Bekend virus, nieuwe uitvoering - Privacy en beveiliging

maandag 7 maart 2011 20:00

Acties:

Topicstarter

Excuses voor de herhaling van mijn vraag. Ook excuses naar de mod(s) ben in mijn TS niet volledig duidelijk geweest misschien. Even ter verduidelijking er staan op google zat guides hoe win 7 security 2011 te verwijderen. Echter als daar gekeken word naar welke processen, bestanden en registerywaarden verwijdert dienen te worden dan zijn deze niet terug te vinden bij mij. Inmiddels ben ik erachter dat tpg.exe onder de naam steam als virus opereert. Deze kill ik zodra deze opkomt. Mijn virusscanner is Microsoft Security essentials. Deze krijg ik echter niet meer draaiende. Malwarebytes wil niet installeren. Ik heb geen idee welke registerykeys ik moet verwijderen om dit proces de mond te kunnen snoeren.

Iemand enig idee hoe ik daarachter zou kunnen komen? Automatisch verwijderen lijkt niet te kunnen.

maandag 7 maart 2011 20:02

Acties:

Beatboxx

Certified n00b

heb je al even gegoogled?
En er zijn nogal veel andere programma's naast MBAM. En als je nou eens opstart vanaf een live-cd en tpg.exe verwijdert? Wat heb je zelf geprobeerd om het euvel te verhelpen?

[ Voor 100% gewijzigd door Beatboxx op 07-03-2011 20:04 ]

maandag 7 maart 2011 20:04

Acties:

gerjaknut

Topicstarter

zeker zeker maar wat ik zeg dit is een andere uitvoering die ik niet kan vinden. Ik mis nu dus een stukje informatie. De registery waardes zijn namelijk niet hetzelfde

maandag 7 maart 2011 20:05

Acties:

X_lawl_X

Opstarten in safe mode al geprobeerd? Als de mbam setup in safe mode nog niet start, kun je proberen om de .exe te hernoemen.

[ Voor 3% gewijzigd door X_lawl_X op 07-03-2011 20:05 ]

maandag 7 maart 2011 20:05

Acties:

Quad

Doof

Via een live CD (als Hirens Boot CD) spyware doctor draaien.
Ook kun je malware bytes ermee opstarten in Windows.
Je vindt het hier: http://www.hiren.info/pages/bootcd

Alles went behalve een Twent.
🎯Psst.. Kans maken op 12 maanden Tweakers HERO abonnement?
nggyu nglyd

maandag 7 maart 2011 20:07

Acties:

gerjaknut

Topicstarter

thx zal is kijken of een live cd'tje de oplossing kan zijn.

@ X_lawl_X:
wat bedoel je met de .exe hernoemen? opstarten in safemode uiteraard geprobeerd sterker nog daar draait de pc nu op. En nee installeren werkt niet.

maandag 7 maart 2011 20:10

Acties:

Beatboxx

Certified n00b

En waarom zou je je OS niet reïnstalleren? En waarom heb je nog geen Live-cd gebruikt?

maandag 7 maart 2011 20:10

Acties:

X_lawl_X

Als de naam van het setup bestand mbam-setup.exe is, kun je proberen het te hernoemen naar blah.exe. Het kan zijn dat het virus alle exe's met de naam van mbam erin blokkeert.

maandag 7 maart 2011 20:13

Acties:

Beatboxx

Certified n00b

of bleh.exe Maar 3 dingen

• Probeer ander anti-virus programma(bijv Hitman 3, Norton(trial)
• Reinstaller Windows
• Start op vanaf een ubuntu live-cd en verwijder tpg.exe

maandag 7 maart 2011 20:13

Acties:

gerjaknut

Topicstarter

Ik had wel gezocht naar een portable virusscanner maar die werkte niet... aan live cd had ik simpelweg gewoon niet gedacht al is dat natuurlijk wel stom

maandag 7 maart 2011 20:14

Acties:

Dysmael

Task killen dmv bv pskill.exe (onderdeel van PS tool van Sysinternals) en niet blind staren op registerkeys. Als die niet overeenkomen met diegene die elders beschreven staan dan verwijderd je de goede keys gewoon. Gebruik bv autoruns (wederom van Sysinternals) om het jezelf makkelijk te maken.

Edit: na het afsluiten van de task uiteraard wel de executable gelijk verwijderen.
Waarschijnlijk zit het 'virus' alleen in het profiel waar je hem herkent hebt. Hij wordt ook pas automatisch gestart bij het aanmelden. Staat wel ergens in de RunOnce key van het gebruikersregister.

[ Voor 32% gewijzigd door Dysmael op 07-03-2011 20:16 ]

maandag 7 maart 2011 20:18

Acties:

Quad

Doof

X_lawl_X schreef op maandag 07 maart 2011 @ 20:05:
Opstarten in safe mode al geprobeerd? Als de mbam setup in safe mode nog niet start, kun je proberen om de .exe te hernoemen.

Nee, dit virus blokkeerd alle .exe toepassingen.
Evenals bekende Windows toepassingen.
Wel grappig dat hij taakbeheer wel kan starten, was bij mij niet zo.

Heb via live CD spydoctor gerund en in Windows mbam vanaf live CD gestart (staat in CD > Wintools).
Die gewoon laten scannen en dan moet hij klaar zijn.

Alles went behalve een Twent.
🎯Psst.. Kans maken op 12 maanden Tweakers HERO abonnement?
nggyu nglyd

maandag 7 maart 2011 20:23

Acties:

gerjaknut

Topicstarter

ok thx nja ben dit virussoort 1 x eerder tegengekomen... bleek dat er gewoon een task voor alle taken bleef. ff windows toets en je was weer in windows

taakbeheer runnen tasks deleten en daarna een grondige schoonmaak doen

maandag 7 maart 2011 20:26

Acties:

Beatboxx

Certified n00b

Waarom maken mensen toch zulke virussen... En waarom blokkeert jouw anti-virus die niet?

maandag 7 maart 2011 20:30

Acties:

gerjaknut

Topicstarter

eerste vraag, om de persoon die het virus binnenkrijgt te laten denken dat je een licentie moet kopen. het geeft een scan met een paar tientallen fouten en zegt dat het pas opgelost kan worden als je betaald. Het is gewoon een vorm van scammen. Op de tweede vraag heb ik helaas geen antwoord...

maandag 7 maart 2011 20:35

Acties:

binbero

Start in safe mode,
Dan bij uitvoeren msconfig

Dan naar opstarten, daar staat hij ergens bij ,
ff vinkje weghalen.

herstart pc dan ff scannen met malware bytes .

maandag 7 maart 2011 20:37

Acties:

gerjaknut

Topicstarter

het heeft geen zin deze weg te halen. Het virus zal zichzelf herinstalleren.

maandag 7 maart 2011 20:42

Acties:

Bee.nl

zoemt

Voor dit soort gevallen wilt Combofix nog wel eens helpen. Het is een vrij agressieve tool, maar vaak wel in staat om de wat lastigere malware tegen te gaan.

maandag 7 maart 2011 20:51

Acties:

gerjaknut

Topicstarter

malwarebytes werkt inmiddels dmv live cd

maandag 7 maart 2011 20:53

Acties:

Verwijderd

Bee.nl schreef op maandag 07 maart 2011 @ 20:42:
Voor dit soort gevallen wilt Combofix nog wel eens helpen. Het is een vrij agressieve tool, maar vaak wel in staat om de wat lastigere malware tegen te gaan.

Combofix is inderdaad een krachtige tool

Aanrader.

maandag 7 maart 2011 20:58

Acties:

gerjaknut

Topicstarter

lijkt erop dat het enige foutje dat malwarebytes met quick scan kon vinden de oorzaak was. MSE was niet meer geinstalleerd ff herinstalleren en dan direct ff scan draaien

edit:
lees: Virus start niet op

[ Voor 9% gewijzigd door gerjaknut op 07-03-2011 21:04 ]

maandag 7 maart 2011 21:05

Acties:

Bee.nl

zoemt

gerjaknut schreef op maandag 07 maart 2011 @ 20:58:
lijkt erop dat het enige foutje dat malwarebytes met quick scan kon vinden de oorzaak was. MSE was niet meer geinstalleerd ff herinstalleren en dan direct ff scan draaien

Vergeet ook niet om even systeemherstel uit te schakelen, want het kan zich ook nestelen in de system restore folders. Ik neem aan dat je je temp folders al geleegd heb.

maandag 7 maart 2011 21:16

Acties:

gerjaknut

Topicstarter

voldoende om ccleaner ff een draai te geven met de scan naar troep toch?

maandag 7 maart 2011 21:32

Acties:

Quad

Doof

gerjaknut schreef op maandag 07 maart 2011 @ 20:58:
lijkt erop dat het enige foutje dat malwarebytes met quick scan kon vinden de oorzaak was. MSE was niet meer geinstalleerd ff herinstalleren en dan direct ff scan draaien

edit:
lees: Virus start niet op

Heb je MBam niet volledige scan kunnen laten draaien?
Anyway, goed dat het virus al zo uitgeschakeld is.
Combofix enzo er nog een keer overheen en dan moet het wel voor elkaar zijn

Alles went behalve een Twent.
🎯Psst.. Kans maken op 12 maanden Tweakers HERO abonnement?
nggyu nglyd

maandag 7 maart 2011 21:51

Acties:

iisschots

De vorige keer heb ik je topic gesloten omdat ik vond dat je te weinig inzet toont. Ik zie dat je in dit topic volop bezig bent maar je post elke keer weer kleine vraagjes zonder het eerst echt zelf uit te proberen. Ook zie ik in de TS geen linken naar zaken die je gevonden hebt enzo. Je hebt volgens mij Het algemeen beleid nog niet helemaal doorgelezen.

Ik laat dit topic nu open omdat het opgelost lijkt, wel verwacht ik dan dat je niet alles hier stap voor stap gaat vragen.

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

maandag 7 maart 2011 21:59

Acties:

gerjaknut

Topicstarter

ik zal een tikkeltje minder vragend antwoorden, eigenlijk heb ik maar 1 vraag gesteld in mijn antwoord en dat was of ccleaner voldoende zou verwijderen van wat degene voor mij vroeg

, overigens kan jij niet zien wat mijn inzet is. dat is nu inmiddels om en nabij 3 uur lees, onderzoek en uitprobeer werk geweest. Dit had ik echter misschien iets beter in mijn posts kunnen verwerken

edit:
Ja, ik had een volledige scan kunnen doen ipv de quickscan. Echter begon het programma er direct mee en heb het maar laten gaan met gevolg dat het virus in iedergeval niks meer kon doen.

[ Voor 20% gewijzigd door gerjaknut op 07-03-2011 22:03 ]