Ga naar inhoud
  • 0

Win32/Kryptik.JOB + Andere melding (NOD32)


Anoniem2

Vraag

Beste,\r\n\r\nEen paar dagen terug kreeg ik de volgende melding:\r\n[IMG]http://img88.imageshack.us/img88/3025/virusnk.jpg[/IMG]\r\n\r\nDeze krijg ik nu op random tijden en heb die website nooit bezocht (PCDOCPRO.COM)\r\nTevens heb ik dezelfde melding gehad met een ander \'IP Adres\' namelijk 127.0.0.1:63853 (laatste 5 cijfers zijn anders maar iig zo iets) deze heb ik 1x voorbij zien komen.\r\n\r\nTevens heb ik hier last van:\r\n[IMG]http://img266.imageshack.us/img266/2603/virus2x.jpg[/IMG]\r\n\r\nof het er wat mee te maken heeft weet ik niet, maar had er eerder geen last van, het is bij alle menu\'s van alle programma\'s etc...\r\nAls ik dus over het menu heen ga met mijn muis verschijnen de menu items weer maar als het menu weer weg is en ik haal hem weer erbij is alles weer \'blank\'\r\n\r\n\r\nAls ik een melding krijg zoals in de 1e afbeelding doe ik altijd direct een standaard scan, deze vond niks, ongeveer 20 minuten geleden heb ik voor de zekerheid weer een scan gedaan, deze vond nu wel iets namelijk:\r\nWIN32/Kryptik.JOB trojaans paard\r\nOp dit moment (scan loopt nog) 6 meldingen:\r\n\r\n[COLOR=\"red\"]C:\\Documents and Settings\\Maikel\\Application Data\\dwm.exe - een variant van Win32/Kryptik.JOB trojaans paard - opgeschoond door te verwijderen (na de volgende herstart) - in quarantaine geplaatst[/COLOR]\r\n[COLOR=\"blue\"]C:\\Documents and Settings\\Maikel\\Application Data\\Microsoft\\conhost.exe - een variant van Win32/Kryptik.JOB trojaans paard - opgeschoond door te verwijderen (na de volgende herstart) - in quarantaine geplaatst[/COLOR]\r\n[COLOR=\"red\"]C:\\Documents and Settings\\Maikel\\Local Settings\\Temp\\csrss.exe - een variant van Win32/Kryptik.JOB trojaans paard - opgeschoond door te verwijderen (na de volgende herstart) - in quarantaine geplaatst[/COLOR]\r\n[COLOR=\"blue\"]C:\\Documents and Settings\\Maikel\\Local Settings\\Temp\\ms0cfg32.exe - een variant van Win32/Kryptik.JOB trojaans paard - opgeschoond door te verwijderen - in quarantaine geplaatst[/COLOR]\r\n[COLOR=\"red\"]C:\\Documents and Settings\\Maikel\\Local Settings\\Temporary Internet Files\\Content.IE5\\XNT62IRX\\H4Qfxzko[1].exe - een variant van Win32/Kryptik.JOB trojaans paard - opgeschoond door te verwijderen - in quarantaine geplaatst[/COLOR]\r\n[COLOR=\"blue\"]C:\\Documents and Settings\\Maikel\\Local Settings\\Temporary Internet Files\\Content.IE5\\XNT62IRX\\_N8ukrB1[1].exe - een variant van Win32/Kryptik.JOB trojaans paard - opgeschoond door te verwijderen - in quarantaine geplaatst[/COLOR]\r\n\r\nBlauw/Rood is puur aanduiding, in de scan zijn ze allemaal rood.\r\n\r\nTevens kreeg ik tijdens het scannen deze popup:\r\n\r\n[IMG]http://img692.imageshack.us/img692/1664/virus4.jpg[/IMG]\r\n\r\n\r\n\r\nwie kan me helpen/vertellen wat er gaande is en wat ik eventueel moet doen om weer virus/melding vrij te zijn :(\r\n\r\nMvg,\r\nMaikel\r\n\r\np.s. Ook heb ik het idee dat internet (en vooral google) een stuk langzamer is dan normaal.
Link naar reactie

