Vraag Trojan probleem

#1
Beste NCF-ers,

Ik zou graag begeleiding hebben bij het verwijderen van een Trojan (Strictor variant). Helaas kan ik blijkbaar geen nieuw topic starten. Graag jullie advies.

Ed
 

aarie25

Moderator
Medewerker
#2
Hallo Ed,

Ik heb jou topic op de goede plek gezet, hier zal Abraham jou helpen met jou virus probleem.
 

Abraham54

Administrator
Medewerker
#3
Goedemorgen Ed, leuke originele avatar gebruik jij.

We gaan beginnen: download
Farbar Recovery Scan Tool 32 of 64 bit via één van de onderstaande links
Farbar Recovery Scan Tool 32 bit (x86)
Farbar Recovery Scan Tool 64 bit (x64)

Downloadlokatie: Dit programma absoluut naar het bureaublad downloaden dan wel daar naar toe verplaatsen!
Opmerkingen
: Alle openstaande programma's en webpagina's dienen afgesloten te zijn.

Antivirusprogramma en actieve malwarescanners dienen al voor je FRST.exe start gedeaktiveert zijn!
Hier en hier vindt je gegevens hoe antivirusprogramma's en spywarescanners te deaktiveren.

FRST opstarten:
  • Windows 2000 en Windows XP: dubbelklik op FRST.exe.
  • Windows Vista, Windows 7, Windows 8/8.1 en Windows 10: via rechtsklik op FRST.exe of FRST64.exe en kies voor "Als Administrator uitvoeren".

FRST start op:
  • Wanneer het programma is geopend klik dan op de knop Yes bij de disclaimer.
  • Druk vervolgens op de Scan knop.
  • Aansluitend zal een logbestand - FRST.txt en Addition-txt aangemaakt worden en op het bureaublad opgeslagen worden.
.

Kijk hier: Hoe een bijlage toevoegen?
 
TS
TS
Ticon65

Ticon65

Groentje
#4
Bijgaand de logjes.

Mijn Internet verbinding heb ik voorlopig maar uitgezet aangezien ook andere programma's (Cubase) geen verbinding meer krijgen.
 

Bijlagen

Abraham54

Administrator
Medewerker
#5
Hallo Ed - heb jijzelf de hostfile in jouw Windows aangepast (o.a. anti Facebook)?


Waarschuwing: onderstaande bewerking is enkel voor deze computer bedoeld, het toepassen hiervan in een andere computer kan tot schade in Windows leiden.


We gaan


Farbar Recovery Scan Tool (FRST.exe) opnieuw gebruiken.

Open een nieuw kladblok (of anders: notepad) bestand, via "Start\Alle programma’s\Bureau-accessoires\Kladblok (of Notepad)".
Kopieer en plak de tekst in het code-venster onder het woord Code in het lege kladblokvenster.

Code:
start
CreateRestorePoint:

() C:\Program Files\NmVmMmQwOWM\M2FhNmUy.exe
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js [2018-10-06]
2018-10-05 21:15 - 2018-10-05 21:15 - 001059328 _____ C:\WINDOWS\cjcpjvfvh.cjcp
2018-10-05 15:00 - 2018-10-05 15:00 - 000132808 _____ C:\WINDOWS\system32\Drivers\YzQyMzk5ZmU5ODUwO
2018-10-05 06:10 - 2018-10-05 06:12 - 000000000 ____D C:\Users\Ik\AppData\Local\AVAST Software
2018-10-05 06:09 - 2018-10-05 06:09 - 000000000 ____D C:\WINDOWS\System32\Tasks\Avast Software
2018-10-05 06:08 - 2018-10-05 06:13 - 000000000 ____D C:\ProgramData\AVAST Software
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Geen bestand
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Geen bestand
2018-10-05 15:00 - 2018-10-05 15:00 - 000882648 _____ () C:\Program Files\NmVmMmQwOWM\M2FhNmUy.exe
2018-10-05 21:15 - 2018-10-05 21:15 - 001059328 _____ () C:\WINDOWS\cjcpjvfvh.cjcp

EmptyTemp:
CloseProcesses:
cmd: ipconfig /flushdns
cmd: netsh winsock reset
end
Sla nu dit kladblokbestand in de dezelfde locatie waar ook FRST.exe aanwezig is op als Fixlist.txt

Farbar Recovery Scan Tool (FRST.exe) met de fixlist.txt gebruiken
  • Windows Vista, Windows 7, Windows 8 en Windows 10: via rechtsklik op FRST.exe en kies voor "Als Administrator uitvoeren".
  • Als het programma wordt gestart, klik dan op Ja in de popup.
  • Druk op de Fix knop.
  • Na de fix wordt een logbestand - Fixlog.txt - in dezelfde locatie aangemaakt van waaruit FRST.exe is gestart.
  • Post de inhoud van dit logbestand in jouw volgende bericht.
 
