Verwijderen trojan o.a. perfcil.dll - Privacy en beveiliging

zaterdag 1 mei 2010 01:47

Acties:

Verwijderd

Topicstarter

Mijn pc heeft een aantal dagen geleden een Trojan opgelopen door een link vanuit google die direct een applicatie opende. Multitasken is niet altijd een goed idee. Computer sloeg vrijwel direct op tilt... (geen webtoegang, beperkte toegang binnen mijn eigen systeem, zelfopenende programma's, popups etc etc..)

Een aantal files heb ik handmatig kunnen verwijderen (Hitman en Avira lukten het niet) waardoor ik de controle over de pc weerin handen heb en de pc weer op internet kan. Maar internet is nog vertraagd en hoewel Malwarebytes bij scans niets vindt, blockt ie wel constant ip-adressen. Avira vindt niets, Hitman vindt wel maar die verwijder optie haalt niets uit, ook niet na opnieuw opstarten.

Mijn vraag is dus: hoe verwijder (en vind) ik de rest? Ik heb tot hier toe van fora afgeleerd maar nu kom ik niet verder.

Hitman vindt in elk geval C:\WINDOWS\system32\perfcil.dll als trojan. Maar deze is niet te verwijderen (geprobeerd: handmatg, via Hitman en via Fileassassin).

Heeft iemand een idee hoe ik die file kan verwijderen of moet ik gaan formatteren....?

zaterdag 1 mei 2010 05:33

Acties:

Mexel

↓ volgende bericht hieronder ↓

Probeer het eens met file-folder unlocker

↓ volgende bericht hieronder ↓

zaterdag 1 mei 2010 08:15

Acties:

SkyStreaker

Move on up!

Opstarten in veilige modus met de dosprompt, handmatig de file verwijderen, opstarten in gewone veilige modus, virus scannen en zoek naar perfcil.dll in je register en sloop elke aanwijzing d'r naar uit je reg weg. Kijk ook GOED je startuplist na, letterlijk genomen.

Dan zou je vermoedelijk weer safe moeten zijn.

zaterdag 1 mei 2010 08:36

Acties:

HotFix

Dat, of de boel formatteren. Het probleem bij praktisch alle Trojans, virussen, etcetera, is dat je gewoon niet zeker weet of alles weg is.
Dus wil je zeker zijn dat je computer weer veilig is, maak een backup, en herinstalleer je pc

zaterdag 1 mei 2010 08:37

Acties:

jelmervos

Simple user

Korste klap: herinstallatie van Windows. Weet je zeker dat er niks is achter gebleven.

"The shell stopped unexpectedly and Explorer.exe was restarted."

zaterdag 1 mei 2010 08:48

Acties:

Mar2zz

Nog kortere klap, installatie van een linuxdistro. weet je zekerder dat je het ook niet meer zomaar krijgt.

De grootste vraag moet eigenlijk nog beantwoord worden. Hoe kan een applicatie vanaf het web zomaar op jouw pc gestart worden? of bedoel je dat je door multitasken gewoon Ja hebt geklikt en toestemming gaf om je os kapot te maken? daar werkt niets tegen, maar als het gewoon gestart werd zonder een confirm van jouw kant dan zit er iets goed mis aan de kant van beveiliging.

Sowieso verdenk ik je van internetexplorergebruik, de browser die ook vraagt of je wil runnen terwijl andere browsers alleen laten opslaan. en je bent bij deze ook verdacht van het compleet uitschakelen van UAC anders had je 2x moeten klikken of je zit op een xp-machine, die dat niet heeft.

Ook al is dat kritiek daar kun je vast wel 2 tips uit extraheren.:
a: stop internet explorer en gebruik chrome/firefox/opera.
b: schakel uac weer in.

extra tips:
gebruik een adblocker (die blocken meestal ook malware-sites/links.)
gebruik een goeie firewall (voorkomt dat de trojan extra malware gaat binnentanken en nog verder besmetting veroorzaakt en voorkomt dat je onderdeel wordt van een botnet). dit alles mits goed geconfigureerd.

zaterdag 1 mei 2010 10:52

Acties:

Verwijderd

Googlen op C:\WINDOWS\system32\perfcil.dll of perfcil.dll levert helemaal niets op, behalve resultaten uit dit topic.

Ik betwijfel dus of dit bestand dan ook echt besmet is. De grote jongens in antivirusland hebben allemaal databases waarin exact beschreven wordt welke bestanden besmet worden door welk virus. Je zou dit dus eigenlijk moeten kunnen terugvinden in die databases.

Voordat je welke handeling dan ook gaat uitvoeren, is het aan te raden eerst een kloon te maken (met bijv. Hirens Boot CD) van je huidige HDD, zodat als er onverhoopt iets fout gaat, je altijd de kloon (mét infectie dus) kunt terugzetten, en opnieuw kunt proberen.

zaterdag 1 mei 2010 10:57

Acties:

itsalex

Dat is niet waar. De spyware/virussen gebruiken eigen namen. Je kan gerust ook pietje.dll heten en dan is het nog een moordwapen voor Windows.

Even een Hirenboot gebruiken of gewoon herinstallatie. Waarbij herinstallatie eigenlijk het beste is. Dan heb je ook geen problemen meer. Je weet niet wat er nog meer geïnstalleerd staat.

offtopic: ik heb in het verleden zoveel machine moeten opschonen met rotzooi maar er blijft echt veel achter. Zelfs als je alles weghaalt moet je het hele register door. Met extra prog zoals Ad-Aware, cc-cleaner heb ik systemen op zeep geholpen door belangrijke bestanden die geinfecteerd waren weggegooid. De mooiste was de explorer.exe om zeep was geholpen. Het leek op echt explorer in de windows map maar het was een vrij ernstig virus.

[ Voor 40% gewijzigd door itsalex op 01-05-2010 11:00 ]

I hit the CTRL key, but I'm still not in control!

zaterdag 1 mei 2010 11:07

Acties:

Verwijderd

Heeft jou AV programma niet de naam van het virus in het geinfecteerde bestand laten zien?

Mik em eens door een singlefile scanner?

* Kaspersky virus scan
* Jotti's online malware scan *
* VirusTotal *
* Virscan.org *
* VirusChief *
* Filterbit (beta) *

* = Deze virusscanners bieden de mogelijkheid om een enkel bestand te scannen met meerdere anti virus engines om zo te komen tot een betrouwbaardere indicatie of een bestand besmet is of niet.

maandag 3 mei 2010 17:40

Acties:

Verwijderd

Topicstarter

Bedankt voor jullie snelle reacties. Ik ben zelf wat laat vanwege een ander soort virus, de biologische variant

Ik heb wel de beveiliging maar heb inderdaad zelf het OK gegeven om de file te installeren. Met multitasken bedoel ik dus dat ik aan het bellen was en er maar half bij was. Normaal gesproken installeer ik niet zomaar iets, vooral niet als het zich direct opent vanuit een link, dat was gewoon niet slim. Ik was op zoek naar een applicatie (soort calculating tool) en ook daarom was ik niet bedacht op wat er vervolgens gebeurde..
De verdenking van IE gebruik is correct, maar omdat ik ook een firewall en Avira gebruik dacht ik dat ik vrij safe was. Het is ook de eerste keer dat mijn pc een virus heeft opgelopen. Voortaan toch maar Firefox, firewall, Avira en Malwarebytes lijkt me.

Ik heb de verschillende scans geprobeerd maar deze halen ook niets uit en ik heb te weinig kennis van zaken om verantwoordelijk het hele register uit te kunnen pluizen. Dat betekent dus formatteren. Jammer, maar in elk geval heel erg bedankt voor jullie informatie!

Hoe kan ik trouwens nu het best een back-up maken zonder het virus over te brengen? Ik heb wel een externe harde schijf maar het lijkt me niet erg verstandig die nu aan te zetten of wel?

[ Voor 4% gewijzigd door Verwijderd op 03-05-2010 17:44 ]

maandag 3 mei 2010 17:52

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op zaterdag 01 mei 2010 @ 10:52:
Googlen op C:\WINDOWS\system32\perfcil.dll of perfcil.dll levert helemaal niets op, behalve resultaten uit dit topic.

Ik betwijfel dus of dit bestand dan ook echt besmet is. De grote jongens in antivirusland hebben allemaal databases waarin exact beschreven wordt welke bestanden besmet worden door welk virus. Je zou dit dus eigenlijk moeten kunnen terugvinden in die databases.

Voordat je welke handeling dan ook gaat uitvoeren, is het aan te raden eerst een kloon te maken (met bijv. Hirens Boot CD) van je huidige HDD, zodat als er onverhoopt iets fout gaat, je altijd de kloon (mét infectie dus) kunt terugzetten, en opnieuw kunt proberen.

Mijn pc en internet zijn veel trager dan doorgaans het geval is en Malwarebytes blockt vrijwel constant pogingen om andere ip's ("mogelijk kwaadaardige websites") te benaderen dus ik denk toch dat er iets goed mis is. Maar wat natuurlijk kan zijn is dat ik bepaalde files heb gewist waardoor de scanners de bron niet meer kunnen vinden (ik heb enkele handmatig kunnen verwijderen in het begin, daarna kon ik zelf in elk geval wel weer op het internet en kreeg de toegang tot mijn pc terug).

Kan dat niet het geval zijn?

maandag 3 mei 2010 18:13

Acties:

Permutor

Iedere tweakert heeft natuurlijk zijn eigen voorkeur.
Ik maak zelf altijd gebruik van BootIt NG van TerabyteUnlimited, combinatie van partitie manager en boot manager. Voor jouw doel volstaat het gebruik van de partitie manager en dat is geheel gratis zolang je de boot manager niet gebruikt.
Met BootIt (of ander partitie manager, naar jouw believen) maak je buiten het OS om een image van de partitie waarop het OS staat. Het virus maakt dus geen kans. Dat image schrijf ik dan naar een externe HD via USB, of tegenwoordig via eSATA. Daarmee is het mogelijk in zeer redelijke tijden een image te maken van de OS partitie. Deze manier van werken gaat goed als je de grootte van de boot partitie redelijk bescheiden houdt. Van 15GB voor WinXP-32 tot 50GB voor W7-64.
Klonen van de OS-partitie is met dit soort tool grandioos eenvoudig.

dinsdag 4 mei 2010 19:53

Acties:

alt-92

ye olde farte

Verwijderd schreef op maandag 03 mei 2010 @ 17:52:
[...]

Mijn pc en internet zijn veel trager dan doorgaans het geval is en Malwarebytes blockt vrijwel constant pogingen om andere ip's ("mogelijk kwaadaardige websites") te benaderen dus ik denk toch dat er iets goed mis is. Maar wat natuurlijk kan zijn is dat ik bepaalde files heb gewist waardoor de scanners de bron niet meer kunnen vinden
Kan dat niet het geval zijn?

Fixed that for you

Serieus: maak een backup van je data, liefst nog vanuit een bootable omgeving als een PE-based Windows of een Linux Live DVD/CD en scan die nog eens goed door.
Reinstall die machine from scratch.
Dat jouw PC nog steeds botnet control centers probeert te contacten moet al genoeg reden zijn om je netwerkplug uit die PC te trekken totdat je een verse nietbesmette install erop hebt staan.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1

Reageer