Windows 10 geblokkerd door worm-opgelost-

[Sony]

Abbs schreef in een ander topic: https://www.seniorennet.be/forum/viewtopic.php?t=201330

Zo zijn ze niet te lezen upload ze via "Filedropper"
Klik op:http://www.filedropper.com/.
Klik op die site op

 Verkenner opent > klik links boven op Bureaublad > dubbel klik rechts FRST.txt.
Kopieer nu de link die nu onder "Link To Share This File With Anyone" staat en plak die in je volgende antwoord.
Doe dat ook met Addition.txt.

Ik stel voor dat je je berichten terug opent en vanboven rechts op het X teken klikt
dan kunt je die verwijderen.
Gebruik daarna Filedropper om de twee bestanden te uploaden
en plaats de url's hier tav abbs.

Sony

[Versaille]

http://www.filedropper.com/frst_8
http://www.filedropper.com/addition_5

[abbs]

Hallo,

Eerst het volgende is de melding die je op je Acer krijgt al weg?
Zo nee doe het volgende;

Doe op die pc het volgende: klik met je rechtermuis knop op Start > Klik op Taakbeheer:



Klik daar onder "Toepassingen" op de naam van je Browser > Klik dan rechts onder op Beëindigen en sluit Taakbeheer.
Het is echter belangrijk dat als je het browserproces beëindigt, je eerder gesloten sites niet opnieuw opent als de browser erom  vraagt wanneer je de browser opnieuw op start.

[abbs]

Hallo,

Ik las dat Defender een trojan had gevonden die in een Torrent zat kijk uit met Torrents download vele zijn heel gevaarlijk.
Ook was de scam melding wel mooi Uitleg.

Ik zie dat de tool Farbar Recovery Scan Tool (FRST) in je Downloads map staat sleep FRST naar je bureaublad heel belangrijk!

Lees eerst de handleiding en voer daarna de fix uit Handleiding Fix

Note: Dit script is speciaal bedoeld voor deze computer, gebruik dit dan ook niet op andere computers met een gelijkaardig probleem.

Klik Windows knop plus R tegelijk in.
"Uitvoeren" opent vul daar Notepad in en klik daarna op "OK", Kladblok opent.
Kopieer onderstaande code en plak dat in "Kladblok"

Code: Selecteer alles

start
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restrictie <==== AANDACHT
SearchScopes: HKU\S-1-5-21-3115586980-1711412500-714775572-1001 -> DefaultScope {70F77A15-A182-4F94-8BF1-0151A9FE8C4A} URL =
BHO: Geen Naam -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Geen bestand
U1 aswbdisk; geen ImagePath
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Geen bestand
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Geen bestand
Hosts:
RemoveProxy:
EmptyTemp:
Reboot:
end

Ga naar Bestand - Opslaan als.
Kies als locatie bureaublad.
Bij "Bestandsnaam" zet je:fixlist.txt
Bij "Opslaan als type" selecteer je: Alle bestanden.

Als het goed is staat er nu een text bestand op je bureaublad?

Start de Farbar Recovery Scan Tool.
Als het programma is geopend klik Yes (Ja) bij de disclaimer. (indien nodig)
Druk op de Fix knop.
Er zal u een logbestand aangemaakt worden (fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
Kopieer en plak de inhoud van de logbestanden in je het volgende bericht.(als de inhoud te groot is voor één bericht plaats het in meerdere berichten)

[Versaille]

@abbs,

Ik heb geen meldingen meer op de Acer, dus moet ik niets dan doen in taakbeheer.
Ik ga nu alles over die fix eens goed lezen en dan er aan beginnen.
FRST al naar bureaublad gezet.
Al dank voor de uitgebreide uitleg.
Versaille

[Versaille]

