Hardnekkig virus

[Mehee]

Beste iedereen,

Op dit moment is mijn laptop sinds twee dagen ge�nfecteerd met een vreemd hardnekkig virus. Ik heb het opgelopen zonder een virusscanner op mijn PC te hebben. Ja, dat is inderdaad wat na�ef van mij, maar ik hecht waarde aan de performance van mijn PC en ik heb nog nooit eerder een hardnekkig virus als deze gehad.

In ieder geval, de symptonen:
Het begon met de melding dat het "Windows Task Host Process" gestopt was met werken. Toen ik het afsloot (Close this process) stopte ook explorer.exe en was geen van de twee meer op te starten via taakbeheer.
Na reboot kwam het probleem telkens terug als ik ingelogd was. Na een paar seconden kwam de melding er te staan dat taskhost.exe gestopt was (het "Windows Task Host Proces) en daarop volgend explorer. Dit bleek te komen door het gebruikte bestand "wininet.dll". Vanaf dat punt kwam mijn vermoeden naar boven dat het echt om een virus ging en niet om iets van een instelling die ik had gedaan.

Mijn volgende stap was om de computer dus op te starten in safe mode met netwerk en zo een aantal virusscanners te installeren. Daar begon vreemd symptoom nummer 2. AVG wilde prima installeren, maar als ik een scan probeerde te runnen, voltooide die zonder een enkel bestand te scannen.
Daarna heb ik Avast geprobeerd, die ook geen hele vreemde bestanden vond.

Gereboot maar weer, in normaal windows en gelijk sprongen er virusmeldingen van AVG en Avast tevoorschijn. De twee meldingen gingen over "Meura.exe" en "kload50.dll" (kan ik op google niks over vinden?). Na AVG zijn werk laten doen was het startprobleem opgelost.

MAAR het was nog niet over. AVG werkte nog steeds niet normaal, dus die heb ik eraf gegooid. Onderhand ook Microsoft Essential Security en AVIRA geinstalleerd en gedraaid. Vreemd genoeg wil geen enkel AV-programma op AVIRA na updaten. Avast breekt gelijk af en MES komt tot aan het zoeken naar updates en geeft dan de foutcode 0x80004004
Ik ben dus bang dat mijn systeem nog steeds ge�nfecteerd is. Heb onderhand Avira en BITdefender rescue disks gerund maar dat heeft niets opgeleverd.

Hieronder heb ik een HijackThis log ingevoegd. Heeft iemand van jullie een idee wat er aan de hand kan zijn?

Gr, Mehee


==================== HIJACK THIS LOG ===================

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:00:20, on 8-11-2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

 

[error53]

Welk virus is het? Enig idee? Wat je zou kunnen doen is proberen om eerst een van de volgende RKILL tools te runnen:

http://www.bleepingcomputer.com/download/anti-virus/rkill

Maakt niet uit welke, als er maar 1 uitgevoerd kan worden. Deze tool stops malware

Dan even Malwarebytes installeren een een scan uitvoeren en als hij wat vindt alles verwijderen. Malwarebytes vind je hier:

http://www.malwarebytes.org/

Dit is slechts een eerste gok, want ik heb geen info over het virus, maar beide tools zijn krachtig en hebben al veel ellende opgelost.

Dan zou je voor je foutmelding nog even deze tips kunnen uitvoeren:

http://answers.microsoft.com/en-us/...ror-code/5cd99258-fe09-477f-bb7f-7c3a6a25909f

 

[mrHenkie]

Scan eens hier mee. Downloaden & openen op een andere pc en daarna mee booten.

 

[Mehee]

@ error53 :
Kan verder helemaal geen info vinden op google over een crashend 'taskhost.exe', het eerste symptoom waarmee dit verhaal begon. Nu dit gestopt is heb ik dus alleen nog maar dat probleem met de AV-software. Dat had dus TSServ ofzo kunnen zijn, maar die heb ik al uitgesloten. Nu heb ik dus echt geen idee meer wat het virus zou kunnen zijn. Ook omdat er niets te vinden is over "Meura.exe" of "kload50.dll" welke door avg wel gedetecteerd en opgeruimd zijn...

Ik zal de genoemde oplossingen eens langsgaan en kijken of ze bijzonderheden te melden hebben.

In ieder geval al ontzettend bedankt voor de hulp tot zover!

 

[Mehee]

Na het draaien van rootkill kreeg ik het volgende report:

Rkill was run on 08-11-2011 at 13:33:58.
Operating System: Windows 7 Professional


Processes terminated by Rkill or while it was running:

C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\net.exe
C:\AVAST Software\Avast\defs\11110700\Sf.bin
C:\Windows\system32\net1.exe

Ik zie er nog niet echt een virus in, maar het komt wel erg verdacht over. Ik geloof dat TrustedInstaller het rechtenbeheer van windows is?
Eerder kwam ik dit proces ook al op een vreemde plaats tegen, toen ik probeerde het proces "winenit.dll" te vervangen met een dll van internet. Ik had het vrijgegeven via het takeown command in cmd, maar moest alsnog toestemming hebben van trustedinstaller.

Moet ik trouwens ook oppassen met mijn internet verbinding en de automatische protectie van avast (staat nu uit, om rootkill te kunnen draaien)?

MBytes is bezig met een full scan, dat duurt nog wel even, ik zal daarna die systemsweeper draaien en tussendoor die error even bekijken.

 

[Mehee]

Scan compleet:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Database version: 8113

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

8-11-2011 16:14:57
mbam-log-2011-11-08 (16-14-57).txt

Scan type: Full scan (C:\|)
Objects scanned: 579725
Time elapsed: 2 hour(s), 20 minute(s), 22 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Files Infected:

c:\Recycle.Bin\489b6ff83f64fc6 (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Heb ook dat probleem met Microsoft Essential Security nog eens doorgekeken, maar het topic gaat over het niet kunnen installeren van MES. Ik heb het al volledig geinstalleerd, dat vind ik vreemd.

 

[mrHenkie]

Nee, dat is een progje dat de laatste virusdefensies download en daarmee een bootable cd mee maakt. Vanaf die cd kan je vervolgens je systeem scannen zonder dat Windows moet opstarten. Succes!

 

[Mehee]

Ja klopt, dat wordt dan de derde bootable virusscanner die ik in mn pc douw. Hij wordt nu gebrand. Ik vroeg me meer af of het effect van rootkill en malwarebytes ook verminderd werden als ik op de achtergrond nog steeds de avast schilden heb aan staan en een internetconnectie heb.

 

[crash]

Hijackthis log verwijderd, Helpmij.nl kijkt deze al jaren niet meer na, hiervoor zijn er gespecialiseerde forums.

 

[Mehee]

Mijn excuses.
Het probleem lijkt in ieder geval opgelost te zijn. Ik heb met systemsweeper nog een Java agent weggegooid (die telkens terug lijkt te komen) en nog wat malware.
Het vreemde gedrag van de virusscanners, het updaten, lag uiteindelijk niet aan het virus maar aan verkeerde instellingen van internet explorer.
Omdat in ieder geval het probleem met taskhost.exe en wininet.dll opgelost is, lijkt dit probleem verleden tijd.

Error53 en MrHenkie, jullie ontzettend bedankt voor de hulp!

Mocht iemand nog iets belangrijks te zeggen hebben over het gevaar van Java agents, of hoe ze opgeruimd moeten worden dan hoor ik dat graag. Anders mag er wel een slotje op dit topic.