WIN32 Trojan Downloader mebload.ar

[kape]

Je mag dit manueel nog verwijderen :

C:\found.002

c:\windows\F896D02690164122B9BD957FF092FFE9.TMP

C:\found.001

en dan dit nog even uitvoeren :

Download de Emsisoft Emergency Kit naar het bureaublad en pak het ZIP bestand uit.

• Open de map "EmsisoftEmergencyKit" en dubbelklik op "Start.exe"
  
• Klik nu op "Emergency Kit Scanner" u krijg nu een melding dat het is aanbevolen om eerst te updaten sta dit toe door te klikken op "Ja"
  
  
• Als de update gereed is en de melding "Update process is succesvol afgerond" verschijnt klikt u op "menu" en dan op "Scan PC"
  
• Selecteer de optie "Diep" als deze niet standaard al zo is ingesteld.
  
• Klik Nu op de knop "Scan" en doe verder niets op de computer tijdens het scannen, deze scan kan een geruime tijd in beslag nemen dus wacht dit geduldig af.
  
• Het venster met de waarschuwing over een verhoogd risico kunt u sluiten als de scan gereed is.
  
• Zorg ervoor dat alle gevonden items zijn aangevinkt en druk dan op de knop "verwijder geselecteerde" u zal nu de volgende melding krijgen maar klik hier op "Ja"
  
  
• Als het verwijderen gereed is klikt u op de knop "View report" en selecteert u het tekstbestand van deze scan met de naam zoals: a2scan_110730-111615.txt
  
• Plaats de inhoud van dit LOG bestand straks in uw volgende bericht.
  
• Herstart nu de computer.
  

[Mark Baerveldt]

Hoi Kape,

Ik heb de 3 bestanden manueel verwijderd en mijn prullenbak geleegd. Ik heb found 001 en 002 verwijderd, maar ik heb ook found 000 op mijn computer staan moet deze niet verwijderd worden ?

Bijgaand ook logbestand van de emergency kit scanner

Emsisoft Emergency Kit - Versie 2.0

Laatste Update: 13-8-2012 16:28:23

Scaninstellingen:

Scantype: Diepe scan

Objecten: Rootkits, Geheugen, Sporen, C:\, D:\

Scan archieven: Aan

ADS Scan: Aan

Scan gestart: 13-8-2012 16:29:05

Key: hkey_current_user\software\imesh Ontdekt: Trace.Registry.imesh!E1

Value: hkey_current_user\software\imesh --> lastopenfiledir Ontdekt: Trace.Registry.imesh!E1

Gescand 599529

Gevonden 2

Scan geëindigd: 13-8-2012 17:58:03

Scantijd: 1:28:58

Key: hkey_current_user\software\imesh Verwijderd Trace.Registry.imesh!E1

Value: hkey_current_user\software\imesh --> lastopenfiledir Verwijderd Trace.Registry.imesh!E1

Verwijderd 2

[kape]

Die C:\found.000 mag ook nog verwijderd worden. En laat dan ESET maar opnieuw scannen ter controle.

[Mark Baerveldt]

Hoi Kape,

Bestand Found000 verwijderd, Tevens Eset scan als beheerder gedaan. Zie bijgevoegd logbestand.

Logboek wordt gescand

Versie van database viruskenmerken: 7381 (20120813)

Datum: 13-8-2012 Tijd: 19:17:54

Gescande schijven, mappen en bestanden: Werkgeheugen;Opstartsector;C:\Opstartsector;C:\;D:\Opstartsector;D:\

C:\hiberfil.sys - fout tijdens openen [4]

C:\pagefile.sys - fout tijdens openen [4]

C:\Boot\BCD - fout tijdens openen [4]

C:\Boot\BCD.LOG - fout tijdens openen [4]

C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\EnterWW.cab = CAB = PROCESS_LIBRARY.FDT = MIME - is OK (geen interne scan uitgevoerd)

C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\EnterWW.cab = CAB = HIRING_REQUISITION_CUSTOMIZED.FDT = MIME - is OK (geen interne scan uitgevoerd)

C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\EnterWW.cab = CAB = HIRING_REQUISITION.FDT = MIME - is OK (geen interne scan uitgevoerd)

C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\EnterWW.cab = CAB = TRACK_ISSUES.FDT = MIME - is OK (geen interne scan uitgevoerd)

C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\EnterWW.cab = CAB = POLICIES.FDT = MIME - is OK (geen interne scan uitgevoerd)

C:\Program Files\Enigma Software Group\SpyHunter\SHDS.mht = MIME - is OK (geen interne scan uitgevoerd)