Aanbevolen berichten

  • 0
Ik zou eerst eens beginnen met je systeem te scannen. Zowel met je virusscanner als mede door Mallwarebytes. Het lijkt er namelijk op dat je systeem een virus heeft opgelopen of een progje dat deze site blokkeert. Hoe wel het niet zeker is dat deze site überhaupt bestaat en of dit juist word tegen gehouden omdat NOD32 denkt dat het een virus verspreider is.\r\n\r\nScannen kan geen kwaad. gebruik voor Mallwarebytes de link\r\n\r\n[url]http://www.malwarebytes.org/mbam-download.php[/url]
Link naar reactie
  • 0
Dit is gevonden\n\nMalwarebytes\' Anti-Malware 1.50.1.1100\n[url]www.malwarebytes.org[/url]\n\nDatabaseversie: 5504\n\nWindows 5.1.2600 Service Pack 3\nInternet Explorer 7.0.5730.13\n\n11-1-2011 17:43:12\nmbam-log-2011-01-11 (17-43-09).txt\n\nScantype: Snelle scan\nObjecten gescand: 144237\nVerstreken tijd: 2 minuut/minuten, 54 seconde(n)\n\nGeheugenprocessen geïnfecteerd: 0\nGeheugenmodulen geïnfecteerd: 0\nRegistersleutels geïnfecteerd: 0\nRegisterwaarden geïnfecteerd: 1\nRegisterdata geïnfecteerd: 1\nMappen geïnfecteerd: 0\nBestanden geïnfecteerd: 0\n\nGeheugenprocessen geïnfecteerd:\n(Geen kwaadaardige objecten gedetecteerd)\n\nGeheugenmodulen geïnfecteerd:\n(Geen kwaadaardige objecten gedetecteerd)\n\nRegistersleutels geïnfecteerd:\n(Geen kwaadaardige objecten gedetecteerd)\n\nRegisterwaarden geïnfecteerd:\nHKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell (Hijack.Shell) -> Value: Shell -> No action taken.\n\nRegisterdata geïnfecteerd:\nHKEY_CLASSES_ROOT\\regfile\\shell\\open\\command\\(default) (Broken.OpenCommand) -> Bad: (\"regedit.exe\" \"%1\") Good: (regedit.exe \"%1\") -> No action taken.\n\nMappen geïnfecteerd:\n(Geen kwaadaardige objecten gedetecteerd)\n\nBestanden geïnfecteerd:\n(Geen kwaadaardige objecten gedetecteerd)\n\n\n\n\nHeb nu geen internet meer, wel op andere computers maar niet op die van mij, ik heb draadloos internet maar dat lijkt me het probleem niet, het internet stopte na het opnieuw opstarten zoals NOD32 aangaf na de scan\n\n\nNet weer de bovenstaande scan gedaan en dezelfde resultaten, dit keer op verwijderen geklikt, opnieuw gestart, scan weer opnieuw gedaan, nu kan hij ze niet meer vinden dus dat is goed? ben nu bezig met een nieuw NOD32 scan om te zien of die (9) meldingen terug komen....\n\nAls dit zo is wat dan? is alles weer goed? dan moet ik even afwachten of internet het weer doet straks of morgen.\n\nKomen de fouten meldingen terug wat dan?\n\n\nMvg\n\n\n[b]Edit[/b]\nBij firefox (andere nog niet bekeken) was een proxy als internet ingesteld\n127.0.0.1:12345 (andere cijfers dan hier maar weet niet of het kwaad kan als ik dat plaats).\n\nHeb de proxy uitgezet en nu doet hij het weer (msn en filezilla ftp client deden het namelijk nog gewoon dus het lag niet aan mijn internet).\n\nEr is dus echt iets niet pluis dus ik hoop dat iemand me snel kan helpen :(
Link naar reactie
  • 0
Hoi KoningM,\n\nIk zal eens kijken of ik je assisteren kan, houd er wel rekening mee dat je dan ondertussen zelf niet dingen moet gaan proberen te fixen omdat dit snel voor verwarring kan zorgen. Ik zal z.s.m. weer proberen te reageren.\n\nJe hebt geen actie ondernomen bij MalwareBytes, na de scan had je moeten drukken op \"Verwijder geselecteerde\". We zullen dus zo wel even opnieuw moeten scannen, maar doe dat even volgens de onderstaande instructies.\n\n1. Download [url=http://oldtimer.geekstogo.com/TFC.exe][color=#FF0000][b]TFC[/b][/color][/url] en sla deze op je Bureaublad op.\nDubbelklik op [b]TFC.exe[/b] om het programma te openen.\nHet programma zal alle andere programma\'s sluiten, zorg er dus voor dat je al je werk hebt opgeslagen voordat je verder gaat.\n\nKlik op de knop [b]Start[/b] om het programma te starten.\nAls het programma klaar is, dan zal deze de computer opnieuw opstarten.\n\n2. Start MalwareBytes\' Anti-Malware\nZodra het programma gestart is, ga je naar het tabblad \"[b]Instellingen[/b]\".\n\n[list][*]Vink hier aan: \"[b]Sluit Internet Explorer tijdens verwijdering van malware[/b]\".\n[*]Ga naar het tabblad [b]\"Updates\"[/b] en [b]Update[/b] MBAM.\n[*]Ga daarna naar het tabblad \"[b]Scanner[/b]\", kies hier voor \"[b]Snelle Scan[/b]\".\n[*]Druk vervolgens op \"[b]Scannen[/b]\" om de scan te starten.\n[*]Het scannen kan een tijdje duren, dus wees geduldig.\n[*]Wanneer de scan voltooid is, klik op [b]OK[/b], daarna \"[b]Bekijk Resultaten[/b]\" om de resultaten te zien.\n[*]Zorg ervoor dat daar alles aangevinkt is, daarna klik op: \"[b]Verwijder geselecteerde[/b]\".\n[*]Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.[/list]\n\nIndien MBAM vraagt om een herstart, doe dit dan ook.\nHet log wordt automatisch bewaard door MalwareBytes\' Anti-Malware en kan je terugvinden door op de \"[b]Logs[/b]\" tab te klikken in het programma.\n\n3. Download [url=http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.msi][b]HijackThis Install[/b][/url] naar je bureaublad.\nDubbelklik op [b]HijackThisInstaller.exe[/b] om de installatie te starten.\n\nDubbelklik op het programma HijackThis en klik op de optie \"[b]Main Menu[/b]\".\nKies nu voor [b]Do a system scan and save a logfile[/b]. \n\n[i]Windows Vista en 7 gebruikers dienen rechts te klikken op HijackThis en te kiezen voor: [b]Uitvoeren als Administrator[/b].\nSoms zal de snelkoppeling van HijackThis niet werken, ga dan naar: C:\\Program Files\\Trend Micro\\HijackThis\\[/i]\n\nPlaats het log dat verschijnt van HijackThis samen met het log van MalwareBytes. :)\n\nDaniël
Link naar reactie
  • 0
De verbinding werd geherinitialiseerd\n\nDe verbinding met de server werd geherinitialiseerd tijdens het laden van de pagina.\n\n * Misschien is de website tijdelijk niet beschikbaar of overbelast. Probeer het \n over enkele ogenblikken opnieuw.\n\n * Controleer uw netwerkverbinding indien u geen enkele pagina kunt laden.\n\n * Verzeker u ervan dat Firefox toegang heeft tot het web als uw \n computer of netwerk is beveiligd door een firewall of proxyserver.\n\n\np.s. die url die je aangeeft stond in alle browsers als proxy ingevuld waardoor ik tijdelijk geen internet had (tot ik daarachter kwam en ze weggehaald heb).
Link naar reactie
  • 0
Start HijackThis en kies voor [B]Do a systemscan only[/B]\nVink vervolgens enkel deze regel aan:\n\n[b]R1 - HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Int ernet Settings,ProxyServer = http=127.0.0.1:63495[/b]\n\nSluit alle vensters, behalve die van HijackThis. Druk daarna op [B]Fix checked[/B].\n\n\n\nVerder ziet het er goed uit, heb je nog problemen?
Link naar reactie
  • 0
Tenminste, misschien te snel gejuicht... doe even het volgende:\n\nDownload ComboFix van één van deze locaties:\n\n[url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe][b]Link 1[/b][/url]\n[url=http://www.infospyware.net/antimalware/combofix/][b]Link 2[/b][/url]\n[b][color=#8000FF]\n* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op.[/color][/b]\n[url=http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden][b]>>Hier<<[/b][/url] kunt u lezen hoe u Combofix dient te gebruiken.\n\n1. Bij Windows XP gebruikers zal er indien nodig gevraagd worden om de \"[b]Recovery Console[/b]\" te installeren, sta dit dan toe (hiervoor is een actieve internet verbinding vereist)\n2. Schakel alle antivirus- en antispywareprogramma\'s uit, want anders kunnen ze misschien conflicteren met ComboFix.\n\n* ([url=http://www.bleepingcomputer.com/forums/topic114351.html][b][color=#8000FF]hier[/color][/b][/url] of [url=http://www.techsupportforum.com/security-center/virus-trojan-spyware-help/490111-how-disable-your-security-applications.html][b][color=#8000FF]hier[/color][/b][/url] staat een handleiding over hoe je deze kan uitschakelen:)\n\n3. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal.\n4. Dubbelklik op \"[b]Combofix.exe[/b]\" om de tool te starten.\n5. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de \'tool\' vastlopen.\n\n[b][color=#FF0000]* Noot !!! Als er een error wordt getoond met de melding \"Illegal operation attempted on a registery key that has been marked for deletion.\" herstart dan de computer.[/color][/b]\n\n6. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\\ComboFix.txt) in je volgende bericht.
