Opgelost Trojan:Win64/SvcMiner.A

Dit topic is als opgelost gemarkeerd
Status
Niet open voor verdere reacties.
jeroen199

jeroen199

Gebruiker
Lid geworden
26 feb 2012
Berichten
184
Hallo mensen,

Ik ben weer een te graze genomen door een torrent, en dat heeft me een Trojan:Win64/SvcMiner.A opgeleverd. Ik wil die graag van mijn computer (zie handtekening) afkrijgen. Ik heb Windows Defender op windows 8.1. Die detecteerd het. (Zie afbeelding) Maar Malware-bites ziet hem niet.

Ik het bet volgende al geprobeerd te verwijderen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msmpeng.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msseces.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = "%AppData%\<random>.exe"

Maar die stonden er allemaal niet in. Alle software war het van is ook al verwijderd.
Ik verwijder elke keer de virus in Defender, maar komt elke dag bij de 1e boot weer terug. Als ik ze laat staan komt er weer 1 bij.

Wie weet hoe ik deze grote vriend er vanaf kan halen?

MVG Jeroen

SS.jpg
 
Hoi,

Al eens gescand met adwcleaner of superantispyware.
Lees even het stukje in onze nieuwsbrief zodat je niet de verkeerde adwcleaner gebruikt.
http://nieuwsbrief.helpmij.nl/#Art1
 
Start
51a612a8b27e2-Zoek.png
Zoek.exe met onderstaand script.


Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe
(hier of hier) kan je lezen hoe je dat doet.

  • Dubbelklik op Zoek.exe om de tool te starten.
  • Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
  • Kopieer nu onderstaande code en plak die in het grote invulvenster:
  • danger.png
    Dit script is speciaal bedoeld voor deze computer, gebruik dit dan ook niet op andere computers met een gelijkaardig probleem.
    Code: 
    standardsearch;
process;
startupall;
torpigcheck;
emptyfolderscheck;delete
firefoxlook;
chromelook;
skipfix-iedefaults;
filescrm;
  • Klik nu op de knop "Run script".
  • Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
  • Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog.
  • Post het geopende logje in het volgende bericht als bijlage.

Zoek.exe logbestand plaatsen
  • Voeg het logbestand met de naam "Zoek-results.log" als bijlage toe aan het volgende bericht. (Dit logbestand kunt u tevens terug vinden op de systeemschijf als C:\Zoek-results.log.)
  • Hoe u een bijlage kunt toevoegen aan het bericht leest u hier.

______________________________________________________________________________________________

Download
527a67c827eda-FRST.jpg
Farbar Recovery Scan Tool naar je Bureaublad van de onderstaande link.
Farbar Recovery Scan Tool 32 bit of Farbar Recovery Scan Tool 64 bit (x64)

Hier staat een beschrijving hoe je kunt kijken of je een 32 of 64 bit versie van Windows hebt.

  • Dubbelklik op FRST.exe om de tool te starten.
  • Als het programma is geopend klik Yes (Ja) bij de disclaimer.
  • Vink bij Whitelist Registry, Services, Drivers, Processes & Internet niets uit.
  • Vink bij Optional Scan ook List BCD, Drivers MD5 & Addition.txt aan.
  • Druk op de Scan knop.
  • Er worden twee logbestanden aangemaakt worden (FRST.txt)+ (Addition.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
  • Voeg deze logbestanden toe in je volgende bericht.
 
Laatst bewerkt:
Het lijkt er op dat jou computer besmet is met een RAT/Miner, grootte kans dat de persoon die hier achter zit toegang heeft tot jouw: Wachtwoorden, webcam, screen share, keylogs, en nog veel meer.

Zo te zien heeft de dader meerdere malen een nieuwe versie van zijn "Server" (RAT/miner) op jouw computer geïnstalleerd.
Waarom doet hij dit? Antivirus database wordt telkens geupdate.. dus zijn RAT moet ook ondetectbaar blijven zodat jouw antivirus hem niet vindt.

