Terugkomend Virus! DRINGEND!

[#JOEPIE#]

Hallo,

Sinds kort heb ik AVG Anti Virus 8.0 (eerst 7.5)

Toen ik een complete scan deed, vond hij een aantal virussen in het register (de link: http://www.freewebs.com/n15helpdesk/LOG.txt )

Die had ik verwijderd en ik dacht, nu zijn ze weg, klaar.

Maar toen ik na het opnieuw opstarten nog een keer scande kwam het weer tevoorschijn. :'( :-[

Ik had met een ander anti- virus programma gescand, Bullguard en die vond Trojan. Vundo

Die heb ik verwijderd maar die kwam niet terug.

Is het misschien een trojaans paard die constant bij bv. het opstarten dezelfde virussen download??

Zie de log voor meer info , dat zijn de virussen die telkens werden gevonden.

Het valt me ook op of dat er vaak generic staat, dit is toch een false positive?

Vlak voordat ik steeds die zelfde virussen in het register vond, kreeg ik een paar keer de melding van AVG:

Trojan horse Generic10.MGI-- FOUND --;"C:\Windows\System32\urqnmMFv.dll  :buck:

Toen heb ik op ja geklikt van verwijderden maar die kwam steeds terug.

Wat moet ik hiermee, welke virus is dit of is dit een false positive?

Graag hulp, alvast bedankt.

#JOEPIE#

[Duken]

Draai anders eens Hitman Pro, deze scaned met diversen antivirus en antispyware pakketten. Hiermee moet t wel lukken

[Tom]

Zet hem in quarantaine.

[#JOEPIE#]

Heb ik al gedaan, heeft geen effect!

Ik zal hitman pro effe draaien.

#JOEPIE#

[#JOEPIE#]

Ik heb Hitman pro gedraaid maar hij vond alleen een tracking cookie.

Wat nu?

Het komt telkens terug, volgens mij doet 1 virus dat maar welke??

Wie kan mij helpen?

Hier de log van AVG nog een keer: http://www.freewebs.com/n15helpdesk/LOG.txt

#JOEPIE#

[Fredpascal]

Hallo je bent volgens mij geinecteerd met een zeer aggressieve trojan genaamd VurtoMonde:

Hier een beschrijving hiertegen:

http://www.atribune.org/downloads/VundoFix.zip

download VundoFix.zip en sla hem op je bureaublad op.

    * Dubbelklik VundoFix.zip en pak het uit naar je C:\ schijf

    * Kopieer de instructies en sla ze in een kladblokbestand op, om precies te weten wat je moet doen, want je mag zo geen andere vensters open hebben.

• 
      * Alle ander vensters moeten gesloten zijn tijdens deze fix!
  
• ga naar de map C:\VundoFix
  
• Dubbelklik KillVundo.bat
      * Als het programma start vertelt het je dat je , een actieve internetverbinding moet hebben, en vraagt je een willekeurige toets te drukken, hetgeen je ook doet als je internetverbinding actief is
  
• Druk op een willekeurige toets om verder te gaan
  
• Wacht tot hijackTthis zich opent
  
• en zet een vinkje voor de volgende regels
  O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\msagent\CHARS\webip.dll
  O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
  O20 - Winlogon Notify: webip - C:\WINDOWS\msagent\CHARS\webip.dll
  en klik Fix Checked
  sluit nu hijackThis
  Ga naar
  Start >
  instellingen >
  configuratiescherm >
  Mapopties >
  tabblad Weergave >
  klik "verborgen bestanden en mappen weergeven"
  Verwijder het vinkje bij Extensies voor bekende bestandstypen verbergen en
  zet het vinkje voor: "de inhoud van systeemmappen aangeven"> OK
  Verwijder deze bestanden:
  C:\WINDOWS\msagent\CHARS\webip.dll
  C:\WINDOWS\msagent\CHARS\pibew.dll
  Download Hoster
  Pak het uit en open het programma.
  Kies "Restore Original Hosts" en druk op "OK".
  Sluit het programma af.
  Herstart je computer
  Als je computer herstart is plaats dan even een vers logje en de uitkomst van de vundofix, namelijk vundofix.txt die aanwezig is in de map: C:\VundoFix
  Als je meer hulp nodig hebt hoor ik het graag.

