Rootkit.Cidox.J.VBR

[Jive1]

^Hey!

^{Ja, die processen stoppen had ik ook zelf al eens geprobeerd. Voor de meesten lukt dat, maar die komen er na verloop van slechts weinig tijd weer vanzelf bij. Ook waren, bij één ervan, als ik die wegdeed, plots mijn taakbalk en startknop weg, en moest ik met Ctrl-Alt-Del mijn pc stilleggen....}

^{Ik zal nog wat aanzien, ik weet dat ik indien nodig clean kan booten, en zie ik nog andere bezwaren tegen dat clean booten, dat herinstalleer ik mijn Windows7...}

^{Veel dank voor de inzet, en ik laat me wel horen als ik nieuws heb in dit verband.}

^Groeten

^{Jive1 - Belgium}

[Jive1]

Hey!

Ik begin zojuist een beetje klaarte te krijgen in mijn problemen met Cidox virus, en nu merk ik dat sinds gisteren 26/04/2015 11:46 een nieuwe folder verschenen is in mijn Windows-directory, vlak onder System32, foldernaam SysWOW64, en die folder is 1,6GB groot! Staat vol met kleinere en grotere folders en een hele boel dll-files.

Ik ga kijken wat dat is, en blijkt een virus te zijn, zie op http://www.2-removevirus.com/nl/syswow64-verwijderen/

Wat nu weer?... denk ik.

Ik zal maar snel proberen dat weg te krijgen, zeker? Of toch maar ineens Windows7 herinstalleren?

Jive1

[kweezie wabbit]

We gaan nog eens iets nakijken.

Start de pc normaal op, dus geen clean boot.

 

Download het bestand Silent Runners.zip

Pak het uit naar het bureaublad.

Dubbelklik dan op het bestand Silent Runners.vbs en wacht op de boodschap dat het klaar is.

Daarna heb je op het bureaublad een tekstbestand dat begint met Startup Programs

Voeg dit bestand als bijlage toe aan een volgend bericht.

27 april 2015 aangepast door kweezie wabbit

[Jive1]

Hey!

Net zoals op http://www.nucia.eu/forum/threads/70644-SYSWOW64-VIRUS-flash-player heb ik bij mij ook die folder gevonden  C:\Windows\SysWOW64\Macromed\Flash en daarin staat de bestanden zoals weergegeven in bijlage dir.jpg.

Nu heb ik herhaalde melen de gisteren en vanmorgen, net zoals op dit moment ook weer, die FlashUtil32_17_0_0_169_ActiveX.eexe bij mijn Processen zien staan ib Taakbeheer, en dat telkens als ik clean geboot heb!

Dus dat is al een bewijs, meen ik, dat we bij die SysWOW64 moet zijn, en die moet weg!

Maar hoe?

Er zijn zoveel manieren volgens Internet, maar ik vertrouw die allemaal niet goed. Nu, op de hierboven vermelde site gebruiken ze bestanden die jullie ook gebruiken, dus hier zou ik meer vertrouwen in hebben...

Wat denken jullie?

Jive1 - Belgium

 

 

[Jive1]

Hey!

Ik zou eventueel die hele folder SysWOW64 kunnen verwijderen, want die hoort daar niet te zijn. De kans bestaat dat de  bron van de virus in de folder zit, en dan gaat die mee weg, de kans bestaat echter ook dar de bron van et virus ergens anders zit, en bestanden uit de folder SysWOW64 gebruikt....

Wat te doen?

Jive1 - Belgium

[Jive1]

Hey!

Hier het tekstbestand zoals gevraagd.

 

Heb je ook mijn volgende vraag al gezien, nu zit er sinds gisteren een SysWOW64 infectie op mijn pc. De uitleg staat in een nieuwe vraag van me op http://www.pc-helpforum.be/topic/57995-syswow64/

 

Ik moet nu voor enkele uurtjes weg.

 

Jive1 - Belgium

Startup Programs (JIVE1-PC) 2015-04-27 13.40.31.txt

[Asus]

Gaat het hier over dezelfde PC als de PC waar het in dit topic over gaat ? ...

[kweezie wabbit]

Het gaat inderdaad over dezelfde pc en daarom worden de topics ook samengevoegd.

[kweezie wabbit]

Voer combofix nog eens uit en plaats het logje.

[Jive1]

Goeie morgen!

Sorry, ik dacht gisteren: nieuws virus?... Dus nieuw onderwerp beginnen op het forum.... Fout gedacht van me.....

In bijlage het nieuw log van Combofix.

Wat ik ook vaststel is dat op mijn  C-drive vanmorgen al enkele logjes bijgekomen zijn o.a. setupact.log en WindowsUpdate.log, ook aan mijn system.ini is wat veranderd, en aan die beruchte folder sysWOW64 is zeker ook wat veranderd.... De datums die erbij staan zijn allemaal op vanmorgen gezet 28/04/2015 maar niet alle op exact hetzelfde uur...

Misschien is dit laatste niet ongewoon, maar mij viel het wel op.

Groeten

Jive1 - Belgium

ComboFix.txt