Beste plan van aanpak?

[Dave1979]

Hallo,

 

Sinds afgelopen vrijdag wordt een softwareprogramma dat wij dagelijks gebruiken voor het uitvoeren van onze opdrachten aanzien als trojan.

Na overleg met de firma die deze software onderhoudt en het doorsturen van onze exe (en de dll die het blijkbaar aanmaakte) hebben zij ook vastgesteld dat dit programma geïnfecteerd werd door een trojan.

Hoe deze er in komt is ons onduidelijk. Wij hebben steeds een actieve Norton360 draaien op de achtergrond en hebben bij ons weten geen malifide programma's toegang gegeven.

 

De exe en de juiste dll werden ondertussen vervangen door niet geïnfecteerde bestanden maar blijkbaar worden deze onmiddellijk opnieuw geïnfecteerd.

 

Om te voorkomen dat dit in de toekomst nog voor problemen zorgt zou ik graag vernemen hoe we best te werk gaan om de oorzaak weg te nemen.

Na een onlinescan met housecall kregen wij enkel de melding dat de executable een trojan bevatte, Norton zag dit niet als kwaadaardig.

Wat Norton wel als kwaadaardig beschouwde was de dll die blijkbaar werd aangemaakt door dit programma (de vaste dll wordt op het eerste zicht niet gebruikt).

 

Na het doorzoeken van enkele zaken is het enige wat mij momenteel opvalt verschillende geweigerde aanvragen van svchost (voor externe toegang).

Ik moet nog verder uitzoeken of deze svchost effectief van Windows is of niet.

 

Alvast bedankt om mij hier even door te helpen.

 

[abbs]

Hallo,

 

We gaan eens even je pc bekijken;

 

 

Download de Farbar Recovery Scan Tool 32 of 64 bit van één van de onderstaande links

• Farbar Recovery Scan Tool 32 bit (x86)
• Farbar Recovery Scan Tool 64 bit (x64)

Hier staat een beschrijving hoe u kunt kijken of u een 32 of 64 bit versie van Windows heeft.

Farbar Recovery Scan Tool uitvoeren

• Klik met de rechtermuisknop op FRST.exe en kies voor de optie "Als administrator uitvoeren".
• Als het programma is geopend klik Yes (Ja) bij de disclaimer.
• Druk vervolgens op de Scan knop, er zal nu eerst een back-up van het register worden gemaakt.
• Wanneer de scan gereed is worden er twee logbestanden aangemaakt met de naam (FRST.txt) & (Addition.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
• Voeg beide logbestanden als bijlage toe aan het volgende bericht.

[Dave1979]

Hallo,

 

In bijlage de gevraagde logbestanden.

Addition.txt

FRST.txt

[abbs]

Hallo,

 

Wat mij opvalt is het programma Desk 365 dit is een dubieus programma en word over het algemeen ongevraagd geïnstalleerd.

Het is adware/malware daarom gaan we het verwijderen.

 

 

Zorg dat je Farbar Recovery Scan Tool  vanuit de download map naar je bureaublad plaatst (dit is zeer belangrijk!)

Note: Dit script is speciaal bedoeld voor deze computer, gebruik dit dan ook niet op andere computers met een gelijkaardig probleem.
Open Kladblok. Klik op Start > Alle Programma's > Bureau-Accessoires > Kladblok.
Kopieer onderstaande code en plak dat in "Kladblok"

start
CreateRestorePoint:
CloseProcesses:
Task: {CE8AC8F8-5E98-4D83-864E-A80A325BFAD5} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe <==== AANDACHT
HKLM-x32\...\Run: [] => [X]
S2 HPSLPSVC; C:\Users\L-Tek\AppData\Local\Temp\7zS41DE\hpslpsvc64.dll [X]
S3 dbx; system32\DRIVERS\dbx.sys [X]
S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\NortonData\22.5.4.24\Definitions\SDSDefs\20160629.033\ENG64.SYS [X]
S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\NortonData\22.5.4.24\Definitions\SDSDefs\20160629.033\EX64.SYS [X]
C:\Program Files (x86)\Desk 365
EmptyTemp:
end

Ga naar Bestand - Opslaan als.
Kies als locatie bureaublad.
Bij "Bestandsnaam" zet je:fixlist.txt.
Bij "Opslaan als type" selecteer je: Alle bestanden.

 

Als het goed is staat er nu een text bestand op je bureaublad?

 

Start de Farbar Recovery Scan Tool.
Als het programma is geopend klik Yes (Ja) bij de disclaimer. (indien nodig)
Druk op de Fix knop.
Er zal u een logbestand aangemaakt worden (fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
Voeg dit logbestand als bijlage toe aan het volgende bericht.

 

[Dave1979]

Hallo,

 

In bijlage het logbestand.

 

Alvast bedankt

Fixlog.txt

[abbs]

Hallo,

 

Download de Emsisoft Emergency Kit naar het bureaublad.

• Dubbelklik op "EmsisoftEmergencyKit.exe".
• Klik vervolgens op de knop "Install" en de bestanden worden nu automatisch uitgepakt naar de systeemschijf "C:\EEK".
• Wanneer het uitpakken gereed is opent de map "C:\EEK" dubbelklik op "Start Emergency Kit Scanner".
• "Emsisoft Emergency Kit" opent en wanneer u de melding "Wilt u nu updaten?" krijgt klikt u op "Ja".
• Wanneer de update gereed is klikt u in op "Malware scan" wanneer u de melding "op PUP's mee scannen" krijgt klikt u op "Ja".
• Het scannen begint, gebruik bij voorkeur de computer niet voor andere bezigheden tijdens de scan.
• Wanneer de scan gereed is zorg dat alle items staan aangevinkt en klik op de knop "Quarantaine".
• Klik vervolgens op de knop "Rapport bekijken" en plaats de inhoud van dit bestand in uw volgende bericht als bijlage.
  

(Het logbestand is tevens terug te vinden op de systeemschijf (C:\EEK\Run\Reports) met de naam a2scan_130711-154142.txt)

[Dave1979]

Hallo,

 

In bijlage het logbestand.

scan_161126-112827.txt

[abbs]

Hallo,

 

Dat is netjes zo, ik zie verder geen problemen onder vind je nog problemen?

[Dave1979]

Hallo,

 

Neen. Geen problemen ondervonden. Bedankt!

[abbs]

Hallo,

 

Dat is mooi dan mag je de laatste stap uitvoeren:

 

Met het onderstaande tooltje ruim je o.a. alle gebruikte tools op:

 

Download Delfix - Alternatieve downloadlink by Xplode naar het bureaublad.

 

Dubbelklik op Delfix.exe om de tool te starten.

Zet nu vinkjes voor de volgende items:

• Remove disinfection tools
  
  
  
• Create registry backup
  
  
  
• Purge System Restore

Klik nu op "Run" en wacht geduldig tot de tool gereed is.

Wanneer de tool gereed is wordt er een logbestand aangemaakt. Dit hoeft je echter niet te plaatsen.

Start je pc hierna opnieuw op, mochten er nog programma's of log bestanden aanwezig zijn mag je die handmatig verwijderen.