Spring naar bijdragen

Terugkomend Virus! DRINGEND!


Aanbevolen reactie


  • Bijdragen:  354
  • Waardering:   0
  • Prestatiepunten:  306
  • Dagen gewonnen:  0
  • Lid sinds:  07/05/07
  • Status:  Offline
  • Actief:  

Hallo,

Sinds kort heb ik AVG Anti Virus 8.0 (eerst 7.5)

Toen ik een complete scan deed, vond hij een aantal virussen in het register (de link: http://www.freewebs.com/n15helpdesk/LOG.txt )

Die had ik verwijderd en ik dacht, nu zijn ze weg, klaar.

Maar toen ik na het opnieuw opstarten nog een keer scande kwam het weer tevoorschijn. :'( :-[

Ik had met een ander anti- virus programma gescand, Bullguard en die vond Trojan. Vundo

Die heb ik verwijderd maar die kwam niet terug.

Is het misschien een trojaans paard die constant bij bv. het opstarten dezelfde virussen download??

Zie de log voor meer info , dat zijn de virussen die telkens werden gevonden.

Het valt me ook op of dat er vaak generic staat, dit is toch een false positive?

Vlak voordat ik steeds die zelfde virussen in het register vond, kreeg ik een paar keer de melding van AVG:

Trojan horse Generic10.MGI-- FOUND --;"C:\Windows\System32\urqnmMFv.dll  :buck:

Toen heb ik op ja geklikt van verwijderden maar die kwam steeds terug.

Wat moet ik hiermee, welke virus is dit of is dit een false positive?

Graag hulp, alvast bedankt.

#JOEPIE#

Link naar opmerking
Deel via andere websites

  • 0
  • 354
  • Reacties 18
  • Gemaakt
  • Laatste reactie

Top Posters In Dit Topic

Top Posters In Dit Topic

  • Oud-beheerder

  • Bijdragen:  26218
  • Waardering:   2933
  • Prestatiepunten:  25024
  • Dagen gewonnen:  265
  • Lid sinds:  12/17/11
  • Status:  Offline
  • Actief:  
  • Was actief op:  Windows

Draai anders eens Hitman Pro, deze scaned met diversen antivirus en antispyware pakketten. Hiermee moet t wel lukken :)

Link naar opmerking
Deel via andere websites

  • 2.9k
  • 26.2k
  • 265

  • Bijdragen:  500
  • Waardering:   228
  • Prestatiepunten:  0
  • Dagen gewonnen:  0
  • Lid sinds:  04/19/06
  • Status:  Offline
  • Actief:  
  • Leeftijd:  33

Zet hem in quarantaine.

Link naar opmerking
Deel via andere websites

  • 228
  • 500

  • Bijdragen:  354
  • Waardering:   0
  • Prestatiepunten:  306
  • Dagen gewonnen:  0
  • Lid sinds:  07/05/07
  • Status:  Offline
  • Actief:  

Heb ik al gedaan, heeft geen effect!

Ik zal hitman pro effe draaien.

#JOEPIE#

Link naar opmerking
Deel via andere websites

  • 0
  • 354

  • Bijdragen:  354
  • Waardering:   0
  • Prestatiepunten:  306
  • Dagen gewonnen:  0
  • Lid sinds:  07/05/07
  • Status:  Offline
  • Actief:  

Ik heb Hitman pro gedraaid maar hij vond alleen een tracking cookie.

Wat nu?

Het komt telkens terug, volgens mij doet 1 virus dat maar welke??

Wie kan mij helpen?

Hier de log van AVG nog een keer: http://www.freewebs.com/n15helpdesk/LOG.txt

#JOEPIE#

Link naar opmerking
Deel via andere websites

  • 0
  • 354

  • Bijdragen:  2568
  • Waardering:   1
  • Prestatiepunten:  0
  • Dagen gewonnen:  0
  • Lid sinds:  10/12/07
  • Status:  Offline
  • Actief:  Nooit
  • Leeftijd:  33

Hallo je bent volgens mij geinecteerd met een zeer aggressieve trojan genaamd VurtoMonde:

Hier een beschrijving hiertegen:

http://www.atribune.org/downloads/VundoFix.zip

download VundoFix.zip en sla hem op je bureaublad op.

    * Dubbelklik VundoFix.zip en pak het uit naar je C:\ schijf

    * Kopieer de instructies en sla ze in een kladblokbestand op, om precies te weten wat je moet doen, want je mag zo geen andere vensters open hebben.


  •     * Alle ander vensters moeten gesloten zijn tijdens deze fix!
  • ga naar de map C:\VundoFix
  • Dubbelklik KillVundo.bat
        * Als het programma start vertelt het je dat je , een actieve internetverbinding moet hebben, en vraagt je een willekeurige toets te drukken, hetgeen je ook doet als je internetverbinding actief is
  • Druk op een willekeurige toets om verder te gaan
  • Wacht tot hijackTthis zich opent
  • en zet een vinkje voor de volgende regels
    O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\msagent\CHARS\webip.dll
    O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
    O20 - Winlogon Notify: webip - C:\WINDOWS\msagent\CHARS\webip.dll
    en klik Fix Checked
    sluit nu hijackThis
    Ga naar
    Start >
    instellingen >
    configuratiescherm >
    Mapopties >
    tabblad Weergave >
    klik "verborgen bestanden en mappen weergeven"
    Verwijder het vinkje bij Extensies voor bekende bestandstypen verbergen en
    zet het vinkje voor: "de inhoud van systeemmappen aangeven"> OK
    Verwijder deze bestanden:
    C:\WINDOWS\msagent\CHARS\webip.dll
    C:\WINDOWS\msagent\CHARS\pibew.dll
    Download Hoster
    Pak het uit en open het programma.
    Kies "Restore Original Hosts" en druk op "OK".
    Sluit het programma af.
    Herstart je computer
    Als je computer herstart is plaats dan even een vers logje en de uitkomst van de vundofix, namelijk vundofix.txt die aanwezig is in de map: C:\VundoFix
    Als je meer hulp nodig hebt hoor ik het graag.

Link naar opmerking
Deel via andere websites

  • 1
  • 2.6k

  • Bijdragen:  2568
  • Waardering:   1
  • Prestatiepunten:  0
  • Dagen gewonnen:  0
  • Lid sinds:  10/12/07
  • Status:  Offline
  • Actief:  Nooit
  • Leeftijd:  33

Even apart, het moet even sorry Moderators anders word het een groot soep zooitje.

Ik kom ook CoolWebSearch tegen en Rogue anti-spyware programma's tegen:

Coolwebsearch kan je hiermee verwijderen:

http://www.download.com/CWShredder/3000-8022_4-10301587.html

Alle Rogue bestanden kan je hiermee verwijderen:

http://www.download.com/RogueRemover/3000-8022_4-10634508.html?tag=lst-1&cdlPid=10821804

OOk dit is een handig tooltje om ook wat rotzooi te verwijderen:

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Zoals je ziet is het geen .com site dus deze word ook niet geblokkeerd helaas is het programma wel moeilijk te verwijderen,

Maar ik zet hier wel een Nederlandse handleiding neer:

1. Druk op SmitfraudFix.exe, daarna komt er een rapport op je computer te staan deze kan je zien op: C:\rapport.txt

Fix01b.png

2.Zet 1 neer en druk dan op enter.

3.Herstart je computer als die wat gevonden heeft en start hem op in 'Veilige modes' door f8 meerdere malen bij het opstart scherm te drukken.

4.Open weer de SmitfraudFix.exe

5.Selecteer nu optie 2 en druk dan enter.

[img width=600 height=303]http://siri.geekstogo.com/Bitmaps/Fix02b.png

6.Er word dan gevraagd of het register schoongemaakt moet worden, druk Y voor Yes en dan enter.

7.Nu gaat de tool kijken of wininet.dll geïnfecteerd is, als die geïnfecteerd is vraagt de fix of het .dll bestand  vervangen mag worden, druk  'Y'  voor  Yes en dan weer enter.

8. Als dit klaar is dan herstart je je computer en zie je dat SpySheriff weg is.

Meer info zie mijn site over deze fix.

Waarom komen de bestanden terug?

De bestanden komen terug vanwege dat deze rogue en met name deze VirtuMonde torjan alles opnieuw installeerd want verborgen bestanden van het virus herstellen het virus zelf weer, als je deze hebt verwijderd dan komen ze ook niet meer terug.

Wat moet ik na gebruik van deze tools doen?

AVG heeft in deze situaties geen nut download een trail van Kaspersky of ESET dit omdat het ook gelijk rootkits zoekt die vooral het VirtuMonde maakt verwijderd.

Hierdoor kan die niet meer herstellen.

Als je meer hulp nodig hebt stuur dan een pm.

Link naar opmerking
Deel via andere websites

  • 1
  • 2.6k

  • Bijdragen:  500
  • Waardering:   228
  • Prestatiepunten:  0
  • Dagen gewonnen:  0
  • Lid sinds:  04/19/06
  • Status:  Offline
  • Actief:  
  • Leeftijd:  33

Je hebt gelijk dat het een zooitje wordt als je dat in 1 bericht doet. Goed opgelost. O0

Link naar opmerking
Deel via andere websites

  • 228
  • 500

  • Bijdragen:  2568
  • Waardering:   1
  • Prestatiepunten:  0
  • Dagen gewonnen:  0
  • Lid sinds:  10/12/07
  • Status:  Offline
  • Actief:  Nooit
  • Leeftijd:  33

Heb je die tooltjes in veilige modus gestart, anders kan hij inderdaad niks verwijderen.

Probeer eens opnieuw een log van avg aan ons te geven, zo weten we wat er nog op de pc achter is gebleven.

Link naar opmerking
Deel via andere websites

  • 1
  • 2.6k

  • Bijdragen:  354
  • Waardering:   0
  • Prestatiepunten:  306
  • Dagen gewonnen:  0
  • Lid sinds:  07/05/07
  • Status:  Offline
  • Actief:  

Ja, ik heb gescand in de veilige modus.

de log is heel klein want het is nu nog maar 1 bestand.  :D

Een hidden driver genaamd: mchInjDrv.sys

In de: C:\Windows\System32\Drivers  map

Weten jullie wat dat is?

Ik heb hem alvast in de virus vault gezet.

#JOEPIE#

Link naar opmerking
Deel via andere websites

  • 0
  • 354

  • Bijdragen:  2568
  • Waardering:   1
  • Prestatiepunten:  0
  • Dagen gewonnen:  0
  • Lid sinds:  10/12/07
  • Status:  Offline
  • Actief:  Nooit
  • Leeftijd:  33

Kan weg:

dangerous.gifDangerous mchInjDrv.sys - Dangerous

mchinjdrv.sys

    MchInjDrv.sys is a driver for injecting code to other processes.

    Publisher is legitimate:

    hxxp://madshi.net (onveilige link)

    But it is often used by malicious software.

    Kill the file mchInjDrv.sys and remove mchInjDrv.sys from Windows startup.

    Removal: mchInjDrv.sys is removed by RegRun.

    Read more... Removal instructions...

    Recommended software:

    UnHackMe - easy removal Rootkits/Adware/Spyware.

    http://www.unhackme.com

    RegRun - User's Choice

    Vista Programs - full info...

    What is hidden in MSDN?

    .NET Secrets Revealed

    Why software developers prefer Win32.FreeTechSecrets.com?

    All Unix Manuals in Alphabetical Order

    C# controls for .NET in 3 simple steps.

En hebben mijn tools geholpen?

P.S: mchinjdrv betekent: Mad Code Hook Injection Driver

Link naar opmerking
Deel via andere websites

  • 1
  • 2.6k

  • Bijdragen:  354
  • Waardering:   0
  • Prestatiepunten:  306
  • Dagen gewonnen:  0
  • Lid sinds:  07/05/07
  • Status:  Offline
  • Actief:  

Ja, het heeft geholpen! O0 Bedankt!

Alleen zie ik dat bestand niet bij het opstarten van windows via ccleaner.

UPDATE## Oh nee, volgens mij is het weer terug.

Het valt me op dat bij spywareblaster het virus: Vundo-B niet meer beveiligd wordt.

Is dit de boosdoener?

#JOEPIE#

Link naar opmerking
Deel via andere websites

  • 0
  • 354

  • Bijdragen:  2568
  • Waardering:   1
  • Prestatiepunten:  0
  • Dagen gewonnen:  0
  • Lid sinds:  10/12/07
  • Status:  Offline
  • Actief:  Nooit
  • Leeftijd:  33

Ja, het heeft geholpen! O0 Bedankt!

Alleen zie ik dat bestand niet bij het opstarten van windows via ccleaner.

UPDATE## Oh nee, volgens mij is het weer terug.

Het valt me op dat bij spywareblaster het virus: Vundo-B niet meer beveiligd wordt.

Is dit de boosdoener?

#JOEPIE#

Probeer anders opnieuw die Fundo fix die kan alle vormen van de Vurtumonde verwijderen.

Anders moet je ven weer een logje laten zien  :cool2:

Link naar opmerking
Deel via andere websites

  • 1
  • 2.6k

  • Bijdragen:  354
  • Waardering:   0
  • Prestatiepunten:  306
  • Dagen gewonnen:  0
  • Lid sinds:  07/05/07
  • Status:  Offline
  • Actief:  

Nu kan ik de PC helemaal niet meer goed starten in de ´normale stand´. :buck:

Alleen in de veilige modus en Vundofix heeft gescand maar niks gevonden.

Wat nu??? :'( :D :buck:

#JOEPIE#

Link naar opmerking
Deel via andere websites

  • 0
  • 354

  • Bijdragen:  2568
  • Waardering:   1
  • Prestatiepunten:  0
  • Dagen gewonnen:  0
  • Lid sinds:  10/12/07
  • Status:  Offline
  • Actief:  Nooit
  • Leeftijd:  33

Nu kan ik de PC helemaal niet meer goed starten in de ´normale stand´. :buck:

Alleen in de veilige modus en Vundofix heeft gescand maar niks gevonden.

Wat nu??? :'( :D :buck:

#JOEPIE#

Wat gaat er mis als je normaal starten, en kan je geen logje sturen van AVG hoeveel virussen er nog over zijn, mchInjDrv.sys moet zeker weg zijn want die infecteert virussen in je systeem map.

Link naar opmerking
Deel via andere websites

  • 1
  • 2.6k

  • Bijdragen:  354
  • Waardering:   0
  • Prestatiepunten:  306
  • Dagen gewonnen:  0
  • Lid sinds:  07/05/07
  • Status:  Offline
  • Actief:  

Met het niet goed starten bedoel ik: een kwartier wachten totdat hij is opgestart en dan reageert hij nog sloom.

AVG heeft weer dezelfde virussen gevonden als eerst plus die mchInjDrv.sys , het blijft maar terugkomen.

Ik denk dat ik maar ga formatteren, in ieder geval bedankt voor de hulp O0

#JOEPIE#

Link naar opmerking
Deel via andere websites

  • 0
  • 354

  • Bijdragen:  2568
  • Waardering:   1
  • Prestatiepunten:  0
  • Dagen gewonnen:  0
  • Lid sinds:  10/12/07
  • Status:  Offline
  • Actief:  Nooit
  • Leeftijd:  33

Met het niet goed starten bedoel ik: een kwartier wachten totdat hij is opgestart en dan reageert hij nog sloom.

AVG heeft weer dezelfde virussen gevonden als eerst plus die mchInjDrv.sys , het blijft maar terugkomen.

Ik denk dat ik maar ga formatteren, in ieder geval bedankt voor de hulp O0

#JOEPIE#

Heb je ook al geprobeerd met een andere virusscanner zoals:

http://www.kaspersky.nl/online-virus-scanner.html

Link naar opmerking
Deel via andere websites

  • 1
  • 2.6k

  • Bijdragen:  354
  • Waardering:   0
  • Prestatiepunten:  306
  • Dagen gewonnen:  0
  • Lid sinds:  07/05/07
  • Status:  Offline
  • Actief:  

Ja, en ook Bitdefender, Panda en Trend Micro.

Het lukt gewoon niet.

Ik ga nu formatteren dus hier kan een slotje op!

Iedereen bedankt!

#JOEPIE#

Link naar opmerking
Deel via andere websites

  • 0
  • 354

  • Bijdragen:  500
  • Waardering:   228
  • Prestatiepunten:  0
  • Dagen gewonnen:  0
  • Lid sinds:  04/19/06
  • Status:  Offline
  • Actief:  
  • Leeftijd:  33

Goed, slotje.

Link naar opmerking
Deel via andere websites

  • 228
  • 500

Geplaatst 2 uur geleden

Vergeten jullie alsjeblieft de VPN verbinding niet? Je internet provider zoals Ziggo of KPN kan door gebruik van de VPN niet zien wat er gebeurd op je internet verbinding en ben je volledig anoniem voor iedereen. Een vereiste tegenwoordig.... We een uitgebreide handleiding geschreven met informatie. :goed:

Deze vindt je hier:   https://www.duken.nl/forums/handleidingen/downloaden/vpn-verbinding-en-anoniem-downloaden-r35/  


Gast
Deze discussie is nu afgesloten voor verdere antwoorden.
  • Wie zijn er online?  3 leden zijn actief

Mededelingen


  • Recent nieuwsbericht

  • Willekeurig topic

  • Nu op het forum

    Eater

    Geplaatst

    We hebben geweldig nieuws voor alle ontwikkelaars! Versie 8.4.1 van PHP is nu officieel uitgebracht, en dit is de eerste stabiele release in de 8.4-serie! Maar dat is nog niet alles – tegelijkertijd zijn er ook updates voor de versies 8.1, 8.2 en 8.3 verschenen. PHP, dat staat voor "PHP: Hypertext Preprocessor", is een krachtig hulpmiddel dat voornamelijk wordt gebruikt voor het creëren van dynamische webpagina's op webservers. Het gaat vaak hand in hand met databaseprogramma's om een naadloze gebruikerservaring te garanderen. Deze nieuwe release van PHP 8.4.1 biedt een schat aan verbeteringen en nieuwe functies die je niet wilt missen! Hier zijn enkele van de meest opwindende toevoegingen: - Property Hooks**: Deze functie maakt het mogelijk om meer controle te hebben over de eigenschappen binnen je objecten, waardoor je code flexibeler en dynamischer wordt. - Asymmetric Property Visibility**: Dit geeft je de mogelijkheid om verschillende zichtbaarheidseisen voor eigenschappen in je klasse te definiëren, wat de modulariteit van je code aanzienlijk vergroot. - Lazy Objects**: Met deze functie kun je objecten pas laden wanneer ze echt nodig zijn, wat de prestaties van je applicatie kan verbeteren. - PDO Driver-Specifieke Subclasses**: Dit maakt het eenvoudiger om met verschillende database-driver-specifieke functionaliteiten te werken, wat de interoperabiliteit van je applicaties vergroot. - BCMath Objecttype**: Een nieuwe toevoeging die het werken met grote getallen vergemakkelijkt, ideaal voor toepassingen die met financiële gegevens werken. - En nog veel, veel meer!**  Wil je direct aan de slag met PHP 8.4.1? Bezoek dan  https://www.php.net/downloads.php voor de bronbestanden. Voor Windows-gebruikers zijn de bronbestanden en binaire versies beschikbaar op windows.php.net/download/. Vergeet niet om de ChangeLog te raadplegen voor een gedetailleerd overzicht van alle wijzigingen. En als je van plan bent om te migreren, bekijk dan zeker de migratiegids in de PHP-handleiding voor een compleet overzicht van nieuwe functies en eventuele wijzigingen die mogelijk niet achterwaarts compatibel zijn. Dit is een spannende tijd voor de PHP-gemeenschap! Duik in de nieuwe mogelijkheden en maak je projecten nog krachtiger en dynamischer. Happy coding!
  • Recente prestatie

  • Recente actieve topics

  • Populaire bijdragers

  • Willekeurige films

  • Willekeurige link

×
×
  • Nieuwe aanmaken...