Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Virus in bachup file

10-02-2014, 15:42 door -de-groot-, 15 reacties
De laatste maanden krijg ik aan het begin van de maand een meldingen van mijn Norton security programma dat er met succes een bedreiging met hoog risico is verwijderd. Het merkwaardige is dat het steeds in mijn wekelijkse Windows backupfile wordt gevonden. Het is de backup van mijn C schijf, waarop mijn software is geïnstalleerd. Als ik vervolgens de volledige C schijf op virussen scan, wordt er niets gevonden. De virussen die worden gevonden zijn met name Suspicious.Cloud.9.B Trojan.ADH.2 Backdoor.Trojan en Downloader.Trojan en worden steeds in verschillende .zip bestanden gevonden.

Op mijn Windows 7 computer heb ik ook een Virtual PC-Konsole geinstalleerd waarin ik mijn oude database programma onder Windows XP draai. In deze virtuele omgeving heb ik Microsoft Security Essentials draaien. Na het ontstaan van de problemen heb ik Norton Security Scan in deze viruele omgeving geïnstalleerd. Nog de totaal scan van Microsoft Security als van de Norton Security leveren geen signalen van virus infectie op. Ik denk dat als de virus-definities van mijn virtuele computer de meldingen zouden veroorzaken, er veel meer virussen zouden moeten worden gevonden en ook steeds in de zelfde .zip file.

De helpdesk van Norton zegt dat er niets aan de hand is en ik mij geen zorgen hoef te maken.

Komen deze valse meldingen vaker voor, en wat kan ik hier tegen doen?
Reacties (15)
10-02-2014, 20:15 door Anoniem
ik zou me zeker zorgen maken, want het kan wel eens zo zijn dat je backup door norton wordt verwijderd of corrupt gemaakt wordt. misschien kun je het specifieke deel van de backup eens opsturen naar https://www.virustotal.com/ om te kijken of er toevallig geen false positive is. als het een false positive blijkt zou ik de virus scanner zo instellen dat die het bestand nergeert. als het geen false positive is zou ik de hele bak eens goed scannen met verschillde anti-virus en anti malware software.
10-02-2014, 23:51 door Anoniem
Wat voor zip-bestanden? Als ze je niet bekend voorkomen moet je je zorgen maken...

Je kunt er altijd eens een MBAM (in Win7) en/of Kaspersky Rescue Disc (bootable OS) overheen gooien, maar 99% kans dat het komt omdat sommige zip-files in je backup zijn gewijzigd oid. Ik zou me meer zorgen maken over Norton dan over de false-positives.

Als je er van overtuigt bent dat er geen malware in die zip-files zit, kun je ze toevoegen aan de white-list van Norton,
12-02-2014, 12:11 door -de-groot-
Je kunt er altijd eens een MBAM (in Win7) en/of Kaspersky Rescue Disc (bootable OS) overheen gooien, ,[/quote]
Heb MalwareBytes geïnstalleerd en een snelle scan uitgevoerd. Er werden 52 infecties gevonden die allemaal te maken hebben met PUP.Optional.SweetPacks.A Ik verbaas mij er over dat Norton dit nooit gedetecteerd heeft. Hopelijk zijn de de problemen, die merkwaardigerwijs steeds aan het begin van de maand voorkomen, nu verdwenen.
12-02-2014, 13:34 door Anoniem
Door -de-groot-: Heb MalwareBytes geïnstalleerd en een snelle scan uitgevoerd. Er werden 52 infecties gevonden die allemaal te maken hebben met PUP.Optional.SweetPacks.A Ik verbaas mij er over dat Norton dit nooit gedetecteerd heeft. Hopelijk zijn de de problemen, die merkwaardigerwijs steeds aan het begin van de maand voorkomen, nu verdwenen.
Daarom zou ik me ook meer zorgen maken over Norton dan over wat anders, maar dat is louter mijn mening... (sorry) Dat gezegd hebbende is het altijd aan te raden regelmatig je systeem te scannen door een on-demand scanner zoals MBAM, HitmanPro of AdwCleaner, let er wel op dat je niet 2 AV's tegelijk in real-time (actieve beveiliging) gebruikt. Mocht je geen vertrouwen meer hebben in Norton, dan is de gratis AV van Avast! een goede optie. Dit natuurlijk in combinatie met een aparte firewall (Comodo / ZoneAlarm / Online Armor).

Uitleg over je probleem PUP.Optional.SweetPacks.A:
PUP = Potentially Unwanted Program.
Optional = Zelf geïnstalleerd, waarschijnlijk een vinkje niet uitgezet tijdens het installeren van een programma of update.
SweetPacks.A = Wil zeggen dat je Adware op je systeem hebt staan, waarbij je waarschijnlijk een toolbar in je browser hebt, dat je startpagina (ongemerkt) is veranderd in start.sweetpacks.com en dat je ingebouwde zoekmachine van je browser is veranderd in search.sweetpacks.com.
Daarbij is het belangrijk om te weten dat al je zoekopdrachten worden verzameld voor marketing-doeleinden en dat je voornamelijk gesponsorde links krijgt in plaats van datgene waar je naar zoekt.


Maar goed bezig, gelukkig weet je nu tenminste wat er aan de hand IS, waarmee ik wil aangeven dat je probleem nog niet 100% is opgelost. Ik raad je dan ook aan om exact de volgende instructies te volgen, geen stappen over te slaan (HEEL BELANGRIJK!!!), en me (ons) daarna even te laten weten hoe het af is gelopen. Mocht je er niet aan uit komen hoor ik / horen we het graag, er kan namelijk nog meer aan de hand zijn...
Veel succes!!!

Instructies voor het volledig verwijderen van PUP.Optional.SweetPacks.A:
http://www.malwareremovalguides.info/pup-optional-sweetpacks-removal-guide/

MVG anon 10-02 // 23:51


NB: Waarschijnlijk zijn die zips ook geïnfecteerd, waardoor je bij het terugzetten van een back-up e/o systeem-herstel die rommel er gelijk weer op hebt. Maak dus na verwijdering van alle rommel een nieuwe backup en verwijder de oude!!!
13-02-2014, 12:33 door -de-groot-
Allereerst mijn hartelijke dank voor de uitstekende begeleiding om het probleem op te lossen.

Na MalwareBytes had ik AdwCleaner ook al een scan laten uitvoeren. Verder heb ik gezocht naar geinstalleerde NoName software en gelukkig niet gevonden. HitmanPro had ik nog niet gerund.

HitmanPro geeft als reseltaat 0 bedreigingen, maar wel nog 8 sporen van bedreiging.

HKLM\SOFTWARE\Classes\Record\{2009AF2F-5786-3067-8799-B97F7832FDD6}\ (FLV Player)
HKLM\SOFTWARE\Classes\Record\{425E7597-03A2-338D-B72A-0E51FFE77A7E}\ (FLV Player)
HKLM\SOFTWARE\Classes\Record\{915BB7D5-082E-3B91-B1E0-45B5FDE01F24}\ (FLV Player)
HKLM\SOFTWARE\Classes\Record\{FB2E65F4-5687-33EF-9BBF-4E3C9C98D3B9}\ (FLV Player)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\3152E1F19977892449DC968802CE8964\ (FLV Player)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\649A52D257CA5DB4EAAE8BA9EB23E467\ (FLV Player)
HKU\S-1-5-21-1891572689-2756609514-3661347035-1000\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration\{AE07101B-46D4-4A98-AF68-0333EA26E113} (FLV Player)
HKU\S-1-5-21-1891572689-2756609514-3661347035-1000\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\SnapDo.exe (FLV Player)

Ik kan ze helaas niet door HitmanPro laten verwijderen, omdat de proeflecentie verlopen is.
13-02-2014, 14:56 door Anoniem
Graag gedaan, zo komen we verder, nog een paar stappen te gaan. De bron is bekend (kom ik later op terug).

1] Download Revo Unistaller http://www.revouninstaller.com/revo_uninstaller_free_download.html
Selecteer FLV, druk op "Uninstall" (bovenaan), OK, en kies voor "Advanced"
Vervolgens start de reguliere uninstaller, en als deze is afgerond gaat Revo naar overblijfselen zoeken. Selecteer de gevonden files en register vermeldingen (Die HKML\Software\Classes... dingen) en verwijder ze voordat je op "Next" drukt.

Hetzelfde doe je voor HitmanPro en alle andere software waarvan je 100% zeker weet dat het weg kan.


