Geïnfecteerd door site kan niks meer

[AndreazZz]

Hallo,
ik heb denk ik een Trojan binnen gehaald door het bezoeken van een site. Ik klikte ergens op en er werd iets gedownload. Ik wou daarna een andere site bezoeken, maar ik had in een keer geen verbinding meer. Ik klikte dus internet weg, wilde de virusscanner aanklikken, maar kreeg een foutmelding. Er werd een soort 'virusscanner' geopend en er werd gezegd dat ik een volledige versie moest kopen. Ik heb taakbeheer gestart, maar deze werd gelijk 'weggeklikt'. Herhaaldelijk ctrl+alt+del leverde wel iets op en ik kon veel uitzetten. Toen heb ik het bestand gescand met AVG en die zei niet dat het een virus was. Ik heb toen mijn hele pc gescand, maar omdat het al tegen enen was, heb ik mijn pc in de slaapstand gezet en heb het net hervat. Ik kon de scan hervatten, maar toen ik een uurtje later weer ging kijken was AVG weg en stond dat programma er weer en ik heb het weggehaald met taakbeheer, maar toen klikte ik per ongeluk ook een systeem bestand weg. Toen ging mijn pc uit.
Kan ik MBAM op mijn usb zetten dat ik heb vanaf mijn pc kan starten?

 

[CaptainBri]

MBAM werkt volgens mij niet zo goed als SAS, probeer SAS eens, de portable versie.
Update ze allebei op een PC die een internet verbinding heeft.

Succes

 

[Paul-RT]

Taakbeheer kun je ook als volgt bereiken:
Start> Uitvoeren> taskmgr

 

[AndreazZz]

een paar dingen: het ''antivirusprogramma'' heet antivirus action
ik heb de laatste versie van mbam via een usb op mijn pc geinstald, maar werkt niet. ik kan hem ook niet updaten, want ik heb geen verbinding met internet.
taakbeheer wordt telkens afgesloten als ik hem opstart (nog niet geprobeerd via uitvoeren).
offtopic: ik ga nu naar bed lange dag achter de rug!

 

[Paul-RT]

Eventueel in veilige modus opstarten en dan mbam draaien.

 

[AndreazZz]

kan ik de usb stick wel in een andere pc steken? kan het niet zijn dat het virus zich dan via de usb poort verspreid?

 

[minal]

kan ik de usb stick wel in een andere pc steken?

Jazeker en dan gelijk een scan laten uitvoeren door de residente virusscanner op die PC en de op die PC geïnstalleerderde on demand scanner MBAM

Je kan antivirus action in Google inkloppen, je ziet dan o.a. dit:
http://www.2-spyware.com/remove-antivirus-action.html
Inderdaad beginnen met Veilige modus. Eerst die valse proxy wegfietsen, dan zou ik MBAM gaan doen, zie ook
http://www.helpmij.nl/forum/showthread.php/553290-hoe-kom-ik-van-de-besmetting-af?p=3526540

 

[AndreazZz]

valse proxy wegfietsen?
edit: laat maar staat in link
edit: ben nu aan het scannen in de veilige modus. tot nu toe nog niks gevonden.
edit: de log van de scan: [SQL]Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Databaseversie: 4052

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

17-10-2010 12:56:27
mbam-log-2010-10-17 (12-56-27).txt

Scantype: Volledige scan (C:\|D:\|E:\|F:\|G:\|H:\|K:\|)
Objecten gescand: 268405
Verstreken tijd: 54 minuut/minuten, 39 seconde(n)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 1
Registerwaarden geïnfecteerd: 0
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 4

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels geïnfecteerd:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

Registerwaarden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Bestanden geïnfecteerd:
C:\System Volume Information\_restore{69BC432D-24CD-4418-9E61-63442E1397F1}\RP264\A0079781.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINNT\Temp\VRT11.tmp (Trojan.Qhost) -> Quarantined and deleted successfully.
C:\WINNT\Temp\VRT122.tmp (Trojan.Qhost) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
[/SQL]

 

[AndreazZz]

mislukt. toen mbam vroeg om opnieuw op te starten, heb ik dat gedaan, maar ik heb hem niet in de veilige modus opgestart. ik denk dus dat ik er vanaf ben, nee dus. iemand een ander idee?
edit: er stond geen kruisje bij die lan proxyserver?
edit: ik heb nu avg lopen in de v.m., als die niets vindt, moet ik dan ook nog spw. dr. laten lopen?

