DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
aahquote:Op dinsdag 11 augustus 2009 17:52 schreef Mr.Noodle het volgende:
[..]
Dat is je profiel van Firefox waar al je history, settings in wordt opgeslagen. Het kan geïnfecteerd zijn, maar vaak is het een standaardonderdeel van Firefox. Dat die map zo raar heet is niet erg in dit geval. Is bij mijn Windows machine ook.
wel tof trouwens, je hulp
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Ja oke, maar een format C kost ook een berg tijd en moeite hoor! Eerst het backuppen en daarna weer alles terugzetten en programma's opnieuw installeren enzo.quote:Op dinsdag 11 augustus 2009 @ 17:46 schreef Mr.Noodle het volgende:
[..]
Ja, oké. Je bent nu toch bezig. Maar kijk nu even hoeveel tijd, hoeveel beveiligingsprogramma's later en hoeveel andere personen je hebt moeten op trommelen om het probleem te verhelpen.. Eigenlijk is het toch gewoon te gek voor woorden?
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Dinges is klaar!
Hier de log:
Hier de log:
quote:Malwarebytes' Anti-Malware 1.40
Database versie: 2601
Windows 5.1.2600 Service Pack 3
11-8-2009 18:06:36
mbam-log-2009-08-11 (18-06-36).txt
Scan type: Volledige Scan (C:\|J:\|)
Objecten gescand: 261566
Verstreken tijd: 1 hour(s), 19 minute(s), 38 second(s)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 4
Registerwaarden geïnfecteerd: 6
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 1
Bestanden geïnfecteerd: 5
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\wvfsrqab.bbwl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wvfsrqab.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Bind (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully.
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
C:\WINDOWS1\system32\LocalService32 (Worm.Archive) -> Quarantined and deleted successfully.
Bestanden geïnfecteerd:
C:\Documents and Settings\user.USER-70FB3322FA\Local Settings\Temp\~TM69.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\user.USER-70FB3322FA\Menu Start\Programma's\Opstarten\ikowin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS1\system32\LocalService32\29.tmp (Worm.Archive) -> Quarantined and deleted successfully.
C:\Documents and Settings\user.USER-70FB3322FA\Application Data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS1\Temp\wpv441249365049.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
belangrijke vraag ; ik heb een recovery van samsung terug gezet vanaf het moment (6aug) dat ik hem kreeg. Hij heeft alle bestanden op C gewist, en de gegevens die op 6aug gemaakt zijn terug gezet. Ik hoefde alleen geen windows te installeren... kan ik er nu wel of niet vanuit gaan dattie weg is?
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Qwea, zie jij nog iets interessants in het log hierboven? Als in: gefeliciteerd MB, het virus is nu weg! 
IE doet overigens niks raars hier
IE doet overigens niks raars hier
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
alles wat ie gevonden heeft, is gedelete. Ik zou hem voor de zekerheid opnieuw opstarten en nog eens runnen.
Mijn windows is al 7 minuten bezig met aflsuiten
Mijn windows is al 7 minuten bezig met aflsuiten
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
PC extreme gebeld. Ze zijn dus al langer bekend met het virus, maar komen er maar niet achter waar hij bij hun psies vandaan komt. De collega die dit behandeld belt mij morgenochtend om 9 uur terug 
Ik ga het echt niet zelf oplossen he, ze geven nu gewoon toe dat ze wel degelijk het probleem vormen in ons geval, MB!
Ik ga het echt niet zelf oplossen he, ze geven nu gewoon toe dat ze wel degelijk het probleem vormen in ons geval, MB!
quote:Op dinsdag 11 augustus 2009 @ 18:47 schreef An24 het volgende:
PC extreme gebeld. Ze zijn dus al langer belend met het virus, maar komen er maar niet achter waar hij bij hun psies vandaan komt. De collega die dit behandeld belt mij morgenochtend om 9 uur terug
Ik ga het echt niet zelf oplossen he, ze geven nu gewoon toe dat ze wel degelijk het probleem vormen in ons geval, MB!
Nou, lekker dan
Ik ben benieuwd naar wat ie je morgen te zeggen heeft!
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Heb je de helpdesk a 45ct per minuut gebeld? Want nu wil ik ze ook bellen.
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Het is ook best triest van PCExtreme... Zocht even snel online, en er zijn veel mensen met klachten. Lokaal bij An24 geen virussen (gescand met meerdere scanners), en alleen de bestanden aan de kant van PCE zijn veranderd. Zeer slecht dat ze uberhaupt geinfecteerd zijn, en nog triester dat ze blijkbaar wintel servers hebben (en geen *UX).
Je kan van ook redelijk snel zoeken op dit virus. In windows de drive selecteren met rechts waar je html/php bestanden staan. Kies dan 'search' (of zoeken). In het bovenste invoerveld voer je dan in *.php, *.htm* in, en in het veld eronder .in:8080. Dan op search/zoeken klikken, en je krijgt alle files te zien waar de iframe is ingevoegd.
Het weghalen van deze code moet je natuurlijk pas doen als de veroorzaker van je pc af is. Je kan dan met zoeken en vervangen dit weghalen. Ik heb zelf met Crimson Editor dit gedaan, omdat je dan in alle bestanden het in een keer kan doen (ok, in batches van 500 files tegelijk).
Maar goed, ik zou een goeie claim neerleggen bij PCExtreme...
Je kan van ook redelijk snel zoeken op dit virus. In windows de drive selecteren met rechts waar je html/php bestanden staan. Kies dan 'search' (of zoeken). In het bovenste invoerveld voer je dan in *.php, *.htm* in, en in het veld eronder .in:8080. Dan op search/zoeken klikken, en je krijgt alle files te zien waar de iframe is ingevoegd.
Het weghalen van deze code moet je natuurlijk pas doen als de veroorzaker van je pc af is. Je kan dan met zoeken en vervangen dit weghalen. Ik heb zelf met Crimson Editor dit gedaan, omdat je dan in alle bestanden het in een keer kan doen (ok, in batches van 500 files tegelijk).
Maar goed, ik zou een goeie claim neerleggen bij PCExtreme...
Ik nuf je seuk!
Ik hier?
If it's free, you're the product!
Ik hier?
If it's free, you're the product!
in mijn samsung recovery solution staat dus als je volledig herstel doet ;
Overschrijft station C: volledig met een backup image om de computer volledige in de eerdere toestand terug te brengen.
Dan is dat toch goed genoeg? Want 6aug was er niks aan de hand
Nog ff in safe mode alles draaien voor de zekerheid
Overschrijft station C: volledig met een backup image om de computer volledige in de eerdere toestand terug te brengen.
Dan is dat toch goed genoeg? Want 6aug was er niks aan de hand
Nog ff in safe mode alles draaien voor de zekerheid
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Ik heb ze gebeld, tegen mij zijn ze nog in de ontkenningsfasequote:Op dinsdag 11 augustus 2009 @ 18:53 schreef MissBliss het volgende:
Heb je de helpdesk a 45ct per minuut gebeld? Want nu wil ik ze ook bellen.
Ik moet iig mailen en ze gaan aan de slag ofzo.
Oh, dat ga ik proberen!quote:Op dinsdag 11 augustus 2009 @ 18:59 schreef freud het volgende:
Het is ook best triest van PCExtreme... Zocht even snel online, en er zijn veel mensen met klachten. Lokaal bij An24 geen virussen (gescand met meerdere scanners), en alleen de bestanden aan de kant van PCE zijn veranderd. Zeer slecht dat ze uberhaupt geinfecteerd zijn, en nog triester dat ze blijkbaar wintel servers hebben (en geen *UX).
Je kan van ook redelijk snel zoeken op dit virus. In windows de drive selecteren met rechts waar je html/php bestanden staan. Kies dan 'search' (of zoeken). In het bovenste invoerveld voer je dan in *.php, *.htm* in, en in het veld eronder .in:8080. Dan op search/zoeken klikken, en je krijgt alle files te zien waar de iframe is ingevoegd.
Het weghalen van deze code moet je natuurlijk pas doen als de veroorzaker van je pc af is. Je kan dan met zoeken en vervangen dit weghalen. Ik heb zelf met Crimson Editor dit gedaan, omdat je dan in alle bestanden het in een keer kan doen (ok, in batches van 500 files tegelijk).
Maar goed, ik zou een goeie claim neerleggen bij PCExtreme...
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Niks gevonden!quote:Op dinsdag 11 augustus 2009 @ 18:59 schreef freud het volgende:
*verhaal*
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Sorry dat ik zo snel weg was. Had een etentje.
Maar @MissBliss, je hebt al gescant naar een reboot? Trojan.Agent heeft namelijk het patroon om ook na een reboot terug te komen.
Had een etentje.Maar @MissBliss, je hebt al gescant naar een reboot? Trojan.Agent heeft namelijk het patroon om ook na een reboot terug te komen.
█▄ █▄█ █▄ █▄█▄█ █▄█ ▀█▀
TryAndResistClicking. Trollspray.
TryAndResistClicking. Trollspray.