C:\Program Files (x86)\Common Files\Wise Installation Wizard\WISF896D02690164122B9BD957FF092FFE9_4_9_12_4023.MSI = MSI = Cabs.w1.cab = CAB = SHDS.mht = MIME - is OK (geen interne scan uitgevoerd)

C:\Program Files (x86)\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\Hiring Requisition - Customized.fdt = MIME - is OK (geen interne scan uitgevoerd)

C:\Program Files (x86)\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\Hiring Requisition.fdt = MIME - is OK (geen interne scan uitgevoerd)

C:\Program Files (x86)\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\POLICIES.FDT = MIME - is OK (geen interne scan uitgevoerd)

C:\Program Files (x86)\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\Process Library.fdt = MIME - is OK (geen interne scan uitgevoerd)

C:\Program Files (x86)\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\Track Issues.fdt = MIME - is OK (geen interne scan uitgevoerd)

C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS.log - fout tijdens openen [4]

C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb - fout tijdens openen [4]

C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb - fout tijdens openen [4]

C:\ProgramData\Microsoft\Windows Defender\IMpService925A3ACA-C353-458A-AC8D-A7E5EB378092.lock - fout tijdens openen [4]

C:\System Volume Information\Syscache.hve - fout tijdens openen [4]

C:\System Volume Information\Syscache.hve.LOG1 - fout tijdens openen [4]

C:\System Volume Information\Syscache.hve.LOG2 - fout tijdens openen [4]

C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752} - fout tijdens openen [4]

C:\System Volume Information\{d181cab6-e449-11e1-a72b-485b39398f45}{3808876b-c176-4e48-b7ae-04046e6cc752} - fout tijdens openen [4]

C:\System Volume Information\{fd2cb406-e4b1-11e1-87de-485b39398f45}{3808876b-c176-4e48-b7ae-04046e6cc752} - fout tijdens openen [4]

C:\System Volume Information\{fd2cb446-e4b1-11e1-87de-485b39398f45}{3808876b-c176-4e48-b7ae-04046e6cc752} - fout tijdens openen [4]

C:\Users\All Users\Microsoft\Search\Data\Applications\Windows\MSS.log - fout tijdens openen [4]

C:\Users\All Users\Microsoft\Search\Data\Applications\Windows\tmp.edb - fout tijdens openen [4]

C:\Users\All Users\Microsoft\Search\Data\Applications\Windows\Windows.edb - fout tijdens openen [4]

C:\Users\All Users\Microsoft\Windows Defender\IMpService925A3ACA-C353-458A-AC8D-A7E5EB378092.lock - fout tijdens openen [4]

C:\Users\Mark\NTUSER.DAT - fout tijdens openen [4]

C:\Users\Mark\ntuser.dat.LOG1 - fout tijdens openen [4]

C:\Users\Mark\ntuser.dat.LOG2 - fout tijdens openen [4]

C:\Users\Mark\AppData\Local\Google\Update\1.3.21.115\GoogleUpdateHelper.msi = MSI = required.cab = CAB - fout bij lezen van archief

C:\Users\Mark\AppData\Local\Microsoft\Windows\UsrClass.dat - fout tijdens openen [4]

C:\Users\Mark\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 - fout tijdens openen [4]

C:\Users\Mark\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 - fout tijdens openen [4]

C:\Users\Mark\AppData\Local\Microsoft\Windows Live Mail\Sentinel\WLMailSearchSentinel.eml = MIME - is OK (geen interne scan uitgevoerd)

C:\Users\Mark\AppData\Local\Microsoft\Windows Mail\Local Folders\Inbox\3856428C-00000001.eml = MIME - is OK (geen interne scan uitgevoerd)

C:\Users\Mark\AppData\Roaming\GrabIt\Temp\ktr.sas.12.07.27.charisma.cappelli.rar = RAR = - archief beschadigd

C:\Users\Mark\AppData\Roaming\GrabIt\Temp\pr0n.120727.rar = RAR = pr0n.120727.mp4 - archief beschadigd

C:\Users\Mark\Documents\LimeWire\Saved\16_Horsepower_-_Live_March_2001_(2008)_320Kbit\16 Horsepower - Live March 2001 (2008) 320Kbit.part1.rar = RAR = 16 Horsepower - Live March 2001 (2008) 320Kbit\103 wayfaring stranger.mp3 - volgend archiefvolume niet gevonden

C:\Users\Mark\Documents\LimeWire\Saved\Dubliners_-_Live_in_carre\Dubliners - Live in carre.part1.rar = RAR = 04 - Building up and tearing england down.mp3 - volgend archiefvolume niet gevonden

C:\Users\Mark\Documents\LimeWire\Saved\Ilse_DeLange_-_Live\Ilse DeLange - Live.part1.rar = RAR = Ilse DeLange - Live\cd1\Ilse de Lange - Live - 105 - Livin' On Love.mp3 - volgend archiefvolume niet gevonden

C:\Users\Mark\Downloads\chromeinstall-7u5 (1).exe = CAB = jusched - archief beschadigd. Het bestand kon niet worden uitgepakt.

