maleware

[Mako]

Hallo Pieter,

door de scan's die we uitgevoerd hebben zie ik dat er dingen veranderen zoals:mijn documenten is verander in openbaar bureaublad en daar in heb ik diverse mappen die nu gedubbeld zijn hoe kan dit??????

Vermoedelijk is er door de infectie wat gerommeld met de snelkoppelingen en dergelijke. Je hebt iets vreemd te pakken dat zich niet zo eenvoudig laat verwijderen, eens dat achter de rug is kunnen we ons toespitsen op de wijzigingen bij de mappen.

1. Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem.
   Schakel alle antivirus- en antispywareprogramma's uit, want deze kunnen namelijk conflicteren met ComboFix.
   (hier of hier) kan je lezen hoe je de gebruikte beveiligingssoftware kunt uitschakelen.
   Open een nieuw leeg Kladblok scherm, kopieer en plak hierin de volgende code.
   

    
   File::
   c:\windows\TEMP\0114881387384327mcinst.exe
   
   Folder::
   C:\Windows\System32\ɏ髂睚ሊ8獒睠玅睠
   C:\Windows\System32\ɺ
   
   Registry::
   [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   "panda2_0dn"=-
   "panda2_0dn_XP"=-
   "panda4_0dn"=-
   "panda4_0dn_XP"=-
   
   Firefox::
   FF - ProfilePath - c:\users\pieter en anja\AppData\Roaming\Mozilla\Firefox\Profiles\iy4wii2d.default\
   FF - prefs.js: browser.search.defaulturl - 
   FF - prefs.js: browser.search.selectedEngine - Google
   FF - prefs.js: browser.startup.homepage - about:blank
   FF - prefs.js: keyword.URL - 
   FF - user.js: extensions.BabylonToolbar.tlbrSrchUrl - hxxp://search.babylon.com/?babsrc=TB_def&mntrId=78aa10880000000000000024211f2c6c&q=
   FF - user.js: extensions.BabylonToolbar.id - 78aa10880000000000000024211f2c6c
   FF - user.js: extensions.BabylonToolbar.appId - {BDB69379-802F-4eaf-B541-F8DE92DD98DB}
   FF - user.js: extensions.BabylonToolbar.instlDay - 15998
   FF - user.js: extensions.BabylonToolbar.vrsn - 1.8.24.6
   FF - user.js: extensions.BabylonToolbar.vrsni - 1.8.24.6
   FF - user.js: extensions.BabylonToolbar.vrsnTs - 1.8.24.612:14
   FF - user.js: extensions.BabylonToolbar.prtnrId - babylon
   FF - user.js: extensions.BabylonToolbar.prdct - BabylonToolbar
   FF - user.js: extensions.BabylonToolbar.aflt - babsst
   FF - user.js: extensions.BabylonToolbar.smplGrp - none
   FF - user.js: extensions.BabylonToolbar.tlbrId - base
   FF - user.js: extensions.BabylonToolbar.instlRef - sst
   FF - user.js: extensions.BabylonToolbar.dfltLng - nl
   FF - user.js: extensions.BabylonToolbar.excTlbr - false
   FF - user.js: extensions.BabylonToolbar.ffxUnstlRst - true
   FF - user.js: extensions.BabylonToolbar.admin - false
   FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=125056&tsp=5041
   FF - user.js: extensions.BabylonToolbar_i.babExt - 
   FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
   FF - user.js: extensions.BabylonToolbar.autoRvrt - false
   FF - user.js: extensions.BabylonToolbar.rvrt - false
   FF - user.js: extensions.BabylonToolbar.newTab - false

   
   Sla dit op op je Bureaublad als CFScript.txt
   Sleep CFScript.txt in ComboFix.exe zoals getoond in onderstaand voorbeeld:
   
   Nu zal ComboFix vanzelf worden gestart.
   Start opnieuw op als daarom gevraagd wordt, en post de inhoud van de Combofix.txt in je volgende antwoord.
   

2. Download AdwCleaner by Xplode naar het bureaublad.
   AdwCleaner uitvoeren
   
   • 
     
   • Sluit alle openstaande vensters.
     
   • Dubbelklik op AdwCleaner.exe om de tool te starten.
     
   • Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
     
   • Klik vervolgens op de knop Scan.
     
   • Wanneer de scan gereed is Klikt u vervolgens op de knop Clean.
     
   • Als dit gereed is wordt er gevraagd om de computer opnieuw op te starten, klik hier op OK.
     
   • Nadat de computer opnieuw is opgestart wordt het logbestand automatisch geopend.
     
   • Plaats dit logbestand in het volgende bericht.
     

Herstart sowieso even de computer mocht dit nog niet automatisch gebeurd zijn door een van de tools.

[pieter!]

Hallo mako.

ik heb je opdracht weer uitgevoerd.

zal de bestanden even sturenlog.txt2014-3txt.txt

hoop dat je er weer wat mee kunt.

mvgr pieter

AdwCleaner[S0].txt

[Mako]

Hallo Pieter,

Laten we even kijken als we een paar vervelende mappen met Chinese tekens wegkrijgen...

Het is belangrijk dat je onderstaande stappen exact uitvoert, anders zal het niet gaan werken.

Open een kladblokbestand.

Kopieer onderstaande code in dit kladblokbestand:

@ECHO OFF
DIR /AD /X C:\Windows\System32>>log.txt

Ga naar Bestand - Opslaan als.