Na aanleiding van de screenshot kan ik uitsluiten dat hij hier geen succes in had.

Kan hier nog een paar pagina's over door schrijven maar misschien is het beter om met een oplossing te komen:

Ik raad aan de computer te scannen met:

Malwarebytes
Superantispyaware (optioneel)

Als ik het goed heb draai je WIN8/8.1 als ik de screen shot bekijk.

Open je task manager en ga naar het tabblad (Opstarten)
Waarom?

Kijk of hier er dingen met windows mee starten die er niet horen!

Google even de namen die er tussen staan om te kijken of ze veilig zijn.

Succes!
 
Start
51a612a8b27e2-Zoek.png
Zoek.exe met onderstaand script.


Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe
(hier of hier) kan je lezen hoe je dat doet.

  • Dubbelklik op Zoek.exe om de tool te starten.
  • Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
  • Kopieer nu onderstaande code en plak die in het grote invulvenster:
  • danger.png
    Dit script is speciaal bedoeld voor deze computer, gebruik dit dan ook niet op andere computers met een gelijkaardig probleem.
    Code: 
    autoclean;
emptyfolderscheck;delete
skipfix-iedefaults;
iedefaults;
chromelook;
CHRdefaults;
firefoxlook;
FFdefaults;
resetIEproxy;
emptyclsid;
emptyalltemp;
  • Klik nu op de knop "Run script".
  • Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
  • Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog.
  • Post het geopende logje in het volgende bericht als bijlage.


Open Kladblok. Klik op Start -> Alle Programma's -> Bureau-Accessoires -> Kladblok.
Kopieer onderstaande code:
CloseProcesses:
EmptyTemp:
AlternateDataStreams: C:\Users\Gebruiker\SkyDrive:ms-properties
S3 cpuz138; \??\C:\Users\GEBRUI~1\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X]

Ga naar Bestand - Opslaan als.
Bij "Opslaan in" kies je: C:\Users\Gebruiker\Downloads
Bij "Bestandsnaam" zet je:fixlist.txt.
Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).

Start FRST.exe op & typ: C:\Users\Gebruiker\Downloads in het witte vak & klik op Fix.
(Belangrijk is dat FRST.exe & fixlist.txt in dezelfde map staan)
Er zal een log verschijnen. Plaats deze in je reactie.
 
Laatst bewerkt:
En? nog problemen?
 
Gek genoeg geen meldingen meer! :D Wil je anders nog even op teamviewer kijken voor de zekerheid?
 
Zowel dit logje als alle voorgaande zien er foutloos uit en indien er geen klachten meer zijn met de pc zou ik concluderen dat deze malware-vrij is.
Je kan onderstaande tool gebruiken om alle gebruikte programma's en logbestanden opnieuw van je computer te verwijderen.

Download
51a5ce45263de-delfix.png
Delfix by Xplode naar het bureaublad, deze zal de gebruikte tools en logbestanden weer verwijderen.

Dubbelklik op Delfix.exe om de tool te starten.
Zet nu vinkjes voor de volgende items:

  • Remove disinfection tools
  • Create registry backup
  • Purge System Restore
Klik nu op "Run" en wacht geduldig tot de tool gereed is.
Wanneer de tool gereed is wordt er een logbestand aangemaakt, echter hoeft u deze niet te plaatsen.

52eb9fd5cebc8-Delfix.jpg


Mochten er nog vragen of onduidelijkheden zijn, vraag gerust! :)
 
Laatst bewerkt:
Hetzelfde probleem

Hallo allemaal,

Ik heb sinds een tijdje hetzelfde probleem en hoop dat een vergelijkbare oplossing ook voor mij bruikbaar is. Ik heb zoek.exe al gerund, waarvan de resultaten in de bijlage.
Bovendien vraag ik me af of dit bestand de reden zou kunnen zijn dat mijn internet browsers erg langzaam zijn terwijl mijn internetverbinding prima is?

Bij voorbaat dank!

Gr. Roel
 

Bijlagen

Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan