In Behandeling waarschijnlijk gehijacked :S

[wangusto]

Goedeavond dames en heren,

waarschijnlijk ben ik op een phisingsite gekomen (wat mij zeer onwaarschijnlijk lijkt) en nu ben ik bang dat mijn laptop geinfecteerd is.

Zouden jullie een keer hier grondig naar kunnen kijken.

Mvg,

 

[Abraham54]

Download

Farbar Recovery Scan Tool 32 of 64 bit van één van de onderstaande links
Farbar Recovery Scan Tool 32 bit (x86)
Farbar Recovery Scan Tool 64 bit (x64)
Downloadlokatie: Dit programma absoluut naar het bureaublad downloaden dan wel daar naar toe verplaatsen!
Opmerkingen: Alle openstaande programma's en webpagina's dienen afgesloten te zijn.

Antivirusprogramma en actieve malwarescanners dienen al voor je FRST.exe start gedeaktiveert zijn!
Hier en hier vindt je gegevens hoe antivirusprogramma's en spywarescanners te deaktiveren.

FRST opstarten:

• Windows 2000 en Windows XP: dubbelklik op FRST.exe.
• Windows Vista, Windows 7, Windows 8/8.1 en Windows 10: via rechtsklik op FRST.exe of FRST64.exe en kies voor "Als Administrator uitvoeren".

FRST start op:

• Wanneer het programma is geopend klik dan op de knop Yes bij de disclaimer.
• Druk vervolgens op de Scan knop.
• Aansluitend zal een logbestand - FRST.txt en Addition-txt aangemaakt worden en op het bureaublad opgeslagen worden.

.

Kijk hier: Hoe een bijlage toevoegen?

 

[wangusto]

Bij deze meneer

 

[Abraham54]

Ik vind vermeldingen over Bitcoin?
Bezit jij een Bitcoin Wallet?

 

[wangusto]

ik heb een ledger nano wallet ja dit is een off line wallet voor meerdere crypto currencies. Wat voor bitcoin wallet is het. De enige die ik heb is een ledger nano. Moch ik op een of andere manier een andere bitcoin wallet hebben dan is dit waarschijnlijk de boosdoener

 

[Abraham54]

Het betreft Ledger Wallet Ethereum en is een app in Google Chrome die op zijn beurt een taakbalk in Edge heeft gezet.

Ik denk dat dit uitgaande van jouw mededeling allemaal klopt.

 

[wangusto]

Klopt dit is in orde

 

[Abraham54]

Waarschuwing: onderstaande bewerking is enkel voor deze computer bedoeld, het toepassen hiervan in een andere computer kan tot schade in Windows leiden.


We gaan

Farbar Recovery Scan Tool (FRST.exe) opnieuw gebruiken.

Open een nieuw kladblok (of anders: notepad) bestand, via "Start\Alle programma’s\Bureau-accessoires\Kladblok (of Notepad)".
Kopieer en plak de tekst in het code-venster vanaf het woord Code in het lege kladblokvenster.

start
CreateRestorePoint:

CustomCLSID: HKU\S-1-5-21-410426133-4130955053-939906265-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\wengu\AppData\Local\Microsoft\OneDrive\17.3.7131.1115\amd64\FileSyncShell64.dll => Geen bestand
CustomCLSID: HKU\S-1-5-21-410426133-4130955053-939906265-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\wengu\AppData\Local\Microsoft\OneDrive\17.3.7131.1115\amd64\FileSyncShell64.dll => Geen bestand
CustomCLSID: HKU\S-1-5-21-410426133-4130955053-939906265-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\wengu\AppData\Local\Microsoft\OneDrive\17.3.7131.1115\amd64\FileSyncShell64.dll => Geen bestand
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Geen bestand
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Geen bestand
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Geen bestand
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Geen bestand
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Geen bestand
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Geen bestand
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Geen bestand
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Geen bestand
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Geen bestand
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Geen bestand
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Geen bestand
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Geen bestand
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Geen bestand
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Geen bestand
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Geen bestand
Task: {10CE3653-F3DC-4509-AA4A-91078068B61A} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\WINDOWS\explorer.exe /NOUACCHECK

EmptyTemp:
CloseProcesses:
cmd: ipconfig /flushdns
cmd: netsh winsock reset
end

Sla nu dit kladblokbestand in de dezelfde locatie waar ook FRST.exe aanwezig is op als Fixlist.txt

 

[wangusto]

Ok heb ik gedaan. Moet ik hem nu scannen oid?

