Pagina 1 van 2

Politievirus

Geplaatst: ma 21 jan, 2013 14:52:29
door m4v3rick
Hallo,
Ongeveer een maandje geleden had ik ook al last van politie virus. Ik heb deze toen, met behulp van Maxstar, weten te verwijderen.
Nu is het weer zover, alleen op een andere computer. In dit geval komt de pop-up direct bij het opstarten in mn scherm. Wel kan ik de computer in veilige modus opstarten. Het probleem van deze computer is dat er een verlopen antivirus op staan en geen Hitman of TdsKiller. Ik weet dus ook niet wat ik in de veilige modus moet/kan doen op m weer aan de praat te krijgen.
Kan iemand mij helpen?
Bij voorbaat dank!

Re: Politievirus

Geplaatst: ma 21 jan, 2013 14:59:49
door Maxstar
Hoi,

Zet DDS met behulp van b.v. een USB-stick even over naar de geïnfecteerde computer en voer deze uit en plaats hiervan het logje.

Download DDS van sUBS van één van deze locaties en plaats het op je bureaublad:
DDS - Bleeping Computer download.
DDS - Bleeping Computer download.
DDS - Infospyware.


Afbeelding

DDS is een diagnosetool en maakt gebruik van scripts.

Schakel je beveiligings software uit voordat je DDS uitvoert!
(hier of hier) kan je lezen hoe je dat doet.

Dubbelklik op DDS om de tool te starten.

Er worden nu automatisch twee log bestanden op het bureablad opgeslagen.
  • DDS.txt
  • Attach.txt (Plaats deze alleen indien hierom wordt gevraagd!)

Post het DDS in het volgende bericht.

