Toon posts:

Trojan infectie, AnimeCL2.exe

Pagina: 1
Acties:

Onderwerpen

NOD32 Popup Trojan Virus

vrijdag 4 december 2009 19:03

Acties:
  • 0 Henk 'm!
  • RaJitsu
  • Registratie: Januari 2002
  • Laatst online: 09:35

RaJitsu

B.S.U.R.

Topicstarter
Beste allen,

Ik was gisteren mijn laptop vanaf een schone Windows 7 installatie de boel aan het bijwerken, toen Nod32 opeens de volgende meldingen gaf:
Afbeeldingslocatie: http://img691.imageshack.us/img691/1327/melding.jpg

Afbeeldingslocatie: http://img138.imageshack.us/img138/6697/melding2.jpg

Om en om komen ze om de zoveel tijd weer tevoorschijn. Nod32 lijkt dus bepaalde activiteiten te zien en deze te bestrijden, maar het helemaal weghalen doet hij niet.

Wat ik verder krijg is bij het surfen (ik gebruik firefox) opeens een extra tabblad wordt geopend naar iets als:
Afbeeldingslocatie: http://img51.imageshack.us/img51/7612/11846057.th.jpg.

'Calivary' heb ik ook naar gezocht, maar eveneens niets gevonden in relatie tot een trojan.

Ik heb tevens gegoogled op 'anime2CL.exe' maar zonder resultaat.

Ik heb de windows\temp-map al meerdere malen leeggemaakt. Verder heb ik dieptescans laten uitvoeren door Malwarebytes' Anti-Malware en SuperAnti-Spyware. Beiden geven aan dat er niets meer is. Nod32 vindt bij een scan ook geen bedreigingen. De meldingen blijven echter komen.

Iemand die weet wat ik kan doen?

[ Voor 8% gewijzigd door RaJitsu op 05-12-2009 16:35 . Reden: Googlesearch-entry veranderd van 'animeCL2.exe' naar 'anime2CL.exe' ]

B.S.U.R.

vrijdag 4 december 2009 19:21

Acties:
  • 0 Henk 'm!
  • Saven
  • Registratie: December 2006
  • Laatst online: 14:45

Saven

Administrator

Als je toch net alles opnieuw er op hebt gezet, zou ik persoonlijk alles nog een keer opnieuw doen.
Kost wel weer eventjes wat tijd natuurlijk, maar neemt niet weg dat je zo zeker weet dat je pc virusvrij is.

Mits je geen illegale windows versie hebt met ingebakken spyware oid, en van gare cracks afblijft tijdens de installatie van je apps :P

vrijdag 4 december 2009 20:13

Acties:
  • 0 Henk 'm!
  • RaJitsu
  • Registratie: Januari 2002
  • Laatst online: 09:35

RaJitsu

B.S.U.R.

Topicstarter
Is een optie, maar liever niet natuurlijk aangezien ik toch een paar uurtjes ben beziggeweest enzo. Daarbij weet ik niet hoe ik eraan kom. Ik heb eigenlijk alleen maar applicaties geïnstalleerd. Niets 'shady', Win7 en Nod32 gewoon met licentie, en verder alleen maar gratis oplossingen. De noodzaak om allerlei rare sites te bezoeken is er al jaren niet meer bij mij. Daarom vind ik het ook zo vreemd. Vroeger met het zoeken op Altavista en dergelijke liep je nog wel eens ergens tegen aan. Maar nu....

[ Voor 28% gewijzigd door RaJitsu op 04-12-2009 20:22 ]

B.S.U.R.

vrijdag 4 december 2009 23:24

Acties:
  • 0 Henk 'm!
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

Is dit een topic dat je ook hebt aangemaakt ?
Altijd handig om ernaar te verwijzen in je TS.

Somewhere in Texas there's a village missing its idiot.

zaterdag 5 december 2009 01:29

Acties:
  • 0 Henk 'm!
  • RaJitsu
  • Registratie: Januari 2002
  • Laatst online: 09:35

RaJitsu

B.S.U.R.

Topicstarter
Dat topic op Helpmij gaat inderdaad over hetzelfde.

B.S.U.R.

zaterdag 5 december 2009 01:32

Acties:
  • 0 Henk 'm!
  • gambieter
  • Registratie: Oktober 2006
  • Niet online

gambieter

Just me & my cat

BartPE live CD maken met up to date virusscanner, en daar vanaf scannen.

