Hallo,
even herposten wat ik in het malwareforum geplaatst had:
Hallo,
lang geleden, maar ik heb jullie hulp nog eens nodig.
Afgelopen week kreeg ik het 'politievirus'scherm, browser geblokkeerd. Deze afgesloten met ctrl-alt-delete.
Ik krijg geen meldingen zoals vermeld op internet, en merkte er eerst niets van. Scannen met AVG gaf geen melding van infectie. Wou deze upgraden naar de proefversie van 2014 (full) maar deze bleef hangen. Gisteren nogmaals geprobeerd, maar bleef ook terug hangen. Ondertussen kon ik geen programma's meer openen (firefox, thunderbird, AVG) en kan ik de pc niet meer normaal afsluiten. Ik heb ondertussen een tweetal keer gereboot en nu start hij niet volledig meer op. Bij info over het virus stond dat rebooten het virus dieper in je systeem dringt?
Nu, opgestart in veilige mode (met netwerkmogelijkheden) en daar werkt alles normaal. Gescand met AVG (offline) en daar kwam dit generic35.afbm boven water. Er wordt gemeld dat dit virus andere virussen zoals het politievirus toegang kan verlenen (Ik gebruik Comodo en ook deze had geen melding gegeven). Dit werd verwijderd. Daarna nog eens Malwarebytes laten lopen en deze heeft ook enkele dingen verwijderd, maar kan nog steeds niet normaal opstarten of afsluiten.
Deze generic35 zou niet zomaar (met een AV) te verwijderen zijn.
Ondertussen lijkt het opstarten te lukken en kan ik tot nog toe alles weer laten draaien wat ik probeer, maar zou het voor de zekerheid toch nog willen laten controleren.
Heb de scans nog eens proberen te herlopen met windows normaal, maar dds lijkt niet te lukken (scherm verdwijnt direct na starten scan).
Eerste log was mbam, volledige scan (op eigen initiatief, had richtlijnen nog niet gelezen). Uiteindelijk heb ik maar 1 entry verwijderd omdat niet alles geselecteerd was.
Code:
Malwarebytes Anti-Malware (-evaluatieversie-) 1.75.0.1300
www.malwarebytes.org
Databaseversie: v2014.02.13.11
Windows 7 Service Pack 1 x64 NTFS (Veilige modus/netwerkmogelijkheden)
Internet Explorer 11.0.9600.16476
i :: [administrator]
Bescherming: Uitgeschakeld
13/02/2014 23:40:14
mbam-log-2014-02-13 (23-40-14).txt
Scan type: Volledige scan (C:\|Q:\|)
Ingeschakelde scan opties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scan opties: P2P
Objecten gescand: 427670
Verstreken tijd: 1 uur/uren, 34 seconde(n)
Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels gedetecteerd: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A66261FC-B82E-4EC7-9F6D-C2F36B871DF0} (PUP.Optional.SpeedAnalysis3.A) -> Geen actie ondernomen.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FF103732-4528-4322-AA8B-F7849AB7776B} (PUP.Optional.BestToolbars) -> Geen actie ondernomen.
Registerwaarden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registerdata gedetecteerd: 1
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.Conduit.A) -> Slecht: (http://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP2142C6E5-F5FE-4797-A26F-3D410F3C1D22&SSPV=) Goed: (http://www.google.com) -> Geen actie ondernomen.
Mappen gedetecteerd: 1
C:\Users\i\AppData\Roaming\SpeedAnalysis3 (PUP.Optional.SpeedAnalysis3.A) -> Geen actie ondernomen.
Bestanden gedetecteerd: 30
C:\$Recycle.Bin\S-1-5-21-3190488472-732595149-1747836511-1001\$RRXEJ5D.exe (PUP.Optional.OpenCandy) -> Geen actie ondernomen.
C:\AdwCleaner\Quarantine\C\Windows\System32\roboot64.exe.vir (PUP.Optional.PCPerformer.A) -> Geen actie ondernomen.
C:\Program Files (x86)\FrostWire 5\frostwire-installer.exe (PUP.Optional.OpenCandy) -> Geen actie ondernomen.
C:\ProgramData\COMODO\Cis\Quarantine\data\{A1036AC1-A1E3-4865-AFC1-D4FDD1BDA043} (PUP.Optional.WebCake.A) -> Geen actie ondernomen.
