Ukash-virus (315)

[kape]

Ik stel me wel serieuze vragen bij die rasmxs.exe. Kape, wat denk jij daarvan ?

Dit is een malware-downloader ... mag dus inderdaad verwijderd worden op de manier die Eagle aangeeft (zowel bestand, als in register).

[Stijnley]

Jongens, jullie zijn op de goede weg.

Ik kon de registersleutel verwijderen en heb nu kunnen opstarten in normale modus zonder een virus te zien.

MAAR ik heb het .exe bestand nog steeds niet kunnen verwijderen. Ook in normale modus zie ik dat alle verborgen bestanden worden weergegeven, maar enkel dat ene bestand zonder extentie is zichtbaar.

Hoe verwijder ik de rasmxs?

Bedankt!

[eagle6175]

Volgens mij moet die exe er toch echt wel zijn hoor, want had die daar niet gestaan, dat had je register bij het opstarten in normale modus wel een foutmelding gegeven dat het die exe niet kon vinden!

Want als die exe effectief bestaat, kan je hem best toch wel verwijderen hoor.

Maar allé we weten nu dus toch al dat die exe de kwaaddoener was, en dat je al terug normaal kan booten, dat is al veel.

DOe anders eens het volgende, doe eens een search van rasmxs.exe van "all files and folders", en bij geavanceerde opties klik je aan "search system folders", "search hidden files and folders" , "search subfolders", en zie eens of je hem zo vindt. Zoja, verwijder die exe dan maar.

Houd ons op de hoogte.

[kape]

We gaan opnieuw Combofix inzetten om dit bestand te verwijderen.

Open een kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

File::

c:\users\Stijn\AppData\Local\Microsoft\Windows\3699\rasmxs.exe

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"rasmxs"=-

Sla dit bestand op je bureaublad op als CFScript.

Sleep CFScript.txt in ComboFix.exe

Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.

Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

[Stijnley]

Ik heb combofix laten lopen maar deze bleef hangen op "deel 50".

Nu moet ik zeggen dat ik op 2 paarden heb gewed, op een ander forum ging ik ook op zoek naar de oplossing.

Via een andere oplossing liet ik dit script uitvoeren met zoek.exe (combined fix):

Code:

C:\Users\Stijn\AppData\Roaming\hellomoto;f

C:\Users\Stijn\AppData\Local\Microsoft\Windows\3699\rasmxs.exe;f

Daarom vind ik het bestand dus niet meer! (wat groeit het hier allemaal boven mijn hoofd zeg!)

Zou alles nu volledig verwijderd zijn? Hoe zou ik dit kunnen controleren?

Bedankt!

[eagle6175]

Stijnley,

Heb je al eens ene search gedaan zoals ik zei ? En ?

[Stijnley]

ja eagle, ik heb opnieuw niets kunnen vinden, maar waarschijnlijk omdat het met bovenstaand script reeds werd verwijderd, denk je niet?

[eagle6175]

Dan zit de kans er sterk in dat het weg is ja.

[Stijnley]

bestaat er nog een manier om alles goed te controleren/opschonen, zodat alles mooi weg is uit die map?

Ik kan niet voldoende benadrukken hoe dankbaar ik jullie ben. Jullie verdienen een standbeeld met dit werk!

Ik vind mezelf geen PC-leek, maar na 15 jaar pc-gebruik was dit de eerste keer dat ik niet meer wist wat gedaan!

Doe zo verder met jullie werk, heel vriendelijk bedankt voor jullie tijd!

[eagle6175]

Das graag gedaan Stijnley.

Het is belangrijk dat we aan één zeil trekken tegen deze fraudeurs, zodat ze zo weinig mogelijk mensen kunnen afpersen met dit frauduleus gedoe.

Goh, voor de rest zou ik niet direct weten wat je nog kan doen om het te controleren.

Wat ik wel in jouw plaats nu eerst zou doen, is eens een volledige scan uitvoeren van je systeem met een goed en up-to-date antivirus programma, zodat je zeker bent dat er niets anders meer op je systeem zit.