sirefef.b - Privacy en beveiliging

maandag 13 februari 2012 21:41

Acties:

Topicstarter

Beste

Op de laptop van mijn zus bevindt zich het sirefef.b virus. Ik heb al een heleboel virusscanners getest: MSE, Spybot S&D, Malwarebytes Anti-Malware, en een handmatige verwijdering. Niets helpt, het virus blijft. Ook heeft het blijkbaar een aantal drivers beschadigt, zo werken het toetsenbord en de muis niet meer (ik gebruik nu een extern toetsenbord en muis). Ik zit in veilige modus, want in gewone modus krijg ik na 5 min. opgestart een blue screen.

Ik zit nu te proberen met ComboFix, maar dit werkt niet. Als ik het installeerd dan start het normaal op maar er gebeurt niets. Pas na een minuut zie ik een scherm waarop staat dat MSE combofix blokkeert. Ik heb nochtans het proces gestopt. Verwijderen van MSE kan niet in veilige modus en aangezien normale modus een bluescreen geeft zal dat niet lukken. Moet ik anders eerst een ander programma uitvoeren? HiJackThis ofzo en het log hier plaatsen? Ik zal dat zo even doen.

Bedankt alvast!

maandag 13 februari 2012 21:42

Acties:

job

Je kan door blijven staan, maar heb jij de de kennis om vast te stellen of het virus echt verdwenen is?
Op een bepaald moment moet je gewoon je verlies toegeven en de boel opnieuw installeren

Dan weet je zeker dat het systeem schoon is, en kost je waarschijnlijk nog de minste tijd.

[ Voor 8% gewijzigd door job op 13-02-2012 21:43 ]

maandag 13 februari 2012 21:44

Acties:

Exception

Ben altijd erg te spreken over Malware Cleaner van Norman
http://www.norman.com/downloads/malware_cleaner/nl

maandag 13 februari 2012 21:44

Acties:

Qlii256

Topicstarter

ComboFix is dan toch gestart. Kijk welk resultaat dit zal geven. Ik moet de laptop echt kunnen herstellen, een Windows reinstall zie ik niet zitten want m'n zus zal daar niet bepaald blij mee zijn. Eeen aantal programma's moeten geïnstalleerd worden door haar school (licenties enzo) en dan is ze haar laptop weer een week of zelfs 2 kwijt.

code:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:43:19, on 13/02/2012
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.19170)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\ComboFix\CF12801.3XE
F:\HijackThis.exe
C:\Windows\PEV.exe
C:\ComboFix\pev.3XE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0"
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [ContentTransferWMDetector.exe] C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe
O4 - HKLM\..\Run: [NBAgent] "C:\Program Files\Nero\Nero 10\Nero BackItUp\NBAgent.exe" /WinStart
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [MSC] "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [PMCLoader] C:\Program Files\Pinnacle\TVCenter Pro\PMCLoader.exe -checktasks
O4 - HKCU\..\Run: [WhatPulse] C:\Program Files\WhatPulse\WhatPulse.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\gebruiker\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - Global Startup: Pinnacle Streaming Server.lnk = C:\Program Files\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O15 - Trusted Zone: http://interactief.plantyn.com
O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - http://photoservice.fujicolor.eu/ips-opdata/objects/jordan.cab
O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/static/updater/BFHUpdater_5.0.31.0.cab
O16 - DPF: {B60CEFE7-2DD0-4B78-951A-509D951DB1F0} (ExtraFilm Uploader Control) - http://www.extrafilm.be/ExtraFilmUploader6.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updateservice (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-service (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: @C:\Program Files\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files\Nero\Update\NASvc.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Rezip - Unknown owner - C:\Windows\SYSTEM32\Rezip.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SpyHunter 4 Service - Enigma Software Group USA, LLC. - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

--
End of file - 8402 bytes

[ Voor 92% gewijzigd door Qlii256 op 13-02-2012 21:46 ]

maandag 13 februari 2012 21:52

Acties:

jeroen3

Je hebt de naam van het virus niet gegoogled hè... Genoeg manual remove guides te vinden.

Maar toch, tot nu toe heb ik altijd succes gehad met de Kaspersky Removal tool.

maandag 13 februari 2012 21:54

Acties:

IStealYourGun

Доверяй, но проверяй

Virussen verwijder ik meestal manueel met een Linux Live CD.
Eventueel kan je daarmee ook een virusscanner op loslaten.

maandag 13 februari 2012 21:55

Acties:

Qlii256

Topicstarter

Ik heb al tal van removal guides gevolgt. Maar geen van deze blijkt te werken. Meestal vind ik de files en/of registry keys niet.

maandag 13 februari 2012 21:59

Acties:

Verwijderd

Begin bij de basis, dus alle cleaners in veilige modus uitvoeren. Schakel vervolgens d.m.v. de tool HijackThis de onbekende opstart processen uit, scan dan met MBAM en schoon daarna je pc op met ComboFix. Voila.

maandag 13 februari 2012 22:00

Acties:

Beatboxx

Certified n00b

Als je weet in welk bestand het virus zit, even ubuntu downloaden en met universal usb installer op een usb'tje zetten, als live disk starten en het virus verwijderen?

maandag 13 februari 2012 22:02

Acties:

gambieter

Just me & my cat

Qlii256 schreef op maandag 13 februari 2012 @ 21:44:
Ik moet de laptop echt kunnen herstellen, een Windows reinstall zie ik niet zitten want m'n zus zal daar niet bepaald blij mee zijn. Eeen aantal programma's moeten geïnstalleerd worden door haar school (licenties enzo) en dan is ze haar laptop weer een week of zelfs 2 kwijt.

Dan moet je zus maar pissig op zichzelf zijn, en leren wat backups zijn. Als de harde schijf kapot gaat (is net bij mijn werkdesktop gebeurd) dan zou ze hetzelfde probleem hebben, behalve als ze een.... backup.... had.

Je kan wel door een muur heen willen, maar een systeem waarvan de integriteit is aangetast is kun je beter herinstalleren. Daarna met bijvoorbeeld Symantec Ghost een image draaien en er leergeld uit betalen.

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

dinsdag 14 februari 2012 19:25

Acties:

Qlii256

Topicstarter

Iemand nog een idee van hoe ik dit virus kan verwijderen? Hij blijft maar terug komen na een verwijdering door virusscanners. Een Windows herinstallatie is echt de laatste optie en ik wil dus eerst nog iets proberen alvorens dat te doen. De laptop van m'n zus bevat een aantal programma's met licenties die 3000+ euro kosten en daar kan zij zelf niet aan. Deze moeten door de school geïnstalleerd worden maar dan is ze haar laptop kwijt voor 3 - 4 weken. Ze heeft de laptop + programma's echt iedere dag nodig.

Bedankt alvast voor de hulp!

dinsdag 14 februari 2012 19:28

Acties:

PilatuS

Sowieso is scannen en verwijderen altijd beter als het OS niet draait. Haal de schijf dus uit de laptop en ga er op een andere PC mee aan de gang.

dinsdag 14 februari 2012 20:50

Acties:

Qlii256

Topicstarter

Bedankt! Maar ComboFix is nu aan het draaien. Het gaat wel heel sloom want hij is al 2 uur bezig en ik zie gewoon staat: De scan kan 10 min. duren. Bij zwaar besmette computers kan dit dubbel zo lang zijn. Is het normaal dat hij al 2 uur bezig is? En krijg je normaal niet op je scherm wat te zien van stage 1 en 2 enzo?

Ik meen me te herinneren dat ComboFix inderdaad traag werkte (dat het lang duurt). Of herinner ik me dit fout? En als ik de HDD hier aansluit, met welke scanner(s) zal ik die dan gaan scannen?

BTW: Kan ik een HDD uit een laptop in m'n pc aansluiten? Ik denk dat het wel een SATA zal zijn neem ik aan?

Alvast heel erg bedankt voor de tip!

[ Voor 9% gewijzigd door Qlii256 op 14-02-2012 20:51 ]

dinsdag 14 februari 2012 20:56

Acties:

PilatuS

BTW: Kan ik een HDD uit een laptop in m'n pc aansluiten? Ik denk dat het wel een SATA zal zijn neem ik aan?

Met een laptop SATA schijf is het precies hetzelfde als een desktop SATA schijf.

dinsdag 14 februari 2012 20:57

Acties:

3dfx

Qlii256 schreef op dinsdag 14 februari 2012 @ 20:50:
BTW: Kan ik een HDD uit een laptop in m'n pc aansluiten? Ik denk dat het wel een SATA zal zijn neem ik aan?

Als het een SATA is dan is het een kwestie van PC uit & open, kabeltjes aansluiten, PC weer aan.

Ik zou voor de zekerheid wel even 'autoplay' van Windows uitzetten, voor het geval er een soort van autorun.inf op de besmette schijf staat die vervolgens een virus gelijk op jouw pc zet op het moment dat de 'nieuwe' schijf door windows herkend wordt:+

Dat doe je via Start > Configuratiescherm > Automatisch afspelen, en dan vinkje weghalen bij "Automatisch afspelen voor alle media inschakelen".

dinsdag 14 februari 2012 20:59

Acties:

Qlii256

Topicstarter

Bedankt! Autorun uitzetten zat ik ook al aan te denken. Het plaatsen van de HDD is geen probleem, heb ik wel verstand van. Tevens heb ik bovenaan mijn case een slot om een SATA HDD in te schuiven, zeer handig voor dit soort zaken! Ik heb namelijk een CM 690 II ADVANCED

dinsdag 14 februari 2012 21:02

Acties:

ExploitSolo

Standaard dingetjes die ik altijd even nakijk
- Temp folder
- MSConfig startup tabblad "Opstarten"

dinsdag 14 februari 2012 21:04

Acties:

Qlii256

Topicstarter

ExploitSolo schreef op dinsdag 14 februari 2012 @ 21:02:
Standaard dingetjes die ik altijd even nakijk
- Temp folder
- MSConfig startup tabblad "Opstarten"

Wat bedoel je hiermee? Moet ik kijken of er wat van het virus aanwezig is? De Temp folder heb ik al gescanned + leeg gemaakt. De opstartprogramma's heb ik ook al gecontroleerd. Niets speciaals gevonden.

dinsdag 14 februari 2012 21:20

Acties:

ExploitSolo

dan ga ik er vanuit dat deze wel clear zijn. Misschien toch even de schijf in een ander systeem testen zoals je zelf ook al aangaf

dinsdag 14 februari 2012 21:26

Acties:

Qlii256

Topicstarter

Ik zat nog even te zoeken. Iemand een idee of het normaal is dat ComboFix zo sloom is? Want normaal zie je Stage_0, Stage_1 enz. Maar na 2 uur is er nog altijd niets te zien. Zou ComboFix vastgelopen zijn? Gisteren ook al getest en dan was er ook niets te zien.

dinsdag 14 februari 2012 21:34

Acties:

Verwijderd

Qlii256 schreef op dinsdag 14 februari 2012 @ 21:26:
Ik zat nog even te zoeken. Iemand een idee of het normaal is dat ComboFix zo sloom is? Want normaal zie je Stage_0, Stage_1 enz. Maar na 2 uur is er nog altijd niets te zien. Zou ComboFix vastgelopen zijn? Gisteren ook al getest en dan was er ook niets te zien.

Lees mijn post hierboven, nogmaals door.. En VOLG de stappen stap voor stap.

En ja, zoals je aangeeft is de laptop zwaar besmet.. Dus dan duurt het lang, run combofix natuurlijk wel in veilige modus. anders heeft het geen zin

dinsdag 14 februari 2012 21:40

Acties:

Qlii256

Topicstarter

Ok bedankt! Net even gekeken en er stond een bericht van ComboFix. Het ging over het virus dat mijn computer daarmee besmet bleek te zijn (meen je het?

). Er stond ook iets op dat het mogelijk kan zijn dat door die virus je internet niet werkt (wat inderdaad zo is) en dat het kan zijn dat het na de scan en herstart van de pc nog niet opgelost is. Indien dat zo is moet ik nog een keer ComboFix draaien staat er. Dat zal ik dus doen als dat zo is!

In elk geval blij dat ComboFix de virus gedetecteerd heeft. Ik hoop dat hij die dan ook zal/kan verwijderen.