Besmet met malware, hoe te verwijderen en voorkomen

woensdag 17 februari 2010 14:25

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Gister avond is mijn pc besmet geraakt met een nep antivirus programma genaamd "xp antivirus pro".
Ik wist toen nog niet hoe ik daar aangekomen was.
Echter, nu (een dag later) ook the pirate bay bezocht, en direct precies hetzelfde malware.
Ik weet nu dus 100% zeker dat het van de pirate bay website afkomstig is.
Ik adviseer dan ook voorlopig geen bezoekje meer te brengen aan deze website.
Ik vermoed dat advertenties de boosdoender kunnen zijn, of dat ze gehacked zijn.
Je word overgehaald de virus scanner te kopen.
Doe dit natuurlijk niet. Echter, deze malware is erg hardnekkig, en veroorzaakt ook virus problemen.
Zowel Avira, adaware en spybot kunnen het niet oplossen. Spybot weet wel een aantal onderdelen te verwijderen, maar nog lang niet genoeg.
Spy doctor leek wel goed te werken (voorlopig).
Ik kan mij niet voorstellen dat ik de enige ben die dit heeft opgelopen tot twee keer toe op twee verschillende pc's en locaties. Geen enkele verbinding tussen de twee pc's.

Volgens mij loop je het niet op op de startpagina van de site. Maar als er ergens op zoekt, en de zoekresultaten te zien krijgt is het bingo. Een browser met standaard instellingen zal de malware niet tegen houden. Bijde pc's draaien overigens Windows xp met explorer 7.
Als iedereen dit oploopt die op pirate bay surft zullen er nu miljoenen mensen zijn met deze malware, en een deel daarvan zal de virusscan kopen word hier heel veel mee verdien. Het programma lijkt heel erg op windows xp spul. Het security center van windows xp lijkt aangepast te zijn met deze virusscanner.
Gevaarlijk spul dus.

Meer mensen die dit hebben opgelopen?

woensdag 17 februari 2010 14:27

Acties:

0 Henk 'm!

LinuX-TUX

Zomaar hoor:
1) Welke browser gebruik je? IE 7
2) Wat voor antivirus software heb je draaien?
3) Zijn er nog exotische browser-extensies die je actief hebt?

Zelf net even met Firefox3 & Chromium bezocht ... heb nog nergens last van

(3 keer raden waarom aan mijn icoon te zien

... maar dan nog zie ik wel wat ervoorbij schiet via wireshark)

[ Voor 39% gewijzigd door LinuX-TUX op 17-02-2010 14:29 ]

woensdag 17 februari 2010 14:29

Acties:

0 Henk 'm!

CodeCaster

Can I get uhm...

Die zooi installeert zich nooit zomaar, dus je hebt op een banner lopen klikken of troep gedownload waar die malware al in zat.

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

woensdag 17 februari 2010 14:29

Acties:

0 Henk 'm!

LieveNiels

On Fire

Je vraagt dus of er meer mensen zijn die geklikt hebben op een schreeuwerige banner die je opdraagt een onbekende virusscanner te installeren omdat je 'geinfecteerd bent'?

woensdag 17 februari 2010 14:31

Acties:

0 Henk 'm!

Verderf

CodeCaster schreef op woensdag 17 februari 2010 @ 14:29:
Die zooi installeert zich nooit zomaar, dus je hebt op een banner lopen klikken of troep gedownload waar die malware al in zat.

onzin, zie het hier @work ook vaak genoeg - dat spul gebruik heel simpel een exploit in ie7 of 8 en het is geinstalleerd zonder dat je ook maar ergens op gedrukt hebt.

woensdag 17 februari 2010 14:31

Acties:

0 Henk 'm!

Verwijderd

spy doctor? je bedoelt spyware doctor? wat vreemd, daar moet je voor betalen. Is dit een nieuwe vorm van spam?

woensdag 17 februari 2010 14:31

Acties:

0 Henk 'm!

Vanx

Malware bytes antimalware is erg goed tegen XP antivirus.

Dan moet je wel kunnen installeren, want die werkt niet vanaf USB stick.

woensdag 17 februari 2010 14:32

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

Veel troep laat ook nepbanners zien op website en nep pop-ups. Ik heb net nog even gekeken op TPB maar dan gebeurd er niks (of je moet zelf op alle banners geklikt hebben, dat heb ik niet getest

)

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

woensdag 17 februari 2010 14:33

Acties:

0 Henk 'm!

EDIT

Verwijderd schreef op woensdag 17 februari 2010 @ 14:25:
Ik weet nu dus 100% zeker dat het van de pirate bay website afkomstig is.

