Spyware?

[Bongers85]

Geachte heer/dame,

Sinds een week heb ik last van spyware (of een virus). Na vorige week al 1 virus verwijderd te hebben (iets dat zich voordeed als virusscanner: Total Security 2009), is het sinds 2 dagen weer raak. Pop-ups die melden dat er spyware gevonden is en een zogenaamd programma 'PC Antispyware 2010' (hetzelfde principe als Total Security 2009 geloof ik).

Ik heb hele vreemde dingen opgemerkt. De firewall van het Windows beveiligingscentrum krijg ik niet ingeschakeld. Het gehele tabblad blijft grijs (zodat ik er niks in kan aanklikken).

Daarnaast leek het alsof gisteren componenten van mijn AVG scanner (de gratis te verkrijgen versie 8.5) uitgeschakeld werden, de e-mail scanner in dit geval.

Ik heb geprobeerd een logje met Hijack This te maken, maar dat programma start gewoon niet.

Ik hoop dat U mij hiermee kan helpen.

Alvast heel erg bedankt!

Met vriendelijke groet,

Rob

 

[crash]

Welkom op Helpmij.

Laat de volgende twee programma's de pc eens scannen;
http://www.helpmij.nl/forum/showthread.php?t=389661

 

[Bongers85]

MBAM is net klaar. SAS loopt nu. Het MBAM logje alvast (niet alle bestanden konden worden verwijderd):

Malwarebytes' Anti-Malware 1.40
Database versie: 2738
Windows 5.1.2600 Service Pack 2

4-9-2009 15:30:19
mbam-log-2009-09-04 (15-30-19).txt

Scan type: Volledige Scan (C:\|)
Objecten gescand: 140210
Verstreken tijd: 34 minute(s), 55 second(s)

Geheugenprocessen geïnfecteerd: 1
Geheugenmodulen geïnfecteerd: 2
Registersleutels geïnfecteerd: 2
Registerwaarden geïnfecteerd: 2
Registerdata bestanden geïnfecteerd: 3
Mappen geïnfecteerd: 4
Bestanden geïnfecteerd: 23

Geheugenprocessen geïnfecteerd:
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Geheugenmodulen geïnfecteerd:
C:\Program Files\PC_Antispyware2010\AVEngn.dll (Rogue.PC_AntiSpyware2010) -> Delete on reboot.
C:\Program Files\PC_Antispyware2010\pthreadVC2.dll (Rogue.PC_AntiSpyware2010) -> Delete on reboot.

Registersleutels geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pc_antispyware2010 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\PC_AntiSpyware2010 (Rogue.PC_AntiSpyware2010) -> Quarantined and deleted successfully.

Registerwaarden geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> Delete on reboot.

Registerdata bestanden geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Mappen geïnfecteerd:
C:\Program Files\PC_AntiSpyware2010 (Rogue.PC_AntiSpyware2010) -> Delete on reboot.
C:\Program Files\PC_AntiSpyware2010\data (Rogue.PC_AntiSpyware2010) -> Quarantined and deleted successfully.
C:\Program Files\PC_AntiSpyware2010\Microsoft.VC80.CRT (Rogue.PC_AntiSpyware2010) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Menu Start\Programma's\PC_AntiSpyware2010 (Rogue.PC_AntiSpyware2010) -> Quarantined and deleted successfully.

Bestanden geïnfecteerd:
C:\Program Files\PC_Antispyware2010\htmlayout.dll.old (Rogue.AntiVirusPro) -> Delete on reboot.
C:\Program Files\PC_Antispyware2010\Uninstall.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\11268284\11268284.exe.vir (Rogue.SystemSecurity) -> Quarantined and deleted successfully.
C:\Documents and Settings\Rob\Mijn documenten\Downloads\Norton antivirus 2008 15.5.0.23 license 3 years EDGE\keygen_noUPX.exe (Malware.Tool) -> Quarantined and deleted successfully.
C:\Program Files\PC_AntiSpyware2010\AVEngn.dll (Rogue.PC_AntiSpyware2010) -> Delete on reboot.
C:\Program Files\PC_AntiSpyware2010\PC_Antispyware2010.cfg (Rogue.PC_AntiSpyware2010) -> Quarantined and deleted successfully.
C:\Program Files\PC_AntiSpyware2010\PC_Antispyware2010.exe.old (Rogue.PC_AntiSpyware2010) -> Delete on reboot.
C:\Program Files\PC_AntiSpyware2010\pthreadVC2.dll (Rogue.PC_AntiSpyware2010) -> Delete on reboot.
C:\Program Files\PC_AntiSpyware2010\wscui.cpl (Rogue.PC_AntiSpyware2010) -> Quarantined and deleted successfully.
C:\Program Files\PC_AntiSpyware2010\data\daily.cvd (Rogue.PC_AntiSpyware2010) -> Quarantined and deleted successfully.
C:\Program Files\PC_AntiSpyware2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest (Rogue.PC_AntiSpyware2010) -> Quarantined and deleted successfully.
C:\Program Files\PC_AntiSpyware2010\Microsoft.VC80.CRT\msvcm80.dll (Rogue.PC_AntiSpyware2010) -> Quarantined and deleted successfully.
C:\Program Files\PC_AntiSpyware2010\Microsoft.VC80.CRT\msvcp80.dll (Rogue.PC_AntiSpyware2010) -> Quarantined and deleted successfully.
C:\Program Files\PC_AntiSpyware2010\Microsoft.VC80.CRT\msvcr80.dll (Rogue.PC_AntiSpyware2010) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Menu Start\Programma's\PC_AntiSpyware2010\PC_Antispyware2010.lnk (Rogue.PC_AntiSpyware2010) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Menu Start\Programma's\PC_AntiSpyware2010\Uninstall.lnk (Rogue.PC_AntiSpyware2010) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\figaro.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wisdstr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\temp\BN16.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.

