Exploit:JS/Blacole.GB infectie

Status
Niet open voor verdere reacties.
RoelK

RoelK

Gebruiker
Lid geworden
1 dec 2012
Berichten
170
Hallo iedereen,

Ik zat laatst op internet te surfen en plotseling kreeg ik een melding van MSE dat er een virus gevonden was in:
C:\Documents and Settings\Roel\Local Settings\Application Data\Mozilla\Firefox\Profiles\mrspl7vd.default\Cache\4\28\0E7F4d01
Ook kreeg ik op mijn scherm ineens heel veel reclame te zien en er speelde een muziekje op de achtergrond.....

Toen MSE het virus had opgeruimd kreeg ik plotseling een foutmelding en viel het uit. Toen ik het opnieuw had opgestart zag ik dat het virus in het quarantaine was geplaatst en de scan die ik daarna uitvoerde liet niks zien.

Kan het zijn dat het virus achter mijn rug om zich heeft verspreid zonder dat MSE het heeft gezien (bv. toen hij uitviel)?

OS: Microsoft Windows XP Home Edition SP3

Ik hoor graag antwoorden!
 
Hoi,

Volg de stappen hieronder a.u.b.

Stap 1.

Download MalwareBytes' Anti-Malware naar je bureaublad vanuit één van de volgende links:
http://download.bleepingcomputer.com....51.1.1800.exe
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
http://www.malwarebytes.org/mbam-download-exe.php
http://data-cdn.mbamupdates.com/v0/p....51.1.1800.exe
Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg dat er na de installatie een vinkje is geplaatst bij:
Update MalwareBytes' Anti-Malware
Start MalwareBytes' Anti-Malware

mbam.png

Vink het hokje ''Start de gratis probeer versie van Malwarebytes Anti-Malware PRO'' UIT.
Klik daarna op "Voltooien". Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.

Zodra het programma gestart is, ga je naar het tabblad "Instellingen".
Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
Ga naar het tabblad "Updates" en Update MBAM.
Ga daarna naar het tabblad "Scanner", kies hier voor "Snelle Scan".
Druk vervolgens op "Scannen" om de scan te starten.
Het scannen kan een tijdje duren, dus wees geduldig.
Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
Indien MBAM vraagt om een herstart, doe dit dan ook.
Wanneer je de restart hebt gedaan, maak je een nieuwe snelle scan met MBAM.

De log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.


Bij problemen!!!

Problemen bij het installeren van Malwarebytes' Anti-Malware
Problemen bij het starten van Malwarebytes' Anti-Malware
Problemen bij het updaten van Malwarebytes' Anti-Malware

Stap 2.

Indien je de foutmelding: ''AutoIt Error
Line 2058 (File "C:\Documents and Settings\[name]\Bureaublad\adwcleaner.exe"):
Error: Variable used without being declared.'' Krijgt, Open AdwCleaner en klik op ''Deinstallatie''
Daarna: download AdwCleaner hier opnieuw: http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner Sla het op je bureaublad op.
Rechtermuisknop op AdwCleaner & kies ''Eigenschappen'' Daarna klik je naast ''Ander pictogram...'' op ''Geavanceerd''
Vink het hokje ''Als Administrator uitvoeren'' aan. & klik op ''OK''.
Restart de PC, en open AdwCleaner.
Klik daarna op ''Verwijderen''
Indien, weer hetzelfde foutcode,
Probeer nogmaals.

Download AdwCleaner by Xplode naar je Bureaublad.
  • Sluit alle openstaande vensters
  • Start AdwCleaner en klik Verwijderen
  • adwcleaner.png
  • Klik bij AdwCleaner – Information op OK
  • Klik bij AdwCleaner – Restart Required op OK
Alle icoontjes verdwijnen van het Bureaublad, dit is normaal.
Je PC word opnieuw opgestart en er een opent logfile (C:\ AdwCleaner[xx].txt

Je kunt de logfile zelf Bekijken en/of Opslaan, en kijken wat er is verwijderd.

Als je Startpagina ook gehijackt was, stel dan de zoekmachine opnieuw in, deze word standaard door AdwCleaner terug gezet naar Google.com

Stap 3.

Ga naar ESET Onlinescanner
Klik op ''esetsmartinstaller_enu.exe'' om het Downloaden te starten.
Download ''esetsmartinstaller_enu.exe'' naar je Bureaublad!
Windows Vista/7: Rechtermuisklik en kies voor "Als Administrator uitvoeren''
Vink aan ''Yes, I accept the Terms of Use'' & Klik ''Start''
FireFox gebruikers moeten een Add-On ''esetsmartinstaller_enu.exe'' installeren
Deze FireFox Add-On moet je op je bureablad plaatsen en dan installeren!
IE gebruikers dienen een ''ActiveX'' te installeren.
Klik onder ''Scan Archives'' op ''Advanced Settings'' & Vink aan: Remove Found Threats, Scan Archives, Scan for Potentially Unwanted Applications, Scan for Potentially Unsafe Applications, Enable AntiStealth Technology
Klik nu op ''Start''
De scan begint direct na downloading van de signatures!
Klik na de Scan op ''Finish''
Sluit je Browser, En ga naar de Verkenner ''Explorer''
''C:\Program Files\Eset\EsetOnlineScanner\log.txt'' zoeken,
Je kunt nu zien wat er is verwijderd!
Verwijder daarna via ''Een programma verwijderen'' Eset Online Scanner V3.
 
Laatst bewerkt:
Mijn voorgevoel blijkt gelijk te hebben. Zie hier het logje van MBAM:

Scantype: Snelle scan
Ingeschakelde scanopties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scanopties: P2P
Objecten gescand: 243778
Verstreken tijd: 26 minuut/minuten, 8 seconde(n)

Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels gedetecteerd: 1
HKCU\SOFTWARE\CROSSRIDER (Adware.GamePlayLab)

Registerwaarden gedetecteerd: 1
HKCU\Software\Crossrider|215AppVerifier (Adware.GamePlayLab) -> Data: 069d03979234150d2dfe4232bce5960a

Registerdata gedetecteerd: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Slecht: (0) Goed: (1)

Mappen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Bestanden gedetecteerd: 1
C:\WINDOWS\system32\user32.dat (Trojan.Downloader)

Ik maak me het meest zorgen over user32.dat aangezien dit een Trojan.Downloader blijkt te zijn.
Het bestand zou gemaakt zijn in 2004 toe wel toen deze computer nog niet eens was gemaakt! Verder staat er niks over een maker en ook geen beschrijving.... Verdacht!

De inhoud van het bestand user32.dat:
Y250
dmFsPTY=

Wat raden jullie aan om nu te doen? Is user32.dat een belangrijk bestand of kan ik het zo weg halen? En kan het nu zomaar schade aanrichten?
Verder kunnen jullie ook advies geven over de gevonden register fouten (kan ik die wel of niet verwijderen of aanpassen)?

Alvast bedankt!
 
Het virus geeft niet op!

Ik heb net van MSE weer twee nieuwe virus meldingen gekregen van het volgende virus:

Exploit:Java/CVE-2010-0842
Exploit:Java/CVE-2008-5353

Wat nu?

Edit:
Nu nog al eentje!
Exploit:Java/CVE-2009-3867
 
Laatst bewerkt:
op je pc staat blijkbaar ook nog een oude java-versie, gooi die eraf en installeer de laatste nieuwe. ( vandaar de java-exploit, dacht ik )
 
Zal ik doen! Wel vreemd dat MSE zo'n heftige reactie geeft (niveau: Ernstig).
 
Laatst bewerkt door een moderator:
@RoelK,

Je hebt de gevonden infecties niet verwijderd,
Verwijder alle geinfecteerde bestanden nog even, rechtermuisklik en klik op alles aanvinken.
 
Ik heb nu alle infecties verwijderd en Java opnieuw geïnstalleerd.
De nieuwe scan liet niks nieuws zien dus volgens mij is het virus opgeruimd.

Bedankt voor alle hulp!
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan