DNS & ARP Cache Poisoning Eset Virus Scanner

[Rub]

Beste Leden,

Ik krijg regelmatig de melding van mijn Eset Virus Scanner dat er een DNS Cache Poisoning of ARP Cache Poisoning heeft plaatsgevonden.

Nu heb ik natuurlijk zelf al rond gezocht op internet en vaak blijkt het een false positive melding te zijn van Eset.

Ik heb mijn systeem helemaal gescand en geen infecties gevonden.

Maar over deze melding ben ik toch een beetje onzeker, is er een manier om uit te sluiten dat Eset een false positive melding geeft ?

Daarbij komt dat de zelfde virus scanner van Eset die ik op andere systemen heb geinstalleerd ook deze melding geven. Deze systemen hangen niet in het zelfde netwerk.

Ik hoop dat iemand mij kan helpen.

Mvg, Rub

[kape]

We zullen eerst eens nagaan of malware of virussen de oorzaak zijn van je probleem.

1. Download HijackThis. (klik er op)

Klik op HijackThis.msi en de download start automatisch na 5 seconden.

Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren".

Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst.

Als je geen netwerkverbinding meer hebt, kan je de download doen met een andere pc en het bestand met een usb stick overbrengen

Als je enkel nog in veilige modus kan werken, moet je de executable (HijackThis.exe) downloaden.

Sla deze op in een nieuwe map op de C schijf (bvb C:\hijackthis) en start hijackthis dan vanaf deze map.

De logjes kan je dan ook in die map terugvinden.

---

2. Klik op de snelkoppeling om HijackThis te starten. (lees eerst de rode tekst hieronder!)

Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog".

Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets.

Krijg je een melding ""For some reason your system denied writing to the Host file ....", klik dan gewoon door op de OK-toets.

Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis. (Bekijk hier de afbeelding ---> Klik hier)

---

3. Na het plaatsen van je logje wordt dit door een expert (Kape of Kweezie Wabbit) nagekeken en begeleidt hij jou verder door het ganse proces.

Tip!

Wil je in woord en beeld weten hoe je een logje met HijackThis maakt en plaatst op het forum, klik dan HIER.

[Rub]

Beste Kape ,

Ik heb gisteren ook al een hijack logje geplaats ivm het virus : security shield .

Na een fix, was mijn logje 'schoon bevonden'.

Ook Mbam heeft nix gevonden, evenals hitman pro.

Of heb ik met deze schone logjes al bewijs genog dat de meldingen false positive zijn ?

Rub

[kape]

Ik heb gisteren ook al een hijack logje geplaats ivm het virus : security shield .

Na een fix, was mijn logje 'schoon bevonden'. Ook Mbam heeft nix gevonden, evenals hitman pro. Of heb ik met deze schone logjes al bewijs genog dat de meldingen false positive zijn ?

Dat lijkt me al redelijk overtuigend te zijn, ja. Maar we kunnen er nog eens een alternatieve scanner op loslaten :

Download de Emsisoft Emergency Kit naar het bureaublad en pak het ZIP bestand uit.

• Open de map "EmsisoftEmergencyKit" en dubbelklik op "Start.exe"
  
• Klik nu op "Emergency Kit Scanner" u krijg nu een melding dat het is aanbevolen om eerst te updaten sta dit toe door te klikken op "Ja"
  
  
• Als de update gereed is en de melding "Update process is succesvol afgerond" verschijnt klikt u op "menu" en dan op "Scan PC"
  
• Selecteer de optie "Diep" als deze niet standaard al zo is ingesteld.
  
• Klik Nu op de knop "Scan" en doe verder niets op de computer tijdens het scannen, deze scan kan een geruime tijd in beslag nemen dus wacht dit geduldig af.
  
• Het venster met de waarschuwing over een verhoogd risico kunt u sluiten als de scan gereed is.
  
• Zorg ervoor dat alle gevonden items zijn aangevinkt en druk dan op de knop "verwijder geselecteerde" u zal nu de volgende melding krijgen maar klik hier op "Ja"
  
  
• Als het verwijderen gereed is klikt u op de knop "View report" en selecteert u het tekstbestand van deze scan met de naam zoals: a2scan_110730-111615.txt
  
• Plaats de inhoud van dit LOG bestand straks in uw volgende bericht.
  
• Herstart nu de computer.
  

[Rub]

dit is de inhoud van de log :

Emsisoft Emergency Kit - Versie 2.0

Laatste Update: 12-7-2012 19:56:10

Scaninstellingen:

Scantype: Diepe scan

Objecten: Rootkits, Geheugen, Sporen, C:\, D:\, E:\, F:\

Scan archieven: Aan

ADS Scan: Aan

Scan gestart: 12-7-2012 19:56:30

Gescand 670611

Gevonden 0

Scan geëindigd: 12-7-2012 20:09:56

Scantijd: 0:13:26

[kape]

Dat is een heel duidelijk antwoord ... geen spoor van een besmetting ;-)

[Rub]

Oke dat dacht ook al, maar nu weet ik het zeker.

Bedankt voor je hulp.

Grt. Rub

[kape]

Emsisoft Emergency Kit mag je nu uiteraard van de PC verwijderen ... en dan kan hier een "slotje" op