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

zaterdag 5 december 2009 02:42

Acties:
  • 0 Henk 'm!
  • soulrider
  • Registratie: April 2005
  • Laatst online: 27-11-2017

soulrider

je hebt blijkbaar een surfby-infectie gehad door een virus. (even aan het srufen geweest tijdens het updaten?)
-> een iframe injected in een 'betrouwbare' site mbv bv sql/js/html-injection waarin dan een site geladen wordt die enkele exploits uitprobeerde op je browser en er blijkbaar ingeslaagd is toch een deel op je pc te krijgen.
(mss niet het deel dat verdere infectie's veroorzaakt, maar wel het deel dat popups veroorzaakt)

Een deel is opgevangen door je NOD32, maar niet alles: scannen vanaf een live-CD met een volledig uptodate antivirus. en anders herinstalleren van je windows.

Is de popup bij IE of FF ? of bij beiden?
heb je ev. ook al met "de andere" browser geprobeerd ?
(voor als je IE-,FF- of $browser-fanboy bent en 'de andere browser(s) nog niet hebt gecontroleerd)

Dan weet je ook direct of het een browserhulpobject is of iets anders.

post eventueel een hijack this report tss [ code ]-tags... (zodat wij makkelijk naar regels kunnen verwijzen)

en denk even na wat je exact aan het doen was vlak voor de popup.
(er zijn ook zero-day-exploits voor de nieuwe browsers en OS'en... kan zijn dat je 1 van de eersten bent die er 'in-the-wild' kennis mee maakt)

ps: die .exe is nog steeds vindbaar op die link dus ik heb hem even ingestuurd naar virusscan.jotti.org
het resultaat vind je zodra hij gedaan heeft bij:
http://virusscan.jotti.or...321e3361ff63a2d1cee94d472

slechts 6 van de 20 herkennen hem (waarvan eentje te lang bezig was met de scan)
dus nog een vrij nieuw malware. probeer eventueel de andere scanners eens die hem ook herkennen ?


en hier op GoT is er al een topic over dit virus:
Kryptik.BHG trojan

[ Voor 28% gewijzigd door soulrider op 05-12-2009 02:59 ]

zaterdag 5 december 2009 12:14

Acties:
  • 0 Henk 'm!
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

Volledig eens met soulrider hierboven :)
Ik heb tevens gegoogled op 'animeCL2.exe' maar zonder resultaat.
Dat lijkt me niet erg verwonderlijk. De executable heet namelijk 'anime2CL.exe' ;)

@Moderators: misschien ook hier een titelfix nodig... :+

Hier nog een linkje naar VirusTotal, en hier kan je de laatste versie van HijackThis downloaden.
Moest de link niet laden, of moest HijackThis niet openen, is dit een teken van een blokkade door het virus.
Probeer dan eens de file te downloaden op een andere computer, te hernoemen naar iets dat niet de originele naam is, en daarna op een CD te branden. (geen memstick, die zijn schrijfbaar).

Eventueel kan je nog proberen op te starten in Veilige Modus (F8) om daar HijackThis te runnen.

Somewhere in Texas there's a village missing its idiot.

zaterdag 5 december 2009 16:34

Acties:
  • 0 Henk 'm!
  • RaJitsu
  • Registratie: Januari 2002
  • Laatst online: 09:35

RaJitsu

B.S.U.R.

Topicstarter
Petervanakelyen schreef op zaterdag 05 december 2009 @ 12:14:
Volledig eens met soulrider hierboven :)


[...]
Dat lijkt me niet erg verwonderlijk. De executable heet namelijk 'anime2CL.exe' ;)
Had ik inderdaad ook gezien :). Maar ook daarmee helaas maar weinig resultaten.
soulrider schreef op zaterdag 05 december 2009 @ 02:42:
Is de popup bij IE of FF ? of bij beiden?
Beiden, evenals bij Chrome. Alleen bij IE duurt het wel langer voordat Nod32 een melding geeft dan de andere twee.
je hebt blijkbaar een surfby-infectie gehad door een virus. (even aan het srufen geweest tijdens het updaten?)
Jep, doe ik eigenlijk altijd... :|
en hier op GoT is er al een topic over dit virus:
Kryptik.BHG trojan
De mijne was eerder, vandaar dat ik het nog niet gezien had. Hopelijk heeft Edinho nog wel de mogelijkheid om een Hijackthis-logje te posten, zodat er alsnog een oplossing voor deze trojan geformuleerd kan worden.
Ik heb ervoor gekozen om toch maar alles opnieuw te installeren, hoe interessant het ook leek om het gewoon te bestrijden. Met Windows 7 is dat immers toch een stuk minder vervelend gezien de snelheid van het installatieproces. Het is namelijk niet mijn eigen laptop, maar van iemand anders die hem vandaag kwam ophalen. Evengoed erg bedankt voor jullie bijdragen.

[ Voor 50% gewijzigd door RaJitsu op 05-12-2009 16:39 ]

B.S.U.R.

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq