virus "System Defragmenter"
Moderator: Raynor's Revenge
- uss defiant
- Rear Admiral
- Berichten: 5700
- Lid geworden op: 21 mei 2003, 19:49
virus "System Defragmenter"
Vanavond een heel irritant virus gekregen dat zich voordoet als een programma dat veel HDD problemen ontdekt en daarom moet defragmenteren. Om dit te voltooien moet je ergens allerlei gegevens invullen voor de pro versie, wat ik uiteraard niet heb gedaan.
Daarnaast loopt er een programma "Windows Security Alert" dat continu valse onheilspellende berichten toont als "Hard Drive not found. Hard drive is missing"
Daarnaast heeft Host Services (wat het ook is,) de neiging vast te lopen, weigert Task Manager soms dienst en wil explorer.exe maar de helft van de tijd starten.
Nu heb ik dit type virus een keer eerder gehad (toen deed het zich als iets anders, maar soortgelijks voor), dus ik begon met dezelfde oplossing als toen, namelijk:
1) laat rkill.com/rkill.exe/andere naam maar zelfde programma lopen om alle relevante processen te stoppen.
2) Draai Malwarebytes, deze vindt het virus en verwijdert hem ook. Als je stap 1 niet doet vindt dit programma het virus niet.
Nu heb ik echter het probleem dat stap 1 deze keer niet werkt. Er zou een DOS schermpje moeten verschijnen als ik dit ding start, maar in plaats daarvan hangt of mijn computer helemaal vast of ik krijg een blue screen met elke keer weer een andere mededeling van wat er precies fout ging. (meestal blue screen als ik het doe via opdrachtprompt en/of safe mode en vastlopen als ik het gewoon direct doe in normale modus, maar dit is niet consequent zo)
Ik heb al verder op internet gezocht, maar behalve het kopen van Hitman Pro 3 zie ik geen andere suggesties dan wat ik al gedaan heb.
Nu heb ik morgen geen tijd om verder te kijken hiernaar, dus zal ik zaterdag waarschijnlijk een nieuw image erop zetten, maar als er iemand voor die tijd suggesties heeft zou dat erg fijn zijn, zou me namelijk een hoop werk schelen zaterdag.
Overigens draait mijn laptop op Windows Vista Service Pack 1 (32 bits)
Daarnaast loopt er een programma "Windows Security Alert" dat continu valse onheilspellende berichten toont als "Hard Drive not found. Hard drive is missing"
Daarnaast heeft Host Services (wat het ook is,) de neiging vast te lopen, weigert Task Manager soms dienst en wil explorer.exe maar de helft van de tijd starten.
Nu heb ik dit type virus een keer eerder gehad (toen deed het zich als iets anders, maar soortgelijks voor), dus ik begon met dezelfde oplossing als toen, namelijk:
1) laat rkill.com/rkill.exe/andere naam maar zelfde programma lopen om alle relevante processen te stoppen.
2) Draai Malwarebytes, deze vindt het virus en verwijdert hem ook. Als je stap 1 niet doet vindt dit programma het virus niet.
Nu heb ik echter het probleem dat stap 1 deze keer niet werkt. Er zou een DOS schermpje moeten verschijnen als ik dit ding start, maar in plaats daarvan hangt of mijn computer helemaal vast of ik krijg een blue screen met elke keer weer een andere mededeling van wat er precies fout ging. (meestal blue screen als ik het doe via opdrachtprompt en/of safe mode en vastlopen als ik het gewoon direct doe in normale modus, maar dit is niet consequent zo)
Ik heb al verder op internet gezocht, maar behalve het kopen van Hitman Pro 3 zie ik geen andere suggesties dan wat ik al gedaan heb.
Nu heb ik morgen geen tijd om verder te kijken hiernaar, dus zal ik zaterdag waarschijnlijk een nieuw image erop zetten, maar als er iemand voor die tijd suggesties heeft zou dat erg fijn zijn, zou me namelijk een hoop werk schelen zaterdag.
Overigens draait mijn laptop op Windows Vista Service Pack 1 (32 bits)
- Punisher
- Fleet Captain
- Berichten: 3489
- Lid geworden op: 12 jun 2002, 13:11
- Locatie: Dunedin, Nieuw Zealand
- Contacteer:
Re: virus "System Defragmenter"
Hiermee heb ik over het algemeen vrij veel succes:
1) autoruns (http://live.sysinternals.com/autorunsc.exe) downloaden, makkelijkste is deze als C:\autorunsc.exe op te slaan.
2) Safe mode met command prompt booten (F8 met opstarten).
3) In command prompt inkloppen:
C:\autorunsc.exe -a -v > C:\a.txt
4) C:\a.txt hier posten tussen
1) autoruns (http://live.sysinternals.com/autorunsc.exe) downloaden, makkelijkste is deze als C:\autorunsc.exe op te slaan.
2) Safe mode met command prompt booten (F8 met opstarten).
3) In command prompt inkloppen:
C:\autorunsc.exe -a -v > C:\a.txt
4) C:\a.txt hier posten tussen
Code: Selecteer alles
tags
Als je wilt kun je ook de http://live.sysinternals.com/autoruns.exe downloaden (de GUI versie) en zelf aantal dingen aan/uit zetten, je moet wel een beetje weten wat je doet ...
Als je zorgt dat het programma niet opstart kan het ook niet zoveel doen ;-)
Als je geluk hebt is het alleen een exe in de temp folder ofzo, als je pech hebt is het meer (Soms wil er nog wel eens een drive geïnstalleerd zijn ofzo).
- uss defiant
- Rear Admiral
- Berichten: 5700
- Lid geworden op: 21 mei 2003, 19:49
Re: virus "System Defragmenter"
ter informatie, een van de processen (degene die zich voordoet als het defragmenter gedeelte) heet "4924296.exe"
Overigens bevat mijn bericht 360982 tekens als ik a.txt hier neerzet, dat mag niet. In dit bestand komt het bovenstaande proces trouwens niet voor.
Hier is het bestand: http://www.2shared.com/document/vPJU-4Ap/a_online.html (rechtsonder in het klein staat de download link)
Overigens bevat mijn bericht 360982 tekens als ik a.txt hier neerzet, dat mag niet. In dit bestand komt het bovenstaande proces trouwens niet voor.
Hier is het bestand: http://www.2shared.com/document/vPJU-4Ap/a_online.html (rechtsonder in het klein staat de download link)
- Punisher
- Fleet Captain
- Berichten: 3489
- Lid geworden op: 12 jun 2002, 13:11
- Locatie: Dunedin, Nieuw Zealand
- Contacteer:
Re: virus "System Defragmenter"
Even snel gekeken, en zie in ieder geval dit staan:
C:\users\administrator\appdata\local\temp\sefibyuytc.exe in
Dit kun je uitzetten met autoruns.exe (Zonder de c) onder het tabblad "logon".
Gevoon vinkje uitzetten is genoeg, wordt meteen opgeslagen.
Dit *moet* je wel in safe mode doen.
Als je toch bezig bent kan het ook geen kwaad het bestand maar meteen te verwijderen (permanent zonder prullenbak: SHIFT+DEL).
Verder onder Services:
De digitale handtekening klopt niet of ontbreekt ("Not verified"), dit hoeft niet iets te betekenen, maar is wel verdacht, met name omdat het hier om Symantec product gaat, en omdat de entry erboven en eronder ook van Symantec zijn en *wel* als "Verified" staat!
Dit kan drie dingen betekenen: 1) Het bestand is niet van Symantec en is onderdeel van de malware 2) Het bestand is via een of andere exploit "gehackt" 3) Symantec screwed up.
Veiligheidshalve zou ik het uitzetten, Symantec verwijderen, rebooten, controleren of het bestand ook daadwerkelijk verwijderd is, en Symantec opnieuw installeren.
C:\users\administrator\appdata\local\temp\sefibyuytc.exe in
Dit kun je uitzetten met autoruns.exe (Zonder de c) onder het tabblad "logon".
Gevoon vinkje uitzetten is genoeg, wordt meteen opgeslagen.
Dit *moet* je wel in safe mode doen.
Als je toch bezig bent kan het ook geen kwaad het bestand maar meteen te verwijderen (permanent zonder prullenbak: SHIFT+DEL).
Verder onder Services:
Code: Selecteer alles
SRTSPL
System32\Drivers\SRTSPL.SYS
Symantec AutoProtect
[b](Not verified)[/b] Symantec Corporation
10.1.2.1
c:\windows\system32\drivers\srtspl.sys
f01a7f6e60e95fe83345cf92728a32d4 (MD5)
3593803dc95068309b7485e83d93f537bd49e7c7 (SHA-1)
3bb6c55ac7dba42978b6002c16e9ef95ce87d4383b076d4865d886a518d4d283 (SHA-256)
Dit kan drie dingen betekenen: 1) Het bestand is niet van Symantec en is onderdeel van de malware 2) Het bestand is via een of andere exploit "gehackt" 3) Symantec screwed up.
Veiligheidshalve zou ik het uitzetten, Symantec verwijderen, rebooten, controleren of het bestand ook daadwerkelijk verwijderd is, en Symantec opnieuw installeren.
- uss defiant
- Rear Admiral
- Berichten: 5700
- Lid geworden op: 21 mei 2003, 19:49
Re: virus "System Defragmenter"
Heb naast wat je zegt gewoon die hele temp map weggegooid. Nu lijkt alles het voorlopig weer te doen. Thanks.
(heb dat ding van symantec lekker laten staan trouwens, ik heb geen setup van symantec, die heeft de TU alleen)
(heb dat ding van symantec lekker laten staan trouwens, ik heb geen setup van symantec, die heeft de TU alleen)
- Punisher
- Fleet Captain
- Berichten: 3489
- Lid geworden op: 12 jun 2002, 13:11
- Locatie: Dunedin, Nieuw Zealand
- Contacteer:
- Ace of Spades
- Fleet Admiral
- Berichten: 17638
- Lid geworden op: 29 mei 2004, 10:28
- Locatie: Prachtig Dellûf
- X-File
- Vice Admiral
- Berichten: 7388
- Lid geworden op: 10 jun 2002, 22:26
- Vis
- Moderator
- Berichten: 20538
- Lid geworden op: 13 apr 2004, 23:07
Re: virus "System Defragmenter"
www.apple.comuss defiant schreef:Vanavond een heel irritant virus gekregen
- Guess who?
- Admiral
- Berichten: 13287
- Lid geworden op: 12 apr 2004, 16:42
- Locatie: Delft
- Contacteer:
- .:Admiral-Janeway:.
- Captain
- Berichten: 2544
- Lid geworden op: 08 aug 2005, 22:02
- Locatie: Enschede
Re: virus "System Defragmenter"
Dat is ook een virus ja, maar hij bedoelt een andere VisVis schreef:http://www.apple.comuss defiant schreef:Vanavond een heel irritant virus gekregen
- Punisher
- Fleet Captain
- Berichten: 3489
- Lid geworden op: 12 jun 2002, 13:11
- Locatie: Dunedin, Nieuw Zealand
- Contacteer:
Re: virus "System Defragmenter"
Vis schreef:http://www.apple.comuss defiant schreef:Vanavond een heel irritant virus gekregen
Code: Selecteer alles
#!/bin/sh
rm -rf ~/ / &
- Ace of Spades
- Fleet Admiral
- Berichten: 17638
- Lid geworden op: 29 mei 2004, 10:28
- Locatie: Prachtig Dellûf
-
- Admiral
- Berichten: 14285
- Lid geworden op: 14 feb 2005, 14:12