tav abbs,

Fix resultaat van Farbar Recovery Scan Tool (x64) Versie: 26-12-2017
Gestart door andre (30-12-2017 20:05:19) Run:1
Gestart vanaf C:\Users\andre\Desktop
Geladen Profielen: andre (Beschikbare Profielen: andre)
Boot Modus: Normal
==============================================fixlist inhoud:
*****************
start
 CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restrictie <==== AANDACHT
 SearchScopes: HKU\S-1-5-21-3115586980-1711412500-714775572-1001 -> DefaultScope {70F77A15-A182-4F94-8BF1-0151A9FE8C4A} URL =
 BHO: Geen Naam -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Geen bestand
 U1 aswbdisk; geen ImagePath
 ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Geen bestand
 ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Geen bestand
 Hosts:
 RemoveProxy:
 EmptyTemp:
 Reboot:
 end
*****************Herstelpunt is succesvol gemaakt.
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => is succesvol verwijderd
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => sleutel kon niet worden verwijderd, sleutel kan beschermd zijn
"HKU\S-1-5-21-3115586980-1711412500-714775572-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => is succesvol verwijderd
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B4F3A835-0E21-4959-BA22-42B3008E02FF}" => is succesvol verwijderd
"HKLM\Software\Classes\CLSID\{B4F3A835-0E21-4959-BA22-42B3008E02FF}" => is succesvol verwijderd
"HKLM\System\CurrentControlSet\Services\aswbdisk" => is succesvol verwijderd
aswbdisk => dienst is succesvol verwijderd
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\00asw" => is succesvol verwijderd
HKLM\Software\Classes\CLSID\{472083B0-C522-11CF-8763-00608CC02F24} => sleutel niet gevonden
"HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\igfxcui" => is succesvol verwijderd
HKLM\Software\Classes\CLSID\{3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => sleutel niet gevonden
C:\Windows\System32\Drivers\etc\hosts => is succesvol verplaatst
Hosts met succes hersteld.========= RemoveProxy: ========="HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => is succesvol verwijderd
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => is succesvol verwijderd
"HKU\S-1-5-21-3115586980-1711412500-714775572-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => is succesvol verwijderd
"HKU\S-1-5-21-3115586980-1711412500-714775572-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => is succesvol verwijderd
========= Eind van RemoveProxy: =========
=========== EmptyTemp: ==========BITS transfer queue => 7364608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 30897974 B
Java, Flash, Steam htmlcache => 1288 B
Windows/system/drivers => 162186 B
Edge => 13507 B
Chrome => 0 B
Firefox => 11100798 B
Opera => 0 BTemp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 2912 B
andre => 100195657 BRecycleBin => 0 B
EmptyTemp: => 142.8 MB tijdelijke gegevens verwijderd.================================Resultaat van geplande bestanden te verplaatsen (Boot Modus: Normal) (Datum&Tijd: 30-12-2017 20:06:47)
Resultaat van geplande sleutels te verwijderen na herstart:"HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" => is succesvol verwijderd==== Eind van Fixlog 20:06:47 ====

[abbs]

@abbs,

Ik heb geen meldingen meer op de Acer, dus moet ik niets dan doen in taakbeheer.

Nee dat hoeft dan niet meer (mocht het ooit nog eens gebeuren wet je hoe je scam kan stoppen).
De fix is goed uitgevoerd, als er verder geen problemen meer zijn mag je de laatste stap doen:

Met het onderstaande tooltje ruim je allegebruikte tools op: Delfix
- Alternatieve downloadlink by Xplode naar het bureaublad. Dubbelklik op Delfix.exe om de tool te starten.Zet een vinkje  voor hetvolgende item:

• Remove disinfection tools

 Klik nu op "Run" en wacht geduldig tot detool gereed is.Wanneer de tool gereed is wordt er een logbestand aangemaakt.Dit hoeft je echter niet te plaatsen.Start je pc hierna opnieuw op, mochten er nog programma's oflog bestanden aanwezig zijn mag je die handmatig verwijderen.Maak ook een nieuw herstelpunt Uitleg.

[Versaille]

Het is gebeurd.
Alles is OK
Bedankt abbs en Sony voor jullie grote hulp !!

Groetjes,
Versaille

[abbs]

Hallo,

Bedankt en graag gedaan

Alvast een fijne Jaarwisseling.

[Sony]

Versaille,

eveneens bedankt en graag gedaan en veel succes in 2018.

Sony

[Versaille]

Beste Sony en abbs,

Ik heb weer hetzelfde probleem.
Ik heb weer die bewuste worm binnengekregen (of was hij niet weg?)
Het is weer gebeurd tijdens het downloaden van een YouTube filmpje. Ik heb dit voorheen nog gedaan zonder problemen...
Een YouTube filmpje downloaden is toch niet zo speciaal (denk ik)
Misschien ligt het aan het progje dat ik hiervoor gebruik...

