AVG kan trojaanspaard niet verwijderen

[marianneke]

AVG geinstalleerd op pc die slechts 2 keer op het www is geweest om een mailtje te verzenden!

Tot mijn grote verrassing vond ie 4 besmette bestanden.
Eentje daarvan kan niet verwijderd worden in:
C/Windows/system32/ctfnom.exe

virus found:
trojanhorse/backdoor.SDBot.71.BC

Ook in veilige modus lukt niet omdat AVG dan niet opstart.

Ik ben bij deze mensen weggegaan. Later belt ze me op dat er steeds meldingen komen "over bemetting"...
(vaag natuurlijk maar begrijpelijk want 70+)

Hoe kan ik dit voor ze oplossen?

 

[Guus abc †]

Geplaatst door marianneke
Ook in veilige modus lukt niet omdat AVG dan niet opstart.

Dat geeft niet.
Je kunt in veilige modus C:\Windows\system32\ctfnom.exe handmatig verwijderen.

Guus.

 

[marianneke]

weet je ook wat dat voor bestand is dan?
Ik ben altijd wat huiverig met bestanden in system of system32...

 

[Guus abc †]

Geplaatst door marianneke
weet je ook wat dat voor bestand is dan?

Een fout bestand.
De maker heeft het ook expres die naam gegeven.
Ctfnom.exe lijkt heel erg op ctfmon.exe, wat een bonafide onderdeel van Office is.
Wat het precies doet kan ik nergens vinden, maar dat het verwijderd moet worden is duidelijk.

Geplaatst door marianneke
Ik ben altijd wat huiverig met bestanden in system of system32...

Als je een bepaald bestand wilt uitschakelen zonder het te verwijderen, kun je de extensie in .old veranderen.
Gaat er daarna iets mis dan verander je het weer terug.
Dat kun je dus ook met ctfnom.exe doen - in veilige modus, anders krijg je waarschijnlijk de melding dat het bestand in gebruik is en niet gewijzigd kan worden.
Als het in gebruik is betekent dat overigens dat het vanuit het register wordt opgestart als je de computer aanzet.
Die registersleutel moet dan ook verwijderd worden.
Dat kun je het best doen met HijackThis. (Hier kun je de laatste versie downloaden.)
Als je op Scan hebt geklikt, zie je alles wat opgestart wordt daar staan, voorafgegaan door O4, met daarachter de locatie:

O4 - HKLM\..\Run: [AVG_CC] C:\PROGRAM FILES\GRISOFT\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [freesurfer] C:\PROGRAM FILES\FREE SURFER\fs20.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe

Etc.

Selecteer het item dat ctfnom.exe opstart en klik op Fix checked. De registersleutel wordt dan verwijderd.

Guus.

 

[marianneke]

OK Guus. Bedankt voor je duidelijke uitleg!
Ik ga hier mee aan de gang!

 

[Guus abc †]

Ik heb zojuist een HijackThis-log bekeken van een systeem dat besmet was met dezelfde Trojan.
Er blijken VIJF plaatsen in het register te zijn vanwaar wordt verwezen naar ctfnom.exe. Die moeten met HijackThis dus alle vijf gefixed worden.
Maar let op! Het ctfmon.exe bestand van Office kan hier ook tussen staan. Even goed opletten wat je selecteert dus.
Overigens is dat ctfmon.exe-bestand er natuurlijk alleen als op de betreffende computer Microsoft Office is geïnstalleerd.

O4 - HKLM\..\Run: [Win Updator Services] ctfnom.exe
O4 - HKLM\..\RunServices: [Win Updator Services] ctfnom.exe
O4 - HKLM\..\RunOnce: [Win Updator Services] ctfnom.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Win Updator Services] ctfnom.exe
O4 - HKCU\..\RunOnce: [Win Updator Services] ctfnom.exe

Guus.

 

[marianneke]

kan ik dan niet net zo goed in het register gaan zoeken naar... ctfnom.exe ?

 

[Guus abc †]

Je hoeft niet te zoeken.
HijackThis kort het een beetje af, maar die registerlokaties staan er al.
In de volgende mappen in het register zul je ctfnom.exe dus tegenkomen.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Guus.

 

[marianneke]

OK
Bedankt weer!