Federal Computer Crime Unit Virus

[bdeweerdt]

Hallo,

Ik hoef je waarschijnlijk niet meer uit te leggen wat het "Federal Computer Crime Unit Virus" precies inhoudt, gezien de vele topics rond dit onderwerp.

Ik zit dus ook met dit virus.

Het verschil met een aantal andere besmette computer(gebruiker)s is dat dit virus zelfs in veilige modus tevoorschijn komt, en ik dus geen logbestand met HiJackThis kan laten doen.

Ook als ik een andere gebruiker aanmeld, dan verschijnt dit virus. Kortom: elke gebruiker is besmet, ook in veilige modus.

Wat nu?

Alvast bedankt!

Bert

[Jion]

Dag Bert,

Kan je het volgende doen?

Download "HitmanPro" via de onderstaande link bijvoorbeeld naar het bureaublad op een niet geïnfecteerde computer

Klik hier om de uitgebreide handleiding te raadplegen

Klik hier om de handleiding voor het uitvoeren van HitmanPro.Kickstart via een Boot-CD

• HitmanPro downloaden.(Kies hier de 32 of 64 bit versie).
  
• HitmanPro (32bit)
  
• HitmanPro (64bit)
  
• Dubbelklik op HitmanPro36.exe of HitmanPro36_64.exe om het programma op te starten.
  
• Klik in het beginscherm op de "Kickstartknop" zoals u kunt zien in het onderstaande rode kader.
  
  
• Indien er reeds een USB-stick is aangesloten zal HitmanPro Kickstart deze automatisch herkennen en weergeven.
  
• Klik deze USB-stick éénmaal aan waarna u de keuze krijgt om Kickstart te installeren op de USB-stick.
  
• Voordat HitmanPro.Kickstart wordt geïnstalleerd wordt de USB-stick opnieuw geformatteerd.
  
• Waarschuwing! Bij het opnieuw formatteren gaan alle gegevens verloren die op de USB-stick zijn opgeslagen.
  
• Nadat de HitmanPro Kickstart USB-stick is aangemaakt zal deze automatisch “veilig verwijderd” worden van het betreffende systeem waarop deze is aangemaakt.
  
• Start de geïnfecteerde computer op van de HitmanPro.Kickstart USB-stick. (Hoe u de computer van een USB-stick kunt opstarten lees u hier)
  
• Vink de optie "Ik accepteer de voorwaarden van de gebruikersovereenkomst aan" en klik op "Volgende"
  
• Klik in het setup scherm nu nogmaals op "Volgende", nu zal automatisch de scan starten, doe verder niets op de computer totdat de scan gereed is.
  
• Als de scan klaar is klik je op "volgende"
  
• Activeer nu de gratis licentie, hiermee kunt u 30 dagen gratis HitmanPro gebruiken en de gevonden infecties verwijderen.
  
• Note: indien u reeds eerder gebruik hebt gemaakt van de 30 dagen trial-versie van HitmanPro is het niet meer mogelijk om gratis de gevonden infecties te verwijderen.
  
• Als het verwijderen gereed is klik je onderin het scherm op "Save log" of "Logbestand opslaan" en sla deze op bijvoorbeeld het bureaublad op.
  Post dit logje.
  
• Klik nu op de knop "Herstarten".
  

[bdeweerdt]

Bedankt voor het snel antwoord.

Mijn onbesmette pc is echter een 64-bit besturingssysteem, de besmette is een 32-bit. Om de 32-bit Kickstart te installeren lukt het niet op een 64-bit laptop. Kan ik dan 64-bit Kickstart installeren om dan te gebruiken op een 32-bit computer?

Daarnaast heb ik wel nog een 32-bit laptop, maar het installeren van de Kickstart mislukt altijd als die op 100% staat. De foutmelding is:

"Het aanmalekn van de HitmanPro.Kickstart USB-stick is mislukt.

#5, lock "

Doe ik iets verkeerd?

