST.exe aanwezig is.
Fixlist.txt
 
  • Klik met de rechtermuisknop op FRST.exe en kies voor de optie "Als administrator uitvoeren".
  • Druk op de Fixen knop.
  • Er zal u een logbestand aangemaakt worden (Fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
  • Voeg dit logbestand als bijlage toe aan het volgende bericht.

Met wat had je gezien dat je deze Rootkit had?
Ik heb hem verwijderd via FRST dus kan je nog zien of de klachten er nog zijn?
Als gast kunt u geen bijlagen bekijken. Registreer via deze link een (gratis) account om bijlagen te kunnen bekijken.
Groeten abbs
Afbeelding
Member of UNITE (Unified Network of Instructors and Trained Eliminators)
Bent u blij met de geboden hulp? klik hier voor een vrijblijvende donatie Afbeelding
9
abbs schreef:
abbs schreef:Hallo,

Stap 1. AfbeeldingAfbeelding  
Download fixlist.txt uit de bijlage naar het bureaublad, waar ook FRST.exe aanwezig is.

Fixlist.txt
 Zie bijlage:
  • Klik met de rechtermuisknop op FRST.exe en kies voor de optie "Als administrator uitvoeren".
  • Druk op de Fixen knop.
  • Er zal u een logbestand aangemaakt worden (Fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
  • Voeg dit logbestand als bijlage toe aan het volgende bericht.
Met wat had je gezien dat je deze Rootkit had?
Met Kaspersky anti-rootkit
Ik heb hem verwijderd via FRST dus kan je nog zien of de klachten er nog zijn?
Ja, hoe verwijder ik de gevonden rootkit op mijn overige negen netwerkcomputers?? Moet ik alle stappen die je hier hebt  gedaan daarop herhalen of kan je op maat script maken?!
Afbeelding
Als gast kunt u geen bijlagen bekijken. Registreer via deze link een (gratis) account om bijlagen te kunnen bekijken.
10
Hallo,

Dat is netjes, als er verder geen problemen meer zijn mag je de laatste stap doen:

Met het onderstaande tooltje ruim je alle gebruikte tools op:
 
Download Afbeelding Delfix - Alternatieve downloadlink by Xplode naar het bureaublad.
 
Dubbelklik op Delfix.exe om de tool te starten.
Zet een vinkje  voor het volgende item:
  • Remove disinfection tools
  Afbeelding Klik nu op "Run" en wacht geduldig tot de tool gereed is.
Wanneer de tool gereed is wordt er een logbestand aangemaakt. Dit hoeft je echter niet te plaatsen.
Start je pc hierna opnieuw op, mochten er nog programma's of log bestanden aanwezig zijn mag je die handmatig verwijderen.
Maak ook een nieuw herstelpunt Handleiding.
Groeten abbs
Afbeelding
Member of UNITE (Unified Network of Instructors and Trained Eliminators)
Bent u blij met de geboden hulp? klik hier voor een vrijblijvende donatie Afbeelding
11
abbs schreef:Hallo,

Dat is netjes, als er verder geen problemen meer zijn mag je de laatste stap doen:
Hoe verwijder ik de rootkit van overige negen computer in netwerk?
Mijn backup mislukt?!
Het systeem is van slag.
Afbeelding
12
Hallo,

Je kan beter een programma gebruiken om een backup te maken. viewtopic.php?f=246&t=8527
Voordat je dat doet laat je systeem even nakijken:

Klik linksonder op het vergrootglas en doe de volgende stappen:
1. typ cmd.
2. klik met je rechter muisknop op Opdrachtprompt.
3. klik op Als administrator uitvoeren.
Afbeelding Typ in het zwarte venster SFC /SCANNOW en druk op de enter-toets. (let op de spatie!)

Als dit klaar is maak je een screenshot en upload het naar https://imgdumper.nl.
Post de link die je krijgt in je volgend bericht.
Groeten abbs
Afbeelding
Member of UNITE (Unified Network of Instructors and Trained Eliminators)
Bent u blij met de geboden hulp? klik hier voor een vrijblijvende donatie Afbeelding
13
abbs schreef:
Als dit klaar is maak je een screenshot en upload het naar https://imgdumper.nl.
Post de link die je krijgt in je volgend bericht.