 

[crash]

Heb je wel eerst een reboot gedaan, voordat je met SuperantiSpyware ging scannen;

Geheugenmodulen geïnfecteerd:
C:\Program Files\PC_Antispyware2010\AVEngn.dll (Rogue.PC_AntiSpyware2010) -> Delete on reboot.
C:\Program Files\PC_Antispyware2010\pthreadVC2.dll (Rogue.PC_AntiSpyware2010) -> Delete on reboot.

 

[Bongers85]

Ja MBAM vroeg daarom, heb de pc dus opnieuw opgestart. SAS is net afgelopen, die had ook van alles gevonden. Hierna heb ik ook de computer opnieuw opgestart.

Ik weet nu niet of het virus van de pc is. De firewall van het Windows beveiligingscentrum kan ik nog steeds niet inschakelen.

EDIT: Zojuist kreeg ik toch weer een melding van AVG Resident Shield, deze blijft melden dat er bedreigingen gevonden zijn. Niet alle bestanden kunnen hersteld worden.

 

[Bongers85]

Ok probleem is opgelost. Nu heb ik wel af en toe last van iets anders. Bij het laden van een website krijg ik zo nu en dan een pop-up die zegt dat een script van de website niet geladen kan worden omdat er te weinig geheugen is. Weet iemand wat dit betekent en hoe ik dit kan verhelpen? Het gekke is dat ik op mijn harde schijf nog minimaal 30GB vrij heb. Ik krijg ook meldingen dat Windows te weinig virtueel geheugen heeft.

Dit zal wel niet in de juiste thread zijn, dus alvast mijn excuses.

Bij voorbaat dank!

 

[marcvelde]

IK was besmet met PC_antispyware2010 en natuurlijk met de besmetting die erop was gezet, zodat PC_antispyware2010 iets zou vinden.
Een optie was natuurlijk betalen voor PC_antispyware2010 om de door hen geplaatste besmetting te verwijderen.
Deed ik natuurlijk NIET, wat dacht je.

Ik heb wel volgende procedure toegepast. Het was een hele lijdensweg.

Besmetting van PC met Rogue.PC_Antispyware2010-virus
In de systray (systeemvak) verschijnt een symbool en melding dat de PC besmet is met spyware. Het programma PC_Antispyware2010 voert een scan uit en vindt natuurlijk spyware (virus). Om het te verwijderen moet je het programma kopen.
Opstarten in Veilige Modus lukt niet.
Het bureaublad was veranderd in www.google.com.
Bij het aanklikken van een link bij Google zoeken (ook via Bing) wordt je afgeleid naar sites van www.thefeedyard.com en www.globexonline.com .

Voor alle zekerheid werd de functie Systeemherstel uitgezet.
Een scan met Malewarebytes (MBAM) haalt het programma PC_Antispyware2010 eraf.
Een aantal bestanden bleven echter op de PC staan. Het waren besmettingen van het type Trojan.FalseAlert. De bestanden registersleutels hadden de naam Autochk, Chkdisk, protect en nsrbgxud.
MBAM kon een aantal bestanden niet verwijderen. Ze werden pas verwijderd bij terug opstarten.
Na opstarten werden de bestanden terug geïnstalleerd.
Nogmaals een scan uitgevoerd met MBAM. De virusmeldingen overgeschreven.

Een scan met NOD32 gaf C://Osy.exe als besmetting. Dit werd verwijderd.

In Taskmanager (taakbeheer) in tabblad Processen de processen rundll.exe (staat er 2* in) Proces beëindigen.
Geeft wel fouten ivm geheugen, maar doorgaan.
Nu manueel de bestanden en registersleutels verwijderd.
Nu word je niet meer in Google afgeleid naar de infectiesites.
Na opstarten wordt de spyware niet meer terug geïnstalleerd.

Een mogelijkheid, nadien beschouwd, zou ook geweest zijn om de processen rundll.exe te beëindigen en daarna MBAM zijn werk laten doen.Maar dit werd niet uitgetest.

Bij het opstarten kreeg ik het volgende tussenscherm:

\systemroot\windows\system32\autochk.exe program not found skipping autocheck
Opgelost door volgende actie:
In het register in het pad HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager volgende tekenwaarde aangebracht: BootExecute (New  Tekenreekswaarde).
Typ als waarde autocheck autochk * (Wijzigen en Enter)
In MSCONFIG staat bij tabblad Opstarten de waarde PC_Antispyware2010 nog vermeld. Deze kan verwijderd worden door in het register in het pad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg de sleutel PC_SPYWARE2010 met al de Waarden te verwijderen.
Bij het opstarten in Veilige Modus , Veilige Modus met Netwerkverbinding of Veilige Modus, met Autoprompt gaat de PC over in een BSOD (blauw scherm) met volgende foutcode: STOP: 0x0000007B (0xF7AC6528, 0xC0000034, 0x00000000, 0x00000000).
Als je het register bekijkt dan staat in het pad HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Safeboot voor de Sleutels Minimal en Netwerk geen Waarden.
Door een regfile te installeren , gevonden en gedownload op, http://www.didierstevens.com/files/data/SafeBoot.zip, is het probleem opgelost.

Problemen opgelost, zo schijnt het.


Ik hoop dat iemand er iets aan heeft.

Marcvelde

 

[thechib12]

`Wat bij mij veel heeft geholpen bij zon probleem is

Combofix,
gratis programmatje, super handig!