 

[CaptainBri]

Laat SAS lopen in veilige modus vanaf de USB stick. Neem de portable versie van de website.

 

[AndreazZz]

ik heb avg laten lopen vanaf de v.m. mbam ook maar het is niet opgelost. ik ga vanavond ff sas op mijn usb stick zetten. moet ik hem dan vanaf een andere pc op de usb installen of instal bestand op usb en dan op pc?

 

[CaptainBri]

Klik hier voor de portable versie, update deze wel eerst op een computer met internet!

Gewoon openen, updaten en daarna weer sluiten. Dan openen op de geinfecteerde PC en scannen (volledige scan!)

 

[AndreazZz]

ik krijg de software niet geupdatet via mijn laptop met viata? hij zegt dat ik een uitzondering in de firewall moet maken? ik heb gegoogled, maar ik kreeg het niet voor elkaar (schermpje liep vast.) kan ik het niet gewoon via mijn eigen pc doen in de v.m.? die heeft nl. wel internet.

 

[CaptainBri]

Ja hoor, dat kan.

 

[Jedi]

Allereerst: trek de internetverbinding uit je pc !!!!.

Zo voorkom je in ieder geval dat de trojan gegevens verzend en/of zichzelf update !!!.

Vervolgens zorg je voor een livecd (bv BartPE of anders Linux) en start je daar mee op.

Nu ga je naar je programmamap en verwijder je de bestanden van dat ongewenste programma.

En 1 tip die je ECHT ter harte moet nemen:

Als staat er 100 keer dat een patch geen virus bevat, als je virusscanner een melding geeft, deze dan NOOIT negeren !!!.

Hier heb je een Norton online scanner:

http://security.symantec.com/sscv6/...d=sym&plfid=23&pkj=KYLKZIAZIGAKIYLPMJS&bhcp=1

Wat je ook nog kunt doen: ga naar de boekwinkel, dara ligt nu een pcblad (ik meen iets van 7 euro) en daar zit een Bitdefender cd bij.

Start hier van op en deze scant je gehele pc VOORDAT je Windows actief word.

 

[AndreazZz]

het probleem is: ik weet niet waar het virus geinstalleerd is

 

[CaptainBri]

het probleem is: ik weet niet waar het virus geinstalleerd is

Daar heb je SAS en MBAM voor. Evt. andere scanners als deze niks vangen.

 

[AndreazZz]

mbam gaf 5 meldingen zitten nu in quarantaine, avg 2 ook in quarantaine, spyware dr. gaf 2 meldingen, ik kon ze alleen niet verwijderen omdat ik geen license heb (?) komt denk ik omdat ik al een keer eerder een virus had. proberen te verwijderen met sp. dr. maar lukte niet. kennelijk niet helemaal gedeinstalleerd. maar moet je sas nou wel of niet updaten. want hij wilde dat niet doen, want ik moest eerst een uitzondering in de firewall maken, maar dat kreeg ik niet voor elkaar. ik ga nu (niet geupdate) sas laten lopen op mijn pc.
volgens die site die werd gegeven, kon je het virus ook handmatig verwijderen?
dan ga ik dat ook proberen.

ohja: kan je ook booten vanaf knoppix? of ubuntu via usb?

en: heb je niks aan de free version van bitdefender? kan je die ook bootable op usb maken dan?

 

[CaptainBri]

Van de google pack alleen Spyware Doctor kiezen voor een versie die wél bestanden weg kan gooien.

Succes

 

[Jedi]

Geen idee of ze van usb opstarten.

Een antivirus-cd lijkt me in ieder geval al niet.

Je schrijft eerst: Toen heb ik het bestand gescand met AVG

En dan later: ik weet niet waar het bestand staat ?

Start eens op in veilige mode, misschien dat dat al helpt om bepaalde programma's uit te zetten en dan je AVG laten scannen.