Afbeelding
Volgende problemen nog op mijn systeem:
1. Kan geen bootcd draaien na restart: Linuxboot CD mint 64, acronisbootcdm win10home64bootcd, etc. Lopen allemaal vast of helemaal niet opstarten.
2. Firefox op huidige systeem loop vaak vast.
3. PC is traag, terwijl het een i7 met 16Gigabyte is.
4. Kan geen win- imagebackups maken
Wat zijn de oorzaken?!  Zijn er wellicht nog rootkit-sporen aanwezig? :(
14
Hallo,

Zou je de antwoorden niet steeds willen quote zo mis ik wel eens opmerkingen zoals deze:
Ja, hoe verwijder ik de gevonden rootkit op mijn overige negen netwerkcomputers?? Moet ik alle stappen die je hier hebt  gedaan daarop herhalen of kan je op maat script maken?!
Weet je zeker dat de rootkit op al de pc's zitten zo ja zorg dat ze niet met elkaar dan verbonden zijn zodat ze elkaar niet kunnen besmetten.

Laten we één voor één eens kijken dit is nog de eerste pc waar we mee begonnen zijn toch?
Doe daarop het volgende:

Download de Afbeelding ESET Online Scanner naar je bureaublad.

Eset Online Scanner uitvoeren.
  • Dubbelklik op "esetonlinescanner_enu.exe", "Terms of use" opent vink daar "Download latest version of ESET Online Scanner" aan.
  • Klik vervolgens op de knop "Accept", wanneer u een melding krijgt van het Gebruikersaccountbeheer staat u dit toe.
  • "Computer scan settings" opent, vink daar "Enable detection of potentially unwanted applications" aan.
  • Klik op "Advanced settings", zorg dat daar de volgende items zijn aangevinkt.

    - Enable detection of potentially unsafe applications
    - Enable detection of suspicious applications
    - Scan archives
    - Enable Anti-Stealth technology
    - Clean threats automatically
  • Let op: Schakel nu eerst je eigen virusscanner uit, het scannen met Eset gaat dan sneller. ( zet deze na de scan weer aan)
  • Klik op "Scan", deze scan kan geruime tijd in beslag nemen en gebruik bij voorkeur de computer niet voor andere bezigheden tijdens de scan.
Na het scannen:
  • Als er niks word gevonden klik op "Finish", het scherm "Thank you for trying Eset Online Scanner" mag je ook sluiten.
  • Zijn er bedreigingen gevonden klik dan op "Show list of results", klik op "Save to text file.." geef als Bestandsnaam "Eset.txt" en plaats het op je bureaublad.
  • Klik vervolgens rechts boven op "X" (de bedreigingen zijn dan verwijderd), het scherm "Thank you for trying Eset Online Scanner" mag je ook sluiten.
  • Voeg het logbestand met de naam "Eset.txt" als bijlage toe aan het volgende bericht.
Groeten abbs
Afbeelding
Member of UNITE (Unified Network of Instructors and Trained Eliminators)
Bent u blij met de geboden hulp? klik hier voor een vrijblijvende donatie Afbeelding
15
Afbeelding
Afbeelding
In veilige modes werk deze tool niet. Wat kan oorzaak zijn?! Dat nu na verse installatie toch niets werkt?! Ook de bootCD acronis/ubuntu/mint etc werken niet. Want ik wil uiteindelijk  een linuxbak draaien en via Virtual machine Win1032/64 draaien. Maar ik krijg Linux op geen enkele wijze op deze machine geïnstalleerd! De rootkit blokkeerde alle installaties behalve die van win1064.
Plaats reactie

Maak een account aan of log in om deel te nemen aan de discussie

Je moet lid zijn om een ​​reactie te kunnen plaatsen

Maak een account aan

Geen lid? Registreer om lid te worden van onze community
Leden kunnen hun eigen onderwerpen starten en zich abonneren op onderwerpen
Het is gratis en duurt maar een minuut

Registreer

Log in

Gebruikersnaam
Wachtwoord

Terug naar “Hulp bij malware problemen, adware, ongewenste software en een trage computer”