Hardnekkige adwareinfectie

[superjona]

Hey collega's, 

 

Ik heb op een van de computers last van een hardnekkige adwareinfectie. De malware blijft opduiken, zelfs na een aantal AdwCleaner, MBAM en HitmanPro scans. Het euvel duikt op in zowel Chrome als FF en gaat door het leven als 'Great Find'. Vreemd genoeg treedt de adware niet op bij elke site. Op Tweakers wordt de helft van het scherm lekker ingenomen door reclame, terwijl het op PCH bijvoorbeeld doodnormaal is. 

 

RSIT'je in bijlage. 

 

 

RSIT.txt

4 september 2015 aangepast door superjona
Bijlage vergeten

[Jion]

Hey Jona,

Als je scans van Mbam, Adwcleaner en HMP iets gevonden/verwijderd hebben, mag je die logs samen met onderstaande posten.

Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe (hier en hier) kan je lezen hoe je dat doet.

Download Zoek.exe naar het bureaublad (niet de .zip- of .rar-versie).

• Wanneer Internet Explorer of een andere browser of virusscanner melding geeft dat dit bestand onveilig zou zijn kun je negeren, dit is namelijk een onterechte waarschuwing.
• Dubbelklik op Zoek.exe om de tool te starten.
• Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
• Kopieer nu onderstaande code en plak die in het grote invulvenster:
• Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem.

autoclean;
emptyfolderscheck;delete
emptyclsid;
startupall;
filesrcm;

• De optie "Scan All Users" staat standaard aangevinkt.
• Klik nu op de knop "Run script".
• Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
• Mocht er geen logje verschijnen, start zoek.exe dan opnieuw en klik op de knop zoek-results.log, de log verschijnt dan alsnog.
• Post het geopende logje in het volgende bericht als bijlage.

Zoek.exe logbestand plaatsen

• Voeg het logbestand met de naam "Zoek-results.log" als bijlage toe aan het volgende bericht. (Dit logbestand kunt u tevens terug vinden op de systeemschijf als C:\Zoek-results.log.)
• Hoe u een bijlage kunt toevoegen aan het bericht leest u hier.

[superjona]

Hey Jion, 

 

Bedankt! In bijlage een logje van MBAM & Zoek.exe. In Chrome lijkt het probleem al opgelost te zijn, maar hij zit nog in Firefox genesteld.

 

Edit: Great Find zit ook weer in Chrome, maar het duurde een tijdje vooraleer de adware terugkwam. 

zoek-results.txt

MBAM.txt

4 september 2015 aangepast door superjona

[Jion]

En hier zit hij in FireFox verstopt:

Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe (hier en hier) kan je lezen hoe je dat doet.

Start Zoek.exe nogmaals met het onderstaande script.

• Dubbelklik op Zoek.exe om de tool te starten.
• Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
• Kopieer nu onderstaande code en plak die in het grote invulvenster:
• Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem.

  C:\Users\Philippe\AppData\Roaming\Mozilla\Firefox\Profiles\fwsmechw.default\extensions\{a45bb529-abe2-4278-8885-1b479cf97bfe}.xpi;f
  

• Klik nu op de knop "Run script".
• Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
• Mocht er geen logje verschijnen, start zoek.exe dan opnieuw en klik op de knop zoek-results.log, de log verschijnt dan alsnog.
• Post het geopende logje in het volgende bericht als bijlage.

Zoek.exe logbestand plaatsen

• Voeg het logbestand met de naam "Zoek-results.log" als bijlage toe aan het volgende bericht. (Dit logbestand kunt u tevens terug vinden op de systeemschijf als C:\Zoek-results.log.)
• Hoe u een bijlage kunt toevoegen aan het bericht leest u hier.

[superjona]

Firefox werkt al een hoop vlotter, thanks! Jammer genoeg is hij toch niet helemaal verwijderd uit Chrome... 

 

De resultaten: 

 

Zoek.exe v5.0.0.0 Updated 04-September-2015

Tool run by Philippe on vr 04/09/2015 at 18:42:36,11.

Microsoft Windows 10 Pro 10.0.10240  x64

Running in: Normal Mode Internet Access Detected

Launched: C:\Users\Philippe\Desktop\zoek.exe [scan all users] [script inserted] 

 

==== Older Logs ======================

 

C:\zoek-results2015-09-04-162411.log 33061 bytes

 

==== Deleting Files \ Folders ======================

 

"C:\Users\Philippe\AppData\Roaming\Mozilla\Firefox\Profiles\fwsmechw.default\extensions\{a45bb529-abe2-4278-8885-1b479cf97bfe}.xpi" deleted

 

==== C:\zoek_backup content ======================

 

C:\zoek_backup (files=1234 folders=134 136658631 bytes)

 

==== EOF on vr 04/09/2015 at 18:43:12,90 ======================

[Jion]

• Open Google Chrome, en klik rechtsboven op het icoon met de drie streepjes.
• Ben je ingelogd bij Google Chrome, dan moet je Google Chrome Synchronisatie wellicht eerst resetten.
• Selecteer Instellingen.
• Klik onderaan op Geavanceerde instellingen weergeven.
• Klik onder het gedeelte 'Instellingen opnieuw instellen' op Instellingen opnieuw instellen.

  

• Klik op Terugzetten in het dialoogvenster dat wordt weergegeven.
• Sluit Google Chrome af om de wijzigingen door te voeren.

[superjona]

Dat hielp jammer genoeg niet veel, maar een reinstall deed het wel.  

 

Thanks Jion!

[Jion]

Dat is ook een optie, maar dan ben je natuurlijk alle persoonlijke aanpassingen kwijt. Daarom dat ik dat nog even wou uitstellen.

 

Om af te sluiten, mag je Delfix nog eens zijn ding laten doen:

 

Download Delfix by Xplode naar het bureaublad.

Dubbelklik op Delfix.exe om de tool te starten.
Zet nu vinkjes voor de volgende items:

• Remove disinfection tools
• Purge System Restore

Klik nu op "Run" en wacht geduldig tot de tool gereed is.
Wanneer de tool gereed is wordt er een logbestand aangemaakt. Dit hoeft u echter niet te plaatsen.

[superjona]

Dikke merci voor de hulp!