Niet gedetecteerde virussen. - Privacy en beveiliging

donderdag 10 maart 2011 14:45

Acties:

Verwijderd

Topicstarter

Beste Tweakers,

Ik heb op mijn PC een aantal Malware-bestandjes meedraaien die nog door geen enkele Anti-virus/Anti-Malware software word herkend als een virus of dergelijke.

Ik heb dan ook geen enkele kans om deze bestanden succesvol te kunnen verwijderen, want ze starten zich eigen gewoon weer opnieuw op. Er gaan over poort 80-3080-82 ook allerlei verbindingen die ik niet ken, en ook geen website's zijn. Ook willen deze processen regelmatig 'cmd.exe' - 'explorer.exe' en andere belangrijke processen benaderen voor eventuele uitgaande verbindingen of dergelijke actie's.

Ik zal de process namen even hieronder opsommen:

Javaload.exe
Update.exe
Update2.exe

Als er eventuele Hijhacking logs nodig zijn, dan kan ik deze als het moet nog altijd posten.

donderdag 10 maart 2011 14:47

Acties:

Nielson

Ben je wel gestart in veilige modus? Als het spul al actief draait heeft het niet veel nut om met scanners aan de slag te gaan.

donderdag 10 maart 2011 14:49

Acties:

Verwijderd

Topicstarter

Nee, ik ben nog niet in Veilige Modus geweest. Ik zal dit meteen even gaan proberen, alhoewel ik niet zou weten wat voor nut dat zou kunnen hebben?

donderdag 10 maart 2011 14:52

Acties:

citruspers

Safe mode heeft ook niet zoveel zin. Wat je het beste kunt doen is de hardeschijf aansluiten op een ander systeem, zodat je niet afhankelijk bent van je geinfecteerde systeem om te scannen (een rootkit kan zich namelijk zo verstoppen dat het geinfecteerde systeem hem zelf niet kan vinden)

I'm a photographer, not a terrorist

donderdag 10 maart 2011 14:52

Acties:

Nielson

alhoewel ik niet zou weten wat voor nut dat zou kunnen hebben?

Dat lijkt me toch wel voor de hand liggend, met een beetje mazzel wordt het virus/malware in veilige modus niet gestart en is het dan dus wel te verwijderen.

/edit: Wat hierboven staat is idd ook handig, een offline scan doen. Veel antivirus fabrikanten hebben ook gratis live-cd's beschikbaar om vanuit daaruit je windows schijf te scannen.

[ Voor 45% gewijzigd door Nielson op 10-03-2011 14:55 ]

donderdag 10 maart 2011 14:53

Acties:

Dylan93

Dus jij hebt het volgende allemaal al getest ?

- ESET online scanner
- Kaspersky online scanner
- Malwarebytes Anti Malware
- Spybot Search & Destroy

En dat zijn er dan maar een paar...

Nee, ik ben nog niet in Veilige Modus geweest. Ik zal dit meteen even gaan proberen, alhoewel ik niet zou weten wat voor nut dat zou kunnen hebben?

Juist in veilige modus, daar worden de processen en bestanden namelijk niet gebruikt en laad Windows alleen de standaard dingen die het nodig heeft om te draaien, in deze modus kun je het beste virussen e.d. verwijderen omdat ze dan niks in gebruik kunnen hebben.

donderdag 10 maart 2011 14:53

Acties:

Tsurany

⭐⭐⭐⭐⭐

AVG al geprobeert? Die heeft bepaalde versies van javaload.exe wel in zn database staan.

Zelf zou ik gewoon een herinstalatie uitvoeren.

[ Voor 22% gewijzigd door Tsurany op 10-03-2011 14:55 ]

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

donderdag 10 maart 2011 14:55

Acties:

Verwijderd

Topicstarter

Ik zal een Hijhack logje maken in Veilige Modus en ook in Normale Modus. We kunnen dan meteen zien of het virus zich ook actief maakt binnen Veilige Modus, en waar we eventueel moeten gaan kijken.

Geprobeerde Scanners:

MalwareBytes Anti-Malware
AVG 2011
Avast 5
Avira
ESET NOD32 Antivirus 4

Files ook al gescanned op Virustotal, maar 0/43

[ Voor 27% gewijzigd door Verwijderd op 10-03-2011 15:00 ]

donderdag 10 maart 2011 15:05

Acties:

leuk_he

1. Controleer de kabel!

Gooi zo'n executable ook eens door http://virusscan.jotti.org/en Dan krijg je wellicht nog informatie welke scanner hem vind of wat het voor soort zooi is.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

donderdag 10 maart 2011 15:15

Acties:

bonzz.netninja

Niente baffi

my2cents maar zijn het wel virussen/malware? Hoe weet je dat zo zeker? Er zijn wel meer applicaties op mijn pc die allemaal rare connecties maken met backoffice systemen en updatefuncties van plugins.

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

donderdag 10 maart 2011 16:52

Acties:

remco_k

een cassettebandje was genoeg

^^ Eens met hem
Ga na waar die bestanden staan, bekijk de file size, kijk in de eigenschappen naar de fabrikant e.d. en zoek ze via google op en vergelijk met gegevens die je vindt. Kans is wat mij betreft aanwezig dat het gewoon "normale" software is.

Alles kan stuk.

donderdag 10 maart 2011 16:56

Acties:

Verwijderd

Javaload.exe hoort bij Firefox.

donderdag 10 maart 2011 16:57

Acties:

Foamy

Fulltime prutser

En misschien ook handig; als je toch al allerhande verbindingen open ziet springen: waar gaan deze heen? Als je nagaat naar welke hosts/adressen de verbindingen opengezet worden kun je misschien al weer wat elimineren...

blub

donderdag 10 maart 2011 17:00

Acties:

Mavamaarten

Omdat het kan!

Als je helemaal zeker bent dat het virussen zijn, veilige modus ingaan en zoeken waar deze bestanden zich bevinden. Unlocker erop loslaten en ze wissen. Je kan natuurlijk ook in het register gaan zoeken naar startup entries.

Android developer & dürüm-liefhebber

zondag 13 maart 2011 16:41

Acties:

neeecht

Hier gaat het op de PC van mij vader nog een stapje verder:
"IETS" zet Microsoft Anti Malware en Security Essentials en Security Center Services steeds weer uit!
Met alles gescant wat ik maar kon bedenken + wat hier stond, maar niets gevonden!

Ik ben zeker weer de enige met dit probleem?

zondag 13 maart 2011 16:48

Acties:

LuckY

bonzz.netninja schreef op donderdag 10 maart 2011 @ 15:15:
my2cents maar zijn het wel virussen/malware? Hoe weet je dat zo zeker? Er zijn wel meer applicaties op mijn pc die allemaal rare connecties maken met backoffice systemen en updatefuncties van plugins.

En hoeveel daarvan starten explorer.exe op

?

@ ts en @ hierboven,

Als je er zeker van bent dat je infected ben, dan ga je toch terug naar een known good backup en anders doe je toch even een fresh install ?

[ Voor 18% gewijzigd door LuckY op 13-03-2011 16:49 ]

zondag 13 maart 2011 16:54

Acties:

neeecht

Er zijn geen restore points. En even een fresh install? Dat is een halve dag werk. Het is trouwens een Windows XP PC. En ik wil weten wat de oorzaak is, anders hebben we het straks weer, aangezien geen ENKEL programma het probleem detecteerd!

zondag 13 maart 2011 16:56

Acties:

johnkeates

Herinstalleer je PC gewoon, een Backup & Restore kost je hooguit 2 uurtjes.

zondag 13 maart 2011 17:07

Acties:

neeecht

Wel eens een PC van een ouder gezien?
Vol met allemaal dingen, alles weer uitleggen, instellen, updaten programma's zoeken.

En nogmaals: misschien staat het bestand wel op een van de externe schijven en gebeurt het zo weer!
Want ja, NIETS detecteerd het!

zondag 13 maart 2011 17:17

Acties:

Tsurany

⭐⭐⭐⭐⭐

Als niets het detecteert zou ik het eens ergens anders zoeken dan bij een virus...

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

zondag 13 maart 2011 17:25

Acties:

neeecht

Zoals?

zondag 13 maart 2011 17:29

Acties:

maarud

het zou natuurlijk ook een rootkit kunnen zijn

zondag 13 maart 2011 17:39

Acties:

Alfa Novanta

VRRROOOAAARRRP

Verwijderd schreef op donderdag 10 maart 2011 @ 14:45:
Ik zal de process namen even hieronder opsommen:

Javaload.exe
Update.exe
Update2.exe

call me stupid, maar zoek uit in welke directory deze bestanden staan, dan weet je óf het bij een legitiem programma hoort en als je opstart in velige modus kun je ze gewoon verwijderen met de hand, of hernoemen naar,

Javaload.txt
Update.txt
Update2.txt

zondag 13 maart 2011 17:52

Acties:

Tsurany

⭐⭐⭐⭐⭐

Nou wat gebeurd er precies, je hebt onverklaarbaar netwerkverkeer en je security valt uit?
Welke verbindingen gaan over die poorten? Welke programma's veroorzaken dat?

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

zondag 13 maart 2011 18:33

Acties:

neeecht

Netwerk verkeer geen idee. Malware bytes loopt wel steeds te melden met websites. Eerder genoemde services zetten zichzelf(?) uit en ook als ik ze weer aanzet, gaan ze binnen een minuut ook weer uit.

Ook kan ik http://update.microsoft.com/ niet bereiken, lijkt ook geblokkeerd te zijn.
Ik run nu Spybot. Als dat niet werkt nog proberen SP3 opnieuw installeren en als ook dat niet lukt, format maar he!

zondag 13 maart 2011 21:25

Acties:

neeecht

Malware bytes gaf een paar websites (IPs) aan die hij blokkeerde. Daarvan was er 1: 62.122.75.136
Dus ik google op: 62.122.75.136, en kwam terecht op: http://forums.malwarebytes.org/index.php?showtopic=65700

Ik heb TDSSKiller laten scannen, deze vond wel wat, maar heeft het probleem niet opgelost.
Wel een rootkit gevonden: http://x264.nl/dump/TDSSKiller.txt

Toen ComboFix zijn gang laten gaan:
http://x264.nl/dump/ComboFix.txt

En wat denkt u? Alles werkt weer!!

On-ge-loof-lijk! Iedereen bedankt voor het meedenken en ik hoop dat ik hiermee ook anderen kan helpen.

Ohja, ook http://update.microsoft.com/ is weer te bereiken en heeft update geinstalleerd!

[ Voor 7% gewijzigd door neeecht op 13-03-2011 21:25 ]

zondag 13 maart 2011 21:57

Acties:

Alfa Novanta

VRRROOOAAARRRP

nice

vind het zelf altijd veel beter dergelijke problemen op te lossen, je leert er wat van en je hoeft niet alles opnieuw in te richten. Format C: deden we toen we nog 16 waren ..

zondag 13 maart 2011 23:02

Acties:

Tsurany

⭐⭐⭐⭐⭐

Ik zou in zulke gevallen nog steeds een herinstallatie uitvoeren simpelweg omdat dit vele malen sneller is en je dan zekerheid hebt dat de infectie weg is.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N