C:\Users\Mark\Downloads\chromeinstall-7u5 (1).exe = CAB = task.xml - archief beschadigd. Het bestand kon niet worden uitgepakt.

C:\Users\Mark\Downloads\chromeinstall-7u5 (1).exe = CAB = task64.xml - archief beschadigd. Het bestand kon niet worden uitgepakt.

C:\Users\Mark\Downloads\chromeinstall-7u5.exe = CAB = jusched - archief beschadigd. Het bestand kon niet worden uitgepakt.

C:\Users\Mark\Downloads\chromeinstall-7u5.exe = CAB = task.xml - archief beschadigd. Het bestand kon niet worden uitgepakt.

C:\Users\Mark\Downloads\chromeinstall-7u5.exe = CAB = task64.xml - archief beschadigd. Het bestand kon niet worden uitgepakt.

C:\Windows\Installer\abe62.msi = MSI = Cabs.w1.cab = CAB = SHDS.mht = MIME - is OK (geen interne scan uitgevoerd)

C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT - fout tijdens openen [4]

C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG1 - fout tijdens openen [4]

C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG2 - fout tijdens openen [4]

C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat - fout tijdens openen [4]

C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat - fout tijdens openen [4]

C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\38a80e3b2d139bea3e5466f734a03d541dc1fc93.HomeGroupClassifier\ae8daaeb3ce4daf7e63f4a3a81d0265e\grouping\db.mdb - fout tijdens openen [4]

C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\38a80e3b2d139bea3e5466f734a03d541dc1fc93.HomeGroupClassifier\ae8daaeb3ce4daf7e63f4a3a81d0265e\grouping\edb.log - fout tijdens openen [4]

C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\38a80e3b2d139bea3e5466f734a03d541dc1fc93.HomeGroupClassifier\ae8daaeb3ce4daf7e63f4a3a81d0265e\grouping\tmp.edb - fout tijdens openen [4]

C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT - fout tijdens openen [4]

C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG1 - fout tijdens openen [4]

C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG2 - fout tijdens openen [4]

C:\Windows\System32\catroot2\edb.log - fout tijdens openen [4]

C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb - fout tijdens openen [4]

C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb - fout tijdens openen [4]

D:\MARK-PC\Backup Set 2012-08-12 202537\Backup Files 2012-08-12 202537\Backup files 14.zip = ZIP = C\Users\Mark\Documents\LimeWire\Saved\16_Horsepower_-_Live_March_2001_(2008)_320Kbit\16 Horsepower - Live March 2001 (2008) 320Kbit.part1.rar = RAR = 16 Horsepower - Live March 2001 (2008) 320Kbit\103 wayfaring stranger.mp3 - volgend archiefvolume niet gevonden

D:\MARK-PC\Backup Set 2012-08-12 202537\Backup Files 2012-08-12 202537\Backup files 28.zip = ZIP = C\Users\Mark\Documents\LimeWire\Saved\Armin van Buuren\13 - Armin Van Buuren - Full Focus.mp3 - fout bij lezen van archief

D:\MARK-PC\Backup Set 2012-08-12 202537\Backup Files 2012-08-12 202537\Backup files 5.zip = ZIP = C\Users\Mark\AppData\Local\Google\Update\1.3.21.115\GoogleUpdateHelper.msi = MSI = required.cab = CAB - fout bij lezen van archief

D:\MARK-PC\Backup Set 2012-08-12 202537\Backup Files 2012-08-12 202537\Backup files 5.zip = ZIP = C\Users\Mark\AppData\Local\Microsoft\Windows Live Mail\Sentinel\WLMailSearchSentinel.eml = MIME - is OK (geen interne scan uitgevoerd)

D:\MARK-PC\Backup Set 2012-08-12 202537\Backup Files 2012-08-12 202537\Backup files 5.zip = ZIP = C\Users\Mark\AppData\Local\Microsoft\Windows Mail\Local Folders\Inbox\3856428C-00000001.eml = MIME - is OK (geen interne scan uitgevoerd)

D:\MARK-PC\Backup Set 2012-08-12 202537\Backup Files 2012-08-12 202537\Backup files 7.zip = ZIP = C\Users\Mark\Downloads\chromeinstall-7u5 (1).exe = CAB = jusched - archief beschadigd. Het bestand kon niet worden uitgepakt.