TS
TS
Ticon65

Ticon65

Groentje
#6
Hoi Abraham,

Hostfile heb ik aangepast nadat ik mijn Fb-account heb beëindigd. Werkt prima.
Bijgaand de Fixlog.
 

Bijlagen

Abraham54

Administrator
Medewerker
#7
We gaan naar de volgende stap.
Opmerking: Malwarebytes MBAM is vernieuwd!

Download
MalwareBytes Anti-Malware.

  • Windows 2000 en Windows XP: dubbelklik op de setup van mbam.
  • Windows Vista, Windows 7, Windows 8: en Windows 10: via rechtsklik op de setup van mbam en kies voor "Als Administrator uitvoeren".
  • Klik in het menu van Malwarebytes ANTI-MALWARE op Instellingen" en daar op "Detectie en Bescherming" en zet vervolgens een vinkje bij "Scan naar rootkits".
  • Klik vervolgens op de knop Scan nu om een bedreigingsscan uit te voeren.
  • Er zal nu gecontroleerd worden op beschikbare updates, klik hier op "Nu bijwerken als er beschikbare updates zijn.
  • De scan wordt nu automatisch gestart,wanneer de scan gereed is en er bedreigingen zijn gedetecteerd krijgt u hier een overzicht van.

  • Wanneer er geen bedreigingen zijn gedetecteerd klikt u na de scan op Bekijk gedetailleerd logboek.
  • Klik vervolgens op de knop Exporteer en kies de optie "Tekstbestand (*.txt)".
  • Geef vervolgens een bestandsnaam op voor het opslaan van het logbestand, bijvoorbeeld MBAM Scanlog.
  • Kies bijvoorbeeld het bureaublad als opslaglocatie en klik vervolgens op de knop Opslaan.

  • Wanneer er wel bedreigingen zijn gedetecteerd klikt u na de scan op Acties toepassen.
  • Bij de melding om de computer opnieuw op te starten klikt u op Ja / Yes.
  • Open na de herstart MalwareBytes Anti-Malware en klik bovenaan op Historie en selecteer Programmalogboeken.
  • Klik op de nieuwste Scan Log.
  • Klik op "Exporteer" en kies de optie "Tekstbestand (*.txt)".
  • Geef vervolgens een bestandsnaam op voor het opslaan van het logbestand, bijvoorbeeld MBAM Scanlog.
  • Kies bijvoorbeeld het bureaublad als opslaglocatie en klik vervolgens op de knop Opslaan.

MBAM-Log posten:
  • Kopieer nu de inhoud van het zojuist opgeslagen log en plak dit in uw nieuwe antwoord erbij.


Indien jij MBAM meteen als gratis versie wil gebruiken in plaatst van de veertien dagen durende demo met al zijn toeters en bellen te gebruiken, kijk dan hier
 

Abraham54

Administrator
Medewerker
#9
Dat ruimt al op.

De volgende scan (kan een aantal uren duren, dus neem echt de tijd ervoor.
Lees eerst alles goed door of print het uit, want jij moet een aantal instellingen doen.

Download de
ESET Online Scanner naar je bureaublad.

Eset Online Scanner uitvoeren.
  • Dubbelklik op "esetonlinescanner_enu.exe", "Terms of use" opent vink daar "Download latest version of ESET Online Scanner" aan.
  • Klik vervolgens op de knop "Accept", wanneer u een melding krijgt van het Gebruikersaccountbeheer staat u dit toe.
  • "Computer scan settings" opent, vink daar "Enable detection of potentially unwanted applications" aan.
  • Klik op "Advanced settings", zorg dat daar de volgende items zijn aangevinkt.

    - Enable detection of potentially unsafe applications
    - Enable detection of suspicious applications
    - Scan archives
    - Enable Anti-Stealth technology
    - Clean threats automatically
  • Let op: Schakel nu eerst je eigen virusscanner uit, het scannen met Eset gaat dan sneller. ( zet deze na de scan weer aan)
  • Klik op "Scan", deze scan kan geruime tijd in beslag nemen en gebruik bij voorkeur de computer niet voor andere bezigheden tijdens de scan.
Na het scannen:
  • Als er niks word gevonden klik op "Finish", het scherm "Thank you for trying Eset Online Scanner" mag je ook sluiten.
  • Zijn er bedreigingen gevonden klik dan op "Show list of results", klik op "Save to text file.." geef als Bestandsnaam "Eset.txt" en plaats het op je bureaublad.
  • Klik vervolgens rechts boven op "X" (de bedreigingen zijn dan verwijderd), het scherm "Thank you for trying Eset Online Scanner" mag je ook sluiten.
  • Voeg het logbestand met de naam "Eset.txt" als bijlage toe aan het volgende bericht.
 
TS
TS
Ticon65

Ticon65

Groentje
#10
Bijgaand Eset logje (dat was een flinke kluif).

Ik wacht je reactie even af én zend een screendump van het Eset-scherm waar ik even niets mee doe.

Vraag hierbij is: Moet ik eerst kiezen voor "Select all" en dan verwijderen of volstaat het kruisje om af te sluiten?
 

Bijlagen

Abraham54

Administrator
Medewerker
#13
Goedemorgen Ed,

hoe heb jij de harde schijven in jouw computer georganiseerd.
Jouw Windows draait op C en heb jij de map downloads op D staan of is dat nog een oude Windows versie?

Want in die map zijn illegale activiteiten gevonden en verwijderd.
In jouw Windows is verder niks gevonden, Eset vond wel een bedreiging in de quarantaine van FRST.

Dus laat ook weten hoe jouw Windows nu draait.
Overigens smaakten de Grolsch biertjes uitstekend, doordat deze goed gekoeld zijn.
 
TS
TS
Ticon65

Ticon65

Groentje
#14
Hoi Abraham,

Ik heb een nieuwe SSD schijf laten inbouwen om Cubase te kunnen gebruiken. Mijn oude hd is gepartitioneerd en D: en E: geworden.

Goed te weten dat er foute activiteiten zijn verwijderd, ik hoop dat deze nu schoon is.

Windows lijkt goed te draaien al duurt het wel wat lang(er) voordat mijn Pc afsluit. Ook blijft Ccleaner hangen bij het schonen.
 

Abraham54

Administrator
Medewerker
#15
Het afsluitprobleem zal ik nog aanpakken.
Doe nu eerst onderstaande:

Download de
Zemana AntiMalware.Portable naar het bureaublad.

  • Dubbelklik op "Zemana.AntiMalware.Portable.exe” om het programma te starten.(er opent een download bestand)
  • Wanneer er een melding van het gebruikersaccountbeheer verschijnt klik je op Uitvoeren of Ja.
  • Beschikbare updates zullen nu automatisch gedownload worden.
  • Klik nu rechtsboven op het tandwiel en zet "Nederlands" als taal.
  • Klik linksboven op het "Huisje", klikt nu op de knop Scannen.
  • Het scannen begint, gebruik bij voorkeur de computer niet voor andere bezigheden tijdens de scan.
  • Wanneer er schadelijke software is gevonden zal je hiervan een overzicht krijgen, standaard zal de optie om deze in quarantaine te plaatsen geselecteerd zijn.
  • Klik op de knop "Volgende" om de gedetecteerde items te verwijderen.
    Opmerking: Als opnieuw opstarten vereist is voor het voltooien van het reinigingsproces, klik op opnieuw opstarten.
  • Open opnieuw "Zemana.AntiMalware.Portable.exe”, klik rechtsboven op de rechtstaande balkjes.
  • Voeg het logbestand als bijlage toe aan het volgende bericht.

Meer omtrent Zemana AntimMalware.

Laat in jouw nieuwe bericht weten hoe alles nu gaat?
 
TS
TS
Ticon65

Ticon65

Groentje
#16
Bijgaand het logje.

Pc loopt lekker al gaat het afsluiten nog steeds vrij traag.

Ik wacht even af tot jij mijn Pc "rommel-vrij" verklaard met het stellen van een aantal vragen.
 

Bijlagen

Abraham54

Administrator
Medewerker
#17
Niks gevonden, dat is mooi, echter het door jou aangepaste hostbestand is helaas aangepast.

Tweakreg maken:
open een nieuw kladblokdocument en kopieer en plak vervolgens de hieronder alles wat links van de rode balk staat in het geopende Kladblokvenster:
(gebruik geen andere tekstverwerker dan Kladblok, anders mislukt hetgeen u wil doen!)


Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Control Panel\Desktop]
"MenuShowDelay"="30"
"AutoEndTasks"="1"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\Memory Management]
"LargeSystemCache"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\LanmanServer\Parameters]
"LargeSystemCache 1"=dword:00000003
Klik daarna in de menubalk van Kladblok op Bestand en kies voor Opslaan als:


  • bij "Bestandsnaam" zet je Tweak.reg,
  • kies als opslaan lokatie bij voorkeur het bureaublad,
  • bij "Opslaan als" kies je voor Alle bestanden (*,*).

Dubbelklik op Tweak.reg en ga 2x akkoord met de Windows meldingen.

Is de melding dat de gegevens zijn toegevoegd aan het Windows register, start dan daarna de computer opnieuw op.

Na het heropstarten moet afsluitprobleem weg zijn en jouw computer nogmaals spontaner zijn.
 
TS
TS
Ticon65

Ticon65

Groentje
#18
Fijn te weten dat mijn Pc nu schoon is.

Ik zag voor het gebruik van Zemana al dat het Hostbestand aangepakt zou worden, daarom had ik voor de zekerheid even een reservekopie gemaakt.

De registerregels zijn toegevoegd.

Ccleaner heb ik middels Revo gedeïnstalleerd en deze ook de registerverwijzingen laten schonen.
Na een herinstallatie van Ccleaner blijft deze nog steeds bij 15% hangen en sluit alleen af via Taakbeheer. Is dit simpel te verhelpen?

Verder loopt mijn Pc zoals ik gewend ben en ben hier uiteraard blij mee. Ik wacht nog even af tot jij het sein "Pc is schoon" geeft, voordat ik me stort op het verwijderen van externe schaduw-backups en dus het maken van nieuwe backups.
 

Abraham54

Administrator
Medewerker
#19
CCleaner geeft bij anderen in win 10 ook installatie problemen.
Zelf gebruik ik CCleaner niet, omdat deze toch nog erg veel achterlaat.

Ik gebruik de Wise Disk Cleaner en af toe de Wise Registry Cleaner, die ook de optie heeft om het register te defragmenteren, niet onbelangrijk, want opengevallen plaatsen door de reiniging enz. worden niet meer opgevuld.

Door de defragmentatie wordt het register weer een gesloten blok en dat komt het tempo van Windows ook weer ten goede.


We doen nog een korte scan.

Download Junkware Removal Tool Download: Download Junkware Removal Tool

Junkware Removal Tool uitvoeren
Wanneer jij problemen ondervindt bij het uitvoeren van dit programma of bepaalde foutmeldingen te zien krijgt, laat dit dan even weten in jouw bericht.
  • Klik met de rechtermuisknop op JRT.exe en kies voor de optie "Als administrator uitvoeren".
  • Druk bij het commandprompt venster op een willekeurig toets om door te gaan, vervolgens zal er een back-up van het register gemaakt worden.
  • De tool zal vervolgens het systeem scannen.
  • De scan kan afhankelijk van je systeemspecificaties soms vrij lang duren, wacht geduldig af.
  • Als de scan gereed is zal er een logje (JRT.txt) op het bureaublad opgeslagen worden en automatisch worden geopend.
  • Voeg dit logbestand als bijlage toe aan jouw volgende bericht.
 
TS
TS
Ticon65

Ticon65

Groentje
#20
Ik ga Wise Disk Cleaner zeker eens bekijken, dank voor de tip.

JRT heb ik 2 keer laten draaien (als Admin). Hij maakt eerst een herstelpunt en lijkt dan door te lopen, echter na 30 seconden verdwijnt het Dos-scherm en is er geen logje terug te vinden.
 
Bovenaan Onderaan