Re: Politievirus

Geplaatst: ma 21 jan, 2013 15:06:40
door m4v3rick
DDS (Ver_2012-11-20.01) - NTFS_x86 MINIMAL
Internet Explorer: 7.0.6000.17037
Run by L350-10I at 15:03:15 on 2013-01-21
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.31.1043.18.2941.2515 [GMT 1:00]
.
.
============== Running Processes ================
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\Explorer.EXE
C:\Windows\helppane.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k rpcss
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k NetworkService
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.nl
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
BHO: Adobe PDF Reader Help bij koppelingen: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll
BHO: IEVkbdBHO Class: {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - c:\program files\kaspersky lab\kaspersky pure\ievkbd.dll
BHO: SSVHelper Class: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\program files\java\jre1.6.0_03\bin\ssv.dll
BHO: FilterBHO Class: {E33CF602-D945-461A-83F0-819F76A199F8} - c:\program files\kaspersky lab\kaspersky pure\klwtbbho.dll
uRun: [TOSCDSPD] c:\program files\toshiba\toscdspd\TOSCDSPD.exe
uRun: [Spotify Web Helper] "c:\users\l350-10i\appdata\roaming\spotify\data\SpotifyWebHelper.exe"
uRun: [Adobe ARM] "c:\programdata\ifgxpers.exe"
mRun: [AVP] "c:\program files\kaspersky lab\kaspersky pure\avp.exe"
uPolicies-Explorer: NoDrives = dword:0
mPolicies-Explorer: NoDrives = dword:0
IE: Add to Anti-Banner - c:\program files\kaspersky lab\kaspersky pure\ie_banner_deny.htm
IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC} - c:\program files\java\jre1.6.0_03\bin\ssv.dll
IE: {4248FE82-7FCB-46AC-B270-339F08212110} - {4248FE82-7FCB-46AC-B270-339F08212110} - c:\program files\kaspersky lab\kaspersky pure\klwtbbho.dll
IE: {76577871-04EC-495E-A12B-91F7C3600AFA} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url2.pl?NL
IE: {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.co.uk/exec/obidos/red ... &site=home
IE: {CCF151D8-D089-449F-A5A4-D9909053F20F} - {CCF151D8-D089-449F-A5A4-D9909053F20F} - c:\program files\kaspersky lab\kaspersky pure\klwtbbho.dll
DPF: Garmin Communicator Plug-In - hxxps://static.garmincdn.com/gcp/ie/2.9 ... ontrol.CAB
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinsta ... s-i586.cab
DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinsta ... s-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinsta ... s-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/s ... wflash.cab
TCP: NameServer = 212.54.40.25 212.54.35.25
TCP: Interfaces\{AC6AE77F-4217-45AA-8DAE-446DD572CC50} : DHCPNameServer = 192.168.1.50
TCP: Interfaces\{C31D8A4D-E4FF-4C89-A957-C7CA61A81F35} : DHCPNameServer = 212.54.40.25 212.54.35.25
Notify: klogon - c:\windows\system32\klogon.dll
AppInit_DLLs= c:\progra~1\google\google~3\googledesktopnetwork3.dll,c:\progra~1\kasper~1\kasper~1\kloehk.dll,c:\progra~1\kasper~1\kasper~1\mzvkbd3.dll
SEH: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - <orphaned>
LSA: Security Packages = kerberos msv1_0 schannel wdigest tspkg
mASetup: {8A69D345-D564-463c-AFF1-A69D9E530F96} - "c:\program files\google\chrome\application\24.0.1312.52\installer\setup.exe" --configure-user-settings --verbose-logging --system-level --multi-install --chrome
.
============= SERVICES / DRIVERS ===============
.
R0 CSCrySec;InfoWatch Encrypt Sector Library driver;c:\windows\system32\drivers\CSCrySec.sys [2012-2-19 88632]
R0 KLBG;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2009-10-14 36880]
R3 FwLnk;FwLnk Driver;c:\windows\system32\drivers\FwLnk.sys [2008-2-25 7168]
S1 CSVirtualDiskDrv;InfoWatch Virtual Disk driver;c:\windows\system32\drivers\CSVirtualDiskDrv.sys [2012-2-19 39352]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\drivers\klim6.sys [2009-9-14 21520]
S1 RtlProt;Realtke RtlProt WLAN Utility Protocol Driver;c:\windows\system32\drivers\RtlProt.sys [2010-3-12 25896]
S2 AVP;Kaspersky PURE;c:\program files\kaspersky lab\kaspersky pure\avp.exe [2010-10-1 348760]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 ConfigFree Service;ConfigFree Service;c:\program files\toshiba\configfree\CFSvcs.exe [2007-12-25 40960]
S2 CSObjectsSrv;CryptoStorage control service;c:\program files\common files\infowatch\cryptostorage\ProtectedObjectsSrv.exe [2009-12-21 743992]
S2 TOSHIBA SMART Log Service;TOSHIBA SMART Log Service;c:\program files\toshiba\smartlogservice\TosIPCSrv.exe [2007-12-3 126976]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [2009-10-2 19472]
S3 RTL8187B;Realtek RTL8187B draadloos 802.11b/g 54Mbps USB 2.0 netwerkadapter;c:\windows\system32\drivers\rtl8187B.sys [2010-3-12 290304]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
.
=============== Created Last 30 ================
.
2013-01-21 07:57:40 162296 ----a-w- c:\users\l350-10i\appdata\roaming\csrsss.exe
2013-01-21 07:27:17 84472 ----a-w- c:\programdata\ifgxpers.exe
2013-01-18 14:27:29 6991832 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{da5ba91d-1316-479e-8a7e-829cbe837b8f}\mpengine.dll
.
==================== Find3M ====================
.
2013-01-09 10:48:20 74248 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-01-09 10:48:20 697864 ----a-w- c:\windows\system32\FlashPlayerApp.exe
.
============= FINISH: 15:03:54,93 ===============

Re: Politievirus

Geplaatst: ma 21 jan, 2013 15:10:50
door Maxstar
Hoi,

Download zoek.exe naar het bureaublad.
  • Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe
    (hier of hier) kan je lezen hoe je dat doet.
    • Dubbelklik op Zoek.exe om de tool te starten.
    • Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
    • Kopieer nu onderstaande code en plak die in het grote invulvenster:
    • Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkwaardig probleem.
      c:\users\l350-10i\appdata\roaming\csrsss.exe;fp
      c:\programdata\ifgxpers.exe;fp
      startupall;
      filesrcm;
    • Klik nu op de knop "Run script".
    • Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
    • Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog.
    • Post nu de inhoud van het geopende logje in het volgende bericht.
    • Op het bureaublad zal nu een bestand genaamd sample_20120615_0718.zip staan (de cijfers achter Sample_ duiden de datum en tijd aan).
    • Upload dit bestand naar http://www.mijnbestand.nl en plaats het linkje in het volgende bericht.

Re: Politievirus

Geplaatst: ma 21 jan, 2013 15:27:15
door m4v3rick
Er opende enkel een .txt bestand.
Zie link;

http://www.mijnbestand.nl/Bestand-D7PHZHABOONS.log

Re: Politievirus

Geplaatst: ma 21 jan, 2013 15:28:45
door Maxstar
Hoi,

Op het bureaublad is het volgende vetgedrukte bestand aanwezig, upload deze naar www.mijnbestand.nl en plaats hier het download linkje.
C:\Users\Public\Desktop\sample_21-01-2013_1521.zip

Re: Politievirus

Geplaatst: ma 21 jan, 2013 15:38:25
door m4v3rick

Re: Politievirus

Geplaatst: ma 21 jan, 2013 15:40:56
door Maxstar
Hoi,

Start Zoek.exe nogmaals.
  • Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe
    (hier of hier) kan je lezen hoe je dat doet.
    • Dubbelklik op Zoek.exe om de tool te starten.
    • Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
    • Kopieer nu onderstaande code en plak die in het grote invulvenster:
    • Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkwaardig probleem.
      C:\Users\Public\Desktop\sample_21-01-2013_1521.zip;f
      C:\Users\L350-10I\AppData\Local\Temp\abcd.bat;fp
      C:\ProgramData\1.bmp;fp
      C:\ProgramData\1.jpg;fp
    • Klik nu op de knop "Run script".
    • Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
    • Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog.
    • Post nu de inhoud van het geopende logje in het volgende bericht.
    • Op het bureaublad zal nu een bestand genaamd sample_20120615_0718.zip staan (de cijfers achter Sample_ duiden de datum en tijd aan).
    • Upload dit bestand naar http://www.mijnbestand.nl en plaats het linkje in het volgende bericht.

Re: Politievirus

Geplaatst: ma 21 jan, 2013 15:48:47
door m4v3rick

Re: Politievirus

Geplaatst: ma 21 jan, 2013 16:25:39
door Maxstar
Hoi,

Voer nu nog even een volledige scan uit met Malwarebytes Anti-Malware.

Download MalwareBytes' Anti-Malware (website) en sla het op je bureaublad op.
Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg dat er na de installatie een vinkje is geplaatst bij:
  • Update MalwareBytes' Anti-Malware
  • Start MalwareBytes' Anti-Malware
  • Je krijgt hier ook de keuze om de evaluatie versie van MBAM te gebruiken, indien je dit niet wilt vink dit dan uit.
Klik daarna op "Voltooien".
Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.

Bij problemen!!! (Lees de onderstaande instructies)

  • Zodra het programma gestart is, ga dan naar het tabblad "Instellingen".
  • Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
  • Ga daarna naar het tabblad "Scanner", kies hier voor "Volledige Scan".
  • Druk vervolgens op "Scannen" om de scan te starten.
  • Het scannen kan een tijdje duren, dus wees geduldig.
  • Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
  • Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
  • Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Re: Politievirus

Geplaatst: ma 21 jan, 2013 19:43:57
door m4v3rick
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Databaseversie: v2013.01.21.06

Windows Vista x86 NTFS
Internet Explorer 7.0.6000.17037
L350-10I :: PC_VAN_L350-10I [administrator]

21-1-2013 18:34:58
mbam-log-2013-01-21 (18-34-58).txt

Scan type: Volledige scan (C:\|D:\|)
Ingeschakelde scan opties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scan opties: P2P
Objecten gescand: 293925
Verstreken tijd: 50 minuut/minuten, 25 seconde(n)

Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registerwaarden gedetecteerd: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Adobe ARM (Trojan.FakeMS) -> Data: "C:\ProgramData\ifgxpers.exe" -> Succesvol in quarantaine geplaatst en verwijderd.

Registerdata gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Mappen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Bestanden gedetecteerd: 1
C:\Users\L350-10I\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\691C3Y29\image[1].jpg (Trojan.FakeMS) -> Succesvol in quarantaine geplaatst en verwijderd.

(einde)

Re: Politievirus

Geplaatst: di 22 jan, 2013 09:09:24
door Maxstar
Hoi,

Zijn er nu verder nog problemen merkbaar of functioneert alles weer naar behoren?

Re: Politievirus

Geplaatst: di 22 jan, 2013 10:10:22
door m4v3rick
De computer functioneert weer prima! Mocht ik nog wat dingen tegenkomen meld ik me even.
Bedankt voor de hulp!

Re: Politievirus

Geplaatst: di 22 jan, 2013 10:17:21
door Maxstar
Hoi,

Graag gedaan en mooi dat er geen problemen meer zijn... :good:
Voer sowieso nog even een volledige systeemscan uit en wijzig alle gebuikte wachtwoorden, maar dat staat hieronder verder beschreven.

De volgende programma's en bijbehorende log bestanden mag je verwijderen. MBAM en de Emsisoft Emergency Kit kan je gewoon blijven gebruiken om periodiek de computer te scannen (wel eerst updaten).
  • Zoek.exe
  • DDS


Aangezien de problemen zijn verholpen adviseer ik u nog wel even het onderstaande uit te voeren.

1.) Volledige systeemscan
Ik raad u aan om met behulp van de Emsisoft Emergency Kit nog een volledige systeemscan uit te voeren, op de onderstaande link treft u de handleiding van dit programma.
Mochten er nog speciale detecties zijn waarvan u niet weet wat u het beste kan doen dan kunt u uw vraag stellen in de sectie Antivirus / Antispy(mal)ware / Firewalls en overige security software

2.) Systeemherstelpunten verwijderen
Als de computer geïnfecteerd is geweest met een malware infectie is het raadzaam om alle aanwezige systeemherstelpunten te verwijderen, want hier kunnen namelijk besmette herstelpunten tussen zitten.
  • Hoe u de herstelpunten verwijderd leest u hier

3.) Wachtwoorden wijzigen
De meeste malware maakt een uitgaande verbinding met een Command & Control-server waarbij er vertrouwelijke gegevens zoals bijvoorbeeld inloggegevens worden buitgemaakt, indien uw computer geïnfecteerd is geweest is het dan ook raadzaam om al uw gebruikte wachtwoorden te wijzigen.
Meer informatie hierover leest u hier

4.) Installeren van essentiële updates.
Hoe u uw besturingssysteem en overige software up to date houdt kunt u hier lezen.
Door middel van het programma Secunia PSI wordt u automatisch gewaarschuwd indien er updates voor de geïnstalleerde software beschikbaar is, meer informatie leest u hier

5.) Pas op voor 'Phishing' berichten.
Phishing is een vorm van internet oplichting (fraude), met valse e-mailberichten en websites die er vertrouwd uitzien wordt er getracht 'logingegevens' en andere persoonlijke informatie te achterhalen.
Dit gebeurt vaak op hele slinkse manieren, zoals bijvoorbeeld e-mailberichten waarin u gevraagd wordt uw inloggegevens te verifiëren, in deze gevallen wordt u vaak naar een valse (clone) website gestuurd, zodra u uw gegevens hier hebt ingevoerd zijn deze in de handen van de kwaadwillende met alle gevolgen van dien.
Meer informatie leest u hier

6.) Preventie informatie & het gebruik van beveiligings software.
Om de kans op een her-infectie te minimaliseren kan je naast de gebruikte beveiligingssoftware een aanvullende malwarescanner installeren zoals Emsisoft Anti-Malware of Malwarebytes' Antimalware om de bescherming te optimaliseren.
Hier staat meer informatie hoe u een infectie in de toekomst kunt voorkomen, lees dit eens op uw gemak door.

Re: Politievirus

Geplaatst: di 22 jan, 2013 10:18:12
door PC Web Plus
Kaspersky Internet Security 2013 U maakt automatisch kans op één van de vijf licenties

PC Web Plus mag met dank aan Kaspersky vijf licenties verloten van 'Kaspersky Internet Security 2013'.

Het meedoen aan deze actie is heel simpel, u hoeft namelijk helemaal niets te doen! Geen prijsvraag, puzzel echt helemaal niets.
Als u op het forum komt voor hulp en ondersteuning bij het verwijderen van een malware gerelateerd probleem dingt u automatisch mee om kans te maken op één van de vijf licenties van Kaspersky Internet Security 2013

Uw naam wordt vanaf 1 januari 2013 opgenomen in de lijst van deelnemers en op vrijdag 1 Februari 2013 zullen de gebruikers van het forum bekend gemaakt worden die een een licentie van Kaspersky Internet Security 2013 krijgen toegestuurd

Meer informatie lees u bij: Start het nieuwe jaar veilig met kasperksy Internet Security