Gen:HackTool.WinCred.1

[tegenpool]

Ik heb Windows 10 64 bits systeem.

Gisteren zag ik dat bij het onderdeel “Kwetsbaarheden” van mijn antivirusprogramma Bullguard “Scannen” ontbrak. Ik heb toen Bullguard geherinstalleerd. Sindsdien krijg ik na de “Snelle Scan” (en ook na “Volledige Scan”) melding van kwaadaardige software nl. Gen:HackTool.WinCred.1 . Dan wordt gevraagd de computer herop te starten om het geïnfecteerde bestand te repareren. Merkwaardig was wel dat Bullguard enkel twee opties gaf bij infectie namelijk “bestand blokkeren” of “bestand repareren” en niet “bestand verwijderen” of “bestand in quarantaine plaatsen”. Wanneer er dan heropgestart wordt, krijg ik weer dezelfde melding na een “Snelle Scan”. De Quarantaine map blijft echter leeg. Een scan van de C en E schijf met Malwarebytes gaf geen infectie aan. Ook een online scan met ESET gaf geen infectie aan. Een scan deze morgen met VirusTotal van het lsass.exe bestand gaf ook geen bedreiging weer (0/62). Gisteren lukte de scan met VirusTotal  van het lsass.exe bestand niet want het stond niet in System32 (stond echter wel op mijn PC). PC was gisteren wel erg traag.

Ik heb inmiddels deze ochtend wel Bullguard verwijderd van mijn computer en ben tijdelijk overgeschakeld op ESET Internet Security.

Eergisteren kreeg ik wel een Bullguard melding dat “Speech Model Download Executable” automatisch toegang kreeg tot internet,maar ik weet niet of dat er iets mee te maken heeft(en weet ook niet wat dit inhoudt). Wel heb ik enige tijd geleden al hetzelfde voorgehad  (maar geen melding van bedreiging) nl. dat het onderdeel “Scannen” van “Kwetsbaarheden” bij Bullguard ontbrak en heb toen ook Bullguard geherinstalleerd waarna “Scannen” terug verscheen.

Wat te doen?

In bijlage een FRST64 scan logje.

 

FRST.txt

Addition.txt

[abbs]

Hallo,

 

Kan je nog terug vinden waar het " Gen:HackTool.WinCred.1" werd gevonden?

 

 

Schakel uw antivirussoftware tijdelijk uit en download  ZHPCleaner via onderstaande link:
- ZHPCleaner (klik op de blauwe knop 'TÉLÉCHARGER !')
Bewaar het op je bureaublad.

Sluit alle programma's en internet browsers. Internet browsers zullen automatisch afgesloten worden.

ZHPCleaner uitvoeren

• Rechtsklik op ZHPCleaner.exe en klik op "Als administrator uitvoeren".
• Klik op de knop "Akkoord" als je dit programma voor de eerste keer gebruikt.
• Klik op "Scanner" en wacht geduldig tot dit klaar is.
• Let op: Laat het programma nog niets repareren!
• Na afloop staat er een tekstbestand met de naam ZHPCleaner.txt op je bureaublad, post deze als bijlage in je volgend bericht.
  (Het logbestand kan je ook terugvinden in de map %AppData%\ZHP.)
  

 

[tegenpool]

1 uur terug, abbs zei:

Kan je nog terug vinden waar het " Gen:HackTool.WinCred.1" werd gevonden?

 

 

Ja, het was in lsass.exe  (C:\windows\system32\lsass.exe [828]) . Zie bijlage (printscreen).

 

Hierbij ook het logbestand ZHPCleaner.txt

Quote

 

 

 

ZHPCleaner.txt

30 juni 2017 aangepast door tegenpool

[abbs]

Hallo,

 

Download de   Emsisoft Emergency Kit naar het bureaublad.

• Dubbelklik op "EmsisoftEmergencyKit.exe".
• Klik vervolgens op de knop "Install" en de bestanden worden nu automatisch uitgepakt naar de systeemschijf "C:\EEK".
• Wanneer het uitpakken gereed is opent de map "C:\EEK" dubbelklik op "Start Emergency Kit Scanner".
• "Emsisoft Emergency Kit" gaat de "definities laden" wanneer u de melding "Wilt u nu updaten?" krijgt klikt u op "Ja".
• Wanneer de update gereed is klikt u in op "Malware scan" wanneer u de melding "op PUP's mee scannen" krijgt klikt u op "Ja".
• Het scannen begint, gebruik bij voorkeur de computer niet voor andere bezigheden tijdens de scan.
• Wanneer de scan gereed is zorg dat alle items staan aangevinkt en klik op de knop "Geselecteerde in quarantaine".
• Klik vervolgens op de knop "Rapport bekijken" en plaats de inhoud van dit bestand in uw volgende bericht als bijlage.
  

(Het logbestand is tevens terug te vinden op de systeemschijf (C:\EEK\Run\Reports) met de naam a2scan_130711-154142.txt)

[tegenpool]

1 uur terug, abbs zei:

Download de   Emsisoft Emergency Kit naar het bureaublad.

 

•  
• Wanneer de scan gereed is zorg dat alle items staan aangevinkt en klik op de knop "Geselecteerde in quarantaine".
• Klik vervolgens op de knop "Rapport bekijken" en plaats de inhoud van dit bestand in uw volgende bericht als bijlage.

(Het logbestand is tevens terug te vinden op de systeemschijf (C:\EEK\Run\Reports) met de naam a2scan_130711-154142.txt)

 

Hierbij het logje, er stond niets in quarantaine.

scan_170630-194037.txt

[abbs]

Hallo,

 

Laat hier: https://www.virustotal.com/en/ 

C:\windows\system32\lsass.exe eens controleren.

Plaats de uitslag in je volgende antwoord. (het lijkt wel ,een false positive)

[tegenpool]

1 uur terug, abbs zei:

Hallo,

 

Laat hier: https://www.virustotal.com/en/ 

C:\windows\system32\lsass.exe eens controleren.

Plaats de uitslag in je volgende antwoord. (het lijkt wel ,een false positive)

 

In bijlage het resultaat (0/60).

Misschien wel een FalsePositive, maar ik vraag me af waarom Bullguard telkens melding maakte van die Malware én ze blijkbaar niet kon herstellen.

Zou het veilig zijn Bullguard terug te installeren want heb nog 50 dagen voor abonnement afloopt.

[tegenpool]

1 uur terug, tegenpool zei:

Zou het veilig zijn Bullguard terug te installeren want heb nog 50 dagen voor abonnement afloopt.

 

 

Inmiddels Bullguard terug geïnstalleerd en de melding van kwaadaardige software na een snelle scan wordt niet meer weergegeven.

Waarschijnlijk is het dus opgelost.

[abbs]

10 uren geleden, tegenpool zei:

 

Inmiddels Bullguard terug geïnstalleerd en de melding van kwaadaardige software na een snelle scan wordt niet meer weergegeven.

Waarschijnlijk is het dus opgelost.

Klopt, er is dan een update voor gekomen om dit probleem op te laten lossen.

 

Met het onderstaande tooltje ruim je o.a. alle gebruikte tools op:

 

Download Delfix - Alternatieve downloadlink by Xplode naar het bureaublad.

 

Dubbelklik op Delfix.exe om de tool te starten.

Zet een vinkje  voor het volgende item:

• Remove disinfection tools

Klik nu op "Run" en wacht geduldig tot de tool gereed is.

Wanneer de tool gereed is wordt er een logbestand aangemaakt. Dit hoeft je echter niet te plaatsen.

Start je pc hierna opnieuw op, mochten er nog programma's of log bestanden aanwezig zijn mag je die handmatig verwijderen.

Maak ook een nieuw herstelpunt Uitleg.

[tegenpool]

15 uren geleden, tegenpool zei:

 

Inmiddels Bullguard terug geïnstalleerd en de melding van kwaadaardige software na een snelle scan wordt niet meer weergegeven.

Waarschijnlijk is het dus opgelost.

 

Na heropstarten was het onderdeel "Scannen" van "Kwetsbaarheden" terug verdwenen...

Scans met ESET, MBAM en Bullguard gaven geen malware meer weer.

Ik denk dus dat er een slotje mag op dit topic.

Hartelijk dank uiteraard voor de geboden hulp.

 

mvg