C:\Users\i\.frostwire5\updates\frostwire-5.6.9.windows.exe (PUP.Optional.OpenCandy) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3UWJL7SF\SPSetup[1].exe (PUP.Optional.Conduit.A) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5B25J1C8\WebCakesetup[1].exe (PUP.Optional.Yontoo) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6ZCBFIYB\spstub[1].exe (PUP.Optional.Conduit.A) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Temp\MixiYD.exe (PUP.Optional.Babylon.A) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Temp\nsfCB48.exe (PUP.Optional.SearchProtect.A) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Temp\nsj4E0B.exe (PUP.Optional.SearchProtect.A) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Temp\nsk97E8.exe (PUP.Optional.SearchProtect.A) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Temp\nskCFFB.exe (PUP.Optional.SearchProtect.A) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Temp\nsp9103.exe (PUP.Optional.SearchProtect.A) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Temp\nsv9346.exe (PUP.Optional.SearchProtect.A) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Temp\nsvCD7B.exe (PUP.Optional.SearchProtect.A) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Temp\S4hOvDzy.exe.part (PUP.Optional.SweetIM) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Temp\utt689C.tmp.exe (PUP.Optional.Conduit.A) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Temp\BC0F2BF3-BAB0-7891-96F2-30B3A0F469B9\Setup.exe (PUP.Optional.Babylon.A) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Temp\BC0F2BF3-BAB0-7891-96F2-30B3A0F469B9\Latest\CrxInstaller.dll (PUP.Optional.Babylon.A) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Temp\BC0F2BF3-BAB0-7891-96F2-30B3A0F469B9\Latest\MntrDLLInstall.dll (PUP.Optional.Babylon.A) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Temp\BC0F2BF3-BAB0-7891-96F2-30B3A0F469B9\Latest\MyDeltaTB.exe (PUP.Optional.Delta) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Temp\BC0F2BF3-BAB0-7891-96F2-30B3A0F469B9\Latest\Setup.exe (PUP.Optional.Babylon.A) -> Geen actie ondernomen.
C:\Users\i\AppData\Local\Temp\busA221\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Geen actie ondernomen.
C:\Users\i\Documents\2C\SopCast.zip (PUP.Optional.Spigot.A) -> Geen actie ondernomen.
C:\Users\i\Downloads\SF.exe (PUP.Adware.RelevantKnowledge) -> Geen actie ondernomen.
C:\Users\i\Downloads\SoftonicDownloader_for_photofiltre.exe (PUP.Optional.Softonic.A) -> Geen actie ondernomen.
C:\Users\i\Downloads\SoftonicDownloader_voor_frostwire.exe (PUP.Optional.Softonic) -> Geen actie ondernomen.
C:\Users\i\AppData\Roaming\SpeedAnalysis3\speedanalysis.crx (PUP.Optional.SpeedAnalysis3.A) -> Geen actie ondernomen.
C:\Users\i\Downloads\Dreamweaver8keygen.rar (Riskware.Tool.CK) -> Succesvol in quarantaine geplaatst en verwijderd.
(einde)
Daarom nog eens herlopen met een snelle scan, veilige modus.
Code:
Malwarebytes Anti-Malware (-evaluatieversie-) 1.75.0.1300
www.malwarebytes.org
Databaseversie: v2014.02.13.11
Windows 7 Service Pack 1 x64 NTFS (Veilige modus/netwerkmogelijkheden)
Internet Explorer 11.0.9600.16476
i :: [administrator]
Bescherming: Uitgeschakeld
14/02/2014 0:46:39
mbam-log-2014-02-14 (00-46-39).txt
Scan type: Snelle scan
Ingeschakelde scan opties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scan opties: P2P
Objecten gescand: 259077
Verstreken tijd: 8 minuut/minuten, 41 seconde(n)
Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels gedetecteerd: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A66261FC-B82E-4EC7-9F6D-C2F36B871DF0} (PUP.Optional.SpeedAnalysis3.A) -> Geen actie ondernomen.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FF103732-4528-4322-AA8B-F7849AB7776B} (PUP.Optional.BestToolbars) -> Geen actie ondernomen.
Registerwaarden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registerdata gedetecteerd: 1
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.Conduit.A) -> Slecht: (http://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP2142C6E5-F5FE-4797-A26F-3D410F3C1D22&SSPV=) Goed: (http://www.google.com) -> Succesvol in quarantaine geplaatst en gerepareerd.
Mappen gedetecteerd: 1
C:\Users\i\AppData\Roaming\SpeedAnalysis3 (PUP.Optional.SpeedAnalysis3.A) -> Succesvol in quarantaine geplaatst en verwijderd.