D:\MARK-PC\Backup Set 2012-08-12 202537\Backup Files 2012-08-12 202537\Backup files 7.zip = ZIP = C\Users\Mark\Downloads\chromeinstall-7u5 (1).exe = CAB = task.xml - archief beschadigd. Het bestand kon niet worden uitgepakt.

D:\MARK-PC\Backup Set 2012-08-12 202537\Backup Files 2012-08-12 202537\Backup files 7.zip = ZIP = C\Users\Mark\Downloads\chromeinstall-7u5 (1).exe = CAB = task64.xml - archief beschadigd. Het bestand kon niet worden uitgepakt.

D:\MARK-PC\Backup Set 2012-08-12 202537\Backup Files 2012-08-12 202537\Backup files 7.zip = ZIP = C\Users\Mark\Downloads\chromeinstall-7u5.exe = CAB = jusched - archief beschadigd. Het bestand kon niet worden uitgepakt.

D:\MARK-PC\Backup Set 2012-08-12 202537\Backup Files 2012-08-12 202537\Backup files 7.zip = ZIP = C\Users\Mark\Downloads\chromeinstall-7u5.exe = CAB = task.xml - archief beschadigd. Het bestand kon niet worden uitgepakt.

D:\MARK-PC\Backup Set 2012-08-12 202537\Backup Files 2012-08-12 202537\Backup files 7.zip = ZIP = C\Users\Mark\Downloads\chromeinstall-7u5.exe = CAB = task64.xml - archief beschadigd. Het bestand kon niet worden uitgepakt.

D:\MARK-PC\Backup Set 2012-08-12 202537\Backup Files 2012-08-12 212434\Backup files 10.zip = ZIP = C\Users\Mark\Documents\LimeWire\Saved\Dubliners_-_Live_in_carre\Dubliners - Live in carre.part1.rar = RAR = 04 - Building up and tearing england down.mp3 - volgend archiefvolume niet gevonden

D:\MARK-PC\Backup Set 2012-08-12 202537\Backup Files 2012-08-12 212434\Backup files 29.zip = ZIP = C\Users\Mark\Documents\LimeWire\Saved\Ilse_DeLange_-_Live\Ilse DeLange - Live.part1.rar = RAR = Ilse DeLange - Live\cd1\Ilse de Lange - Live - 105 - Livin' On Love.mp3 - volgend archiefvolume niet gevonden

Aantal gescande objecten: 708872

Aantal gevonden bedreigingen: 0

Tijdstip van voltooiing: 21:12:19 Totale scantijd: 6865 sec. (01:54:25)

Opmerkingen:

[4] Het object kan niet worden geopend. Het wordt mogelijk gebruikt door een ander programma of het besturingssysteem.

Zie jij nog gekke dingen in dit logbestand ?

[kape]

Zie jij nog gekke dingen in dit logbestand ?

Neen, niet echt !

[Mark Baerveldt]

Heb je nu nog wat nodig ? Is alles opgelost nu ? Zijn alle virus nu er vanaf ? heb je nog advies voor toekomst ? Kan ik alle software op laptop laten staan ?

[kape]

Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht/Programma’s en bestanden zoeken en typ daar: ComboFix /Uninstall

Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt.

Indien aanwezig mag je de map C:\Qoobox manueel verwijderen.

Emsisoft Emergency Kit mag je manueel verwijderen.

Download CCleaner.

Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op.

Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af.

Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

En dan zou alles weer netjes moeten zijn !

[Mark Baerveldt]

Hoi Kape,

Combofix verwijderd, CC cleaner gebruikt.

Is het mogelijk om de emergency kit scanner gewoon te blijven gebruiken ?

Is nu alles ( inclusief internetbankieren ) weer veilig te gebruiken ?

[kape]

Geen probleem om Emsisoft Emergency Kit te blijven gebruiken. En ja ... op basis van alle laatste logs moet ook internetbankieren weer kunnen.

[Mark Baerveldt]

Oke hartelijk bedankt voor je deskundige hulp. Ik kwam er zelf niet meer uit. Ik zal in de toekomst regelmatig de software voor virussen en malware regelmatig gebruiken en mocht ik wat geks tegenkomen zal ik zeker hier nog eens terugkomen. Keep up the good work, many many thanks.