[Fredpascal]

Even apart, het moet even sorry Moderators anders word het een groot soep zooitje.

Ik kom ook CoolWebSearch tegen en Rogue anti-spyware programma's tegen:

Coolwebsearch kan je hiermee verwijderen:

http://www.download.com/CWShredder/3000-8022_4-10301587.html

Alle Rogue bestanden kan je hiermee verwijderen:

http://www.download.com/RogueRemover/3000-8022_4-10634508.html?tag=lst-1&cdlPid=10821804

OOk dit is een handig tooltje om ook wat rotzooi te verwijderen:

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Zoals je ziet is het geen .com site dus deze word ook niet geblokkeerd helaas is het programma wel moeilijk te verwijderen,

Maar ik zet hier wel een Nederlandse handleiding neer:

1. Druk op SmitfraudFix.exe, daarna komt er een rapport op je computer te staan deze kan je zien op: C:\rapport.txt

2.Zet 1 neer en druk dan op enter.

3.Herstart je computer als die wat gevonden heeft en start hem op in 'Veilige modes' door f8 meerdere malen bij het opstart scherm te drukken.

4.Open weer de SmitfraudFix.exe

5.Selecteer nu optie 2 en druk dan enter.

[img width=600 height=303]http://siri.geekstogo.com/Bitmaps/Fix02b.png

6.Er word dan gevraagd of het register schoongemaakt moet worden, druk Y voor Yes en dan enter.

7.Nu gaat de tool kijken of wininet.dll geïnfecteerd is, als die geïnfecteerd is vraagt de fix of het .dll bestand  vervangen mag worden, druk  'Y'  voor  Yes en dan weer enter.

8. Als dit klaar is dan herstart je je computer en zie je dat SpySheriff weg is.

Meer info zie mijn site over deze fix.

Waarom komen de bestanden terug?

De bestanden komen terug vanwege dat deze rogue en met name deze VirtuMonde torjan alles opnieuw installeerd want verborgen bestanden van het virus herstellen het virus zelf weer, als je deze hebt verwijderd dan komen ze ook niet meer terug.

Wat moet ik na gebruik van deze tools doen?

AVG heeft in deze situaties geen nut download een trail van Kaspersky of ESET dit omdat het ook gelijk rootkits zoekt die vooral het VirtuMonde maakt verwijderd.

Hierdoor kan die niet meer herstellen.

Als je meer hulp nodig hebt stuur dan een pm.

[Tom]

Je hebt gelijk dat het een zooitje wordt als je dat in 1 bericht doet. Goed opgelost. O0

[Fredpascal]

Heb je die tooltjes in veilige modus gestart, anders kan hij inderdaad niks verwijderen.

Probeer eens opnieuw een log van avg aan ons te geven, zo weten we wat er nog op de pc achter is gebleven.

[#JOEPIE#]

Ja, ik heb gescand in de veilige modus.

de log is heel klein want het is nu nog maar 1 bestand. 

Een hidden driver genaamd: mchInjDrv.sys

In de: C:\Windows\System32\Drivers  map

Weten jullie wat dat is?

Ik heb hem alvast in de virus vault gezet.

#JOEPIE#

[Fredpascal]

Kan weg:

Dangerous mchInjDrv.sys - Dangerous

mchinjdrv.sys

    MchInjDrv.sys is a driver for injecting code to other processes.

    Publisher is legitimate:

    hxxp://madshi.net (onveilige link)

    But it is often used by malicious software.

    Kill the file mchInjDrv.sys and remove mchInjDrv.sys from Windows startup.

    Removal: mchInjDrv.sys is removed by RegRun.

    Read more... Removal instructions...

    Recommended software:

    UnHackMe - easy removal Rootkits/Adware/Spyware.

    http://www.unhackme.com

    RegRun - User's Choice

    Vista Programs - full info...

    What is hidden in MSDN?

    .NET Secrets Revealed

    Why software developers prefer Win32.FreeTechSecrets.com?

    All Unix Manuals in Alphabetical Order

    C# controls for .NET in 3 simple steps.

En hebben mijn tools geholpen?

P.S: mchinjdrv betekent: Mad Code Hook Injection Driver

[#JOEPIE#]

Ja, het heeft geholpen! O0 Bedankt!

Alleen zie ik dat bestand niet bij het opstarten van windows via ccleaner.

UPDATE## Oh nee, volgens mij is het weer terug.

Het valt me op dat bij spywareblaster het virus: Vundo-B niet meer beveiligd wordt.

Is dit de boosdoener?

#JOEPIE#

[Fredpascal]

Ja, het heeft geholpen! O0 Bedankt!

Alleen zie ik dat bestand niet bij het opstarten van windows via ccleaner.

UPDATE## Oh nee, volgens mij is het weer terug.

Het valt me op dat bij spywareblaster het virus: Vundo-B niet meer beveiligd wordt.

Is dit de boosdoener?

#JOEPIE#

Probeer anders opnieuw die Fundo fix die kan alle vormen van de Vurtumonde verwijderen.

Anders moet je ven weer een logje laten zien  :cool2:

[#JOEPIE#]

Nu kan ik de PC helemaal niet meer goed starten in de ´normale stand´. :buck:

Alleen in de veilige modus en Vundofix heeft gescand maar niks gevonden.

Wat nu??? :'( :buck:

#JOEPIE#

[Fredpascal]

Nu kan ik de PC helemaal niet meer goed starten in de ´normale stand´. :buck:

Alleen in de veilige modus en Vundofix heeft gescand maar niks gevonden.

Wat nu??? :'( :buck:

#JOEPIE#

Wat gaat er mis als je normaal starten, en kan je geen logje sturen van AVG hoeveel virussen er nog over zijn, mchInjDrv.sys moet zeker weg zijn want die infecteert virussen in je systeem map.

[#JOEPIE#]

Met het niet goed starten bedoel ik: een kwartier wachten totdat hij is opgestart en dan reageert hij nog sloom.

AVG heeft weer dezelfde virussen gevonden als eerst plus die mchInjDrv.sys , het blijft maar terugkomen.

Ik denk dat ik maar ga formatteren, in ieder geval bedankt voor de hulp O0

#JOEPIE#

[Fredpascal]

Met het niet goed starten bedoel ik: een kwartier wachten totdat hij is opgestart en dan reageert hij nog sloom.

AVG heeft weer dezelfde virussen gevonden als eerst plus die mchInjDrv.sys , het blijft maar terugkomen.

Ik denk dat ik maar ga formatteren, in ieder geval bedankt voor de hulp O0

#JOEPIE#

Heb je ook al geprobeerd met een andere virusscanner zoals:

http://www.kaspersky.nl/online-virus-scanner.html

[#JOEPIE#]

Ja, en ook Bitdefender, Panda en Trend Micro.

Het lukt gewoon niet.

Ik ga nu formatteren dus hier kan een slotje op!

Iedereen bedankt!

#JOEPIE#

[Tom]

Goed, slotje.

[Piraatje]

Vergeten jullie alsjeblieft de VPN verbinding niet? Je internet provider zoals Ziggo of KPN kan door gebruik van de VPN niet zien wat er gebeurd op je internet verbinding en ben je volledig anoniem voor iedereen. Een vereiste tegenwoordig.... We een uitgebreide handleiding geschreven met informatie. 

Deze vindt je hier:   https://www.duken.nl/forums/handleidingen/downloaden/vpn-verbinding-en-anoniem-downloaden-r35/