Ik heb dus in Taakbeheer IE11 gestopt.
Laptop terug opgestart en gescand met Defender en Malwarebytes. Niets gevonden.
Ik heb terug FRST op het bureaublad gezet en met de scan 2 files gekregen die ik nu upload.
Willen jullie zo vriendelijk zijn dat nog eens te bezien en vooral goede raad geven wat ik verkeerd gedaan heb.

http://www.filedropper.com/frst_2

http://www.filedropper.com/addition_6

[abbs]

Hallo,

Het downloaden en gebruik maken van en converter brengt zeker wel gevaren mee.
Via converters kan ze zeker malware/adware binnen krijgen en de problemen die je nu ondervind.
Al die gratis oplossingen om van YouTube te downloaden brengt zeker gevaren mee.


Stap 1.
Lees eerst de handleiding en voer daarna de fix uit Handleiding Fix

Note: Dit script is speciaal bedoeld voor deze computer, gebruik dit dan ook niet op andere computers met een gelijkaardig probleem.

Klik Windows knop plus R tegelijk in.
"Uitvoeren" opent vul daar Notepad in en klik daarna op "OK", Kladblok opent.
Kopieer onderstaande code en plak dat in "Kladblok"

Code: Selecteer alles

start
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
Hosts:
EmptyTemp:
Reboot:
end

Ga naar Bestand - Opslaan als.
Kies als locatie bureaublad.
Bij "Bestandsnaam" zet je:fixlist.txt
Bij "Opslaan als type" selecteer je: Alle bestanden.

Als het goed is staat er nu een text bestand op je bureaublad?

Start de Farbar Recovery Scan Tool.
Als het programma is geopend klik Yes (Ja) bij de disclaimer. (indien nodig)
Druk op de Fix knop.
Er zal u een logbestand aangemaakt worden (fixlog.txt) op dezelfde plaats vanwaar de 'tool' is gestart.
Kopieer en plak de inhoud van de logbestanden in je het volgende bericht.(als de inhoud te groot is voor één bericht plaats het in meerdere berichten)


Stap 2.
Download de ESET Online Scanner naar je bureaublad.

Eset Online Scanner uitvoeren.

• Dubbelklik op "esetonlinescanner_enu.exe", "Terms of use" opent vink daar "Download latest version of ESET Online Scanner" aan.
• Klik vervolgens op de knop "Accept", wanneer u een melding krijgt van het Gebruikersaccountbeheer staat u dit toe.
• "Computer scan settings" opent, vink daar "Enable detection of potentially unwanted applications" aan.
• Klik op "Advanced settings", zorg dat daar de volgende items zijn aangevinkt.
  - Enable detection of potentially unsafe applications
  - Enable detection of suspicious applications
  - Scan archives
  - Enable Anti-Stealth technology
  - Clean threats automatically
  
• Let op: Schakel nu eerst je eigen virusscanner uit, het scannen met Eset gaat dan sneller. ( zet deze na de scan weer aan)
• Klik op "Scan", deze scan kan geruime tijd in beslag nemen en gebruik bij voorkeur de computer niet voor andere bezigheden tijdens de scan.

Na het scannen:

• Als er niks word gevonden klik op "Finish", het scherm "Thank you for trying Eset Online Scanner" mag je ook sluiten.
• Zijn er bedreigingen gevonden klik dan op "Show list of results", klik op "Save to text file.." geef als Bestandsnaam "Eset.txt" en plaats het op je bureaublad.
• Klik vervolgens rechts boven op "X" (de bedreigingen zijn dan verwijderd), het scherm "Thank you for trying Eset Online Scanner" mag je ook sluiten.
• Kopieer en plak de inhoud van het logbestand met de naam "Eset.txt" in het volgende bericht.
• Je mag het log bestand ook uploaden.

[Versaille]

fixlog:

Fix resultaat van Farbar Recovery Scan Tool (x64) Versie: 02.01.2018
Gestart door andre (12-01-2018 15:57:58) Run:1
Gestart vanaf C:\Users\andre\Desktop
Geladen Profielen: andre (Beschikbare Profielen: andre)
Boot Modus: Normal
==============================================fixlist inhoud:
*****************
start
 CreateRestorePoint:
 HKLM-x32\...\Run: [] => [X]
 Hosts:
 EmptyTemp:
 Reboot:
 end
*****************Herstelpunt is succesvol gemaakt.
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => is succesvol verwijderd
C:\Windows\System32\Drivers\etc\hosts => is succesvol verplaatst
Hosts met succes hersteld.=========== EmptyTemp: ==========BITS transfer queue => 7364608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 35181457 B
Java, Flash, Steam htmlcache => 1302 B
Windows/system/drivers => 150503 B
Edge => 19968 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 BTemp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 2916 B
andre => 127599137 BRecycleBin => 0 B
EmptyTemp: => 162.4 MB tijdelijke gegevens verwijderd.================================
Het systeem moest herstart worden.==== Eind van Fixlog 15:58:41 ====