 

[Abraham54]

Ik wil graag eerst het fixlog zien!

 

[Abraham54]

Ik zie dat weer eens niet alles meegekopieerd is geworden - dit was er uit gevallen:

Farbar Recovery Scan Tool (FRST.exe) met de fixlist.txt gebruiken

• Windows Vista, Windows 7, Windows 8 en Windows 10: via rechtsklik op FRST.exe en kies voor "Als Administrator uitvoeren".
• Als het programma wordt gestart, klik dan op Ja in de popup.
• Druk op de Fix knop.
• Na de fix wordt een logbestand - Fixlog.txt - in dezelfde locatie aangemaakt van waaruit FRST.exe is gestart.
• Post de inhoud van dit logbestand in jouw volgende bericht.

 

[wangusto]

bij deze

 

[Abraham54]

Malwarebytes MBAM is vernieuwd!


Download

MalwareBytes Anti-Malware.

• Windows 2000 en Windows XP: dubbelklik op mbam-setup.exe.
• Windows Vista, Windows 7, Windows 8: en Windows 10: via rechtsklik op mbam-setup.exe en kies voor "Als Administrator uitvoeren".

• Klik in het menu van Malwarebytes ANTI-MALWARE op Instellingen" en daar op "Detectie en Bescherming" en zet vervolgens een vinkje bij "Scan naar rootkits".

• Klik vervolgens op de knop Scan nu om een bedreigingsscan uit te voeren.
• Er zal nu gecontroleerd worden op beschikbare updates, klik hier op "Nu bijwerken als er beschikbare updates zijn.
• De scan wordt nu automatisch gestart,wanneer de scan gereed is en er bedreigingen zijn gedetecteerd krijgt u hier een overzicht van.

• Wanneer er geen bedreigingen zijn gedetecteerd klikt u na de scan op Bekijk gedetailleerd logboek.
• Klik vervolgens op de knop Exporteer en kies de optie "Tekstbestand (*.txt)".
• Geef vervolgens een bestandsnaam op voor het opslaan van het logbestand, bijvoorbeeld MBAM Scanlog.
• Kies bijvoorbeeld het bureaublad als opslaglocatie en klik vervolgens op de knop Opslaan.

• Wanneer er wel bedreigingen zijn gedetecteerd klikt u na de scan op Acties toepassen.
• Bij de melding om de computer opnieuw op te starten klikt u op Ja / Yes.
• Open na de herstart MalwareBytes Anti-Malware en klik bovenaan op Historie en selecteer Programmalogboeken.
• Klik op de nieuwste Scan Log.
• Klik op "Exporteer" en kies de optie "Tekstbestand (*.txt)".
  
  
• Geef vervolgens een bestandsnaam op voor het opslaan van het logbestand, bijvoorbeeld MBAM Scanlog.
• Kies bijvoorbeeld het bureaublad als opslaglocatie en klik vervolgens op de knop Opslaan.
  
  

MBAM-Log posten:

• Kopieer nu de inhoud van het zojuist opgeslagen log en plak dit in uw nieuwe antwoord erbij.

Indien jij MBAM meteen als gratis versie wil gebruiken in plaatst van de veertien dagen durende demo met al zijn toeters en bellen te gebruiken, kijk dan hier

 

[wangusto]

dit zit volgens mij er niet meer in maar ik ben hem nu wel aan het scannen

 

[wangusto]

Klik in het menu van Malwarebytes ANTI-MALWARE op Instellingen" en daar op "Detectie en Bescherming" en zet vervolgens een vinkje bij "Scan naar rootkits".

dit

 

[wangusto]

Malwarebytes
www.malwarebytes.com

-Logboekdetails-
Scandatum: 03-07-18
Scantijd: 21:34
Logbestand: 1823fcf2-7ef8-11e8-b3a0-201a06e65eea.json
Beheerder: Ja

-Software-informatie-
Versie: 3.5.1.2522
Versie componenten: 1.0.374
Update pakketversie: 1.0.5751
Licentie: Proef

