antimalware doctor aflevering 2

[kape]

Het bestand okjw.tmp waarin de besmetting van svchost gevonden werd, staat niet meer bij de TEMP-bestanden. Wil dat zeggen dat Kaspersky hem ook niet meer detecteert ?

[marky marc]

Op jou vraag heb ik geprobeerd om de map c:\windows\temp leeg te maken. Dit ging niet volledig omdat sommige programma's in gebruik waren. Deze programma's heb ik in mijn vorige mail willen tonen. De file okjw.tmp was maar een voorbeeld van wat mcafee om de 10 minuten onderschept en wat overblijft is een lege map die in window\temp opgeslagen wordt (zie bijlage). De naam van de .tmp veranderd constant , het is niet dat telkens okjw.tmp wordt onderschept. Kaspersky vind geen bedreigingen op mijn pc.

11 juni 2010 aangepast door marky marc

[kape]

Dat zijn dus telkens ad random-benamingen van een .tmp-bestand. Vraag blijft wat deze bestanden genereert.

Download Dr.Web CureIt en sla het op je bureaublad op.

[*]Dubbelklik drweb-cureit.exe en sta het toe om te express scan te starten.

Indien er een popup verschijnt met het voorstel tot kopen/50% korting mag je deze sluiten.

[*]De express scan zal de bestanden scannen die momenteel in het geheugen geladen zijn. Wanneer er iets gevonden wordt klik op 'alles selecteren' kies nu voor 'repareren' en uit het kleine menutje dat verschijnt kies je 'verplaatsen'.

[*]Kies bovenaan in het menu voor Language/Taal en wijzig deze naar Dutch (Nederlands) indien deze bij jou anders staat ingesteld.

[*]Druk op F9, kies daarna voor het tabblad Acties en stel daar het volgende in onder Malware:

• Adware: Verplaats
  
• Dialers: Verplaats
  
• Jokes: Rapportage
  
• Riskware: Rapportage
  
• Hacktools: Verplaats
  
• Haal dan het vinkje weg bij 'Prompt bij actie'.
  

[*]Kies daarna voor het tabblad Scan en verwijder het vinkje bij Heuristische analyse.

[marky marc]

Dr Web heeft 2 dingen gevonden na snelle analyse.

Wat moet ik doen nadat ik alles uitgevoerdheb na F9, nog eens een analyse of afsluiten ??

"Druk op F9, kies daarna voor het tabblad Acties en stel daar het volgende in onder Malware:

• Adware: Verplaats
  
• Dialers: Verplaats
  
• Jokes: Rapportage
  
• Riskware: Rapportage
  
• Hacktools: Verplaats
  
• Haal dan het vinkje weg bij 'Prompt bij actie'.
  

[*]Kies daarna voor het tabblad Scan en verwijder het vinkje bij Heuristische analyse. "

En dan scannen ??

11 juni 2010 aangepast door marky marc

[kape]

Oeps ... niet de volledige handleiding geplakt in vorig bericht ...

Download Dr.Web CureIt en sla het op je bureaublad op.

• Dubbelklik drweb-cureit.exe en sta het toe om te express scan te starten.
  Indien er een popup verschijnt met het voorstel tot kopen/50% korting mag je deze sluiten.
  
• De express scan zal de bestanden scannen die momenteel in het geheugen geladen zijn. Wanneer er iets gevonden wordt klik op 'alles selecteren' kies nu voor 'repareren' en uit het kleine menutje dat verschijnt kies je 'verplaatsen'.
  
• Kies bovenaan in het menu voor Language/Taal en wijzig deze naar Dutch (Nederlands) indien deze bij jou anders staat ingesteld.
  
• Druk op F9, kies daarna voor het tabblad Acties en stel daar het volgende in onder Malware:
  
  • 
    
  • Adware: Verplaats
    
  • Dialers: Verplaats
    
  • Jokes: Rapportage
    
  • Riskware: Rapportage
    
  • Hacktools: Verplaats
    
  • Haal dan het vinkje weg bij 'Prompt bij actie'.
    

  [*]Kies daarna voor het tabblad Scan en verwijder het vinkje bij Heuristische analyse.

  Druk vervolgens op Toepassen gevolgd door OK.

  [*]Eenmaal als de korte scan is beëindigd vink je aan: Volledige scan.

  Druk daarna op het groene pijltje (start knop) om de scan te starten.

  [*]Gevonden bestanden worden naar '%USERPROFILE%\DocterWeb\Quarantine' -map verplaatst indien het herstellen niet mogelijk is.

  [*]Nadat de scan gedaan is ga dan naar Bestand en kies Rapportage lijst opslaan.

  Bewaar deze op je bureaublad en sluit daarna Dr.Web CureIt.

  [*]Herstart vervolgens de computer!! Dit is een belangrijke stap want het kan zijn dat Dr.Web CureIt bestanden zal verplaatsen/verwijderen tijdens herstart.

  [*]Na het herstarten, kopieer en plak de inhoud van die log die je eerder hebt bewaard in je volgende post.

[marky marc]

pc wilde in eerste instantie niet heropstarten. Problemen nog niet van de baan. Krijg nog altijd pop ups. zie logje ook.

Proces in geheugen: C:\WINDOWS\System32\svchost.exe:1060;;BackDoor.Tdss.565;Uitgeroeid.;

crack.exe;C:\Documents and Settings\Marc\Mijn documenten\Mijn muziek\My Playlists\vlc-player\VLC media player-0.8.6c + 25 Skins;Trojan.PWS.Banker.26884;Verwijderd.;

12 juni 2010 aangepast door marky marc

[kape]

Kan je de quarantaine van McAfee leegmaken ? Wil je dat dan eens eerst doen ?

[marky marc]

Dr web nog eens laten scannen met de quarantaine leeggemaakt.

Proces in geheugen: C:\WINDOWS\System32\svchost.exe:1132;;BackDoor.Tdss.565;Uitgeroeid.;

7da6cb512bb0.bup\stream000;C:\Documents and Settings\All Users\Application Data\McAfee\VirusScan\Quarantine\7da6cb512bb0.bup;Trojan.DownLoader1.11282;;

7da6cb512bb0.bup;C:\Documents and Settings\All Users\Application Data\McAfee\VirusScan\Quarantine;Container contains infected objects;Verplaatst.;

selecteren kan ik niet aanduiden zie img

.

12 juni 2010 aangepast door marky marc

[kape]

Download deze trialversie en laat deze scannen.

[marky marc]

vipre kan het probleem ook niet oplossen. Heeft nog wel een paar cookies gevonden maar niet de artemis starter.