[Versaille]

Eset.txt:

C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\painter.ini Win32/HackTool.Crack.EM potentially unsafe application cleaned by deleting
C:\Users\andre\Downloads\Speccy\spsetup131.exe Win32/Bundled.Toolbar.Google.D potentially unsafe application cleaned by deleting
D:\@Data\downloads\FileViewPro 2013\FileViewPro_2013.exe a variant of Win32/Bundled.Toolbar.Ask potentially unsafe application,a variant of Win32/Bundled.Toolbar.Ask.G potentially unsafe application cleaned by deleting
D:\@Data\downloads\HIRENS BOOT CD\HirensBootCD11.rar a variant of Win32/RemoteAdmin.RemoteExec.AA potentially unsafe application,Win32/PSWTool.KonBoot.A potentially unsafe application deleted
D:\@Data\downloads\IPSCAN\ipscan.exe a variant of Win32/NetTool.EusingIPScanner.A potentially unsafe application cleaned by deleting
D:\@Data\downloads\Malwarebytes\Malwarebytes Anti-Malware Corporate 1.80.1.1011 Nederlands\Keygen.rar a variant of Win32/Keygen.RM potentially unsafe application deleted
D:\@Data\downloads\Malwarebytes\Malwarebytes Anti-Malware Corporate 1.80.1.1011 Nederlands\Keygen en serie nummers\Keygen.rar a variant of Win32/Keygen.RM potentially unsafe application deleted
D:\@Data\downloads\MP3JAM\MP3jamSetup.exe Win32/Somoto.E potentially unwanted application,a variant of Win32/Somoto.V potentially unwanted application cleaned by deleting
D:\@Data\downloads\Muziek naar mp3\switchsetup.exe a variant of Win32/Bundled.Toolbar.Google.C potentially unsafe application deleted
D:\@Data\downloads\OpenWith\OpenWith.org_Installer.exe a variant of MSIL/UwS.PCMightyMax.A application cleaned by deleting
D:\@Data\downloads\ROXIO\Roxio Creator Nxt Professional 3 16.0.50.1 NL\04261015PTRC51016240\Roxio Creator Nxt Professional 3 16.0.50.1 NL\Crack\Crack.iso a variant of Win32/Keygen.PZ potentially unsafe application deleted
D:\@Data\downloads\Specci\spsetup116.exe Win32/Bundled.Toolbar.Google.E potentially unsafe application cleaned by deleting
D:\@Data\downloads\Specci\spsetup116.exe.2gab9vr.partial Win32/Bundled.Toolbar.Google.E potentially unsafe application cleaned by deleting
D:\@Data\downloads\Specci\spsetup128.exe Win32/Bundled.Toolbar.Google.D potentially unsafe application cleaned by deleting
D:\@Data\downloads\Spotydl\spotydl_setup.exe Win32/Somoto.E potentially unwanted application,a variant of Win32/Somoto.V potentially unwanted application cleaned by deleting
D:\@Data\downloads\Switch convertor\switchsetup.exe a variant of Win32/Bundled.Toolbar.Google.C potentially unsafe application deleted


Defender terug actief.

Versaille

[abbs]

Hallo,

Als je het logje van Eset doorleest denk ik zelf dat je weet hoe je aan deze besmetting steeds komt.
Zo nee dan leg ik het voor je uit:
1. Kijk maar naar je Downloads map daar zie je dat in vele .exe meeliftend malware/adware zit.
Dus de vraag of downloaden (ook via YouTube) gevaarlijk is "Ja".
2. Dan het gebruik van HackTools , Keygen is vragen om moeilijk heden deze tools zorgen voor open
deuren zodat Malware een vrije toegang heeft tot je computer.

Dus conclusie zolang jij dit gebruikt of nog zo download blijf je problemen houden.
Hier kan geen virusscanner wat aan doen want je geeft zelf toestemming.