-Systeeminformatie-
Besturingssysteem: Windows 10 (Build 17134.137)
Processor: x64
Bestandssysteem: NTFS
Gebruiker: DESKTOP-N6LMHSH\wengu

-Scansamenvatting-
Scantype: Bedreigingsscan
Scan geactiveerd door: Handmatig
Resultaat: Voltooid
Objecten gescand: 283783
Dreigingen herkend: 5
Dreigingen in quarantaine: 0
(Geen kwaadaardige items gedetecteerd)
Verstreken tijd: 3 min, 49 sec

-Scanopties-
Geheugen: Ingeschakeld
Opstarten: Ingeschakeld
Bestandssysteem: Ingeschakeld
Archieven: Ingeschakeld
Rootkits: Uitgeschakeld
Heuristiek: Ingeschakeld
POP: Detectie
POA: Detectie

-Scandetails-
Proces: 0
(Geen kwaadaardige items gedetecteerd)

Module: 0
(Geen kwaadaardige items gedetecteerd)

Registersleutel: 3
PUP.Optional.Conduit, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, Geen actie door gebruiker, [220], [236865],1.0.5751
PUP.Optional.Conduit, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, Geen actie door gebruiker, [220], [236865],1.0.5751
PUP.Optional.Conduit, HKU\S-1-5-21-410426133-4130955053-939906265-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, Geen actie door gebruiker, [220], [236865],1.0.5751

Registerwaarde: 2
PUP.Optional.Conduit, HKU\S-1-5-21-410426133-4130955053-939906265-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|URL, Geen actie door gebruiker, [220], [236865],1.0.5751
PUP.Optional.Conduit, HKU\S-1-5-21-410426133-4130955053-939906265-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|TOPRESULTURL, Geen actie door gebruiker, [220], [236865],1.0.5751

Registerdata: 0
(Geen kwaadaardige items gedetecteerd)

Gegevensstroom: 0
(Geen kwaadaardige items gedetecteerd)

Map: 0
(Geen kwaadaardige items gedetecteerd)

Bestand: 0
(Geen kwaadaardige items gedetecteerd)

Fysieke sector: 0
(Geen kwaadaardige items gedetecteerd)

WMI: 0
(Geen kwaadaardige items gedetecteerd)


(end)

 

[wangusto]

even een mededeling, het toevoegen van een bestand geeft nog al problemen op. hij geeft een error aan

 

[Abraham54]

Opmerkingen:

a) rootkits niet ingeschakeld

b) pups (pop - potentieel ongeweste software) niet verwijderd.

Welk bestand wil jij dan toevoegen?


Download

AdwCleaner by Malwarebytes naar het bureaublad.

Klik met de rechtermuisknop op AdwCleaner en kies voor de optie

Als administrator uitvoeren.

• Klik vervolgens op de knop Nu scannen.
• Wanneer de scan gereed is klikt u vervolgens op de knop Reiniging en Reparaties.
• Klik vervolgens in het informatiescherm op Schoonmaken en nu opnieuw opstarten.
• Nadat de computer opnieuw is opgestart wordt AdwCleaner automatisch geopend, klik op Logbestand bekijken.
• Plaats dit logbestand als bijlage in het volgende bericht.
• (Dit logbestand kunt u tevens terug vinden op de systeemschijf als C:\AdwCleaner\Logs\AdwCleaner[C00].txt.)

 

[wangusto]

Optie rootkit kon ik niet aan of uitschakelen. Ik heb gekeken bij mbam instelling maar kon het niet vinden

En de pup heb ik net met MBAM verwijder

deel 1

# -------------------------------
# Malwarebytes AdwCleaner 7.2.1.0
# -------------------------------
# Build: 06-26-2018
# Database: 2018-07-03.1
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start: 07-03-2018
# Duration: 00:00:07
# OS: Windows 10 Home
# Cleaned: 7
# Failed: 0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Web Companion
Deleted HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Web Companion
Deleted HKCU\Software\Lavasoft\Web Companion
Deleted HKLM\Software\Wow6432Node\Lavasoft\Web Companion
Deleted HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
Deleted HKCU\Software\Microsoft\Internet Explorer\Main|Start Page
Deleted HKLM\SYSTEM\Setup\FirstBoot\Services\WCAssistantService

