Toon posts:

Mogelijk een virus, maar verwijderbaar?

Pagina: 1
Acties:

vrijdag 13 maart 2015 22:32

Acties:
  • 0 Henk 'm!
  • Frozen
  • Registratie: Oktober 2010
  • Laatst online: 25-08 16:09

Frozen

2e Reviewer van het Jaar

Topicstarter
Sinds een weekje speel ik weer het spel runescape. Je kent het vast wel uit die goede oude tijd. Nu wilde ik een bot downloaden omdat je daarin vaak kan zien hoeveel levenspunten een bepaald stukje voedsel geeft.

Probleemstelling
Blijkbaar heb ik een gratis virus meegedownload. De makkelijkste optie lag natuurlijk voor de hand: Systeem herstel en klaar is Frozen. Helaas ging het niet zo makkelijk aangezien mijn laatste systeemherstel van na de datum is dat ik het heb gedownload. Verder zorgde het virus ervoor dat elke keer als ik Firefox opstartte het "epicbotsetup.exe" ging downloaden. Deze download werd verder automatisch door de browser gestopt en ik zag hem dus altijd staan in de geschiedenis als "geannuleerd".
Hier kan je meer informatie vinden over het bestand: http://www.herdprotect.co...ee7d9537175cd3d6aa53.aspx

Ook wilt hij sommige andere programma's niet "finishen" met downloaden waaronder kaspersky virus removal tool. Dingen als powerpoint presentaties e.d. lukken wel gewoon. Via de veilige modus kon ik het wel downloaden.

Soms laden webpagina's langzaam, maar soms ook snel. Het is een beetje, "de ene keer wel, de andere keer niet".

Informatie over mijn systeem
Ik heb een SSD en HDD. Op de SSD staat win 8.1 64bit.
Virusscanner = Norton internet security
Standaard browser: Firefox

Wat heb ik zelf geprobeerd
Ik ben begonnen met Firefox te resetten: Geen oplossing. In Chrome heb ik hetzelfde probleem.
Ik heb een volledige norton scan gedaan: Niets gevonden
Norton power eraser: Niets gevonden
Malwarebytes, volledige scan: Niets gevonden
Microsoft's Malicious Software Removal Tool: Niets gevonden
Kaspersky total secuirity, volledige scan: Niets gevonden
Kaspersky virus removal tool: Niets gevonden.

Probeert nu: Malwarebytes anti-rootkit (opgegeven)
Kan ik downloaden, maar als ik een map aangeef krijg ik een: Non 7zip foutmelding. 7zip installeren lukt zoals hieronder aangegeven ook niet.

7zip.msi en exe downloaden lukken wel, op het eind moest ik even wachten, maar de download finishde uiteindelijk wél, waardoor ik het bestand kon gebruiken. Als de .msi opstart krijg ik: Kan dit installatiepakket niet openen.Neem contact op met de leverancier van de toepassing om te controleren of het een geldig Windows Installer-pakket is.. Als ik de .exe opstart krijg ik: NSIS Error: Installer integrity check has failed. Common causes include incomplete download and damages media. Contact the installer's author to obtain a new copy.

Nu even in de veilige modus de tdsskiller van kaspersky downloaden


Zoals je ziet zou ik niet weten wat ik nu nog zou kunnen doen. Als oplossing hebben we natuurlijk altijd Windows opnieuw installeren achter de hand, maar liever wil ik het eerst via een andere weg proberen op te lossen.

[ Voor 40% gewijzigd door Frozen op 13-03-2015 22:46 ]

Voeg me gewoon toe op LinkedIn, iedereen is welkom!

vrijdag 13 maart 2015 22:40

Acties:
  • 0 Henk 'm!
  • binbero
  • Registratie: Februari 2005
  • Laatst online: 25-09 00:21

binbero

AdwCleaner
ComboFix
tdsskiller
rkill

http://www.bleepingcomputer.com/download/windows/

Nog wat dingen die je zou kunnen proberen.

[ Voor 23% gewijzigd door binbero op 13-03-2015 22:41 ]

vrijdag 13 maart 2015 22:54

Acties:
  • 0 Henk 'm!
  • Frozen
  • Registratie: Oktober 2010
  • Laatst online: 25-08 16:09

Frozen

2e Reviewer van het Jaar

Topicstarter
binbero schreef op vrijdag 13 maart 2015 @ 22:40:
AdwCleaner
ComboFix
tdsskiller
rkill

http://www.bleepingcomputer.com/download/windows/

Nog wat dingen die je zou kunnen proberen.
Kaspersky's tdsskiller heeft helaas niet geholpen. Ik heb de volgende settings gebruikt:
Afbeeldingslocatie: http://i.snag.gy/x6Dul.jpg

Ik probeer het nu met de onderste 2 settings aan.
Edit: Heeft ook niet geholpen.

[ Voor 3% gewijzigd door Frozen op 13-03-2015 23:08 ]

Voeg me gewoon toe op LinkedIn, iedereen is welkom!

zaterdag 14 maart 2015 00:30

Acties:
  • 0 Henk 'm!
  • photofreak
  • Registratie: Augustus 2009
  • Laatst online: 22-03 01:02

photofreak

Je kan altijd nog HitmanPro gebruiken --> http://www.surfright.nl/nl/hitmanpro

zaterdag 14 maart 2015 01:20

Acties:
  • 0 Henk 'm!
  • binbero
  • Registratie: Februari 2005
  • Laatst online: 25-09 00:21

binbero

C:\DOCUME~1\User\LOCALS~1\Temp\EPICBOTSETUP.EXE

Als het goed is staat de file daar
Misschien handmatig weggooien

https://malwr.com/analysi...wYThiMTY3YjE5NzM1NWY4MDE/

zaterdag 14 maart 2015 01:21

Acties:
  • 0 Henk 'm!
  • Anonymoussaurus
  • Registratie: April 2014
  • Niet online

Anonymoussaurus

Medewerker van Oxygen Updater

Als je weet welk bestand het is kun je dit programma gebruiken. Het decrypt het bestand en verwijderd het vervolgens.

Medewerker van Oxygen Updater: discord.gg/5TXdhKJ

zaterdag 14 maart 2015 01:30

Acties:
  • 0 Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Adwcleaner heeft dus ook niks gevonden? Want ik zie nergens dat je dat gebruikt hebt. Net als Combofix, die wordt ook voorgesteld maar lijk je dus ook niet gebruikt te hebben.

Verder is het heel aannemelijk dat je gewoon een geinfecteerde shortcut hebt, dat kan in Windows heel makkelijk, en kan je ook gewoon plugins en extensies hebben dit je problemen geven.

Wis ook even alle caches en temps, bijv. met CCleaner, en kijk even wat er bij autostart staat voor Windows, browsers en bij tasks. Het heeft natuurlijk geen zin om een symptoom 'op te lossen' als je eigenijk het probleem moet oplossen.

Je kan ook een nieuwe account op je computer maken en daar de cleanup acties op doen, dan weet je in elk geval dat je profiel infecties even irrelevant zijn.

Is je Norton internet security up to date? Is je abonnement nog geldig? Ook belangrijk. Al volledige scan gedaan?

Kijk ook of je DNS, hosts en proxy settings staan zoals ze moeten staan.

zaterdag 14 maart 2015 01:43

Acties:
  • 0 Henk 'm!
  • Frozen
  • Registratie: Oktober 2010
  • Laatst online: 25-08 16:09

Frozen

2e Reviewer van het Jaar

Topicstarter
binbero schreef op zaterdag 14 maart 2015 @ 01:20:
C:\DOCUME~1\User\LOCALS~1\Temp\EPICBOTSETUP.EXE

Als het goed is staat de file daar
Misschien handmatig weggooien

https://malwr.com/analysi...wYThiMTY3YjE5NzM1NWY4MDE/
Helaas, hij staat niet in: C:\Users\Wesley\AppData\Local\Temp
Wel goed gevonden! _/-\o_
photofreak schreef op zaterdag 14 maart 2015 @ 00:30:
Je kan altijd nog HitmanPro gebruiken --> http://www.surfright.nl/nl/hitmanpro
Ik zal het proberen!
johnkeates schreef op zaterdag 14 maart 2015 @ 01:30:
Adwcleaner heeft dus ook niks gevonden? Want ik zie nergens dat je dat gebruikt hebt. Net als Combofix, die wordt ook voorgesteld maar lijk je dus ook niet gebruikt te hebben.

Verder is het heel aannemelijk dat je gewoon een geinfecteerde shortcut hebt, dat kan in Windows heel makkelijk, en kan je ook gewoon plugins en extensies hebben dit je problemen geven.

Wis ook even alle caches en temps, bijv. met CCleaner, en kijk even wat er bij autostart staat voor Windows, browsers en bij tasks. Het heeft natuurlijk geen zin om een symptoom 'op te lossen' als je eigenijk het probleem moet oplossen.

Je kan ook een nieuwe account op je computer maken en daar de cleanup acties op doen, dan weet je in elk geval dat je profiel infecties even irrelevant zijn.

Is je Norton internet security up to date? Is je abonnement nog geldig? Ook belangrijk. Al volledige scan gedaan?

Kijk ook of je DNS, hosts en proxy settings staan zoals ze moeten staan.
Alles is up to date :)
Adwcleaner wilde niet downloaden. Ik de veilige modus ga ik proberen combofix en CCleaner te downloaden. Hoewel ik altijd het idee had dat CCleaner zelf een virus o.i.d. was.

Edit: Dit is best een slim virus, het past namelijk alle certificaten aan van beveiligingssoftware waardoor het niet meer geïnstalleerd kan worden. Ja het kan wel... maar dan expose ik mijn computer nog meer. Tijd om naar de veilige modus te gaan...

[ Voor 6% gewijzigd door Frozen op 14-03-2015 01:49 ]

Voeg me gewoon toe op LinkedIn, iedereen is welkom!

zaterdag 14 maart 2015 01:49

Acties:
  • 0 Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Frozen schreef op zaterdag 14 maart 2015 @ 01:43:
[...]


Helaas, hij staat niet in: C:\Users\Wesley\AppData\Local\Temp
Wel goed gevonden! _/-\o_


[...]

Ik zal het proberen!


[...]

Alles is up to date :)
Adwcleaner wilde niet downloaden. Ik de veilige modus ga ik proberen combofix en CCleaner te downloaden. Hoewel ik altijd het idee had dat CCleaner zelf een virus o.i.d. was.
Op een andere computer downloaden dan.

Kijk ook even naar de instellingen zoals ik gepost had. Start browsers ook in safe mode op zodat ze geen externe plugins enz. inladen, dan kunnen ze ook geen normale downloads blokkeren als je DNS en proxy settings goed staan.

zaterdag 14 maart 2015 01:54

Acties:
  • 0 Henk 'm!
  • Electric Brainz
  • Registratie: Juni 2002
  • Laatst online: 26-09 19:04

Electric Brainz

Wanneer mogelijk kaspersky rescue disk 10 downloaden (linkje) deze branden op cd of op usb stick zetten en vervolgens de rescue disk opstarten.

kies voor de grafische optie, en start, nadat alles is ingeladen de scanner van kasperky op. De rest spreekt voor zich als het goed is.

zaterdag 14 maart 2015 02:03

Acties:
  • 0 Henk 'm!
  • binbero
  • Registratie: Februari 2005
  • Laatst online: 25-09 00:21

binbero

Adwcleaner is een van de beste kun je gerust downloaden

Gebruik ik altijd

zaterdag 14 maart 2015 02:14

Acties:
  • 0 Henk 'm!
  • Frozen
  • Registratie: Oktober 2010
  • Laatst online: 25-08 16:09

Frozen

2e Reviewer van het Jaar

Topicstarter
Ik moet zeggen dat hitman pro vrij veel dingen heeft gevonden! Echt dingen waarvan ik denk: Waarom vond malwarebytes dit niet?

In ieder geval heb ik nu met succes gerunned:
Hitman
CCleaner

Helaas startte ik mijn pc op en guess what? Probleem was nog niet verholpen. Nog steeds doen sommige bestanden er aan het einde van het downloaden (rond de 90%) een tijdje "niets" en blijven ze hangen.

Voeg me gewoon toe op LinkedIn, iedereen is welkom!

zaterdag 14 maart 2015 02:19

Acties:
  • 0 Henk 'm!
  • Shamalamadindon
  • Registratie: Juni 2009
  • Laatst online: 30-03-2024

Shamalamadindon

Kijk eens bij Chrome > Shift - Esc of er vreemde dingen in het Chrome taakbeheer staan

Wanneer heb je het laatst je wachtwoord verandert? Er word op T.net de laatste tijd regelmatig misbruikt gemaakt van accounts met gelekte wachtwoorden om andere gebruikers op te lichten. Verander je wachtwoord, geef oplichters geen kans!

zaterdag 14 maart 2015 02:25

Acties:
  • 0 Henk 'm!
  • D4NG3R
  • Registratie: Juli 2009
  • Laatst online: 20:40

D4NG3R

kiwi

:)

Start je HitmanPro trouwens in FBM?

https://hitmanpro.wordpre...pro-in-force-breach-mode/

Komt d'r in, dan kö-j d’r oet kieken

zaterdag 14 maart 2015 02:28

Acties:
  • 0 Henk 'm!

Verwijderd

Frozen schreef op vrijdag 13 maart 2015 @ 22:32:
Blijkbaar heb ik een gratis virus meegedownload. De makkelijkste optie lag natuurlijk voor de hand: Systeem herstel en klaar is Frozen. Helaas ging het niet zo makkelijk aangezien mijn laatste systeemherstel van na de datum is dat ik het heb gedownload.
Maak liever met regelmaat een image en je bent van dit gezeur verlost. ;)
Frozen schreef op zaterdag 14 maart 2015 @ 02:14:
Ik moet zeggen dat hitman pro vrij veel dingen heeft gevonden! Echt dingen waarvan ik denk: Waarom vond malwarebytes dit niet?
Nu het nog steeds niet blijkt te werken, maak je beter vanuit HitmanPro (licensed) een Kickstart USB flashdrive aan en werk dan verder.
Succes!! ;)

zaterdag 14 maart 2015 13:45

Acties:
  • 0 Henk 'm!
  • Frozen
  • Registratie: Oktober 2010
  • Laatst online: 25-08 16:09

Frozen

2e Reviewer van het Jaar

Topicstarter
Leo1010 schreef op zaterdag 14 maart 2015 @ 02:19:
Kijk eens bij Chrome > Shift - Esc of er vreemde dingen in het Chrome taakbeheer staan
Ik kan zo 1,2,3 niets vreemds vinden. :(
D4NG3R schreef op zaterdag 14 maart 2015 @ 02:25:
Start je HitmanPro trouwens in FBM?

https://hitmanpro.wordpre...pro-in-force-breach-mode/
Yep, maakt geen verschil helaas.
Verwijderd schreef op zaterdag 14 maart 2015 @ 02:28:
[...]

Maak liever met regelmaat een image en je bent van dit gezeur verlost. ;)


[...]

Nu het nog steeds niet blijkt te werken, maak je beter vanuit HitmanPro (licensed) een Kickstart USB flashdrive aan en werk dan verder.
Succes!! ;)
Gedaan, alleen kan mijn computer daar niet van opstarten om één of andere reden.

Ik ga nu rkill downloaden en combofix proberen.
Combofix werkt niet op win 8.1.

Rkill zegt:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44

Program started at: 03/14/2015 01:48:40 PM in x64 mode. (Safe Mode)
Windows Version: Windows 8.1 Pro 

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * Windows Defender Disabled

   [HKLM\SOFTWARE\Microsoft\Windows Defender]
   "DisableAntiSpyware" = dword:00000001

Checking Windows Service Integrity: 

 * COM+ Event System (EventSystem) is not Running.
   Startup Type set to: Automatic

 * Security Center (wscsvc) is not Running.
   Startup Type set to: Automatic (Delayed Start)

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * HOSTS file entries found: 

  127.0.0.1 activation.cloud.techsmith.com

Program finished at: 03/14/2015 01:48:56 PM
Execution time: 0 hours(s), 0 minute(s), and 15 seconds(s)


Ik probeer nu Gmer (http://www.gmer.net/).

[ Voor 39% gewijzigd door Frozen op 14-03-2015 13:53 ]

Voeg me gewoon toe op LinkedIn, iedereen is welkom!

zaterdag 14 maart 2015 13:59

Acties:
  • 0 Henk 'm!
  • Shamalamadindon
  • Registratie: Juni 2009
  • Laatst online: 30-03-2024

Shamalamadindon

Electric Brainz schreef op zaterdag 14 maart 2015 @ 01:54:
Wanneer mogelijk kaspersky rescue disk 10 downloaden (linkje) deze branden op cd of op usb stick zetten en vervolgens de rescue disk opstarten.
Probeer dit nog maar eens.

Als dat ook geen resultaat heeft dan word het een herinstall.

Wanneer heb je het laatst je wachtwoord verandert? Er word op T.net de laatste tijd regelmatig misbruikt gemaakt van accounts met gelekte wachtwoorden om andere gebruikers op te lichten. Verander je wachtwoord, geef oplichters geen kans!

zaterdag 14 maart 2015 14:01

Acties:
  • 0 Henk 'm!
  • Mrjraider
  • Registratie: Juli 2012
  • Niet online

Mrjraider

Kijk eens bij start up items.. Dit kan onder ccleaner. Soms staat daar een regel die er niet hoort.

zaterdag 14 maart 2015 14:04

Acties:
  • 0 Henk 'm!
  • Frozen
  • Registratie: Oktober 2010
  • Laatst online: 25-08 16:09

Frozen

2e Reviewer van het Jaar

Topicstarter
mrjraider schreef op zaterdag 14 maart 2015 @ 14:01:
Kijk eens bij start up items.. Dit kan onder ccleaner. Soms staat daar een regel die er niet hoort.
Bedankt. Ik vind dat op regel 15 erg verdacht. Ik ga eens kijken...

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

Yes HKCU:Run    ASRockXTU       Wesley  
Yes HKCU:Run    CCleaner Monitoring Piriform Ltd    Wesley  "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
No  HKCU:Run    DAEMON Tools Lite   Disc Soft Ltd   Wesley  "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
No  HKCU:Run    EADM    Electronic Arts Wesley  "C:\Program Files (x86)\Origin\Origin.exe" -AutoStart
No  HKCU:Run    EPSON362873 (Epson Stylus SX235)    SEIKO EPSON CORPORATION Wesley  C:\Windows\system32\spool\DRIVERS\x64\3\E_IATIHLE.EXE /FU "C:\Users\Wesley\AppData\Local\Temp\E_SD818.tmp" /EF "HKCU"
No  HKCU:Run    Facebook Update Facebook Inc.   Wesley  "C:\Users\Wesley\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
No  HKLM:Run    Adobe ARM   Adobe Systems Incorporated  All users   "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
No  HKLM:Run    BCSSync Microsoft Corporation   All users   "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices
Yes HKLM:Run    EvtMgr6 Logitech, Inc.  All users   C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming
No  HKLM:Run    KeePass 2 PreLoad   Dominik Reichl  All users   "C:\Program Files (x86)\KeePass Password Safe 2\KeePass.exe" --preload
No  HKLM:Run    Malwarebytes Anti-Exploit   Malwarebytes Corporation    All users   C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe
Yes HKLM:Run    Razer Synapse   Razer Inc.  All users   "C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe"
Yes HKLM:Run    RtHDVCpl    Realtek Semiconductor   All users   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
Yes HKLM:Run    StartCCC    Advanced Micro Devices, Inc.    All users   "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe" MSRun
Yes HKLM:RunOnce    GrpConv     All users   grpconv -o
No  Startup Common  Dell Display Manager.lnk    EnTech Taiwan   All users   C:\Program Files (x86)\Dell\Dell Display Manager\ddm.exe
No  Startup Common  dispcalGUI Profile Loader.lnk   0install.de All users   C:\Program Files\Zero Install\0install-win.exe
No  Startup User    Logitech . Productregistratie.lnk   Leader Technologies/Logitech    Wesley  C:\Program Files (x86)\Common Files\LogiShrd\eReg\SetPoint\eReg.exe
No  Startup User    OneNote 2010 Screen Clipper and Launcher.lnk    Microsoft Corporation   Wesley  C:\Program Files (x86)\Microsoft Office\Office14\ONENOTEM.EXE


resultaat: Goedaardig

[ Voor 3% gewijzigd door Frozen op 14-03-2015 14:06 ]

Voeg me gewoon toe op LinkedIn, iedereen is welkom!

zaterdag 14 maart 2015 14:05

Acties:
  • 0 Henk 'm!
  • Joostlek
  • Registratie: December 2011
  • Laatst online: 13-09 15:27

Joostlek

Kan je je bestanden niet backuppen en dan windows 8 opnieuw installeren, aangezien alles (qua instellingen) word gesynct met de servers van Microsoft

«Nooit geschoten is altijd mis»

zaterdag 14 maart 2015 14:07

Acties:
  • 0 Henk 'm!

Verwijderd

Combofix is er nog niet voor Windows 8 of hoger.

Wat je wel kunt doen is housecall van trendmicro. :)

Ik heb al jaren het betaald pakket. Niks mis mee en SuperB protectie ! :)

zaterdag 14 maart 2015 14:09

Acties:
  • 0 Henk 'm!
  • Mrjraider
  • Registratie: Juli 2012
  • Niet online

Mrjraider

Frozen schreef op zaterdag 14 maart 2015 @ 14:04:
[...]

Bedankt. Ik vind dat op regel 15 erg verdacht. Ik ga eens kijken...

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

Yes HKCU:Run    ASRockXTU       Wesley  
Yes HKCU:Run    CCleaner Monitoring Piriform Ltd    Wesley  "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
No  HKCU:Run    DAEMON Tools Lite   Disc Soft Ltd   Wesley  "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
No  HKCU:Run    EADM    Electronic Arts Wesley  "C:\Program Files (x86)\Origin\Origin.exe" -AutoStart
No  HKCU:Run    EPSON362873 (Epson Stylus SX235)    SEIKO EPSON CORPORATION Wesley  C:\Windows\system32\spool\DRIVERS\x64\3\E_IATIHLE.EXE /FU "C:\Users\Wesley\AppData\Local\Temp\E_SD818.tmp" /EF "HKCU"
No  HKCU:Run    Facebook Update Facebook Inc.   Wesley  "C:\Users\Wesley\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
No  HKLM:Run    Adobe ARM   Adobe Systems Incorporated  All users   "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
No  HKLM:Run    BCSSync Microsoft Corporation   All users   "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices
Yes HKLM:Run    EvtMgr6 Logitech, Inc.  All users   C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming
No  HKLM:Run    KeePass 2 PreLoad   Dominik Reichl  All users   "C:\Program Files (x86)\KeePass Password Safe 2\KeePass.exe" --preload
No  HKLM:Run    Malwarebytes Anti-Exploit   Malwarebytes Corporation    All users   C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe
Yes HKLM:Run    Razer Synapse   Razer Inc.  All users   "C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe"
Yes HKLM:Run    RtHDVCpl    Realtek Semiconductor   All users   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
Yes HKLM:Run    StartCCC    Advanced Micro Devices, Inc.    All users   "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe" MSRun
Yes HKLM:RunOnce    GrpConv     All users   grpconv -o
No  Startup Common  Dell Display Manager.lnk    EnTech Taiwan   All users   C:\Program Files (x86)\Dell\Dell Display Manager\ddm.exe
No  Startup Common  dispcalGUI Profile Loader.lnk   0install.de All users   C:\Program Files\Zero Install\0install-win.exe
No  Startup User    Logitech . Productregistratie.lnk   Leader Technologies/Logitech    Wesley  C:\Program Files (x86)\Common Files\LogiShrd\eReg\SetPoint\eReg.exe
No  Startup User    OneNote 2010 Screen Clipper and Launcher.lnk    Microsoft Corporation   Wesley  C:\Program Files (x86)\Microsoft Office\Office14\ONENOTEM.EXE


resultaat: Goedaardig
Zet die regel uit en reboot. Komt het dan niet meer voor dan weet je het haha :+

zaterdag 14 maart 2015 14:10

Acties:
  • 0 Henk 'm!
  • Frozen
  • Registratie: Oktober 2010
  • Laatst online: 25-08 16:09

Frozen

2e Reviewer van het Jaar

Topicstarter
Verwijderd schreef op zaterdag 14 maart 2015 @ 14:07:
Combofix is er nog niet voor Windows 8 of hoger.

Wat je wel kunt doen is housecall van trendmicro. :)

Ik heb al jaren het betaald pakket. Niks mis mee en SuperB protectie ! :)
Ik ben nu bezig met: Spyhunter 4, die heeft 14 kwaadaardige regkeys gevonden, maar ik laat het programmaatje even aflopen.
Dan probeer ik:
Rkill (die er net helaas mee stopte uit het niets)
Housecall

Voeg me gewoon toe op LinkedIn, iedereen is welkom!

zaterdag 14 maart 2015 14:16

Acties:
  • 0 Henk 'm!

Verwijderd

mrjraider schreef op zaterdag 14 maart 2015 @ 14:01:
Kijk eens bij start up items.. Dit kan onder ccleaner. Soms staat daar een regel die er niet hoort.
Inderdaad, MSconfig (Windows + R) en even bij Services (services.msc) kijken.

Verder kun je even kijken onder Internet opties en dan tabblad Connections/Verbindingen. Ik kwam laatst een geinfecteerd systeem tegen waar heel veel VPNs in zaten waar het leeg had moeten zijn.
 
Frozen schreef op zaterdag 14 maart 2015 @ 14:04:
Bedankt. Ik vind dat op regel 15 erg verdacht. Ik ga eens kijken...
grpconv -0
This program provides the translation of groups and group items to folders and links. It can be launched by some third party startup programs. You can just allow it. If you would not like it to run, you may need to find which startup item is the launcher of this program.
Kun je trouwens gewoon uitzetten.
 
Joostlek schreef op zaterdag 14 maart 2015 @ 14:05:
...windows 8 opnieuw installeren...
Dit is het laatste wat je wilt doen. Je leert er echt helemaal niets van.

zaterdag 14 maart 2015 14:19

Acties:
  • 0 Henk 'm!
  • Frozen
  • Registratie: Oktober 2010
  • Laatst online: 25-08 16:09

Frozen

2e Reviewer van het Jaar

Topicstarter
Ik heb net even een snelle trend micro housecall scan gedraaid en het heeft niets gevonden. Nadat Spyhunter klaar is en Rkill klaar is zal ik een volledige systeemscan ermee doen.

Verwijderd schreef op zaterdag 14 maart 2015 @ 14:16:
[...]

Inderdaad, MSconfig (Windows + R) en even bij Services (services.msc) kijken.

Verder kun je even kijken onder Internet opties en dan tabblad Connections/Verbindingen. Ik kwam laatst een geinfecteerd systeem tegen waar heel veel VPNs in zaten waar het leeg had moeten zijn.
 
Bedankt, zal ik proberen!
Edit 1: Enige wat ik onder services vind qua verdachte items is: "ACP User Service". Maar volgens AMD is dit onderdeel van hun audioengine.
Edit2: Bij internetopties krijg ik een foutmelding:
Afbeeldingslocatie: http://i.snag.gy/HIj37.jpg
Straks maar even proberen als ik uit de veilige modus ben.


Spyhunter heeft dit gevonden, maar om het te verwijderen moet je wel betalen...
Afbeeldingslocatie: http://i.snag.gy/Tk2kO.jpg

[ Voor 31% gewijzigd door Frozen op 14-03-2015 14:31 ]

Voeg me gewoon toe op LinkedIn, iedereen is welkom!

zaterdag 14 maart 2015 14:34

Acties:
  • 0 Henk 'm!
  • Mrjraider
  • Registratie: Juli 2012
  • Niet online

Mrjraider

Draai MBAM anders eens in chameleon mode

zaterdag 14 maart 2015 14:37

Acties:
  • 0 Henk 'm!
  • Joostlek
  • Registratie: December 2011
  • Laatst online: 13-09 15:27

Joostlek

Ik heb net mijn internetopties gevonden, ff op dropbox gezet, misschien kan je ze vervangen. https://www.dropbox.com/s...7D.settingcontent-ms?dl=0

(de path ernaa toe is: "C:\Users[USER]\AppData\Local\Packages\windows.immersivecontrolpanel_cw5n1h2txyewy\LocalState\Indexed\Settings\en-US\Classic_{a3dd4f92-658a-410f-84fd-6fbbbef2fffe}.settingcontent-ms")

EDIT: lol, bij tweakers verdwijnt de \ als je de combi \ [ doet \[

[ Voor 7% gewijzigd door Joostlek op 14-03-2015 14:38 ]

«Nooit geschoten is altijd mis»

zaterdag 14 maart 2015 14:44

Acties:
  • 0 Henk 'm!
  • Mrjraider
  • Registratie: Juli 2012
  • Niet online

Mrjraider

In de plaats van te betalen kan je deze ook proberen:
http://www.filehippo.com/download_spybot_search_destroy/

zaterdag 14 maart 2015 15:05

Acties:
  • 0 Henk 'm!

Verwijderd

Frozen schreef op zaterdag 14 maart 2015 @ 14:19:

Spyhunter heeft dit gevonden, maar om het te verwijderen moet je wel betalen...
Afbeeldingslocatie: http://i.snag.gy/Tk2kO.jpg
Kun je het niet handmatig verwijderen?

zaterdag 14 maart 2015 15:08

Acties:
  • 0 Henk 'm!
  • s1ck
  • Registratie: Mei 2009
  • Laatst online: 26-09 14:18

s1ck

Ben benieuwd wat voor resultaten je krijgt met MBAM of anders ESET (http://www.eset.com/int/support/sysrescue/)

zaterdag 14 maart 2015 15:10

Acties:
  • 0 Henk 'm!
  • Carpento
  • Registratie: Maart 2004
  • Laatst online: 22:01

Carpento

Nog wat tipjes uit de praktijk (niet specifiek voor dit soort dingen maar wel veel voorkomend):

Check de mappen:
• C:\Programdata
• C:\Users\{username}\AppData (alledrie even doornemen)
• Zoveel mogelijk temp files etc. weggooien, van je harddisk, uit je browser.
• CCleaner kun je tegenwoordig mee zien welke dingen er opstarten, zowel in Windows als in je browsers. Zeker met browser-hijackers is dat laatste heel handig
• Check je browser-extensies
• Reset je browser-profielen naar de beginwaarden
• Check ook met msconfig welke programma's / services / processen gestart worden. Wees alert, sommige malware laat ook gewoon rundll32.exe iets fouts aanroepen, dan lijkt rundll32 wel legitiem maar wat ie aanroept niet (!)
• Check de geplande taken, niet zelden zie je daar iets terugkomen wat bij elke boot checkt of het virus er nog staat en zonodig opnieuw binnenharkt

Maargoed, da's wel arbeidsintensief :p

[ Voor 6% gewijzigd door Carpento op 14-03-2015 18:04 ]

zaterdag 14 maart 2015 18:00

Acties:
  • 0 Henk 'm!
  • Frozen
  • Registratie: Oktober 2010
  • Laatst online: 25-08 16:09

Frozen

2e Reviewer van het Jaar

Topicstarter
Eset heeft helaas niets gevonden.

Voeg me gewoon toe op LinkedIn, iedereen is welkom!

zaterdag 14 maart 2015 18:01

Acties:
  • 0 Henk 'm!

Verwijderd

Frozen schreef op zaterdag 14 maart 2015 @ 18:00:
Eset heeft helaas niets gevonden.
Je kunt de tips van Carpento nog even nalopen.

zaterdag 14 maart 2015 18:33

Acties:
  • 0 Henk 'm!
  • Frozen
  • Registratie: Oktober 2010
  • Laatst online: 25-08 16:09

Frozen

2e Reviewer van het Jaar

Topicstarter
Verwijderd schreef op zaterdag 14 maart 2015 @ 18:01:
[...]

Je kunt de tips van Carpento nog even nalopen.
• C:\Programdata, gedaan
• C:\Users\{username}\AppData (alledrie even doornemen), gedaan
• Zoveel mogelijk temp files etc. weggooien, van je harddisk, uit je browser, gedaan
• CCleaner kun je tegenwoordig mee zien welke dingen er opstarten, zowel in Windows als in je browsers. Zeker met browser-hijackers is dat laatste heel handig, gedaan
• Check je browser-extensies, helemaal gereset dus ook gedaan.
• Reset je browser-profielen naar de beginwaarden, zie hierboven.
• Check ook met msconfig welke programma's / services / processen gestart worden. Wees alert, sommige malware laat ook gewoon rundll32.exe iets fouts aanroepen, dan lijkt rundll32 wel legitiem maar wat ie aanroept niet (!). Gedaan
• Check de geplande taken, niet zelden zie je daar iets terugkomen wat bij elke boot checkt of het virus er nog staat en zonodig opnieuw binnenharkt, niet gedaan. Ik zal hier naar kijken.

Voeg me gewoon toe op LinkedIn, iedereen is welkom!

zaterdag 14 maart 2015 18:39

Acties:
  • 0 Henk 'm!

Verwijderd

De geplande taken is een behoorlijk lijst tegenwoordig. Daar ben je wel even zoet mee.

zaterdag 14 maart 2015 18:55

Acties:
  • 0 Henk 'm!
  • Frozen
  • Registratie: Oktober 2010
  • Laatst online: 25-08 16:09

Frozen

2e Reviewer van het Jaar

Topicstarter
Verwijderd schreef op zaterdag 14 maart 2015 @ 18:39:
De geplande taken is een behoorlijk lijst tegenwoordig. Daar ben je wel even zoet mee.
Ik ga backuppen en windows opnieuw installeren :)

Voeg me gewoon toe op LinkedIn, iedereen is welkom!

zaterdag 14 maart 2015 18:59

Acties:
  • 0 Henk 'm!

Verwijderd

Je hebt het in iedergeval geprobeerd!
Jammer dat het niet gelukt is.

zaterdag 14 maart 2015 19:06

Acties:
  • 0 Henk 'm!
  • Rub3s
  • Registratie: Mei 2007
  • Laatst online: 15:18

Rub3s

+3 , omdat het kan

Offtopic: Ik wilde vanmiddag exact hetzelfde doen, ook epicbot downloaden (ook iets met oude tijden herleven/ te lui zijn om te trainen). Gelukkig blokkeerde Chrome het al voor me :D

zaterdag 14 maart 2015 19:45

Acties:
  • 0 Henk 'm!
  • Frozen
  • Registratie: Oktober 2010
  • Laatst online: 25-08 16:09

Frozen

2e Reviewer van het Jaar

Topicstarter
Rub3s schreef op zaterdag 14 maart 2015 @ 19:06:
Offtopic: Ik wilde vanmiddag exact hetzelfde doen, ook epicbot downloaden (ook iets met oude tijden herleven/ te lui zijn om te trainen). Gelukkig blokkeerde Chrome het al voor me :D
Hint, probeer rs/osbot of tribot, geen andere.

Voeg me gewoon toe op LinkedIn, iedereen is welkom!

zaterdag 14 maart 2015 21:33

Acties:
  • 0 Henk 'm!
  • Carpento
  • Registratie: Maart 2004
  • Laatst online: 22:01

Carpento

Hardnekkig spul soms ja. Ik zie voor m'n werk ook nogal eens malwarebesmettingen en over het algemeen laten we de klant gewoon een licentie afnemen voor HitmanPro. Als ik het handmatig doe kan ik er niet teveel tijd insteken, mijn uurtarief tikt ook door en voor de prijs van HitmanPro kan ik geen uur/uren schrijven :p

Anyway, succes :)

zaterdag 14 maart 2015 22:11

Acties:
  • 0 Henk 'm!
  • Frozen
  • Registratie: Oktober 2010
  • Laatst online: 25-08 16:09

Frozen

2e Reviewer van het Jaar

Topicstarter
Carpento schreef op zaterdag 14 maart 2015 @ 21:33:
Hardnekkig spul soms ja. Ik zie voor m'n werk ook nogal eens malwarebesmettingen en over het algemeen laten we de klant gewoon een licentie afnemen voor HitmanPro. Als ik het handmatig doe kan ik er niet teveel tijd insteken, mijn uurtarief tikt ook door en voor de prijs van HitmanPro kan ik geen uur/uren schrijven :p

Anyway, succes :)
Ja, weet je wat het is... Na een dag van veel programma's draaien is het ook wel genoeg. Op een gegeven moment moet je zeggen: Dit is het, en klaar. Als het op deze manier niet werkt, dan proberen we een andere manier. :)

Verder wil ik iedereen bedanken voor de hulp! d:)b

Voeg me gewoon toe op LinkedIn, iedereen is welkom!

donderdag 9 april 2015 15:29

Acties:
  • 0 Henk 'm!
  • Aionicus
  • Registratie: Februari 2011
  • Laatst online: 08-08-2023

Aionicus

ik zag je post in het hitman topic , was het nog gelukt met het schoonmaken van je pc / virus eraf halen ?

anders zou ik er graag is naar kijken ^^.

leuk altijd een uitdaging.

donderdag 9 april 2015 15:32

Acties:
  • 0 Henk 'm!
  • Frozen
  • Registratie: Oktober 2010
  • Laatst online: 25-08 16:09

Frozen

2e Reviewer van het Jaar

Topicstarter
Aionicus schreef op donderdag 09 april 2015 @ 15:29:
ik zag je post in het hitman topic , was het nog gelukt met het schoonmaken van je pc / virus eraf halen ?

anders zou ik er graag is naar kijken ^^.

leuk altijd een uitdaging.
Frozen schreef op zaterdag 14 maart 2015 @ 18:55:
[...]

Ik ga backuppen en windows opnieuw installeren :)
:)

Voeg me gewoon toe op LinkedIn, iedereen is welkom!

donderdag 9 april 2015 15:46

Acties:
  • 0 Henk 'm!
  • hello123456
  • Registratie: April 2008
  • Laatst online: 02-09 12:23

hello123456

Voor dit soort hardnekkige geintjes trek ik meestal Hijackthis uit de kast. Ik heb ook weleens meegemaakt dat een programma dat zich voordeed als een anti-spyware programma zichzelf opnieuw bleef downloaden. Detectie programma's konden wel een deel van de infectie onschadelijk maken maar het downloaden bleef doorgaan. Met Hijackthis was dit snel opgelost.

LET OP: Hijackthis is niet je alledaagse select all & fix tooltje. Selecteer de verkeerde dingen om te fixen en je brengt meer schade toe dan je oplost. Draai er eens een scan mee en plaats hier eens de logfile.

Hijackthis kan je hier vinden: http://sourceforge.net/projects/hjt/

Edit: Oh ik lees net de reactie dat je opnieuw gaat installeren. Maar wellicht voor de volgende keer / een andere Tweaker laat ik dit bericht staan.

[ Voor 10% gewijzigd door hello123456 op 09-04-2015 15:46 ]

donderdag 9 april 2015 21:59

Acties:
  • 0 Henk 'm!
  • Snowwie
  • Registratie: September 2003
  • Laatst online: 02:27

Snowwie

In de tijd dat je aan het prutsen bent geweest om dat virus kwijt te raken had je allang Windows kunnen herinstalleren. :)

Je kunt ook nog Roguekiller proberen.

[ Voor 28% gewijzigd door Snowwie op 09-04-2015 22:00 ]

Mijn YouTube Channel

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq