Gesloten
1
Hallo allemaal!

Ik probeer al een tijdje door middel van HitmanPro (3.7.9) malware te verwijderen die ik niet weg krijg. Na een reboot zou dit moeten gebeuren, maar bij een volgende scan worden de bestanden weer gevonden. Mijn vraag is of het dus wel echt om malware gaat, en waarom het dan niet verwijderd wordt bij het opnieuw opstarten. Het zijn ongeveer 15 bestanden die worden aangeduid als "Trojan.FakeAV".
Ik kan een logfile sturen van de scan.

Alvast bedankt voor een antwoord :bow:
2
Hallo,

Ik heb je even verplaats zodat we verder onderzoek kunnen doen.
Plaats het logje van Hitmanpro als bijlage en plaats daar ook een Logje van RSIT bij :good:

Download Afbeelding RSIT van de onderstaande locaties en sla deze op het bureablad op.
Hier staat een beschrijving hoe u kunt kijken of u een 32 of 64 bit versie van Windows heeft.

RSIT Downloaden RSIT Uitvoeren
Wanneer u problemen ondervindt bij het uitvoeren van dit programma of bepaalde foutmeldingen te zien krijgt laat dit dan even weten in uw bericht.
  • Dubbelklik op RSIT.exe om de tool te starten.
  • Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
  • Vervolgens wordt de "Disclaimer of warranty" getoond, klik vervolgens op "Continue"
  • Als u RSIT de eerste keer uitvoert zal HijackThis gedownload worden als deze niet aanwezig is, sta dit vervolgens toe door op "I accept" te klikken.
  • Wanneer de tool gereed is worden er twee kladblok bestanden geopend genaamd "Log.txt" en "Info.txt" geopend.
RSIT Logbestand plaatsen
  • Voeg het logbestand met de naam "Log.txt" als bijlage toe aan het volgende bericht. (Dit logbestand kunt u tevens terug vinden in de map ""C:\rsit")
  • Het logbestand met de naam "Info.txt" wat geminimaliseerd is hoeft u niet te plaatsen. (Dit logbestand wordt enkel de eerst keer bij het uitvoeren aangemaakt).
  • Hoe u een bijlage kunt toevoegen aan het bericht leest u hier.
Groeten abbs
Afbeelding
Member of UNITE (Unified Network of Instructors and Trained Eliminators)
Bent u blij met de geboden hulp? klik hier voor een vrijblijvende donatie Afbeelding
3
Bedankt voor de snelle reactie!
Het programma wil alleen niet draaien. Dit probleem heb ik ook met andere programma's die ik de laatste tijd probeer te installeren, namelijk Hijackthis en BitDefender.

Error RSIT (tijdens "Performing Registry Dump"):
Line 7153 (File: "D:RSIT.exe"):
Error: Subscript used with non-Array variable.

Error Hijackthis:
Kan het bestand D:\Documenten\Hijackthis.exe niet vinden. Controleer of u de naam juist hebt ingevoerd en probeer het daarna opnieuw.
(Bestand vanuit verschillende locaties geprobeerd te openen, staat er gewoon, maar laptop kan hem niet openen)

Error Bitdefender:
Some files could nog be created.
Please close all apllications, reboot Windows and restart this installation.
(Ook na herstarten etc. zelfde melding)

Niet fijn dus. :conf: Heb wel met RogueKiller een scan kunnen doen, misschien heb je er niets aan maar ik kan dus niet scannen met Hijackthis.
Als gast kunt u geen bijlagen bekijken. Registreer via deze link een (gratis) account om bijlagen te kunnen bekijken.
4
Hallo,

Start Afbeelding RogueKiller nogmaals.
  • Dubbelklik op RogueKiller.exe om de tool te starten, Windows Vista 7 & 8 gebruikers krijgen een melding van UAC (Gebruikersaccountbeheer) klik hier op Uitvoeren / Run.
  • Roguekiller zal nu als eerste een pre-scan uitvoeren, wanneer deze gereed is klikt u op accept om de EULA / Disclaimer te accepteren.
  • Zorg ervoor dat de volgende opties in RogueKiller staan aangevinkt.
    • MBR Scan
    • Check Faked
    • Anti-Rootkit
  • Klik vervolgens rechts bovenin op de knop "Scan"
  • Note!!! Wanneer RogueKiller de ZeroAccess infectie detecteert zal er een melding verschijnen en een website met informatie worden geopend, deze mag u sluiten en hoeft u verder niets mee te doen.
  • Wacht vervolgens geduldig tot de scan gereed is, gebruik de computer intussen niet voor andere zaken.
  • Wanneer de scan gereed is zorgt u ervoor dat de onderstaande items onder het tabblad "Registry" staan aangevinkt.

Code: Selecteer alles

[IFEO] HKLM\[...]\AvastSvc.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\AvastUI.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\avcenter.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\avconfig.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\avgcsrvx.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\avgidsagent.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\avgnt.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\avgrsx.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\avguard.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\avgui.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\avgwdsvc.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\avp.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\avscan.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\bdagent.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\blindman.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\ccuac.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\ComboFix.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\egui.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\hijackthis.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\instup.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\keyscrambler.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\mbam.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\mbamgui.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\mbampt.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\mbamscheduler.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\mbamservice.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\MpCmdRun.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\MSASCui.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\MsMpEng.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\msseces.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\rstrui.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\SDFiles.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\SDMain.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\SDWinSec.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\spybotsd.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\wireshark.exe : Debugger (nqij.exe [x]) -> gevonden
[IFEO] HKLM\[...]\zlclient.exe : Debugger (nqij.exe [x]) -> gevonden
  • Klik vervolgens op de knop "Delete" om de gedetecteerde items te verwijderen.
  • Wanneer het verwijderen gereed is klikt u op de knop "Report", nu wordt het logbestand geopend deze wordt tevens op het bureaublad opgeslagen als (RKreport[2]_D_05292013_02d1215.txt)
  • Indien er een herstart benodigd is laat het systeem herstarten.
  • Voeg na de herstart het logbestand vervolgens als bijlage toe aan uw volgende bericht.

Download de Afbeelding Farbar Recovery Scan Tool 32 of 64 bit van één van de onderstaande links
Farbar Recovery Scan Tool 32 bit (x86)
Farbar Recovery Scan Tool 64 bit (x64)
Hier staat een beschrijving hoe u kunt kijken of u een 32 of 64 bit versie van Windows heeft.

Farbar Recovery Scan Tool uitvoeren
  • Dubbelklik op FRST.exe om de tool te starten.
  • Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
  • Als het programma is geopend klik Yes (Ja) bij de disclaimer.
  • Druk vervolgens op de Scan knop, er zal nu eerst een back-up van het register worden gemaakt.
  • Wanneer de scan gereed is worden er twee logbestanden aangemaakt met de naam (FRST.txt) & (Addition.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
  • Voeg dit logbestand als bijlage toe aan het volgende bericht.
Farbar Recovery Scan Tool logbestand plaatsen
  • Voeg het logbestand met de naam "FRST.txt" als bijlage toe aan het volgende bericht.
  • Het logbestand met de naam "Addition.txt" hoeft u niet te plaatsen, alleen wanneer hier specifiek om wordt gevraagd.
  • Hoe u een bijlage kunt toevoegen aan het bericht leest u hier.
Groeten abbs
Afbeelding
Member of UNITE (Unified Network of Instructors and Trained Eliminators)
Bent u blij met de geboden hulp? klik hier voor een vrijblijvende donatie Afbeelding
5
Bedankt voor je reactie,

Het RKreport zit erbij, alleen lijkt FRS scan vast te lopen ("Getting Office Sessions Errors: 3898"). Heb hem meerdere keren lang laten draaien maar hij voltooit niets. Ik heb hier wel een .txt bestand van maar weet dus niet of dit bestand volledig is.
Als gast kunt u geen bijlagen bekijken. Registreer via deze link een (gratis) account om bijlagen te kunnen bekijken.
6
Hallo,

We gebruiken Afbeelding Farbar Recovery Scan Tool nogmaals.
  • Download fixlist.txt naar het bureaublad, waar ook FRST.exe aanwezig is.
  • Dubbelklik op FRST.exe om de tool te starten.
  • Als het programma is geopend klik Yes (Ja) bij de disclaimer.
  • Druk op de Fix knop
  • Er zal u een logbestand aangemaakt worden (fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
  • Voeg dit logbestand als bijlage toe aan het volgende bericht..
Als gast kunt u geen bijlagen bekijken. Registreer via deze link een (gratis) account om bijlagen te kunnen bekijken.
Groeten abbs
Afbeelding
Member of UNITE (Unified Network of Instructors and Trained Eliminators)
Bent u blij met de geboden hulp? klik hier voor een vrijblijvende donatie Afbeelding
7
A.u.b.
Als gast kunt u geen bijlagen bekijken. Registreer via deze link een (gratis) account om bijlagen te kunnen bekijken.
9
Hee!

Hierbij het logje, de malware werd weer gevonden en was dit keer wel verwijderd na reboot, super bedankt!
Kwamen de problemen met installatie van andere software ook door deze malware en is het nu definitief verwijderd?
Ben erg benieuwd wat nu het probleem was...

Groeten
Als gast kunt u geen bijlagen bekijken. Registreer via deze link een (gratis) account om bijlagen te kunnen bekijken.
10
Hallo,

Je had een FakeAV en daar kwamen je problemen door, doe nog eens een scan met RogueKiller.
En daarna zoek.exe.


Schakel eerst de Antivirussoftware uit voordat je zoek.exe download.
Schakel je antivirus- en antispywareprogramma's tijdelijk uit, deze kunnen namelijk conflicteren met Zoek.exe. Download Afbeelding Zoek.exe naar het bureaublad.
  • Wanneer Internet Explorer of een andere browser of virusscanner melding geeft dat dit bestand onveilig zou zijn kun je negeren, dit is namelijk een onterechte waarschuwing.
Zoek.exe uitvoeren
Wanneer u problemen ondervindt bij het uitvoeren van dit programma of bepaalde foutmeldingen te zien krijgt laat dit dan even weten in uw bericht.
  • Dubbelklik vervolgens op Zoek.exe om de tool te starten.
  • Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
  • Kopieer nu onderstaande code en plak die in het grote invulvenster:
  • Note: Dit script is speciaal bedoeld voor deze computer, gebruik dit dan ook niet op andere computers met een gelijkaardig probleem.

    Code: Selecteer alles

    firefoxlook;
    torpigcheck;
    emptyfolderscheck;delete
    chromelook;
    standardsearch;
    filesrcm;
    autoclean;
    startupall;
  • Klik nu op de knop "Run script".
  • Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
  • Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog.
  • Post het geopende logje in het volgende bericht als bijlage.
Zoek.exe logbestand plaatsen
  • Voeg het logbestand met de naam "Zoek-results.log" als bijlage toe aan het volgende bericht. (Dit logbestand kunt u tevens terug vinden op de systeemschijf als C:\Zoek-results.log.)
  • Hoe u een bijlage kunt toevoegen aan het bericht leest u hier.
Groeten abbs
Afbeelding
Member of UNITE (Unified Network of Instructors and Trained Eliminators)
Bent u blij met de geboden hulp? klik hier voor een vrijblijvende donatie Afbeelding
11
Te vroeg gejuicht, had tussendoor nog een keer gescand met Hitmanpro en ze waren er weer :(
Als gast kunt u geen bijlagen bekijken. Registreer via deze link een (gratis) account om bijlagen te kunnen bekijken.
13
Hij was nog niet klaar inderdaad, bij deze nog een keer:
Als gast kunt u geen bijlagen bekijken. Registreer via deze link een (gratis) account om bijlagen te kunnen bekijken.
14
Hallo,

Je heb/had een torpig infectie;

Start Zoek.exe Afbeelding nogmaals.

Antivirussoftware uitschakelen
Schakel je antivirus- en antispywareprogramma's tijdelijk uit, deze kunnen namelijk conflicteren met Zoek.exe. Zoek.exe uitvoeren
Wanneer u problemen ondervindt bij het uitvoeren van dit programma of bepaalde foutmeldingen te zien krijgt laat dit dan even weten in uw bericht.
  • Dubbelklik vervolgens op Zoek.exe om de tool te starten.
  • Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
  • Kopieer nu onderstaande code en plak die in het grote invulvenster:
  • Note: Dit script is speciaal bedoeld voor deze computer, gebruik dit dan ook niet op andere computers met een gelijkaardig probleem.

    Code: Selecteer alles

    [-HKEY_CLASSES_ROOT\Directory\shellex\CopyHookHandlers\MicrosoftCopy];r
    {F12BE2CC-A901-4203-B4F2-ADCB957D1887};c
    C:\PROGRA~2\188F1432-103A-4ffb-80F1-36B633C5C9E1;fs
    
  • Klik nu op de knop "Run script".
  • Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
  • Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog.
  • Post het geopende logje in het volgende bericht als bijlage.

Download de Afbeelding Emsisoft Emergency Kit naar het bureaublad.
Klik hier voor de complete / uitgebreide handleiding van de Emsisoft Emergency Kit.

Emsisoft Emergency Kit uitvoeren
  • Dubbelklik op "EmsisoftEmergencyKit.exe", wanneer u een melding krijgt van het gebruikersaccountbeheer staat u dit toe.
  • Klik vervolgens op de knop "Accept & Extract" en de bestanden worden nu automatisch uitgepakt naar de systeemschijf "C:\EEK".
  • Wanneer het uitpakken gereed is wordt er een snelkoppeling op het bureaublad aangemaakt en zal de Emsisoft Emergency Kit vanzelf openen.
  • Klik nu op de optie "Emergency Kit Scanner" en wanneer u de melding "Wilt u nu updaten?" krijgt klikt u op "Ja".
  • Wanneer de update gereed is klikt u in het linker menu op de optie "Computer Scannen".
  • Kies vervolgens de optie "Diep", deze scan kan geruime tijd in beslag nemen en gebruik bij voorkeur de computer niet voor andere bezigheden tijdens de scan.
  • Wanneer de scan gereed is zorg dat alle items staan aangevinkt en klik op de knop "Quarantaine".
  • Klik vervolgens op de knop "Rapport bekijken" en plaats de inhoud van dit bestand in uw volgende bericht.
Emsisoft Emergency Kit logbestand plaatsen
  • Voeg het logbestand met de naam "a2scan_130711-154142.txt" als bijlage toe aan het volgende bericht. (Dit logbestand kunt u tevens terug vinden in de map "C:\EEK\Run\Reports")
  • Hoe u een bijlage kunt toevoegen aan het bericht leest u hier.
Groeten abbs
Afbeelding
Member of UNITE (Unified Network of Instructors and Trained Eliminators)
Bent u blij met de geboden hulp? klik hier voor een vrijblijvende donatie Afbeelding
15
Daar zijn we weer:
Als gast kunt u geen bijlagen bekijken. Registreer via deze link een (gratis) account om bijlagen te kunnen bekijken.
Gesloten

Terug naar “Hulp bij malware problemen, adware, ongewenste software en een trage computer”