Jump to content


Photo

Heuristic.Possible.MBR.Rootkit!E1 Infection


  • Please log in to reply
12 replies to this topic

#1 BacoB

BacoB

    New Member

  • Members
  • Pip
  • 7 posts

Posted 04 July 2012 - 02:50 PM

Goededag,

Via Emsisoft heb ik de volgende infectie gedetecteerd:
Heuristic.Possible.MBR.Rootkit!E1 Infection

Ik heb via Windows offline Defender deze proberen te verwijderen. (opgestart van de Win. offline defender CD)
De infectie was nog aanwezig.

Daarna hebben we TDSSKILLER gedraaid, zie log TDSSKiller.2.7.44.0_04.07.2012_14.24.03_log

Daarna Combofix gedraaid, zie log combofixlog.txt
Ik heb daarna wel Adobe geupdate via de adobe site.

Ik heb in een andere topic (http://support.emsis..._physicaldrive0) gezien dat er daarna specifieke oplossingen voor die bepaalde gebruiker aangeboden worden, deze stappen durf ik zelf niet te maken, zouden jullie me kunnen helpen?

Ik hoor graag of ik nog stappen moet maken.

Groet,

#2 Maxstar

Maxstar

    Forum Regular

  • Tester
  • PipPipPipPip
  • 198 posts
  • LocationThe Netherlands
  • OS:Windows 7 x64
  • AV:Emsisoft Anti-Malware
  • HIPS:Online Armor

Posted 04 July 2012 - 03:05 PM

Hoi en welkom op het forum van Emsisoft,

Laat TDSSKiller nogmaals scannen en plaats hiervan het nieuwe logje, voer hierna DDS uit en plaats hiervan eveneens het logje.

Download DDS van sUBS van één van deze locaties en plaats het op je bureaublad:
DDS - Bleeping Computer download.
DDS - Bleeping Computer download.
DDS - Infospyware.


Posted Image

DDS is een diagnosetool en maakt gebruik van scripts.

Schakel je beveiligings software uit voordat je DDS uitvoert!

Dubbelklik op DDS om de tool te starten.

DDS zal 2 logfiles openen:
* DDS.txt
* Attach.txt


Een scherm vraagt je om beide logjes op te slaan omdat de logjes weg zullen zijn als je ze sluit.
Sla de logjes op bijvoorbeeld op je bureaublad of een andere plaats waar je ze makkelijk terug vind.

Post het DDS.txt logje met je volgende antwoord. De Attach.txt post je alleen wanneer ik hier om vraag.

Groet Maxstar
Posted Image

#3 BacoB

BacoB

    New Member

  • Members
  • Pip
  • 7 posts

Posted 04 July 2012 - 03:37 PM

Dank je voor je welkom en helemaal bedankt voor je reply!

Ik heb eerst met Emsisoft nog een keer gescand deze gaf geen besmetting meer aan.
Toch daarna DDS opgestart.
En daarna TDSSKILLER

Ik zie in het start menu nog wel de data recovery staan waar volgens mij deze ellende mee begonnen is.

Ik hoor graag uw mening..

Dank voor de hulp!

#4 Maxstar

Maxstar

    Forum Regular

  • Tester
  • PipPipPipPip
  • 198 posts
  • LocationThe Netherlands
  • OS:Windows 7 x64
  • AV:Emsisoft Anti-Malware
  • HIPS:Online Armor

Posted 04 July 2012 - 03:42 PM

Hoi,

Met Data Recovery bedoel je de Rogueware zoals op de onderstaande link is te zien?
http://www.pcwebplus...hp?f=222&t=6282


Download zoek.exe naar het bureaublad.
"zoek.exe" gebruiken:
  • Sluit nu eerst alle nog openstaande programmavensters!
  • Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe
    (hier of hier) kan je lezen hoe je dat doet.
    • Windows 2000 en Windows XP: start de tool middels dubbelklik op "zoek.exe".
    • Windows Vista en Windows 7: start de tool middels rechtsklik op "zoek.exe" en dan kiezen voor Als Administrator uitvoeren.
  • Vervolgens zal er na een tijdje een venster geopend worden.
  • Met je muis selecteer je nu de volgende keuze "Combined fix"(rechts onderaan)
  • Kopieer nu onderstaande code en plak die in het grote invulvenster:
    Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkwaardig probleem.
    filesrcm;
    
  • Klik nu op de knop "Run script".
  • Wacht nu geduldig af tot er een logje opent(dit kan na een herstart zijn)
  • Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog.
  • Post nu de inhoud van het geopende logje in het volgende bericht.

Groet Maxstar
Posted Image

#5 BacoB

BacoB

    New Member

  • Members
  • Pip
  • 7 posts

Posted 04 July 2012 - 04:02 PM

Bij deze het logje van zoek.exe

#6 Maxstar

Maxstar

    Forum Regular

  • Tester
  • PipPipPipPip
  • 198 posts
  • LocationThe Netherlands
  • OS:Windows 7 x64
  • AV:Emsisoft Anti-Malware
  • HIPS:Online Armor

Posted 04 July 2012 - 04:07 PM

Hoi,

Dit ziet er verder prima uit, wat betreft de achtergebleven snelkoppeling van DataRecovery kan je deze handmatig verwijderen.

Voer ter controle nog even een volledige scan uit met Emsisoft Anti-Malware en plaats hiervan het logje.

Groet,

Maxstar
Posted Image

#7 BacoB

BacoB

    New Member

  • Members
  • Pip
  • 7 posts

Posted 04 July 2012 - 04:13 PM

Maxstar,

Dat is goed om te horen, nogmaals bedankt voor je tijd, helemaal top!
Is een snelle scan voldoende?

In afwachting van je antwoord verblijf ik :)

#8 BacoB

BacoB

    New Member

  • Members
  • Pip
  • 7 posts

Posted 04 July 2012 - 04:13 PM

Dit is het resultaat van de snelle scan trouwens:

Emsisoft Anti-Malware - Versie 6.6
Laatste Update: 4-7-2012 17:01:21
Scaninstellingen:
Scantype: Snelle scan
Objecten: Rootkits, Geheugen, Sporen
Scan archieven: Uit
ADS Scan: Aan
Scan gestart: 4-7-2012 17:12:33

Gescand 468998
Gevonden 0
Scan geëindigd: 4-7-2012 17:12:58
Scantijd: 0:00:25

#9 Maxstar

Maxstar

    Forum Regular

  • Tester
  • PipPipPipPip
  • 198 posts
  • LocationThe Netherlands
  • OS:Windows 7 x64
  • AV:Emsisoft Anti-Malware
  • HIPS:Online Armor

Posted 04 July 2012 - 04:21 PM

Hoi,

Alvast graag gedaan, maar ter controle kan je het beste even een diepe scan uitvoeren.

Groet Maxstar
Posted Image

#10 BacoB

BacoB

    New Member

  • Members
  • Pip
  • 7 posts

Posted 05 July 2012 - 10:43 AM

Maxstar,

Ook de diepe scan heeft aangegeven helemaal schoon te zijn.
Dank voor de geboden hulp!

Topic kan gesloten worden.

#11 Maxstar

Maxstar

    Forum Regular

  • Tester
  • PipPipPipPip
  • 198 posts
  • LocationThe Netherlands
  • OS:Windows 7 x64
  • AV:Emsisoft Anti-Malware
  • HIPS:Online Armor

Posted 05 July 2012 - 10:48 AM

Hoi,

Graag gedaan... ;)

De volgende programma's en bijbehorende log bestanden mag je verwijderen.
  • TDSSKiller
  • DDS
  • ComboFix via de onderstaande instructies.

Verwijderen ComboFix, kopiëer het onderstaande commando met (Ctrl + C):
Combofix /Uninstall (let op!!! de spatie voor /Uninstall)

Klik Start -> Uitvoeren, en plak (Ctrl + V) het commando, toets vervolgens Ctrl + Shift + Enter.
Posted Image


Aangezien de problemen zijn verholpen adviseer ik u nog wel even het onderstaande uit te voeren.

1.) Systeemherstelpunten verwijderen
Als de computer geïnfecteerd is geweest met een malware infectie is het raadzaam om alle aanwezige systeemherstelpunten te verwijderen, want hier kunnen namelijk besmette herstelpunten tussen zitten.
  • Hoe u de herstelpunten verwijderd leest u hier
  • Hoe u zelf snel een nieuw systeemherstelpunt aan kunt maken leest u hier

2.) Installeren van essentiële updates.
Hoe u uw besturingssysteem en overige software up to date houdt kunt u hier lezen.
Door middel van het programma Secunia PSI wordt u automatisch gewaarschuwd indien er updates voor de geïnstalleerde software beschikbaar is, meer informatie leest u hier

3.) Pas op voor 'Phishing' berichten.
Phishing is een vorm van internet oplichting (fraude), met valse e-mailberichten en websites die er vertrouwd uitzien wordt er getracht 'logingegevens' en andere persoonlijke informatie te achterhalen.
Dit gebeurt vaak op hele slinkse manieren, zoals bijvoorbeeld e-mailberichten waarin u gevraagd wordt uw inloggegevens te verifiëren, in deze gevallen wordt u vaak naar een valse (clone) website gestuurd, zodra u uw gegevens hier hebt ingevoerd zijn deze in de handen van de kwaadwillende met alle gevolgen van dien.
Meer informatie leest u hier

4.) Gebruikersaccounts
Met dit account heeft u dus het volledige beheer van de computer in handen, het is dan ook niet aan te raden om dit account als primair account voor het dagelijkse gebruik in te stellen.
Meer informatie hierover leest u hier

5.) Risico's bij het downloaden
Peer to Peer (P2P) netwerken en ook Usenet (nieuwsgroepen) zijn een grote bron op het internet wat betreft het verspreiden van malware, het aanbieden van 'gevaarlijke' software (malware) gebeurt vrijwel anoniem waardoor dit een veel gebruikte methode is voor het verspreiden van malware.
Meer informatie hierover leest u hier

6.) Preventie informatie & het gebruik van beveiligings software.
Hier en hier staat informatie hoe u een infectie kunt voorkomen, lees dit eens op uw gemak door.

Groet Maxstar
Posted Image

#12 BacoB

BacoB

    New Member

  • Members
  • Pip
  • 7 posts

Posted 31 August 2012 - 09:06 AM

Maxstar,

Ik wou nog even laten weten ook de laatste stappen zijn uitgevoerd!
Super bedankt voor je snelle en duidelijke hulp.
Dit topic kan wat mij betreft gesloten worden.

Mvg
Baco

#13 Maxstar

Maxstar

    Forum Regular

  • Tester
  • PipPipPipPip
  • 198 posts
  • LocationThe Netherlands
  • OS:Windows 7 x64
  • AV:Emsisoft Anti-Malware
  • HIPS:Online Armor

Posted 31 August 2012 - 04:03 PM

Hoi,

Graag gedaan.. :)
Topics worden bij mijn weten niet gesloten in deze sectie.

Groet Maxstar
Posted Image




0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users