Trojan horse gedetecteerd, hoe ermee omgaan ?

[ceetn]

Dag allen , ik zit met het volgende probleem.

Als antivirus heb ik op mijn laptop AVG 9.0.829 (free version) staan, deze geeft me de melding ' multiple threat detection ' : Trojan Horse Downloader.Generic9.CCKK.

Als ik deze threat tracht te verwijderen, krijg ik de melding ' Forced removal can cause system instability or even crash '.

Kan ik dit oplossen en wat is de ernst van dit virus ?

( Ik ben een complete leek op vlak van virusbestrijding )

Hartelijk bedankt voor alle input / feedback !

Cedric

13 juni 2010 aangepast door ceetn

[superjona]

Een Generic9 Virus laat toe aan servers/derden om (nog) meer malware op je PC te zetten. Als je deze stappen volgt, zou je er normaal gezien van af moeten zijn. (Update vooral éérst je virusscanner.)

Gebruik CCleaner om je tijdelijke internet files te verwijderen. Dit is vooral belangrijk omdat je nog altijd dit virus kan bekomen als de tijdelijke file nog op je computer staat.

Herstart je computer in veilige modus. Kies opnieuw opstarten, en voor de computer windows start moet je geregeld op F8 drukken. Kies voor veilige modus.

Laat je anti-virus scanner scannen, en wanneer hij deze Generic9 terug vindt, mag je deze in quarantaine plaatsen of zelfs verwijderen. Laat de scan aflopen.

Herstart de computer opnieuw, ditmaal in gewone modus. Laat AVG nog een keer lopen om zeker te zijn dat je van de Generic9 af bent.

Dit kan je voor de totale zekerheid ook nog doen :

//

Download MBAM (Malwarebytes Anti-Malware)

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".

Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.

Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.

Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.

Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder).

Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook.

MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen.

Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

//

Als je wil kan je deze log, samen met een HijackThis logje, plakken in een volgend bericht; zodat één van onze experts dit kunnen bekijken voor eventueel andere bedreigingen.

13 juni 2010 aangepast door superjona

[ceetn]

Bedankt voor het snelle antwoord,

Ik zal de opgegeven stappen volgen!

[kape]

Begin eens eerst met dit (wacht even met die CCleaner) :

Download HiJackThis

Dubbelklik op HJTInstall.exe

Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst.

HijackThis zal openen na het installeren.

Klik op "Do a systemscan and save a logfile".

Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets.

N.B. : gebruikers van Windows Vista en Windows 7 zullen eerst moeten rechtsklikken op HijackThis.exe en dan kiezen voor "Run as Administrator".

En dan mag je de Malwarebytes uitvoeren zoals door Superjona beschreven. Hang dan beide logjes (HijackThis & Malwarebytes) aan je volgende bericht.

[ceetn]

Ik had de procedure met Ccleaner al uitgevoerd voor ik je bericht zag kape.

Na die Ccleaner heb ik de pc opgestart in veilige modus en AVG laten runnen. De infecties werden in de virusvault geplaatst, die ik vervolgens heb verwijderd.

Dan opnieuw opgestart en nogmaals de virusscanner laten scannen, hij gaf aan dat er geen virussen meer aanwezig waren. 15 min later kreeg ik echter opnieuw een infectiemelding.

Ik heb dan MBAM laten runnen, zoals Jona had aangeven.

Het MBAM logje + Hijackthislogje zijn aanwezig in bijlage.

Ik heb AVG nu nogmaals laten scannen,hij pikt geen infecties op.

Bedankt!

hijackthis.log

mbam-log-2009-08-10 (16-38-12).txt

[kape]

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuz1.dll

O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuz1.dll

O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuz1.dll

O4 - HKLM\..\RunOnce: [NSSInstallation] C:\Program Files\Vuze\nssstub.exe /runonce

O4 - HKCU\..\Run: [Halo2] rundll32.exe C:\Windows\system32\sshnas21.dll,GetMainWnd

Klik op 'Fix checked' om de items te verwijderen.

Laat dan Malwarebytes opnieuw scannen en hang beide logjes in je volgende bericht.

[ceetn]

-Nieuwe MBAM log, geen infecties gevonden.

-Nieuw Hijackthislog,

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

deze konden niet verwijderd worden.

hijackthis2.log

mbam-log-2010-06-14 (13-57-22).txt

[kape]

Die 2 lijntjes zijn "schoonheidsfoutjes". Indien die terugkeren in je log is er geen probleem. Hebben geen negatieve invloed op werking PC.

Laat nu AVG eens opnieuw scannen. Benieuwd wat die nog te vertellen heeft ?

[ceetn]

AVG laten scannen, geen infecties opgepikt .

Kan ik de opgelost knop aanvinken ?

[kape]

Eerst nog wat restjes van de besmetting opruimen :

Download hier CCleaner en dan start de download van CCleaner automatisch en gratis op.

Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af.

Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Configuratiescherm -> Systeem en Onderhoud -> Systeem -> tabblad "Systeembeveiliging" -> vinkje weghalen bij de schijf waarvan je de herstelpunten wil verwijderen -> klikken op "toepassen".

Dan krijg je de schermmelding “Weet u zeker dat u systeemherstel wil uitschakelen”. Klik hier op “Systeemherstel uitschakelen”. Dan zijn alle herstelpunten verwijderd op de aangeduide schijf.

Zet daarna opnieuw een vinkje bij de harde schijf. Maak meteen ook een nieuw herstelpunt, zodat je niet hoeft te wachten op een automatisch herstelpunt van het systeem.

That's it !

En dan mag je op "opgelost" drukken !!!