Bestanden gedetecteerd: 24
C:\$Recycle.Bin\S-1-5-21-3190488472-732595149-1747836511-1001\$RRXEJ5D.exe (PUP.Optional.OpenCandy) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\AppData\Local\Temp\MixiYD.exe (PUP.Optional.Babylon.A) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\AppData\Local\Temp\nsfCB48.exe (PUP.Optional.SearchProtect.A) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\AppData\Local\Temp\nsj4E0B.exe (PUP.Optional.SearchProtect.A) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\AppData\Local\Temp\nsk97E8.exe (PUP.Optional.SearchProtect.A) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\AppData\Local\Temp\nskCFFB.exe (PUP.Optional.SearchProtect.A) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\AppData\Local\Temp\nsp9103.exe (PUP.Optional.SearchProtect.A) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\AppData\Local\Temp\nsv9346.exe (PUP.Optional.SearchProtect.A) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\AppData\Local\Temp\nsvCD7B.exe (PUP.Optional.SearchProtect.A) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\AppData\Local\Temp\S4hOvDzy.exe.part (PUP.Optional.SweetIM) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\AppData\Local\Temp\utt689C.tmp.exe (PUP.Optional.Conduit.A) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\AppData\Local\Temp\BC0F2BF3-BAB0-7891-96F2-30B3A0F469B9\Setup.exe (PUP.Optional.Babylon.A) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\AppData\Local\Temp\BC0F2BF3-BAB0-7891-96F2-30B3A0F469B9\Latest\CrxInstaller.dll (PUP.Optional.Babylon.A) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\AppData\Local\Temp\BC0F2BF3-BAB0-7891-96F2-30B3A0F469B9\Latest\MntrDLLInstall.dll (PUP.Optional.Babylon.A) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\AppData\Local\Temp\BC0F2BF3-BAB0-7891-96F2-30B3A0F469B9\Latest\MyDeltaTB.exe (PUP.Optional.Delta) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\AppData\Local\Temp\BC0F2BF3-BAB0-7891-96F2-30B3A0F469B9\Latest\Setup.exe (PUP.Optional.Babylon.A) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\AppData\Local\Temp\busA221\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\Downloads\SF.exe (PUP.Adware.RelevantKnowledge) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\Downloads\SoftonicDownloader_for_photofiltre.exe (PUP.Optional.Softonic.A) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\Downloads\SoftonicDownloader_voor_frostwire.exe (PUP.Optional.Softonic) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\Local Settings\Temporary Internet Files\Content.IE5\3UWJL7SF\SPSetup[1].exe (PUP.Optional.Conduit.A) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\Local Settings\Temporary Internet Files\Content.IE5\5B25J1C8\WebCakesetup[1].exe (PUP.Optional.Yontoo) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\Local Settings\Temporary Internet Files\Content.IE5\6ZCBFIYB\spstub[1].exe (PUP.Optional.Conduit.A) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Users\i\AppData\Roaming\SpeedAnalysis3\speedanalysis.crx (PUP.Optional.SpeedAnalysis3.A) -> Succesvol in quarantaine geplaatst en verwijderd.
(einde)
Opstarten lukte nog niet volledig.
Ik durfde de registry sleutels niet verwijderen en heb deze morgen nog eens gescand en deze toch verwijderd, waardoor (of dit de reden echt is?) het opstarten nu wel lukt.
Code:
Malwarebytes Anti-Malware (-evaluatieversie-) 1.75.0.1300
www.malwarebytes.org
Databaseversie: v2014.02.14.03
Windows 7 Service Pack 1 x64 NTFS (Veilige modus/netwerkmogelijkheden)
Internet Explorer 11.0.9600.16476
i :: [administrator]
Bescherming: Uitgeschakeld
14/02/2014 8:46:27
mbam-log-2014-02-14 (08-46-27).txt
Scan type: Snelle scan
Ingeschakelde scan opties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scan opties: P2P
Objecten gescand: 259171
Verstreken tijd: 11 minuut/minuten, 4 seconde(n)
Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels gedetecteerd: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A66261FC-B82E-4EC7-9F6D-C2F36B871DF0} (PUP.Optional.SpeedAnalysis3.A) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FF103732-4528-4322-AA8B-F7849AB7776B} (PUP.Optional.BestToolbars) -> Succesvol in quarantaine geplaatst en verwijderd.
Registerwaarden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registerdata gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Mappen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Bestanden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
(einde)
Toen dat lukte nog eens in de normale windows mode laten lopen:
Code:
Malwarebytes Anti-Malware (-evaluatieversie-) 1.75.0.1300
www.malwarebytes.org
Databaseversie: v2014.02.14.03
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
i :: [administrator]
Bescherming: Ingeschakeld
14/02/2014 14:56:28
mbam-log-2014-02-14 (14-56-28).txt
Scan type: Snelle scan
Ingeschakelde scan opties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scan opties: P2P
Objecten gescand: 261579
Verstreken tijd: 9 minuut/minuten, 49 seconde(n)
Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registerwaarden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registerdata gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Mappen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Bestanden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
(einde)
Favorieten/bladwijzers