Hartelijk dank voor uw reactie.

Mvg,

Bert

[Jion]

De bits versie van je besmette pc doet er niet toe.

Je hoeft enkel te kijken naar de bits versie van de pc waarop je de Kickstart usb wilt aanmaken.

Dus voor jou is dat dus de 64bits versie van HitmanPro.

I.v.m. je foutmelding heb ik dit gevonden op de site van Surfright:

Er verschijnt een foutmelding "#5, lock" als ik probeer om een HitmanPro.Kickstart USB stick te maken

Dit bericht verschijnt als er een ander proces is wat iets doet met de USB stick. Meestal is dat een verkenner welke de inhoud van de USB stick toont. Windows is soms zo ingesteld dat het de inhoud van een nieuw aangesloten USB stick direct laat zien. Deze vensters moeten gesloten worden voordat HitmanPro data naar de stick kan schrijven.

De foutmelding kan ook veroorzaakt worden doordat een antivirus programma de inhoud van de USB stick aan het bekijken is. In dat geval is het voldoende om een paar seconden te wachten en dan opnieuw te proberen om de stick aan te maken.

4 mei 2013 aangepast door Jion

[bdeweerdt]

Ik heb kickstart kunnen installeren op de USB. Het lag domweg aan het feit dat het .exe bestand zelf op de USB stond... En niet op het bureaublad, zoals gevraagd was.

Na wat zoeken kon ik de pc opstarten vanop USB-device (via "boot setup") heb ik alle andere boot-opties uitgeschakeld. De pc start op, tot ik de gebruikers zie staan. Hier staat echter dat kickstart na 15seconden automatisch zou moeten starten, dat is niet het geval. Als ik dan een gebruiker aanklik, dan komt hetzelfde virus weer tevoorschijn en kan ik opnieuw niks meer doen...

[Jion]

Heb je bij het opstarten dit scherm gekregen?

Daar dien je dan optie 1 te kiezen.

Als dat gedaan is, zal je Windows inderdaad verder opstarten.

Je mag je aanmelden bij de gewenste gebruiker, daarna zal direct Kickstart openen.

Indien je toch het virus te zien krijgt, wil dit zeggen dat je niet via Kickstart, maar op de normale manier hebt opgestart.

4 mei 2013 aangepast door Jion

[bdeweerdt]

Jion,

Zoals je op de foto kan zien start de computer op via Kickstart. Toch neemt het virus nog steeds over vanaf het moment dat ik me heb aangemeld bij een gebruiker.

Mvg,

Bert

[bdeweerdt]

Met wat te prutsen en ongeoorloofd de aan- en uitknop indrukken kon ik tegelijk van de USB én in veilige modus opstarten. Nu is Kickstart er wel, na ongeveer 15 seconden te hebben gewacht bij het kiezen van een gebruiker.

Eens zien wat dit geeft, update komt er zometeen aan!

[bdeweerdt]

Update:

In veilige modus is er geen internetverbinding om de licentie te activeren. Daarom opnieuw begonnen, deze keer via "veilige modus met netwerkmogelijkheden".

[bdeweerdt]

Lijkt op het eerste zicht gelukt!

Moet er nu nog iets gebeuren?

Hier is het log-bestandje:

HitmanPro 3.7.3.194
www.hitmanpro.com

  Computer name . . . . : PC_XXXXXXX
  Windows . . . . . . . : 5.1.3.2600.X86/2
  Safe Mode Boot  . . . : NETWORK
  User name . . . . . . : NT AUTHORITY\SYSTEM
  License . . . . . . . : Trial (30 days left)

  Scan date . . . . . . : 2013-05-04 20:27:15
  Scan mode . . . . . . : Normal
  Scan duration . . . . : 6m 37s
  Disk access mode  . . : Direct disk access (SRB)
  Cloud . . . . . . . . : Internet
  Reboot  . . . . . . . : Yes

  Threats . . . . . . . : 2
  Traces  . . . . . . . : 7

  Objects scanned . . . : 894.986
  Files scanned . . . . : 50.513
  Remnants scanned  . . : 177.888 files / 666.585 keys

Malware _____________________________________________________________________

  C:\Documents and Settings\All Users\Application Data\hw1zd.dat -> PendingDelete
     Size . . . . . . . : 148.992 bytes
     Age  . . . . . . . : 0.2 days (2013-05-04 16:26:11)
     Entropy  . . . . . : 6.4
     SHA-256  . . . . . : 9BE20B22538796907EAC17D677EDA27098EDE8D8E2021526AC57359EBE3C4CE3
     Product  . . . . . : Операционная система Microsoft® Windows®
     Publisher  . . . . : Корпорация Майкрософт2
     Description  . . . : Программа входа в систему Windows NT
     Version  . . . . . : 5.1.2600.5512
     Copyright  . . . . : © Корпорация Майкрософт2. Все права защищены.
     Service  . . . . . : winmgmt
   > Emsisoft . . . . . : Trojan.Win32.Agent.amn!A2
     Fuzzy  . . . . . . : 149.0
        One or more antivirus vendors have indicated that the file is malicious.
        The file name extension of this program is not common.
        This file was most recently added as automatic startup.
        Uses the Startup folder in the Start Menu to run each time the user logs on.
        Starts automatically as a service during system bootup.
        Program starts automatically without user intervention.
        Time indicates that the file appeared recently on this computer.
        The file is in use by one or more active processes.
        Authors name is missing in version info. This is not common to most programs.
     Startup
        C:\Documents and Settings\Administrator\Menu Start\Programma's\Opstarten\msconfig.lnk
        C:\Documents and Settings\XXX\Menu Start\Programma's\Opstarten\msconfig.lnk
        C:\Documents and Settings\XXXX\Menu Start\Programma's\Opstarten\msconfig.lnk
        HKLM\SYSTEM\CurrentControlSet\Services\winmgmt\
     Forensic Cluster
        -29.2s C:\Documents and Settings\XXXX\Cookies\U16IPSO5.txt
        -16.7s C:\Documents and Settings\XXXX\Local Settings\Temp\~DFEB48.tmp
        -15.9s C:\WINDOWS\Prefetch\RUNDLL32.EXE-186EE15D.pf
        -11.9s C:\Documents and Settings\XXXX\Cookies\BUFYP578.txt
        -8.4s C:\Documents and Settings\XXXX\Cookies\QZHEUO2N.txt
        -8.3s C:\Documents and Settings\XXXX\Local Settings\Temp\fla4E7.tmp
        -8.3s C:\Documents and Settings\XXXX\Cookies\4MALBVA8.txt
        -8.3s C:\Documents and Settings\XXXX\Local Settings\Temp\fla4E8.tmp
        -7.7s C:\Documents and Settings\XXXX\Cookies\ABD51FAG.txt
        -7.3s C:\Documents and Settings\XXXX\Cookies\MVP3R31Z.txt
        -6.5s C:\Documents and Settings\XXXX\Cookies\XTKKRUGR.txt
        -6.3s C:\Documents and Settings\XXXX\Local Settings\Temp\fla4E9.tmp
        -5.1s C:\Documents and Settings\XXXX\Local Settings\Temp\hsperfdata_XXXX\
        -5.1s C:\Documents and Settings\XXXX\Local Settings\Temp\hsperfdata_XXXX\1596
        -3.9s C:\Documents and Settings\XXXX\Local Settings\Temp\java_install_reg.log
        -3.3s C:\Documents and Settings\XXXX\Local Settings\Temp\fla4EA.tmp
        -2.0s C:\WINDOWS\Prefetch\JAVA.EXE-0C263507.pf
        -1.2s C:\Documents and Settings\XXXX\Application Data\Sun\Java\Deployment\cache\6.0\45\16db06d-103ead50.idx
        -1.2s C:\Documents and Settings\XXXX\Application Data\Sun\Java\Deployment\cache\6.0\45\16db06d-103ead50
        -1.2s C:\Documents and Settings\XXXX\Local Settings\Temp\jar_cache2632780979780863801.tmp
        -0.8s C:\Documents and Settings\XXXX\8178298.dll
        -0.1s C:\Documents and Settings\All Users\Application Data\rundll32.exe
         0.0s C:\Documents and Settings\All Users\Application Data\hw1zd.dat
         0.2s C:\Documents and Settings\All Users\Application Data\dz1wh.pad
         2.1s C:\Documents and Settings\All Users\Application Data\as98213.txt
         2.5s C:\Documents and Settings\XXXX\Menu Start\Programma's\Opstarten\msconfig.lnk
         5.0s C:\Documents and Settings\XXXX\Local Settings\Temp\~DF7613.tmp
         5.2s C:\Documents and Settings\XXXX\Application Data\Dropbox\shellext\l\51851a89
         5.6s C:\Documents and Settings\XXXX\Local Settings\Temp\~DFA544.tmp
         7.0s C:\Documents and Settings\XXXX\Local Settings\Temp\~DF28C1.tmp
         7.6s C:\Documents and Settings\XXXX\Cookies\FKKVS547.txt
        18.2s C:\Documents and Settings\XXXX\Local Settings\Temp\~DF1FE1.tmp
        18.2s C:\Documents and Settings\XXXX\Local Settings\Temp\~DF2043.tmp
        18.2s C:\Documents and Settings\XXXX\Local Settings\Temp\~DF20C5.tmp
        18.3s C:\Documents and Settings\XXXX\Local Settings\Temp\~DF2129.tmp
        19.1s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00013932.tmp
        19.3s C:\Documents and Settings\XXXX\Local Settings\Temp\~DF2B14.tmp
        19.4s C:\Documents and Settings\XXXX\Local Settings\Temp\~DF2B24.tmp
        20.0s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00027206.tmp
        22.5s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00004982.tmp
        28.1s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00017498.tmp
        28.2s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00031812.tmp
        28.2s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00017652.tmp
        28.4s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00026892.tmp
        28.4s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00021498.tmp
        28.6s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00022654.tmp
        28.7s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00023096.tmp
        28.7s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00018857.tmp
        28.7s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00013846.tmp
        28.7s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00030251.tmp
        29.3s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00017455.tmp
        29.3s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00005572.tmp
        29.9s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00000993.tmp
        29.9s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00015638.tmp

  C:\Documents and Settings\XXXX\8178298.dll -> Quarantined
     Size . . . . . . . : 148.992 bytes
     Age  . . . . . . . : 0.2 days (2013-05-04 16:26:11)
     Entropy  . . . . . : 6.4
     SHA-256  . . . . . : 9BE20B22538796907EAC17D677EDA27098EDE8D8E2021526AC57359EBE3C4CE3
     Product  . . . . . : Операционная система Microsoft® Windows®
     Publisher  . . . . : Корпорация Майкрософт2
     Description  . . . : Программа входа в систему Windows NT
     Version  . . . . . : 5.1.2600.5512
     Copyright  . . . . : © Корпорация Майкрософт2. Все права защищены.
   > Emsisoft . . . . . : Trojan.Win32.Agent.amn!A2
     Fuzzy  . . . . . . : 103.0
     Forensic Cluster
        -28.5s C:\Documents and Settings\XXXX\Cookies\U16IPSO5.txt
        -16.0s C:\Documents and Settings\XXXX\Local Settings\Temp\~DFEB48.tmp
        -15.1s C:\WINDOWS\Prefetch\RUNDLL32.EXE-186EE15D.pf
        -11.2s C:\Documents and Settings\XXXX\Cookies\BUFYP578.txt
        -7.7s C:\Documents and Settings\XXXX\Cookies\QZHEUO2N.txt
        -7.6s C:\Documents and Settings\XXXX\Local Settings\Temp\fla4E7.tmp
        -7.5s C:\Documents and Settings\XXXX\Cookies\4MALBVA8.txt
        -7.5s C:\Documents and Settings\XXXX\Local Settings\Temp\fla4E8.tmp
        -7.0s C:\Documents and Settings\XXXX\Cookies\ABD51FAG.txt
        -6.5s C:\Documents and Settings\XXXX\Cookies\MVP3R31Z.txt
        -5.8s C:\Documents and Settings\XXXX\Cookies\XTKKRUGR.txt
        -5.6s C:\Documents and Settings\XXXX\Local Settings\Temp\fla4E9.tmp
        -4.4s C:\Documents and Settings\XXXX\Local Settings\Temp\hsperfdata_XXXX\
        -4.3s C:\Documents and Settings\XXXX\Local Settings\Temp\hsperfdata_XXXX\1596
        -3.2s C:\Documents and Settings\XXXX\Local Settings\Temp\java_install_reg.log
        -2.5s C:\Documents and Settings\XXXX\Local Settings\Temp\fla4EA.tmp
        -1.3s C:\WINDOWS\Prefetch\JAVA.EXE-0C263507.pf
        -0.4s C:\Documents and Settings\XXXX\Application Data\Sun\Java\Deployment\cache\6.0\45\16db06d-103ead50.idx
        -0.4s C:\Documents and Settings\XXXX\Application Data\Sun\Java\Deployment\cache\6.0\45\16db06d-103ead50
        -0.4s C:\Documents and Settings\XXXX\Local Settings\Temp\jar_cache2632780979780863801.tmp
         0.0s C:\Documents and Settings\XXXX\8178298.dll
         0.6s C:\Documents and Settings\All Users\Application Data\rundll32.exe
         0.8s C:\Documents and Settings\All Users\Application Data\hw1zd.dat
         0.9s C:\Documents and Settings\All Users\Application Data\dz1wh.pad
         2.8s C:\Documents and Settings\All Users\Application Data\as98213.txt
         3.3s C:\Documents and Settings\XXXX\Menu Start\Programma's\Opstarten\msconfig.lnk
         5.8s C:\Documents and Settings\XXXX\Local Settings\Temp\~DF7613.tmp
         6.0s C:\Documents and Settings\XXXX\Application Data\Dropbox\shellext\l\51851a89
         6.3s C:\Documents and Settings\XXXX\Local Settings\Temp\~DFA544.tmp
         7.8s C:\Documents and Settings\XXXX\Local Settings\Temp\~DF28C1.tmp
         8.3s C:\Documents and Settings\XXXX\Cookies\FKKVS547.txt
        18.9s C:\Documents and Settings\XXXX\Local Settings\Temp\~DF1FE1.tmp
        19.0s C:\Documents and Settings\XXXX\Local Settings\Temp\~DF2043.tmp
        19.0s C:\Documents and Settings\XXXX\Local Settings\Temp\~DF20C5.tmp
        19.1s C:\Documents and Settings\XXXX\Local Settings\Temp\~DF2129.tmp
        19.9s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00013932.tmp
        20.1s C:\Documents and Settings\XXXX\Local Settings\Temp\~DF2B14.tmp
        20.1s C:\Documents and Settings\XXXX\Local Settings\Temp\~DF2B24.tmp
        20.8s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00027206.tmp
        23.3s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00004982.tmp
        28.9s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00017498.tmp
        28.9s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00031812.tmp
        29.0s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00017652.tmp
        29.1s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00026892.tmp
        29.2s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00021498.tmp
        29.4s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00022654.tmp
        29.4s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00023096.tmp
        29.5s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00018857.tmp
        29.5s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00013846.tmp
        29.5s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00030251.tmp
        30.1s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00017455.tmp
        30.1s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00005572.tmp
        30.7s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00000993.tmp
        30.7s C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\00015638.tmp

Heel hard bedankt!!!

Gelukkig bestaat er nog zo'n team als dat van jullie