Link naar reactie
  • 0
Hoi,\r\n\r\nIk zal wat meer informatie nodig hebben, ik zal graag de export van deze sleutel willen:\r\n[CODE]HKEY_LOCAL_MACHINE\\software\\Microsoft\\Windows\\CurrentVersion[/CODE]\r\n\r\nDit gaat niet passen in een forum bericht... zou je het ergens kunnen uploaden?\r\nEen alternatief zal zijn dat je het hier plaatst: [url]http://pastebin.com/[/url].\r\n\r\n\r\n[b]Export Maken[/b]\r\nOpen een nieuw kladblok bestand.\r\nKopieer de onderstaande code in het kladblok bestand.\r\n\r\n[code]@ECHO OFF\r\nECHO Even wachten....... niet wegklikken!\r\nIF EXIST C:\\RegExport.txt DEL /Q C:\\RegExport.txt\r\nREGEDIT /E C:\\RegExport.txt \"HKEY_LOCAL_MACHINE\\software\\Microsoft\\Windows\\CurrentVersion\"\r\nSTART NOTEPAD.EXE C:\\RegExport.txt[/code]\r\n\r\nGa naar [b]Bestand[/b] -> [b]Opslaan als..[/b]\r\n-- Bij Opslaan in kies je: [b]Bureaublad[/b]\r\n-- Bij Bestandsnaam zet je: [b]Fix.bat[/b]\r\n-- Bij Opslaan als type selecteer je: [b]Alle bestanden (*.*)[/b]\r\n\r\nDubbelklik [b]Fix.bat[/b] vanaf je bureaublad.\r\nEr zal een bestand openen. Dit bestand heb ik nodig.\r\n\r\nJe kan het bestand hier terug vinden: C:\\RegExport.txt
Link naar reactie
  • 0
Hoi KoningM,\n\nHet duurde even, het was dan ook een enorm log en ik ben even een paar dagen uit de roulatie geweest. In ieder geval kan ik melden dat ik niet echt zo zeer iets verdachts heb gevonden. De infectie lijkt weg te zijn.\n\nGa naar Start, Uitvoeren en typ hier in: [b]ComboFix /U[/b].\nComboFix zal netjes verwijderd worden.\n\nWaar ik minder over te spreken ben is dat je gebruik maakt van een illegale versie van NOD32. Vorige week kwam ik ook al een illegale NOD32 gebruiker tegen @ HijackThis.nl, daar heb ik het volgende tegen gezegd:\n\n[url]http://www.hijackthis.nl/forum/viewtopic.php?p=239334#p239334[/url]\n\nOverweeg een legale versie of anders een freeware scanner. :)\nBen je nog student? Dan kan je vaak flinke kortingen ontvangen.\n\nDaniël
Link naar reactie
  • 0
Hey, Thnx voor de hulp,\n\nJa illegaal, als ze de prijzen op een normale hoogte zouden brengen en niet werken met een soort abonnement waarbij je elk jaar opnieuw moet betalen dan ben ik bereid om een legale versie van NOD32 aan te schaffen, en is het nu voor een (eigen) bedrijf of iets dan zeg ik nog oke maar voor simpel thuisgebruik om een beetje te surfen is dat niet te doen :) maarja daar kunnen we beide nog uren over discussiëren :P\n \n\nMaar wat je zegt in het andere forum, dat het niet 100% veilig is kan wel kloppen, ik zal eens gaan kijken voor een freeware programma....nog een suggestie?\n\n\n[b]edit[/b] Tevens verstuurde ik dat bestand in vertrouwen en dus niet om vervolgens dingen eruit te pikken en die hier te verkondigen, dat kon/kan ook via PM eventjes als je dat toch wilt zeggen/aanhalen.
Link naar reactie
  • 0
[QUOTE=KoningM;557449]Maar wat je zegt in het andere forum, dat het niet 100% veilig is kan wel kloppen[/QUOTE]\r\nI rest my case. :cool:\r\n\r\nVoor freeware, misschien Avira iets? (het start pop-up vind ik zelf wel irritant) anders AVG, die heb ik persoonlijk heel wat jaren gebruikt. Nu gebruik ik Symantec Endpoint Protection van mijn werk.\r\n\r\nNorman en Kaspersky worden wel vaak aangeboden op Slim.nl, die hebben gunstige prijzen en vooral Kaspersky ben ik erg over te spreken.\r\n\r\n[QUOTE][b]edit[/b] Tevens verstuurde ik dat bestand in vertrouwen en dus niet om vervolgens dingen eruit te pikken en die hier te verkondigen, dat kon/kan ook via PM eventjes als je dat toch wilt zeggen/aanhalen.[/QUOTE]\r\nStond openbaar in jouw ComboFix-log dat je zojuist hebt weggehaald.\r\nOpenbare informatie. :)
Link naar reactie

Om een reactie te plaatsen, moet je eerst inloggen

Gast
Antwoord op deze vraag...

×   Geplakt als verrijkte tekst.   Herstel opmaak

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

  • Populaire leden

    Er is nog niemand die deze week reputatie heeft ontvangen.

  • Leden

    Geen leden om te tonen

×
×
  • Nieuwe aanmaken...