Advies Zepto virus

Guy

Junior lid
Dag,
Heden melding gekregen dat ik het Zeptovirus binnengehaald heb. Heb reeds Malwarebytes(proefversie) zijn werk laten doen en scanlog opgeslagen.
Hoe ga ik verder te werk?

Many thnx
Guy
 

Aarie25

Moderator
Team lid
Beste Guy,

Ik heb jou topic even verplaatst.
Zodat Abraham jou verder kan helpen met jou virus probleem.
 

Abraham54

Administrator
Team lid
Hoi Guy,
hartelijk welkom op dit geweldige forum.

Je hebt de Zepto-Locky ransomware binnengehaald door vermoedelijk een bepaalde e-mail alsnog te openen.

Er is geen dycryptor voor deze ransomware beschikbaar.
Beschik jij over een back-up van jouw persoonlijke data?


Stap •1•
MBAM Scanlog posten
Klik nadat je MBAM hebt opgestart op Historie.
Vervolgens klik je in de linkerkolom op Programmalogboeken.
Je vind dan twee soorten logs:

a) Protection Log
b) Scan Log.

Om Scanlog gaat het nu, klik op het nieuwste Scan log.
Nu opent het Scanlogboek; links onderaan vind je een blauwe knop Exporteer.
Klik daarop en kies dan voor Kopieer naar klembord.

Maak vervolgens een nieuw antwoord en via rechtsklik daarin kies je voor Plakken.
Daarna staat het log dan in jouw antwoord en kan dat gepost worden.


Stap •2•
Download
Farbar Recovery Scan Tool 32 of 64 bit van één van de onderstaande links
Farbar Recovery Scan Tool 32 bit (x86)
Farbar Recovery Scan Tool 64 bit (x64)
Downloadlokatie: Dit programma absoluut naar het bureaublad downloaden dan wel daar naar toe verplaatsen!
Opmerkingen
: Alle openstaande programma's en webpagina's dienen afgesloten te zijn.

Antivirusprogramma en actieve malwarescanners dienen al voor je FRST.exe start gedeaktiveert zijn!
Hier en hier vindt je gegevens hoe antivirusprogramma's en spywarescanners te deaktiveren.

FRST opstarten:
  • Windows 2000 en Windows XP: dubbelklik op FRST.exe.
  • Windows Vista, Windows 7, Windows 8/8.1 en Windows 10: via rechtsklik op FRST.exe of FRST64.exe en kies voor "Als Administrator uitvoeren".
FRST start op:
  • Wanneer het programma is geopend klik dan op de knop Yes bij de disclaimer.
  • Druk vervolgens op de Scan knop.
  • Aansluitend zal een logbestand - FRST.txt en Addition-txt aangemaakt worden en op het bureaublad opgeslagen worden.
.

Kijk hier: Hoe een bijlage toevoegen?
 

Guy

Junior lid
Malwarebytes
www.malwarebytes.com

-Logboekdetails-
Scandatum: 06-11-18
Scantijd: 10:03
Logbestand: d829378a-e1a2-11e8-b6fe-88d7f63825f0.json

-Software-informatie-
Versie: 3.6.1.2711
Versie componenten: 1.0.482
Update pakketversie: 1.0.7715
Licentie: Proef

-Systeeminformatie-
Besturingssysteem: Windows 10 (Build 17134.345)
Processor: x64
Bestandssysteem: NTFS
Gebruiker: DESKTOP-SHQ81DB\Guy

-Scansamenvatting-
Scantype: Bedreigingsscan
Scan geactiveerd door: Handmatig
Resultaat: Voltooid
Objecten gescand: 283439
Dreigingen herkend: 7
Dreigingen in quarantaine: 0
Verstreken tijd: 10 min, 7 sec

-Scanopties-
Geheugen: Ingeschakeld
Opstarten: Ingeschakeld
Bestandssysteem: Ingeschakeld
Archieven: Ingeschakeld
Rootkits: Ingeschakeld
Heuristiek: Ingeschakeld
POP: Detectie
POA: Detectie

-Scandetails-
Proces: 0
(Geen kwaadaardige items gedetecteerd)

Module: 0
(Geen kwaadaardige items gedetecteerd)

Registersleutel: 0
(Geen kwaadaardige items gedetecteerd)

Registerwaarde: 0
(Geen kwaadaardige items gedetecteerd)

Registerdata: 0
(Geen kwaadaardige items gedetecteerd)

Gegevensstroom: 0
(Geen kwaadaardige items gedetecteerd)

Map: 1
PUP.Optional.DriverAgentPlus, C:\USERS\GUY\APPDATA\ROAMING\DRIVERAGENTPLUS, Geen actie door gebruiker, [933], [182329],1.0.7715

Bestand: 6
PUP.Optional.DriverAgentPlus, C:\Users\Guy\AppData\Roaming\DriverAgentPlus\DriverAgentPlus.downloads, Geen actie door gebruiker, [933], [182329],1.0.7715
PUP.Optional.DriverAgentPlus, C:\Users\Guy\AppData\Roaming\DriverAgentPlus\DriverAgentPlus.history, Geen actie door gebruiker, [933], [182329],1.0.7715
PUP.Optional.DriverAgentPlus, C:\Users\Guy\AppData\Roaming\DriverAgentPlus\DriverAgentPlus.settings, Geen actie door gebruiker, [933], [182329],1.0.7715
PUP.Optional.DriverAgentPlus, C:\Users\Guy\AppData\Roaming\DriverAgentPlus\scandata.bin, Geen actie door gebruiker, [933], [182329],1.0.7715
PUP.Optional.DriverAgentPlus, C:\Users\Guy\AppData\Roaming\DriverAgentPlus\sysinfo.bin, Geen actie door gebruiker, [933], [182329],1.0.7715
PUP.Optional.DriverAgent, C:\USERS\GUY\DOWNLOADS\DRVAGENTRSPLUS-4503203068.EXE, Geen actie door gebruiker, [3485], [345593],1.0.7715

Fysieke sector: 0
(Geen kwaadaardige items gedetecteerd)

WMI: 0
(Geen kwaadaardige items gedetecteerd)


(end)
 

Abraham54

Administrator
Team lid
Je mag als locatie voor Fahrbar ook de map downloads gebruiken.
Als ik aan de hand van jouw logs dan een fix maak, dien je dat gemaakte kladblokdocument ook in de map downloads opslaan.
 

Abraham54

Administrator
Team lid
Waarschuwing: onderstaande bewerking is enkel voor deze computer bedoeld, het toepassen hiervan in een andere computer kan tot schade in Windows leiden.


We gaan


Farbar Recovery Scan Tool (FRST.exe) opnieuw gebruiken.

Open een nieuw kladblok (of anders: notepad) bestand, via "Start\Alle programma’s\Bureau-accessoires\Kladblok (of Notepad)".
Kopieer en plak de tekst in het code-venster onder het woord Code in het lege kladblokvenster.

Code:
start
CreateRestorePoint:
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== AANDACHT
HKU\S-1-5-21-1430594660-2138861803-394241125-1001\...\MountPoints2: {7a206da8-863d-11e8-a127-88d7f63825f0} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1430594660-2138861803-394241125-1001\...\MountPoints2: {7a206e15-863d-11e8-a127-88d7f63825f0} - "E:\HiSuiteDownLoader.exe" 
Task: {5DA9368E-81BC-47EA-AD93-47E4851EB857} - \Microsoft\Windows\UNP\RunCampaignManager -> Geen bestand <==== AANDACHT
C:\Program Files (x86)\Skillbrains

EmptyTemp:
CloseProcesses:
cmd: ipconfig /flushdns
cmd: netsh winsock reset
end
Sla nu dit kladblokbestand in de dezelfde locatie waar ook FRST.exe aanwezig is op als Fixlist.txt

Farbar Recovery Scan Tool (FRST.exe) met de fixlist.txt gebruiken
  • Windows Vista, Windows 7, Windows 8 en Windows 10: via rechtsklik op FRST.exe en kies voor "Als Administrator uitvoeren".
  • Als het programma wordt gestart, klik dan op Ja in de popup.
  • Druk op de Fix knop.
  • Na de fix wordt een logbestand - Fixlog.txt - in dezelfde locatie aangemaakt van waaruit FRST.exe is gestart.
  • Post de inhoud van dit logbestand in jouw volgende bericht.

Vraag: zijn documenten in jouw privémappen wel of niet te openen?
 

Guy

Junior lid
  • Als het programma wordt gestart, klik dan op Ja in de popup.
  • Druk op de Fix knop.
  • Na de fix wordt een logbestand - Fixlog.txt - in dezelfde locatie aangemaakt van waaruit FRST.exe is gestart.
  • Post de inhoud van dit logbestand in jouw volgende bericht.
Vanaf bovenvermelde lukt het me niet meer. Krijg geen popup.
Mijn documenten kan ik nog openen.
 

Abraham54

Administrator
Team lid
Oké, dan gaan we nu eerst wat anders doen.

Download de
ESET Online Scanner naar je bureaublad.

Eset Online Scanner uitvoeren.
  • Dubbelklik op "esetonlinescanner_enu.exe", "Terms of use" opent vink daar "Download latest version of ESET Online Scanner" aan.
  • Klik vervolgens op de knop "Accept", wanneer u een melding krijgt van het Gebruikersaccountbeheer staat u dit toe.
  • "Computer scan settings" opent, vink daar "Enable detection of potentially unwanted applications" aan.
  • Klik op "Advanced settings", zorg dat daar de volgende items zijn aangevinkt.

    - Enable detection of potentially unsafe applications
    - Enable detection of suspicious applications
    - Scan archives
    - Enable Anti-Stealth technology
    - Clean threats automatically
  • Let op: Schakel nu eerst je eigen virusscanner uit, het scannen met Eset gaat dan sneller. ( zet deze na de scan weer aan)
  • Klik op "Scan", deze scan kan geruime tijd in beslag nemen en gebruik bij voorkeur de computer niet voor andere bezigheden tijdens de scan.
Na het scannen:
  • Als er niks word gevonden klik op "Finish", het scherm "Thank you for trying Eset Online Scanner" mag je ook sluiten.
  • Zijn er bedreigingen gevonden klik dan op "Show list of results", klik op "Save to text file.." geef als Bestandsnaam "Eset.txt" en plaats het op je bureaublad.
  • Klik vervolgens rechts boven op "X" (de bedreigingen zijn dan verwijderd), het scherm "Thank you for trying Eset Online Scanner" mag je ook sluiten.
  • Voeg het logbestand met de naam "Eset.txt" als bijlage toe aan het volgende bericht.
Let wel: laat Eset alles verwijderen wat het vindt - ook software die jij wil behouden, want dat is Potentieel Ongewenste Software.
 

Abraham54

Administrator
Team lid
Waar heb jij de fixlist dan opgeslagen?
In ieder geval niet in de map downloads.
Verplaats dus de Fixlist.txt naar de map downloads.
 

Abraham54

Administrator
Team lid
Qua logs heb jij geen besmetting - is het bureaublad nog steeds geblokkeerd?
 

Abraham54

Administrator
Team lid
Kan je teruggaan naar een eerder systeemherstelpunt?
 

Abraham54

Administrator
Team lid
Gewone harde schijf?
Dan kan het inderdaad wel even duren.

We wachten af.

Als systeemherstel gepleegd is, doe dan het volgende:

Start
MalwareBytes Anti-Malware.

  • Windows 2000 en Windows XP: dubbelklik op de MBAM-snelkoppeling.
  • Windows Vista, Windows 7, Windows 8/8.1 en Windows 10: via rechtsklik op de MBAM-snelkoppeling en kies voor "Als Administrator uitvoeren".
  • Klik in het menu van Malwarebytes ANTI-MALWARE op Ïnstellingen" en daar op "Detectie en Bescherming" en zet vervolgens een vinkje bij "Scan naar rootkits".
  • Klik vervolgens op de knop Scan nu om een bedreigingsscan uit te voeren.
  • Er zal nu gecontroleerd worden op beschikbare updates, klik hier op "Nu bijwerken als er beschikbare updates zijn.
  • De scan wordt nu automatisch gestart,wanneer de scan gereed is en er bedreigingen zijn gedetecteerd krijgt u hier een overzicht van.
  • Wanneer er geen bedreigingen zijn gedetecteerd klikt u na de scan op Bekijk gedetailleerd logboek.
  • Klik vervolgens op de knop Exporteer en kies de optie "Tekstbestand (*.txt)".
  • Geef vervolgens een bestandsnaam op voor het opslaan van het logbestand, bijvoorbeeld MBAM Scanlog.
  • Kies bijvoorbeeld het bureaublad als opslaglocatie en klik vervolgens op de knop Opslaan.
  • Wanneer er wel bedreigingen zijn gedetecteerd klikt u na de scan op Acties toepassen.
  • Bij de melding om de computer opnieuw op te starten klikt u op Ja / Yes.
  • Open na de herstart MalwareBytes Anti-Malware en klik bovenaan op Historie en selecteer Programmalogboeken.
  • Klik op de nieuwste Scan Log.
  • Klik op "Exporteer" en kies de optie "Tekstbestand (*.txt)".
  • Geef vervolgens een bestandsnaam op voor het opslaan van het logbestand, bijvoorbeeld MBAM Scanlog.
  • Kies bijvoorbeeld het bureaublad als opslaglocatie en klik vervolgens op de knop Opslaan.

MBAM-Log posten:
  • Kopieer nu de inhoud van het zojuist opgeslagen log en plak dit in uw nieuwe antwoord erbij.
 

Guy

Junior lid
Laptop herstart telkens opnieuw op. Ga morgen binnen geven in winkel ter herstelling.
Hartelijk dank voor het meedenken/handelen
 

Abraham54

Administrator
Team lid
Succes toegewenst en laat maar weten of alles morgen gelukt is.
 
Bovenaan Onderaan