Trojaans paard verwijderen

[Javer]

Beste kape,

Bestand C:\WINDOWS\system32\svchost.exe (684) is onvindbaar.

Scannen met Jotti C:\WINDOWS\system32\svchost.exe levert niets op.

Scannen met AVG (met vrijwel alle opties aangevinkt) C:\WINDOWS\system32\svchost.exe levert niets op.

Scannen met AVG (met vrijwel alle opties aangevinkt) C:\WINDOWS\system32 levert niets op.

Scannen met AVG (met vrijwel alle opties aangevinkt) C:\WINDOWS levert niets op.

Scannen met AVG (met vrijwel alle opties aangevinkt) C: levert niets op.

Scannen met AVG hele computer geeft 5 (10) Trojaanse paarden.

Scannen met Jotti C:\WINDOWS\explorer.exe levert niets op.

[kape]

Kijk ... die resultaten bevallen me niet echt. De tegenstelling tussen AVG en de andere scanners is onverklaarbaar en de permanente vondst van AVG wordt daardoor niet bevestigd. De versie van AVG die je nu hebt, is dat een gratis versie ? Zo ja, verwijder deze bestaande versie eens volledig via de Removal Tool van AVG en download een nieuwe versie van AVG. En dan maar weer scannen om te achterhalen of ook deze nieuwe versie dezelfde fouten blijft vinden ?

[Javer]

Beste kape,

Vooraf even het volgende:

1. ING-bank heeft vorige week, vóór mijn kontakt met pc helpforum, mijn TAN codes geblokkeerd omdat er een ernstige infectie in mijn computer zou zitten die waarschijnlijk niet zonder deskundigen verwijderd zou kunnen worden.

2. Emsisoft heeft een Trojan ontdekt die zij niet konden verwijderen en waarbij zij naar de deskundigen van hun support forum verwezen.

3. De (gratis) AVG versie zit al zo'n 14 maanden op mijn computer en er is regelmatig een update.

Denk je dat ik toch de huidige AVG versie moet verwijderen?

EMSISOFT:

PhysicalDrive0 Ontdekt: Trojan.DOS.Sinowal!E2

\\.\PhysicalDrive0 - Rootkits worden niet automatisch verwijderd. Raadpleeg aub de experts op het Emsisoft forum voor hulp bij het handmatig verwijderen van deze malware: Emsisoft Support Forum

[kape]

Het klopt dat die Trojan.DOS.Sinowal (vermoedelijk) de besmetting was waardoor de bank je verbinding heeft geblokkeerd. En, het klopt dat Emsisoft daar melding heeft van gemaakt. Maar ... met TDSS Killer is deze Trojan eerder al in quarantaine gezet. En dat is nu net de oplossing die ze ook op het Emsisoft Support Forum voor dergelijk probleem aanbevelen.

Laat TDSS Killer dan nu nog eens opnieuw scannen.

[Javer]

Beste Kape,

Super! Ik denk dat we nu een 100% score hebben.

TDSS Killer laten scannen en de bedreigingen in quarantaine laten zetten ("copy..."???)

Geen nieuwe opstart vereist.

Nogmaals TDSS laten scannen en nog steeds bedreigingen gevonden! Gekozen voor "cure".

TDSS verlangde een nieuwe opstart.

Na opstart opnieuw een TDSS scan gemaakt en die vond geen bedreigingen meer.

Daarna een AVG scan gemaakt van hele computer. Geen bedreigingen meer gevonden! (voor de eerste keer na ca. 20 scans met AVG tussen vrijdag 13.07.12 en woensdag 18.07.12)!

Wat denk je, kunnen we gerust zijn?

[kape]

Ben er behoorlijk zeker van dat je probleem nu opgelost is. Tijd om gebruikte programma's en tools te verwijderen.

Manueel mag je TDSS Killer, Emsisoft, HijackThis, Dr.Web (indien nog aanwezig) en AdwCleaner weghalen van de PC.

Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht en typ: ComboFix /Uninstall

Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt.

Indien aanwezig mag je de map C:\Qoobox manueel verwijderen.

Download CCleaner.

Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op.

Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af.

Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten). In XP doe je dit via Start -> Configuratiescherm -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen.

Indien dit probleemloos is verlopen, mag je hieronder op "markeer als opgelost" tokkelen !

18 juli 2012 aangepast door kape

[Javer]

Beste kape,

Geweldig! Alle verwijder-instructies uitgevoerd. Uninstall van Combofix ontvindbaar maar van bureaublad deleted. Met CCleaner vier scans gedaan. Alles hersteld. Als slot nog een AVG scan gemaakt. Geen bedreigingen meer gevonden.

Geweldig bedankt voor de geduldige hulp.

[kape]

Heb je bij die Uninstall van Combofix rekening gehouden met de spatie vóór de slash in Combofix /Uninstall ? Die wordt wel eens over het hoofd gezien en dan werkt de opdracht niet. Indien correct ingevoerd in het zoekvak, zou je zo de volledige Combofix (en niet alleen de snelkoppeling op het bureaublad) moeten kunnen verwijderen. Werkt dit niet dan kan je ook de map Combofix op de C-partitie manueel verwijderen.