proper.exe

Bij een vriend van mij ,wiens pc vorige week ernstig geinfecteerd was heb ik nu nog de vraag bij het opstarten, mis win32\proper.exe. (Ook wel bekend als winter.exe)
Nu is gebleken na enkele google zoekacties bleek dat deze te maken heeft met een flinke infectie, hoe precies weet ik ook niet.
Nu ben ik weer thuis en niet in zijn opstartfiles gekeken, misschien had ik daar wat gevonden. Hij had Norman antivirus draaien
Is deze al bij iemand bekend

Wat ik lees zou combofix wel eens de problemen kunnen verhelpen,
Maar die was je misschien al tegen gekomen?
mvg leo

Zou moeten staan in de system32-map.
Werkt de taakmanager nog? Winter wil deze nog wel eens uitschakelen.
Kijk of -ie in de taakmanager staat en kill het process.
Indien ze de taakmanager uitgeschakeld heeft, zou je een alternatief daarvoor kunnen downloaden. Erg krachtig is de Process Explorer van Sysinternals.
Downloaden, unzippen en runnen (hoeft niet geinstalleerd te worden)
Kijk naar de volgende processen (zijn aliassen)
infos.exe
winter.exe
proper.exe
autos.exe

Download Autoruns, ook van Sysinternals.
Dit is een alternatief voor msconfig -> TB opstarten.
Nou ja, alternatief; het laat alle opstart-items zien. Ook die niet in je msconfig staan.
Download, unzip en klik op de autoruns.exe. (hoeft ook niet geinstalleerd te worden)
Onder options klik je op Hide Microsoft Entries. Indien je hier niet op kunt klikken, open dan eerst een tabblad. Daarna lukt dit wel.
Kijk nu welke progs/apps opstarten met Windows. Loop alle tabbladen na. Zoek naar onbekende items.
Deze onbekende items selecteer je en klik daarna op Entry -> search online. Nu opent de browser en geeft je de zoekresultaten van het geselecteerde item. Dit geeft voldoende info of het item al dan niet legitiem is.
Onder het kopje Entry staat ook de optie Delete om een ongewenst opstart-item te deleten. Aangezien je eerder alle Microsoft-entries 'hidden' hebt gemaakt, kun je hier niet veel kwaad mee aanrichten. Maar uiteraard wel op eigen verantwoordelijkheid.

Daarna in veilige modus kijken of ze inderdaad in de system32-map staat en zo ja, verwijderen dus. (even verborgen bestanden zichtbaar maken)

De kopieen van Winter kunnen vele namen hebben (alliassen). Zoek eventueel ook op deze aliassen.
De lijst met de verschillende benamingen vindt je hier en scroll naar beneden voor de lijst.

En dan nog je register.
mmm, nou zit ik even vast. Moet ik nog uitzoeken.
Het is een beetje een cliché, maar wel waar: Kijk in de standaard Run-subsleutels (Run, RunServices, en evt RunOnce en RunServicesOnce)
Te vinden onder de hoofdsleutels:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Exacte verwijzingen zoek ik nog wel even uit, maar doe ik morgen wel. (of als iemand anders mij voor is: "you 're welcome")

pfff, het is een hele klus. Maar wel een hele leuke.

Succes ermee, en laat even weten hoe-en-wat.

Groetjes.

Verplaatst Nieuws > Virus / Beveiligingswaarschuwing ----->>> Antivirus > Geïnfecteerd.

Het is geen nieuws maar een vraag.

@crash sorry verkeerd gezien
@Chato: Mijn vriend heeft in zijn totale onwetendheid voordat ik kwam Hiren's boot cd gerund, ik ken het niet, maar heeft dan nog steeds de melding missing file proper.exe.
Maar wat is Hiren's boot cd. Ik had er nog nooit van gehoord. Maar er schijnt verschrikkelijk veel op te staan.
Jouw oplossing zal ik donderdagavond proberen
@Leofact jouw oplossing zal ik ook proberen.

