Moirraine

Moirraine — Wed, 25 Jul 2012 17:26:47 GMT

Het zat in ieder geval in een sub directory van mijn user profile en ik heb het vermoeden dat ik hem via een website heb opgelopen. Ik heb geen illegale zooi op de laptop, maar wel onlangs overgestapt naar FF met noscript naar Chrome zonder noscript. Ik gok dat ik een der uithoeken van het interwebs een verkeerde url heb gevolgd.

Volgende week inderdaad maar eens Win7 overnieuw op die laptop zetten voor ik hem weer gebruik.

LnC

LnC — Tue, 24 Jul 2012 11:31:12 GMT

Kan je nog achterhalen wat je precies gevonden hebt, en waar?

P.s. nog wat achtergrondinfo m.b.t. de Sinowal malware / virus:

F-Secure
Wiki
Microsoft
Zo te zien dus een fijn ding. Mede omdat dit onding gericht is op om je bankzaken te stelen, zou ik deze installatie van je windows niet meer vertrouwen en opnieuw installeren. Ook je MBR.

Moirraine

Moirraine — Tue, 24 Jul 2012 01:02:06 GMT

Het advies van Spone (boot CD maken) heeft het hem geflikt, thanks a lot Wellicht iets om in de FAQ te zetten?

Ook de tips van alle anderen worden onthouden voor eventuele problemen in de toekomst! Aan allen hier bedankt!

gerwim

gerwim — Mon, 23 Jul 2012 21:05:35 GMT

Verwijderd schreef op maandag 23 juli 2012 @ 23:02:
Mijn ervaring bij hardnekkige virussen is dat er maar 1 remedie is die het virus zeker compleet verwijdert en het minst aan tijd kost. En dat is een reinstall.

Indien het virus niet in je MBR zit, zoals sommige nog wel is willen doen. ;-)

Verwijderd

Verwijderd — Mon, 23 Jul 2012 21:02:33 GMT

Mijn ervaring bij hardnekkige virussen is dat er maar 1 remedie is die het virus zeker compleet verwijdert en het minst aan tijd kost. En dat is een reinstall.

PilatuS

PilatuS — Mon, 23 Jul 2012 20:50:47 GMT

Je moet dit ook niet doen op een PC die heel belangrijk is en waar geen goede scanner op draait. Als je en PC hebt waar je een image van hebt of die je makkelijk kan recoveren is het juist een goede manier om virussen te verwijderen.

Koenvh

Koenvh — Mon, 23 Jul 2012 20:38:03 GMT

PilatuS schreef op maandag 23 juli 2012 @ 22:33:
De HDD scannen op een andere PC kan ook helpen.

Probeer dit niet, kan het andere systeem besmetten...

itsme

itsme — Mon, 23 Jul 2012 20:37:41 GMT

PilatuS schreef op maandag 23 juli 2012 @ 22:33:
De HDD scannen op een andere PC kan ook helpen.

Dit niet doen natuurlijk, tenzij je het risico wil lopen een andere PC te besmetten.

PilatuS

PilatuS — Mon, 23 Jul 2012 20:33:16 GMT

De HDD scannen op een andere PC kan ook helpen.

Sniffert

Sniffert — Mon, 23 Jul 2012 20:30:38 GMT

Heb je al geprobeerd om het virus in veilige modus te verwijderen? Just a tip....

Moirraine

Moirraine — Mon, 23 Jul 2012 16:41:24 GMT

Beide bedankt voor de tips, ik ga er mee aan de slag! Ik zal terugkoppelen of het is gelukt.

spone

spone — Mon, 23 Jul 2012 16:37:46 GMT

Boot het systeem vanaf een antivirus-cd en laat hem op die manier scannen. Op die manier kan het virus ook geen invloed uitoefenen op het schoningsproces.

De Kaspersky Rescue werkt wel goed (voor mij in elk geval): http://support.kaspersky.com/faq/?qid=208282173

gerwim

gerwim — Mon, 23 Jul 2012 16:34:18 GMT

Ik heb zelf goede ervaringen met MalwareBytes (http://www.malwarebytes.org/).

Verder is een schone installatie nooit verkeerd, je weet maar nooit met virussen.

Moirraine

Moirraine — Mon, 23 Jul 2012 16:30:30 GMT

Hallo BV,

Ik heb een probleem met een sinowal virus. Ik gebruik MSE als virusscanner op een Windows 7 Home Premium laptop die dit virus netjes detecteert en vervolgens verwijdert. Na het verwijderen wordt aangeraden om de laptop opnieuw te starten en een volledige scan uit te voeren om te kijken of het verwijderen is gelukt. Bij deze scan vindt MSE het virus toch telkens opnieuw, maar dan in een andere directory. Deze directory is altijd "C:\Windows\Temp[random directory naam]". De gewraakte file is volgens MSE "plugin.dll". Voor de volledigheid, MSE beschrijft het als "PWS:Win32/Sinowal.gen!Y"

Wat heb ik geprobeerd:
- Aangeraden actie van MSE.
- Systeemherstel uitzetten en herstelpunten verwijderen.
- De bestanden handmatig verwijderen (baat het niet, dan schaadt het niet).
- Schijfopruiming (wederom: baat het niet, dan schaadt het niet).
- Spybot - Search and Destroy (vond niets).
- Uit een ander topic: Prevx gedraaid (vond niets).
- Gegoogled.

Voor de volledigheid heb ik HJThis ook gedraaid, mocht het helpen, hieronder het log (ik zie er als leek niets vreemds in):

code:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:20:06, on 23-7-2012
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v9.00 (9.00.8112.16447)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE
C:\Users\Ruud\AppData\Roaming\Dropbox\bin\Dropbox.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Users\Ruud\Downloads\HijackThis.exe
C:\Users\Ruud\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Ruud\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Ruud\AppData\Local\Google\Chrome\Application\chrome.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://packardbell.msn.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://packardbell.msn.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://packardbell.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~4\Office14\GROOVEEX.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll
O2 - BHO: Aanmeldhulp voor Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~4\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [OfficeSyncProcess] "C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE"
O4 - HKCU\..\Run: [Google Update] "C:\Users\Ruud\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: Dropbox.lnk = Ruud\AppData\Roaming\Dropbox\bin\Dropbox.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~4\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: Se&nd to OneNote - res://C:\PROGRA~2\MICROS~4\Office14\ONBttnIE.dll/105
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: MySQL55 - Unknown owner - C:\Program.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: TurboBoost - Intel(R) Corporation - C:\Program Files\Intel\TurboBoost\TurboBoost.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8189 bytes

Is er nog iets wat ik kan doen om het probleem te verhelpen, of zal ik helaas mijn externe HD aan moeten zwengelen, een backup moeten draaien en Windows er opnieuw op moeten zetten? Ik las in een van de actieve topics in dit forum over een vergelijkbaar probleem waar herinstallatie werd aangeraden, maar wellicht dat hier een slimme fix voor is.

Als iemand mij hiermee verder kan helpen wordt dat erg op prijs gesteld!

Groet,
Ruud

Gathering of Tweakers

Moirraine

LnC

Moirraine

gerwim

Verwijderd

PilatuS

Koenvh

itsme

PilatuS

Sniffert

Moirraine

spone

gerwim

Moirraine