Nu bezig met een scan na reboot.
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
Wat vindt jij van die volledig herstel van mij?quote:Op dinsdag 11 augustus 2009 19:27 schreef CantFazeMe het volgende:
Sorry dat ik zo snel weg was.
Maar @MissBliss, je hebt al gescant naar een reboot? Trojan.Agent heeft namelijk het patroon om ook na een reboot terug te komen.
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Same here, maar dan ook na een volledig herstelquote:Op dinsdag 11 augustus 2009 19:32 schreef MissBliss het volgende:
Nu bezig met een scan na reboot.
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Ik vind het raar dat ie er opeens niet meer is.quote:Op dinsdag 11 augustus 2009 19:33 schreef Qwea het volgende:
[..]
Wat vindt jij van die volledig herstel van mij?
Maar de worm infecteert dus zich via netwerken en malwarebytes gaf bij jouw 0 infecties aan. Dus ik ga ervan uit dat het goed is. Je kunt ook e.v. Combofix gebruiken maar die vind ik erg risicovol.Edit: ja, je heb in feite inderdaad een "image" van je computer terug gezet vóór de infectie. Dat is altijd ook goed mogelijk.
Zolang je maar controleert.
█▄ █▄█ █▄ █▄█▄█ █▄█ ▀█▀
TryAndResistClicking. Trollspray.
TryAndResistClicking. Trollspray.
Nou, avast gaf aan dat er een virus was, zie screenshot. Maar toen ik scande met avast, adaware, hijackthis, superantivirus en malware bytes, was er niks te vinden. En ook in het register vond ik niks.quote:Op dinsdag 11 augustus 2009 19:36 schreef CantFazeMe het volgende:
[..]
Ik vind het raar dat ie er opeens niet meer is.
Logje van nu ;
quote:Malwarebytes' Anti-Malware 1.40
Database versie: 2605
Windows 6.0.6001 Service Pack 1 (Safe Mode)
11-8-2009 19:35:50
mbam-log-2009-08-11 (19-35-50).txt
Scan type: Volledige Scan (C:\|D:\|F:\|)
Objecten gescand: 186398
Verstreken tijd: 24 minute(s), 54 second(s)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Dit is combofix voor de geïnteresseerden. Ik gebruik het niet, maar goed hier is een guide. Het is op eigen risico.
http://www.bleepingcomputer.com/combofix/how-to-use-combofix
http://www.bleepingcomputer.com/combofix/how-to-use-combofix
█▄ █▄█ █▄ █▄█▄█ █▄█ ▀█▀
TryAndResistClicking. Trollspray.
TryAndResistClicking. Trollspray.
wat is combofix trouwens?
Ooh en avast doet nu voordat windows opgestart is een scan
Ooh en avast doet nu voordat windows opgestart is een scan
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
Dat zit wel goed!quote:Op dinsdag 11 augustus 2009 19:37 schreef Qwea het volgende:
[..]
Nou, avast gaf aan dat er een virus was, zie screenshot. Maar toen ik scande met avast, adaware, hijackthis, superantivirus en malware bytes, was er niks te vinden. En ook in het register vond ik niks.
Logje van nu ;
[..]
█▄ █▄█ █▄ █▄█▄█ █▄█ ▀█▀
TryAndResistClicking. Trollspray.
TryAndResistClicking. Trollspray.
Combofix is ook een soort Malwarebytes, maar het is alleen in een CMD bestand. Ik vind het risicovol, want hij wijzigt ook je systeem tijdelijk tijdens de scan. Na de scan als je hem verwijderd wordt alles wel normaal. (je moet zelf nog wel wat aanpassen maar goed.) Ik gebruik het alleen als een laatste redmiddel.quote:Op dinsdag 11 augustus 2009 19:38 schreef Qwea het volgende:
wat is combofix trouwens?
Ooh en avast doet nu voordat windows opgestart is een scan
█▄ █▄█ █▄ █▄█▄█ █▄█ ▀█▀
TryAndResistClicking. Trollspray.
TryAndResistClicking. Trollspray.
En ik raad je het niet aan om aan te beginnen als je er niks van af weet.
█▄ █▄█ █▄ █▄█▄█ █▄█ ▀█▀
TryAndResistClicking. Trollspray.
TryAndResistClicking. Trollspray.
*netjes afblijftquote:Op dinsdag 11 augustus 2009 19:42 schreef CantFazeMe het volgende:
En ik raad je het niet aan om aan te beginnen als je er niks van af weet.
*wacht totdat avast eindelijk eens klaar is. Hij is pas op 1%
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
|
|