De hiren's boot cd is een bootable dos rescue cd met een enorme hoeveelheid tooltjes
Ik heb hem zelf wel gedownload, maar eigenlijk nog nooit gebruikt.
Je kan er inderdaad heel veel mee, maar ook nog veel meer mee verprutsen.

Dat er een foutmelding komt, dat proper.exe mist betekend dat het bestand zelf verwijdert is.
Jammer genoeg is er blijkbaar wat (register sleutel of een exe) achter gebleven, wat proper.exe op wil starten.
Hopelijk kom je er af met combofix of met de (zeer uitgebeide) hulp
van Chato F.
En als dat allemaal niet werkt, dan kun je een logje plaatsen, zoals beschreven bij stap 5

(sorry Chato, ik weet dat je daar een hekel aan hebt, maar ze zijn erg deskundig daar
en met goed hulp jaag je iemand niet weg toch?)
mvg leo

Ik werd net gebeld dat hij helemaal niet meer opstartte, bleef staan in het startscherm van xp en daar na niets meer. Ik ga vanavond mijn vrije tijd daar maar doorbrengen, zal eerst maar even met f8 proberen en anders maar opnieuw installeren want om hem zonder comp te laten zitten is ook niets. En 't is toch een hobby

leofact zei:

(sorry Chato, ik weet dat je daar een hekel aan hebt, maar ze zijn erg deskundig daar
en met goed hulp jaag je iemand niet weg toch?)

Klik om te vergroten...

Zij zijn daar zeker deskundig. En wij niet.

mmm,
Goed,
Inmiddels is er wat meer informatie over proper.exe.
Daardoor is nu de verwijdering ook wat minder werk dan mijn bovenstaande tips.
Heb het zojuist door Virustotal gehaald en vele AV-scanners herkennen deze nieuwe malware.
De resultaten heb ik als bijlage bij deze post gevoegd.
Je zou dus zeggen dat een AV-scanner deze trojan moet kunnen verwijderen.
Zo niet, hier wat info waarmee je haar handmatig kan verwijderen.
En blijkbaar is het zo moeilijk nog niet:

De registerwijzigingen:

Registry Key Value
--------------------------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Undefined=C:\WINDOWS\system32\winter.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Undefined=C:\WINDOWS\system32\winter.exe

Relevante Bestandswijzigingen

Aangemaakte bestanden:
C:\WINDOWS\system32\winter.exe
C:\WINDOWS\system32\proper.exe

Gewijzigde bestanden:
Modifed: C:\WINDOWS\system32\drivers\etc\hosts (!!!)

Verder wat wijzigingen in prefetch en Temps.

Dus: Geen HijackThis, maar een eenvoudige handmatige verwijdering:
Verwijder bovenstaande register subsleutels
Herstel je host-bestand met bv HostExpert
Verwijder (in veilige modus) de winter.exe en de proper.exe in de system32-map.
En na een herstart zou alles weer moeten werken als normaal.
(eerst even prefetch en temps leegmaken, natuurlijk)

Bijlage toegevoegd, zie vorige post.
Of als je de resultaten liever in html ziet:
http://www.virustotal.com/resultado.html?0ecfca9a63356ea995c1bfe6a9c69da8

Alvast bedankt voor de moeite, ik zal je het eindresultaat vanavond laat laten weten

Oke,
Daarna wel even een standaard AV-scan uitvoeren, blijkbaar dropt het meer malware op je computer.
Maar met bovenstaande is iig die winter/proper grotendeels weg en kun je de PC weer normaal gebruiken.
De restjes krijg je wel weg met AV-scanners.
Het is een vrij nieuwe malware-vorm (definities zijn sinds zo'n twee weken bekend) vandaar dat niet iedere AV-scanner er nog precies mee overweg kan.

Ik hoor het wel.
Trouwens, Comboscan kan er ook wel aardig mee overweg. De enige restjes die het achterlaat is adware. Maar daar red je je wel mee, dacht is zo.

Groetjes.

Chato bedankt voor de hulp. maar heb opnieuw xp geinstalleerd enzov. Want die boot cd had de boel roch flink verklooid