Ga naar inhoud
  • 0

Malware zogenaamd van Microsoft


Anoniem2

Vraag

Een vriendin werd gebeld door een Engels sprekende dame, die zei dat ze van Microsoft Security was. Gaf zelfs haar naam en een telefoonnummer. Zei dat de pc van mijn vriendin een virus had, en binnen 3 uur zou crashen. Dat kon voorkomen worden door een programma van € 169 te kopen. Mijn vriendin moest wat handelingen op de pc verrrichten, en zag toen dat de besturing overgenomen werd. Ze heeft gezegd dat ze het met haar man zou bespreken, en dan terug zou bellen. Ze heeft mij gebeld, en ik heb gezegd dat dat natuurlijk oplichters zijn. Gezegd dat ze de pc uit moest zetten, en stekker eruit. Ze heeft ook hun banken gewaarschuwd, tot nu toe gelukkig geen gekke dingen gebeurd.\r\nHeb nu hun pc, een Lenovo desktop met Windows 7 Home Premium, onder handen. Heb laten scannen door AVG Free, die vond niets. Daarna met mijn Panda Internet Security, die vond 20 geînfecteerde bestanden, maar waren allemaal cookies, dus misschien niet zo erg? Panda heeft ze verwijderd.\r\nWat kan ik nu het beste doen om er zeker van te zijn dat de pc schoon is? \r\nTerugzetten naar de fabriekssinstellingen?\r\nOf nog een antimalware programma draaien?\r\nIk lees hier ook vaak iets over HijackThis, maar dat heb ik nog nooit gebruikt.\r\nHoor graag jullie suggesties.
Link naar reactie
  • Antwoorden 44
  • Aangemaakt
  • Laatste reactie

Beste reacties voor deze vraag

Aanbevolen berichten

  • 0
[URL=\"http://sourceforge.net/projects/hjt/\"]Hier[/URL] kun je Hijackthis downloaden. Installeren hoeft niet. Als het opstart, klik dan op \'Do a system scan and save a log file\'. Graag verder niets doen behalve dat! Post die logfile hier op het forum. Graag niet de hele tekst kopiëren en plakken. \n\nMaar dat terzijde, heeft ze dat programma gekocht? Wat zijn precies de handelingen die ze heeft verricht. Waarschijnlijk heeft ze alleen een remote connection geaccepteerd en zitten er geen virussen op die pc.\nCookies zijn geen virussen en hoef je niet per sé op te schonen, maar als je het al wilt doen is dit een zeer goed moment. Gooi dan ook meteen ALLE cookies weg!\n\nVerander alle wachtwoorden die je hebt, te beginnen met die van de bank, NADAT je die scans hebt gedaan met MBAM, trendmicro en hijackthis. Kijk ook of er niet software op de pc staat die je niet kent, te beginnen bij het simpele \'uninstall a program\' van Windows zelf. Check daarna de volgende mappen:\nC:\\Program Files\nC:\\Program Files (x86)\nC:\\ProgramData\nC:\\Users\\[username]\\AppData (check vooral \'local\' en \'roaming\')\n\nAls je bepaalde mappen niet kan zien ga dan naar start, typ en selecteer folder options, ga naar \'view\' en zeg \'show hidden files and folders\'.\n\nMBAM site is (weer eens) niet zo duidelijk, download MBAM [URL=\"http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button\"]hier[/URL]. Accepteer de trial van de pro versie, dan kun je ook een \'flash scan\' doen (al draaiende programma\'s checken). Ga wel even naar opties en update voor het draaien en ga naar \'protection en deselecteer \'enable protection module\', anders dan start het standaard op en maakt je pc trager.\n\n-edit- Je kan het telefoonnummer en haar naam aangeven bij de politie, ook al is het waarschijnlijk nep. Maar je moet dit soort mensen zo weinig mogelijk kansen geven.
Link naar reactie
  • 0
Geweldig bedankt. Ga ik allemaal doen, wordt vervolgd.\nDenk dat ze inderdaad alleen een remote connection heeft toegestaan, las op opgelicht.nl een soortgelijk geval, waarbij je voor € 250 van het probleem afgeholpen kon worden. \nWachtwoorden zijn inmiddels veranderd, en de Rabobank en ABNAmro zullen, bij overschrijvingen van grotere bedragen, eerst telefonisch contact opnemen.\nMaar zekerheid voor alles natuurlijk.\nZal z.s.m. de HijackThis log posten (maar heb het de komende dagen vrij druk).
Link naar reactie
  • 0
Hoi,Jaromir HijackThis is niet geschikt voor Windows 7 Meld je aan bij [url]http://www.pcwebplus.nl/phpbb/[/url] Volg het Stappenplan [url]http://www.pcwebplus.nl/phpbb/viewtopic.php?f=206&t=3904[/url] En plaats in deze Sectie de logs [url]http://www.pcwebplus.nl/phpbb/viewforum.php?f=206&sid=41a3fef693715c6a77f7ec363de1d160[/url]
Link naar reactie
  • 0
[QUOTE=Argus;619719]Hoi,Jaromir HijackThis is niet geschikt voor Windows 7 Meld je aan bij [url]http://www.pcwebplus.nl/phpbb/[/url] Volg het Stappenplan [url]http://www.pcwebplus.nl/phpbb/viewtopic.php?f=206&t=3904[/url] En plaats in deze Sectie de logs [url]http://www.pcwebplus.nl/phpbb/viewforum.php?f=206&sid=41a3fef693715c6a77f7ec363de1d160[/url][/QUOTE]\n\nHet werkt hier anders prima op meerdere pc\'s. Waar heb je die informatie gevonden?
Link naar reactie
  • 0
Daar ben ik weer. Nog excuses voor de tikfout in de kopregel; Micrisoft is natuurlijk Microsoft.\r\nEn de Lenovo pc draait op Windows 7 Professional, niet op Home Premium.\r\nMijn vriendin heeft het programma niet gekocht, gezegd dat ze dat met haar man moest bespreken.\r\n\r\nBij Program Files, Program Files (x86) en C:\\Users\\[username])\\AppData vond ik niets bijzonders.\r\nMaar bij ProgramData vond ik AMMYY, gewijzigd op 8-8-2012, n dat is precies de datum dat mijn vriendin gebeld is. Via Google gevonden: AMMY is a popular config-zero free remote desktop software. It\'s used for system administration, webinars and instant remote dektop connection over the internet.\r\nOp de website van ammyy.com wordt gewaarschuwd tegen frauduleus gebruik, staat met name dat mensen zich uitgeven als Microsoft medewerkers. \r\nDus op deze manier zullen ze toegang tot de pc van mijn vriendin gekregen hebben.\r\n\r\nKan het programma echter niet vinden bij Opstarten (via msconfig). \r\nRevo Uninstaller ziet het ook niet.\r\nMaar het lijkt me wel raadzaam dat ik het verwijder, hoe kan ik dat het beste doen?\r\n\r\nHeb je (hele goede) tip uitgevoerd: \'Bij Remote Desktop klik op \'Don\'t allow connections to this computer\'. Klik ook op \'select users\' en verwijder daar iedereen.\'. \r\nBij \'users\' stond niets.\r\n\r\nHeb een hijackthis logfile. Lees van Modje dat ik die in een apart draadje moet posten? Met als naam:\r\nHijackthis Jaromir. Heb ik dat goed begrepen?\r\nEn wat bedoel je anders met: \'Post die logfile hier op het forum. Graag niet de hele tekst kopiëren en plakken.\' Hoe moet ik \'m dan posten?
Link naar reactie
  • 0
[QUOTE=Jaromir;619860]\nBij Program Files, Program Files (x86) en C:\\Users\\[username])\\AppData vond ik niets bijzonders.\nMaar bij ProgramData vond ik AMMYY, gewijzigd op 8-8-2012, n dat is precies de datum dat mijn vriendin gebeld is. Via Google gevonden: AMMY is a popular config-zero free remote desktop software. It\'s used for system administration, webinars and instant remote dektop connection over the internet.\nOp de website van ammyy.com wordt gewaarschuwd tegen frauduleus gebruik, staat met name dat mensen zich uitgeven als Microsoft medewerkers. \nDus op deze manier zullen ze toegang tot de pc van mijn vriendin gekregen hebben.\n\nKan het programma echter niet vinden bij Opstarten (via msconfig). \nRevo Uninstaller ziet het ook niet.\nMaar het lijkt me wel raadzaam dat ik het verwijder, hoe kan ik dat het beste doen?\n\nHeb een hijackthis logfile. Lees van Modje dat ik die in een apart draadje moet posten? Met als naam:\nHijackthis Jaromir. Heb ik dat goed begrepen?\nEn wat bedoel je anders met: \'Post die logfile hier op het forum. Graag niet de hele tekst kopiëren en plakken.\' Hoe moet ik \'m dan posten?[/QUOTE]\n\nVerwijder die folder AMMY onmiddellijk! Heb je al MBAM laten draaien? Zo nee, doet dat dan nu.\nDownload ook het programma [URL=\"http://www.bleepingcomputer.com/download/combofix/dl/12/\"]combofix[/URL]. Volg de instructies die [URL=\"http://www.bleepingcomputer.com/combofix/how-to-use-combofix\"]hier[/URL] staan. Als je geen Engels kan, is [URL=\"http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden\"]hier[/URL] de Nederlandse handleiding.\nHaal voor dat je het programma start je internet kabel uit je pc en/of zet je wireless uit. Zet ook tijdelijk je virusscanner uit.\n\nDie hijackthis log hoeft nu niet in een aparte post. Wat ik bedoel is ga naar snel reageren en dan naar meer opties. Kijk dan naar overige opties en beheer bijlagen. Upload daar de logfile van zowel hijackthis als combofix.\nVergeet als je klaar bent niet combofix te [URL=\"http://www.bleepingcomputer.com/combofix/how-to-use-combofix#uninstall\"]deïnstalleren[/URL].\n\n[URL=\"http://answers.microsoft.com/en-us/windows/forum/windows_vista-security/is-ammyy-administrators-a-legimitate-company/8c4cede9-bc9f-49d8-92ef-bdbd3b65aacf\"]Hier[/URL] kun je precies vinden wat nog verder te doen.
Link naar reactie
  • 0
[QUOTE=Anacho;619866]@ Jeroentje,even ter info; Argus is een, bij mijn beste weten, een gerenommeerd malware bestrijder op diverse fora die daarin zijn gespecialiseerd. Dus ik denk dat hij wel weet waar hij het over heeft.[/QUOTE]\n\nOw, oeps. Dank voor de info dan maar :p.\nIk weet dat het niet goed werkt met x64 en dat je dan de O23 regels met een @tje moet negeren, maar voor de rest, prima naar mijn mening.
Link naar reactie
  • 0
@Jeroentje: Engels is voor mij geen probleem hoor.\r\nHeb MBAM en TrendMicro gedraaid: Geen kwaadaardige objecten gedetecteerd / No threats found.\r\n\r\nNu ik bij bij Remote Desktop geklikt heb op \'Don\'t allow connections to this computer\' kan niemand toch verbinding met de pc maken? Voor alle zekerheid zet ik steeds ook de draadloze verbinding uit.\r\n\r\nAMMYY laat zich niet verwijderen. Als ik de hele map wil verwijderen krijg ik de melding dat dat niet kan omdat het programma of een bestand in de map in een ander programma is geopend (maar waar dan kan ik niet zien). \r\nAls ik de map open zie ik 3 bestanden: hr bestand, hr3 bestand en settings3.bin. Als ik die verwijder (ook meteen uit de prullebak) blijven de eerste twee weg, maar settings3.bin floept steeds binnen een halve minuut weer terug.\r\n\r\nAl bijlage de logs van Hijackthis en ComboFix. \r\n\r\n@Argus: ga nu ook nog jouw pc.webplus suggestie opvolgen.\r\n\r\nHoor graag of jullie iets vreemds in m\'n logs zien. AMMYY is gewoon een legaal programma, maar is nu frauduleus gebruikt.
Link naar reactie
  • 0
@Argus: heb me aangemeld bij pcwebplus, je link naar het berichtenvenster gevolgd, ingelogd. DDS gedraaid. En het ligt ongetwijfeld aan mij, maar ik kan niet vinden hoe ik de logs moet plaatsen. (De attach,txt ook? Die was ineens weg, en die moet ik dan ook nog zippen?) Ik dacht dat ik wel wat van computers afwist, maar er gaat een hele nieuwe wereld voor mij open.
Link naar reactie
  • 0
Als je geen Google toolbar wil/hebt haal dan de volgende entry\'s weg:\r\nO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\\Program Files (x86)\\Google\\Google Toolbar\\GoogleToolbar_32.dll\r\nO3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\\Program Files (x86)\\Google\\Google Toolbar\\GoogleToolbar_32.dll\r\nO4 - HKCU\\..\\Run: [swg] \"C:\\Program Files (x86)\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe\"\r\n\r\nIk kan zien dat je Panda internet security hebt, maar ook de avg secure search. Als je die niet hebt/wil, haal dan het volgende weg:\r\nO4 - HKLM\\..\\Run: [ROC_roc_ssl_v12] \"C:\\Program Files (x86)\\AVG Secure Search\\ROC_roc_ssl_v12.exe\" / /PROMPT /CMPID=roc_ssl_v12\r\n\r\nDeze zijn nasty en moeten weg, vooral de eerste(!):\r\nO23 - Service: Ammyy Admin (AmmyyAdmin) - Unknown owner - C:\\Users\\Van der Linde\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files\\Content.IE5\\MUIM77KZ\\AA_v3.exe\r\nAls je weet wat de volgende is en je gebruikt het, laat het dan staan. Zo niet haal deze ook weg:\r\nO4 - HKCU\\..\\Run: [LTT] C:\\Program Files\\PC-Doctor\\EnableToolbarW32.exe\r\n\r\nCombofix zegt dat hij deze heeft verwijderd:\r\nc:\\programdata\\AMMYY\r\nc:\\programdata\\AMMYY\\settings3.bin\r\nc:\\programdata\\Roaming\r\nQ:\\Autorun.inf\r\n\r\nZoals je zegt zie je ze nog staan. Haal eerst alles weg met mijn aanwijzingen in Hijackthis. Dit doe je door alleen vinkjes te zetten bij de regels die je wilt weghalen. Zeg daarna: Fix Checked. Laat daarna combofix nog een keer draaien en post die log.
Link naar reactie
  • 0
Draai de standaard in Windows ingebouwde Disk Cleanup en gooi zo alle TEMP files en TEMP internet files weg. Als je wilt de rest ook.\nOpen c:\\ en ga simpel zoeken op de volgende woorden:\nAMMY\nammy\n\nGooi alles van ammy weg. Zo nodig kan je [URL=\"http://lockhunter.com/\"]lockhunter[/URL] gebruiken om wat je vind geforceerd te verwijderen
Link naar reactie
  • 0
Gedaan.\r\nDe Google Toolbar wil ik wel houden.\r\n\r\nMijn vriend gebruikt AVG Free. Ik heb tijdelijk mijn Panda erop gezet om een scan te laten doen. Nu er weer afgehaald, ga AVG Free terugzetten (hoewel Norton Internet Security wellicht aan te bevelen is).\r\n\r\nPC-doctor is met de pc meegeleverd, dus dat laat ik maar staan.\r\nMet Hijackthis O23 - Service: Ammyy Admin aangevinkt en op Fix checked geklikt, is verwijderd.\r\n\r\nMet Schijfopruiming geprobeerd de Temp Internet Files te verwijderen, maar die bleven staan. Met CCleaner geprobeerd, en toen waren ze wel weg. Bij het opnieuw starten van CCLeaner gaf Analyseren tenminste 0 bytes aan.\r\n\r\nBijgaand de ComboFix log file (waar ik nog wel AMMYY zie staan in het pad Temp Internet Files, kan dat?)
Link naar reactie
  • 0
[QUOTE=Jaromir;619938]\r\nBijgaand de ComboFix log file (waar ik nog wel AMMYY zie staan in het pad Temp Internet Files, kan dat?)[/QUOTE]\r\n\r\nJa dat kan, want ammyy is op zichzelf geen kwaadaardige software.\r\n\r\nVolg nu graag de stappen die [URL=\"http://discussions.virtualdr.com/showthread.php?250198-RESOLVED-Slow-PC-and-possible-AMMYY-infection\"]hier[/URL] worden beschreven. Ik denk ook dat dit zo\'n beetje is waar ik moet zeggen, ik laat het aan de experts op dit gebied over. Je hebt nu het ergste verwijderd, een remote connectie zou nu niet meer mogelijk moeten zijn. Verder gaan programma\'s gebruikt worden waar ik nog nooit mee heb gewerkt en het lijkt mij geen goed idee je hierin te adviseren. Je hebt je aangemeld bij pcwebplus, laat je daar verder adviseren. Zeg wat je tot nu toe hebt gedaan en maak een verwijzing naar dit forumtopic. Zij weten hoe nu verder.\r\nAf en toe een statusupdate zou wel prettig zijn.
Link naar reactie
  • 0
Allereerst nog hartelijk dank voor alle hulp.\r\nIs het niet zo dat de pc nu wel schoon is? Is met de scans geen schadelijke software aangetroffen, geen keylogger of zo. En doordat jij me remote control uit hebt laten schakelen, kunnen die criminelen ook niet meer inloggen.\r\nZou het nog wat uitmaken als ik de pc nog terug zet naar de fabrieksinstellingen, met de herstelpartitie op de harde schijf?\r\n\r\nZal ook nog wel verder gaan op pcwebhulp hoor.
Link naar reactie
  • 0
[QUOTE=Jaromir;619956]Allereerst nog hartelijk dank voor alle hulp.\r\nIs het niet zo dat de pc nu wel schoon is? Is met de scans geen schadelijke software aangetroffen, geen keylogger of zo. En doordat jij me remote control uit hebt laten schakelen, kunnen die criminelen ook niet meer inloggen.\r\nZou het nog wat uitmaken als ik de pc nog terug zet naar de fabrieksinstellingen, met de herstelpartitie op de harde schijf?\r\n\r\nZal ook nog wel verder gaan op pcwebhulp hoor.[/QUOTE]\r\n\r\nNog niet alles is van je pc af. Daarvoor zijn programma\'s nodig waar ik niet van af weet, maar je zegt nu terug naar fabrieksinstellingen, is het niet makkelijker om gewoon Windows opnieuw te installeren? Dan is alles weg. Om daar zeker van te zijn kun je die harde schijf wissen met [URL=\"http://www.dban.org/\"]DBAN[/URL]. Zero fill met 1 pass is dan genoeg. Ik ging er vanuit dat je al je bestanden wilde houden, maar als je het hebt over terug naar fabrieksinstellingen...
Link naar reactie

Om een reactie te plaatsen, moet je eerst inloggen

Gast
Antwoord op deze vraag...

×   Geplakt als verrijkte tekst.   Herstel opmaak

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in


×
×
  • Nieuwe aanmaken...