Je bent besmet met software die de websites die je bezoekt anders laat zien dan ze daadwerkelijk zijn. Daardoor lijkt het alsof TPB deze software aanbied, terwijl dit niet het geval is. Je zult wel iets gedownload hebben waar deze malware in zat.

EDIT: By the way, om het nog nuttig te houden:
http://www.bleepingcomputer.com/virus-removal/remove-antivir

Tutorial over het verwijderen van deze software.

EDIT 2: lijkt een banner te zijn die de bezoeker naar een of andere chinese site haalt, zie ook dit topic: http://forum.suprbay.org/showthread.php?tid=345 (laatste pagina's zijn van de laaste dagen)

[ Voor 29% gewijzigd door EDIT op 17-02-2010 14:42 . Reden: Aanvullingen ]

woensdag 17 februari 2010 14:33

Acties:

0 Henk 'm!

MrHarry

dit is een zeer bekende vorm van scam enzo, heb het al vaker voorbij zien komen. Jammer dat ze er idd veel geld aan verdienen.
Echter krijg je idd niet zomaar een virus op je pc dus vrees dat je misschien tijdens het surfen op piratebay op een banner hebt geclicked en daar wellicht ja op gezegd? ( slechte zaak zowizo dat, dat soort banners daarop zouden staan maarja het is ook weer geen tweakers.net site zeg maar

).
safe mode scannen lost niks op?

woensdag 17 februari 2010 14:39

Acties:

0 Henk 'm!

CodeCaster

Can I get uhm...

Verderf schreef op woensdag 17 februari 2010 @ 14:31:
[...]

onzin, zie het hier @work ook vaak genoeg - dat spul gebruik heel simpel een exploit in ie7 of 8 en het is geinstalleerd zonder dat je ook maar ergens op gedrukt hebt.

Zou deze "heel simpele" exploit in IE7 of 8 waarmee je programmatuur zou kunnen laten installeren of uitvoeren, als hij bestaat, niet íets vaker gebruikt worden dan nu het geval is?

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

woensdag 17 februari 2010 14:40

Acties:

0 Henk 'm!

Baserk

Gebruik eens MalwarebytesAntimalware en HitManPro om op te schonen. (BleepingComputer instructies)
Misschien Firefox met AdblockPlus en Noscript voor het surfen.
En ja, dit soort malware is er in vele varianten en onder zeer veel verschillende namen.

[ Voor 19% gewijzigd door Baserk op 17-02-2010 14:43 ]

Romanes eunt domus | AITMOAFU

woensdag 17 februari 2010 14:48

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ik had dit soort reacties verwacht.

Echter, ik ben een ervaren internetter, en natuurlijk heb ik nergens op geklikt, halo!
Ik vermoed dat dit een activeX onderdeel is die IE7 met standaard instellingen laat uitvoeren.
direct worden er vensters geopend (geen internet vensters) met een zogenaamde scan naar virussen.
enkele seconden later word een tweede venster geopend dat security center van xp moet voorstellen.
Je kan dit tijdelijk stoppen door proces "AV.exe" te beeindigen.
Maar dit start na een minuut gewoon weer op.
1 computer had Avira draaien. Maar zowel met Avira, adaware en spybot is het niet weg te halen.
Alleen Spyware doctor had succes, maar dit is een betaald programma helaas.

De malware is een bekent programma, gaat onder vele namen...
http://www.411-spyware.com/antivirus-xp-pro-removal

Echter komen ook diverse virussen erbij die al high threat worden geclassificeerd na een aantal minuten.

Een pc die nog nooit in jaren besmet is geweest met malware was opeens besmet. Nog nooit gehad. Vandaar dat ik dit zo opmerkelijk vind, toch geen onbekende site.

woensdag 17 februari 2010 14:50

Acties:

0 Henk 'm!

Snake

Los Angeles, CA, USA

CodeCaster schreef op woensdag 17 februari 2010 @ 14:29:
Die zooi installeert zich nooit zomaar, dus je hebt op een banner lopen klikken of troep gedownload waar die malware al in zat.

Je gaat het niet geloven, maar toch gebeurt het. Kom je op een website, begint ie ineens te doen alsof je geinfecteerd bent, wil ie een bestand downloaden, de minder slimme gebriuker klikt rap op uitvoeren

Going for adventure, lots of sun and a convertible! | GMT-8

woensdag 17 februari 2010 14:53

Acties:

0 Henk 'm!

jelmervos

Simple user

Verderf schreef op woensdag 17 februari 2010 @ 14:31:
[...]

onzin, zie het hier @work ook vaak genoeg - dat spul gebruik heel simpel een exploit in ie7 of 8 en het is geinstalleerd zonder dat je ook maar ergens op gedrukt hebt.

Welke exploit is dat dan? Ben erg benieuwd.

"The shell stopped unexpectedly and Explorer.exe was restarted."

woensdag 17 februari 2010 14:54

Acties:

0 Henk 'm!

wagenveld

Malwarebytes heeft geen moeite met die rotzooi.

woensdag 17 februari 2010 14:56

Acties:

0 Henk 'm!

Verwijderd

Heb hetzelfde probleem gehad maar ******Avast****** Heeft me gered

woensdag 17 februari 2010 15:02

Acties:

0 Henk 'm!

YopY

Verwijderd schreef op woensdag 17 februari 2010 @ 14:48:
Echter, ik ben een ervaren internetter,

[/snip]

Vandaar dat je nog een oudere browser gebruikt (IE 7 is verouderd, ja). Natuurlijk weet ik niet of je via je werk op het internet zit waar je nieuwe software kunt installeren - alhoewel ik het betwijfel, aangezien je normaalgesproken niet op TPB zit op je werk.

D'r zijn tientallen exploits over de jaren voor de verschillende browsers, en zelfs zonder exploits kan dit soort software zichzelf installeren.

Ook komt het vaak voor dat een crack bij een app of game op TPB dit soort malware bevat. Lees altijd de opmerkingen die erbij staan, en ga niet te makkelijk op dat soort dingen klikken.

Gewoon systeemherstel doen van een paar dagen terug, alles na scannen met de verschillende programma's zoals hier voorgesteld is, je systeem helemaal updaten (windows, IE), alternatieve browser gebruiken indien mogelijk, en oppassen met welke bestanden je opent en welke websites je bezoekt.

woensdag 17 februari 2010 15:10

Acties:

0 Henk 'm!

iisschots

Je kan dit stuk malware op verschillende manieren oplopen. Er zijn een aantal suggesties gedaan. Het hoeft niet van TPB gekomen te zijn. Ik heb de titel gewijzigd zodat hij beter de inhoud van dit topic weergeeft.

Mocht dit topic echt zin krijgen, graag dan hier inhoudelijk op in gaan, niet alleen een naam van een programma dat het ook kan verwijderen hier posten en voor de rest niks.

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

woensdag 17 februari 2010 15:13

Acties:

0 Henk 'm!

netvor

Duidelijk een geval van "Drive-by download", soms ook wel "drive-by install" genoemd. Ook al klik je nergens op, toch installeert de malware zich. Soms dus vanwege een beveiligingslek in je browser, maar ze kunnen ook gebruik maken van lekken elders, bijvoorbeeld in browserplugins. Zo heb ik het zelf een keertje opgelopen, ook al maakte ik toen gebruik van een up-to-date Opera browser op een up-to-date Windows systeem; ik had een verouderde installatie van Adobe Reader (die dus was verouderd omdat de Adobe Updater zo gruwelijk onbetrouwbaar is) en via een kwaadaardig PDF-object is de malware toen uitgevoerd.

Het up-to-date houden van je browser en OS is dus niet voldoende, denk ook aan de plugins. Jammer genoeg worden plugins niet samen met de browser up-to-date gehouden. Mozilla heeft tegenwoordig een lapmiddeltje in de vorm van https://www.mozilla.com/en-US/plugincheck/ maar ik kan dat amper een goede oplossing noemen.

Computer Science: describing our world with boxes and arrows.

woensdag 17 februari 2010 15:21

Acties:

+1 Henk 'm!

Verwijderd

Topicstarter

Ik heb gevonden waar het precies zit in Pirate bay, geef als zoekterm "wga fix" in, en die zoekresultaten geven het probleem.
Het ligt er dus maar aan waar je naar zoekt. Advertenties zijn vaak afhankelijk van je zoekterm.

Hier de link naar de zoekresultaten pagina, LET OP, IK ZOU ER NIET OP KLIKKEN!!!!
Alleen voor mensen die de pagina kundig willen analyseren, en weten wat ze doen!!!!

Graag niet verwijzen naar sites met warez of discutabele werking

Het vervelende is alleen dat nu de naam van het proces is gewijzigd naar "MSASCui.exe" i.p.v. "AV.exe".
Hierdoor lijkt spyware docter hem nu niet meer te zien, en krijg ik hem nu dus niet meer weg.
(had ik maar niet naar de bron gezocht, had ik er nu wel vanaf geweest)

(overigens, niet slim de titel van dit topic aan te passen, het ging er juist om om mensen te waarschuwen, link is het bewijs, de malware komt van de piratebay site.)

[ Voor 5% gewijzigd door iisschots op 17-02-2010 15:47 ]

woensdag 17 februari 2010 15:33

Acties:

0 Henk 'm!

Verwijderd

Ik moet je helaas toch teleurstellen, op de desbetreffende link gebeurd er hier niks. Threatfire ziet niks gebeuren, regmon, procexp, tcpview, spywareterminator shield merken niks op. Kijk nog eens naar de andere reacties, TPB is in ieder geval niet verantwoordelijk...

woensdag 17 februari 2010 15:36

Acties:

0 Henk 'm!

ParaNoiMia

Download Combofix (http://www.bleepingcomput...mbofix-gebruikt-te-worden) en voer deze uit volgens de instructies.

Dit sloopt of verwijderd in mijn ervaring de meeste malware goed genoeg om daarna Malware Bytes te kunnen installeren, waarmee je de restanten kan verwijderen.

Om de TS bij te vallen: ik heb deze besmetting zelf zien gebeuren, terwijl er nergens op geklikt werd en er met Firefox gesurfd werd. In mijn ogen kan je je hiertegen vrijwel niet beschermen, de meeste malware en virusscanners reageren vrijwel altijd te laat op dit soort dingen, waardoor het kwaad al is geschied.

woensdag 17 februari 2010 21:20

Acties:

0 Henk 'm!

Bever!

hier precies hetzelfde, ik was gisteren het haasje.
Nu opende mijn vriendin tpb vandaag weer en hoppa ineens begon het hele av2010 circus opnieuw.

Ook hier op geen enkele banner of popup geklikt, gewoon browser hi-jack waar niets tegen te doen is.
Gaat wrs via een ad waar tpb geen controle over heeft.

overigens alleen malwarebytes is in dit geval niet genoeg.
Dit prog installeert ook twee varianten van win32/kryptic.cln trojan!

[ Voor 52% gewijzigd door Bever! op 17-02-2010 21:29 ]

woensdag 17 februari 2010 21:30

Acties:

0 Henk 'm!

Bever!

Verwijderd schreef op woensdag 17 februari 2010 @ 15:33:
Ik moet je helaas toch teleurstellen, op de desbetreffende link gebeurd er hier niks. Threatfire ziet niks gebeuren, regmon, procexp, tcpview, spywareterminator shield merken niks op. Kijk nog eens naar de andere reacties, TPB is in ieder geval niet verantwoordelijk...

lekker kortzichtige reactie.. genoeg info in links hier in topic gegeven dat het juist wel via tpb gaat

woensdag 17 februari 2010 23:22

Acties:

0 Henk 'm!

coyote1980

Nou lekker dan, ook geinfecteerd geraakt tijdens het surfen, AVG heeft een htm-pagina in mn Temp map aangewezen als boosdoener. Heb av.exe gekilled (zo vaak als nodig was, enkele keren) en alle prefixes om av.exe te starten weggehaald uit de registry. Nu na een reboot blijft alles rustig.

Kon alleen av.exe niet handmatig verwijderen, raar, zou die zichzelf hebben verwijderd?

Alcohol and Calculus don't mix. Never drink and derive.

woensdag 17 februari 2010 23:29

Acties:

0 Henk 'm!

CodeCaster

Can I get uhm...

Bever! schreef op woensdag 17 februari 2010 @ 21:30:
[...]

lekker kortzichtige reactie.. genoeg info in links hier in topic gegeven dat het juist wel via tpb gaat

Ja want ieder probleem dat zich op tpb voordoet is ook echt de schuld van tpb? Dat ze linken naar dubieuze ads is hun probleem, ik heb een virtuele Windows 7 met ongepatchte IE7 uren laten refreshen op TPB op de gewraakte zoekterm en er was niets aan de hand, dat zegt net zo veel als jouw boze reactie.

Er is waarschijnlijk meer aan de hand met je pc wanneer deze ongein optreedt bij het bezoeken van tpb.

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

woensdag 17 februari 2010 23:40

Acties:

0 Henk 'm!

LuckY

Bever! schreef op woensdag 17 februari 2010 @ 21:20:
hier precies hetzelfde, ik was gisteren het haasje.
Nu opende mijn vriendin tpb vandaag weer en hoppa ineens begon het hele av2010 circus opnieuw.

Ook hier op geen enkele banner of popup geklikt, gewoon browser hi-jack waar niets tegen te doen is.
Gaat wrs via een ad waar tpb geen controle over heeft.

overigens alleen malwarebytes is in dit geval niet genoeg.
Dit prog installeert ook twee varianten van win32/kryptic.cln trojan!

Is je browser wel up to date

, immers daar zit het grootste probleem.

donderdag 18 februari 2010 00:29

Acties:

0 Henk 'm!

Verwijderd

LuckyY schreef op woensdag 17 februari 2010 @ 23:40:
[...]

Is je browser wel up to date , immers daar zit het grootste probleem.

Het grootste probleem zijn de plugins. Meer specifiek Adobe Acrobat (Reader) en Flash.
Alleen de browser uptodate is echt niet genoeg.

donderdag 18 februari 2010 00:32

Acties:

0 Henk 'm!

LuckY

Nee ok, het beste is alles up to date hebben

, maar ben het wel met je eens dat Reader en Flash voor veel problemen zorgen, heck er is vandaag zelfs een out-of-band patch gereleased.

donderdag 18 februari 2010 00:36

Acties:

0 Henk 'm!

D4NG3R

kiwi

Hitman Pro 3.5
Was voor mij de reddende engel $_/-\o_$
Ikzelf had ook last van malware in combo met een rootkit (die elkaar constant in stand hielden -.-)
NOD32 vond het wel, maar kon het niet verwijderen. AVG vond niks. 1x Hitman Pro 3.5 gedraait. Probleem opgelost!

Komt d'r in, dan kö-j d’r oet kieken

donderdag 18 februari 2010 10:19

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Zie je wel, het zit gewoon op TPB, ik zelf was er al van overtuigd, maar ben "blij" om ook andere mensen te zien die precies hetzelfde hebben opgelopen door op TPB te surfen. En geloof me, als de titel nog steeds "kijk uit voor TPB" was geweest waren er vast een stuk meer mensen.
Helaas heeft dit topic nu niet echt een waarschuwings functie meer aangezien de moderator de titel niet terrecht vond.

Voor mensen die dit hebben opgelopen, nogmaals...

Spyware doctor heeft het "volledig" verwijderd (als je dit programma nog niet geinstaleerd had, zo ja, dan word de malware niet meer herkent door spyware doctor).

Spybot Search and destroy kan een aantal reg's verwijderen waardoor je browser wel weer bruikbaar word, maar het spul niet goed is verwijderd.

Malwarebytes heb ik niet geprobeerd, maar een reactie hier was dat dat niet genoeg was.

Systeem herstel lijkt gewerkt te hebben, ook met het "gemuteerde" vorm wanneer spyware doctor al wel was geinstaleerd.

Avira, windows defender en adaware halen niets uit.

Het is vast en zeker de adds op TPB die afhankelijk van de zoekresultaten word getoond. Maar ik vind wel dat TPB al hun adds moeten checken, dat gebeurd hier dus niet, de betreffende add staat er min. 2 dagen op nu. Ik heb even gegoogled op malware the pirate bay, en er zijn echt super veel articles dat TPB malware helpt te verspreiden. Zelfs een tweakers nieuws bericht. Mijn idee is dan ook dat TPB hier mogelijk veel aan verdient om een oogje toe te knijpen. Gezien dat deze malware puur bedoeld is om geld te verdienen lijkt het goed mogelijk te zijn.

donderdag 18 februari 2010 12:18

Acties:

0 Henk 'm!

Jester-NL

... pakt een botte bijl

Sites moeten hun ads checken? De meeste websites laten het plaatsen van advertenties over aan allerlei andere bedrijfjes, die zich specialiseren in het aanbieden van web-advertenties. En DAAR zou die controle moeten plaatsvinden.
We weten met zijn allen dat TPB door een mannetje of drie, vier wordt onderhouden. Die kunnen menselijkerwijs niet alle advertenties en links die er op die site worden aangeboden controleren op 'schoon' zijn. Zeker niet als er sprake is van context-gevoelige ads.
Het is dus nogal kort door de bocht om te zeggen dat TPB de dader is. Hell, hun businessmodel is er op gericht om mensen naar de site toe te trekken, en dat doe je niet door malware te pushen

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

donderdag 18 februari 2010 12:23

Acties: