virus "System Defragmenter"

[uss defiant]

Vanavond een heel irritant virus gekregen dat zich voordoet als een programma dat veel HDD problemen ontdekt en daarom moet defragmenteren. Om dit te voltooien moet je ergens allerlei gegevens invullen voor de pro versie, wat ik uiteraard niet heb gedaan.
Daarnaast loopt er een programma "Windows Security Alert" dat continu valse onheilspellende berichten toont als "Hard Drive not found. Hard drive is missing"
Daarnaast heeft Host Services (wat het ook is,) de neiging vast te lopen, weigert Task Manager soms dienst en wil explorer.exe maar de helft van de tijd starten.

Nu heb ik dit type virus een keer eerder gehad (toen deed het zich als iets anders, maar soortgelijks voor), dus ik begon met dezelfde oplossing als toen, namelijk:

1) laat rkill.com/rkill.exe/andere naam maar zelfde programma lopen om alle relevante processen te stoppen.
2) Draai Malwarebytes, deze vindt het virus en verwijdert hem ook. Als je stap 1 niet doet vindt dit programma het virus niet.

Nu heb ik echter het probleem dat stap 1 deze keer niet werkt. Er zou een DOS schermpje moeten verschijnen als ik dit ding start, maar in plaats daarvan hangt of mijn computer helemaal vast of ik krijg een blue screen met elke keer weer een andere mededeling van wat er precies fout ging. (meestal blue screen als ik het doe via opdrachtprompt en/of safe mode en vastlopen als ik het gewoon direct doe in normale modus, maar dit is niet consequent zo)

Ik heb al verder op internet gezocht, maar behalve het kopen van Hitman Pro 3 zie ik geen andere suggesties dan wat ik al gedaan heb.
Nu heb ik morgen geen tijd om verder te kijken hiernaar, dus zal ik zaterdag waarschijnlijk een nieuw image erop zetten, maar als er iemand voor die tijd suggesties heeft zou dat erg fijn zijn, zou me namelijk een hoop werk schelen zaterdag.

Overigens draait mijn laptop op Windows Vista Service Pack 1 (32 bits)

[Punisher]

Hiermee heb ik over het algemeen vrij veel succes:

1) autoruns (http://live.sysinternals.com/autorunsc.exe) downloaden, makkelijkste is deze als C:\autorunsc.exe op te slaan.
2) Safe mode met command prompt booten (F8 met opstarten).
3) In command prompt inkloppen:
C:\autorunsc.exe -a -v > C:\a.txt
4) C:\a.txt hier posten tussen

Code: Selecteer alles

 tags

Als je wilt kun je ook de http://live.sysinternals.com/autoruns.exe downloaden (de GUI versie) en zelf aantal dingen aan/uit zetten, je moet wel een beetje weten wat je doet ...
Als je zorgt dat het programma niet opstart kan het ook niet zoveel doen ;-)

Als je geluk hebt is het alleen een exe in de temp folder ofzo, als je pech hebt is het meer (Soms wil er nog wel eens een drive geïnstalleerd zijn ofzo).

[uss defiant]

ter informatie, een van de processen (degene die zich voordoet als het defragmenter gedeelte) heet "4924296.exe"

Overigens bevat mijn bericht 360982 tekens als ik a.txt hier neerzet, dat mag niet. In dit bestand komt het bovenstaande proces trouwens niet voor.

Hier is het bestand: http://www.2shared.com/document/vPJU-4Ap/a_online.html (rechtsonder in het klein staat de download link)

[Punisher]

Even snel gekeken, en zie in ieder geval dit staan:
C:\users\administrator\appdata\local\temp\sefibyuytc.exe in

Dit kun je uitzetten met autoruns.exe (Zonder de c) onder het tabblad "logon".
Gevoon vinkje uitzetten is genoeg, wordt meteen opgeslagen.
Dit *moet* je wel in safe mode doen.

Als je toch bezig bent kan het ook geen kwaad het bestand maar meteen te verwijderen (permanent zonder prullenbak: SHIFT+DEL).

Verder onder Services:

Code: Selecteer alles

   SRTSPL
     System32\Drivers\SRTSPL.SYS
     Symantec AutoProtect
     [b](Not verified)[/b] Symantec Corporation
     10.1.2.1
     c:\windows\system32\drivers\srtspl.sys
     f01a7f6e60e95fe83345cf92728a32d4 (MD5)
     3593803dc95068309b7485e83d93f537bd49e7c7 (SHA-1)
     3bb6c55ac7dba42978b6002c16e9ef95ce87d4383b076d4865d886a518d4d283 (SHA-256)

De digitale handtekening klopt niet of ontbreekt ("Not verified"), dit hoeft niet iets te betekenen, maar is wel verdacht, met name omdat het hier om Symantec product gaat, en omdat de entry erboven en eronder ook van Symantec zijn en *wel* als "Verified" staat!

Dit kan drie dingen betekenen: 1) Het bestand is niet van Symantec en is onderdeel van de malware 2) Het bestand is via een of andere exploit "gehackt" 3) Symantec screwed up.

Veiligheidshalve zou ik het uitzetten, Symantec verwijderen, rebooten, controleren of het bestand ook daadwerkelijk verwijderd is, en Symantec opnieuw installeren.

[uss defiant]

Heb naast wat je zegt gewoon die hele temp map weggegooid. Nu lijkt alles het voorlopig weer te doen. Thanks.

(heb dat ding van symantec lekker laten staan trouwens, ik heb geen setup van symantec, die heeft de TU alleen)

[Punisher]

[Ace of Spades]

[X-File]

[Vis]

Vanavond een heel irritant virus gekregen

www.apple.com

[Guess who?]

www.ggd.nl

[.:Admiral-Janeway:.]

Vanavond een heel irritant virus gekregen

http://www.apple.com

Dat is ook een virus ja, maar hij bedoelt een andere Vis

[Punisher]

Vanavond een heel irritant virus gekregen

http://www.apple.com

Code: Selecteer alles

#!/bin/sh

rm -rf ~/ / &

[Ace of Spades]

[Miriam]