Bij "Opslaan in" kies je: Bureaublad

Bij "Bestandsnaam" zet je: export.bat.

Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).

Klik op de knop Opslaan.

Dubbelklik op export.bat om uit te voeren.

Normaal gesproken zou er nu een logbestand log.txt op je bureaublad moeten staan, plaats de inhoud hiervan in je volgende bericht.

[Mako]

Hallo Pieter,

Er lijkt e.e.a. mis te gaan bij het uitvoeren van ComboFix. Heb je de instructies exact uitgevoerd zoals beschreven in bericht #31?

Het is belangrijk dat je het bestand opslaat als CFScript.txt, elke vorige versie mag je verwijderen. Daarna dien je dit te slepen in ComboFix.exe, niet in een link of snelkoppeling, werkelijk zoals getoond in de afbeelding.

Bemerk ook dat ComboFix op het bureaublad staat net zoals CFScript.txt!

Kan je de instructies hierboven uitvoeren en de stappen uit bericht #31 opnieuw uitvoeren aub?

[pieter!]

halo mako.

heb je opdracht uit bericht 33 even uit gevoerd hoop dat het goed is.

heb je opdracht uit bericht 34 nogmaals uit gevoerd weet nu niet of het zo goed is kijk maar even het is wel moeilijk als je geen computerheld ben zo als jij:dong: zal de bestanden even sturen.log.txt2014-3txt.txt.

Mvgr pieter.

log.txt2014-4txt.txt

[Mako]

Hallo Pieter,

het is wel moeilijk als je geen computerheld ben zo als jij:dong:

Hoho, een held ben ik niet hoor. Hooguit iemand die nu en dan wat probeert te helpen waar hij kan, ongetwijfeld doe jij dat ook ;-).

Prima hoor, het logje van ComboFix ziet er goed uit!

Het tweede logje dat je hebt toegevoegd lijkt wel op een ouder logje van ComboFix. Heb je het resultaat van de opdracht in bericht #33 nog ergens op je computer staan? Zoniet kan je deze opdracht altijd een tweede keer uitvoeren.

Laat je eveneens weten hoe het intussen met de computer staat?

[pieter!]

halo mako.

met de pc gaat het wat beter ik heb het idee dat de web browser nu niet meer veranderd.

alleen door al het geprobeerd heb ik nog steeds dat de documenten gedubbeld worden.ik ga de gedubbelde bestanden en mappen zelf wel oplossen door ze te verwijderen.

PS: denk dat ik het verkeerde bestand gestuurd heb.[ATTACH]29786[/ATTACH].

Mvgr pieter

log.txt2014-4txt.txt

[Mako]

Hoi Pieter,

Dat bestandje had je me inderdaad in bericht #35 al meegegeven .

De maker van het tooltje Zoek.exe heeft een paar veranderingen doorgevoerd, ik zou nog graag e.e.a. proberen met die tool...

Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe (hier en hier) kan je lezen hoe je dat doet.

Download Zoek.exe naar het bureaublad.

Klik hiervoor op de tekst door de pijl aangegeven. Klik NIET op (zip) of (rar).

(Klik om te vergroten)

• 
  
• Wanneer Internet Explorer of een andere browser of virusscanner melding geeft dat dit bestand onveilig zou zijn kun je negeren, dit is namelijk een onterechte waarschuwing.
  
• Dubbelklik op Zoek.exe om de tool te starten.
  
• Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
  
• Kopieer nu onderstaande code en plak die in het grote invulvenster:
  
• Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem.
  

autoclean;
shortcutfix;
@ECHO OFF;b
DIR /AD /X C:\Windows\System32>>"%temp%\log.txt";b

• 
  
• Klik nu op de knop "Run script".
  
• Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
  
• Mocht er geen logje verschijnen, start zoek.exe dan opnieuw en klik op de knop zoek-results.log, de log verschijnt dan alsnog.
  
• Post het geopende logje in het volgende bericht.
  

9 januari 2014 aangepast door Mako

[pieter!]

Halo mako.

heb je opdracht weer uitgevoerd namelijk twee keer 1 keer zo en de tweede keer als administrator.

zal de bestanden sturen.

PS: heb nog steeds last van java cve-2012-0507 deze komt nog steeds naar voren als ik mijn virus scanner gebruik!!!!!!

wat nu hoop dat je weer aan de slag kunt.

Mvgr Pieterzoek-results.txt2014-1.txt

zoek-results.txt2014.txt

[Mako]

Hallo Pieter,

Fijn dat we nu aan de slag kunnen met Zoek.exe, hier kunnen we wel wat mee

Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe (hier en hier) kan je lezen hoe je dat doet.

Start Zoek.exe nogmaals met het onderstaande script.

• 
  
• Dubbelklik op Zoek.exe om de tool te starten.
  
• Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
  
• Kopieer nu onderstaande code en plak die in het grote invulvenster:
  
• Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem.
  

   
  C:\Windows\System32\A720~1;vs
  C:\Windows\System32\8EFFB~1;vs
  cve-2012-0507;z
  cve-2012-0507;a
  

  
  

• Klik nu op de knop "Run script".
  
• Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
  
• Mocht er geen logje verschijnen, start zoek.exe dan opnieuw en klik op de knop zoek-results.log, de log verschijnt dan alsnog.
  
• Post het geopende logje in het volgende bericht.
  

Hou er rekening mee dat PCH op 14 januari van 7u tot 16u niet bereikbaar zal zijn omwille van serveronderhoud.