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1888 octets] - [03/07/2018 22:01:17]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########}

deel 2

# -------------------------------
# Malwarebytes AdwCleaner 7.2.1.0
# -------------------------------
# Build: 06-26-2018
# Database: 2018-07-03.1
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 07-03-2018
# Duration: 00:00:49
# OS: Windows 10 Home
# Scanned: 41361
# Detected: 7


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.Legacy HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Web Companion
PUP.Optional.Legacy HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Web Companion
PUP.Optional.Legacy HKCU\Software\Lavasoft\Web Companion
PUP.Optional.Legacy HKLM\Software\Wow6432Node\Lavasoft\Web Companion
PUP.Optional.Legacy HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
PUP.Optional.Legacy HKCU\Software\Microsoft\Internet Explorer\Main|Start Page
PUP.Optional.WebCompanion HKLM\SYSTEM\Setup\FirstBoot\Services\WCAssistantService

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

 

[Abraham54]

Ik wil nu graag, dat jij de Eset Online Scanner op de juiste wijze gaat gebruiken:

De Eset Online scanner is vernieuwd.
Voor sommigen is het internetvenster van Eset verwarrend.

Daarom nu eerst een afbeelding hiervan waarin duidelijk aangegeven is waar op te klikken.

In het volgende scherm na klikken op Scan Nu wordt het Eset bestand als download aangeboden.
In IE kan je ook kiezen voor Uitvoeren - maar ik raad aan dit niet te doen.

Het voordeel van het downloaden houdt in, dat jij de Eset Online scan als App kan uitvoeren.

Na downloaden vind je dit bestand:

Klik hier met rechts op en kies voor "Als administrator uitvoeren".

Vervolgens krijg je dan het eerste App-venster:​

Klik op de knop Accepteren en dan krijg je een nieuw App-venster:​

Klik nu in dat App-venster op > Geavanceerde instellingen
- daardoor krijg je weer een nieuw venster:​

Zet de vinkjes nu op dezelfde wijze als in bovenstaande voorbeeld.
Inderdaad wordt er zo niets verwijderd - maar dat heeft een reden.
Het kan altijd gebeuren dat er iets verwijderd wordt dat niet had gemogen.
Aan het einde van deze handleiding kom ik hier nog terug.

Klik nu op de knop Scannen.

Eset zal nu eerst zichzelf updaten, dit kan even duren.
Daarna start automatisch de scan.

Heb je veel ruimte en heel veel persoonlijke bestanden zoals muziek en video's
- dan zal de scan naar gelang enige tijd duren -
dit is ook afhankelijk van de processor in jouw computer of notebook.

Hieronder zie je hoe het scanvenster er uit ziet
(met doorlopende en veranderende reclame van Eset):

Is na verloop van tijd de scan klaar, dan krijg je venster met de gevonden bestanden:​

Let nu goed op:

in de eerste plaats kies je nu voor Opslaan als tekstbestand.
Sla dit bestand in een makkelijk terug te vinden lokatie op als bijv. Esetscan datum
(bijv. Esetscan 14 feb 2017)

Daarna is het goed afsluiten van de scan een weetje.
Klik nu eerst op wat ik groen omcirkeld heb: Niet opschonen.

Je krijgt dan volgend venster te zien:​

Je kan overwegen de Esetscanner in Windows aanwezig te laten voor een toekomstige scans,
maar je kan ook het vinkje zetten Gegevens van toepassing bij sluiten verwijderen.
Daarmee wordt Eset verwijderd.

Klik op de knop Voltooien.

Daardoor ga je naar het laatste scherm:​

Klik op het kruisje rechtsbovenin om Eset definitief te sluiten.

Nu kom ik terug op het gegeven, dat wanneer er bestanden door Eset gevonden zijn,
jij dit duidelijk maakt door de inhoud van het Esetlog in jouw antwoord mee te posten.
Zo kan ik zien dat of alles wel of niet verwijderd dient te worden.
Dat verwijderen laat ik dan middels een andere toepassing gebeuren.

Waar vind jij de website van Eset Online scanner?
Ga naar: https://www.eset.com/nl/thuis/producten/online-scanner/​