2] Download HitmanPro opnieuw http://www.surfright.nl/nl/hitmanpro en voer een scan uit.
Als dit niet werkt hoor ik het graag, maar als het goed is kun je nu stap 4 van voorgaande post voltooien.

Als je bekend bent met het controleren van de instellingen van IE zou ik dat zeker niet nalaten. Als je daar niet mee bekend bent.. poeh... dan wordt het een heel verhaal.

Voor de zekerheid:
3] Gebruik IE om naar http://ax.emsisoft.com/default.aspx?scan=1&l= te gaan en voer een online scan uit.
4] Download Kaspersky Virus Removal Tool http://www.kaspersky.com/antivirus-removal-tool?form=1
Ik verwacht dat er niet meer gevonden wordt, anders moet je het maar even laten weten.


Dan kun je weer je media-player installeren, wat ons gelijk bij de moraal van het verhaal brengt. Waarschijnlijk heb je FLV van een site als Softonic / CNET / Download.com oid afgehaald, en die voegen adware toe aan veel van de aangeboden downloads.
Daarom is het verstandig software enkel via de site van de ontwikkelaar te downloaden, bij updates is dat helemaal belangrijk.


Het volgende is dat je uitvoerbare bestanden altijd even langs virustotal mag gooien.
Revosetup.exe (0-50): https://www.virustotal.com/nl/file/31a8126c990a2bc73cc772d4a2194b43bba03e14e770c5dbb72f2cd12f179703/analysis/1392298531/

SoftonicDownloader_voor_flv-player.exe (6-49):
https://www.virustotal.com/nl/file/73f26b10e706d1ffba35be029d34407104494dedd91505249a3612ece63e4d52/analysis/1392297549/

cbsidlm-cbsi176-FLVPlayer-ORG-10413460.exe (CNET) (6-49):
https://www.virustotal.com/nl/file/b87eef4340f4888318cd287b8891f594a23f6b3b326cdf2568f6ed56506b4c06/analysis/1392297556/


Bij het installeren, is het altijd verstandig is om voor de "geavanceerde instellingen" te kiezen, aangezien deze adware uit te vinken is. Daarom wordt deze ook niet als malware herkend door de meeste AV's...


Ik hoop dat je er aan uit komt zo!
13-02-2014, 17:45 door -de-groot-
Heb de freeware versie van Revo Uninstaler geinstalleerd. Hij kan FLV en Hitmanpro niet vinden. Bij het verlaten van de uninstaler geeft hij de melding dat het programma mogelijk niet correct is geïnstalleerd. Na aanklikken opnieuw installeren opnieuw met de uninstaler gezocht en niet gevonden. Mogelijk werkt het programma niet op mijn 64 bit versie van Windows.

De Uninstaler van Windows en CCleaner kunnen FLV ook niet vinden. Hitmanpro wordt wel gevonden.

Vermoedelijk heb FLV Player vroeger eens geïnstalleerd en vervolgens weer verwijderd. Het komt mij in elk geval niet bekend voor.

Als browser gebruik ik Firefox en geen Internet Explorer.

Ik verder even geen acties ondernomen en hoor graag wat ik het beste zou kunnen doen.
13-02-2014, 19:12 door Anoniem
O da's jammer.. Gooi het er dan maar weer af ;]

SnapDo.exe zou nog ergens kunnen zitten, Windows-toets + s -> snapdo.exe (zoeken in alle bestanden en mappen, incl. verborgen) Als je het vind even uploaden naar virustotal, als het niet te vinden is, des te beter.

Het register zou ik dan verder met rust laten, tenzij je hier een beetje mee bekend bent.
Mocht je dat willen doen (via CCleaner bijvoorbeeld) altijd eerst een backup maken met regedit. (uitvoeren -> regedit -> bestand -> exporteren ->backup[datum].reg
Er valt weinig eer aan te behalen over het algemeen, uitzonderingen daargelaten.

HitmanPro de-installeren en opnieuw proberen, als het niet werkt, soit.

Dan verder met 3] en 4] uit de voorgaande post.
Goed dat je FF gebruikt, maar die online scan van emisoft werkt alleen goed in IE.
Voor het gemak kun je de link ook knippen/plakken.

Dat je FLV niet kent is geen probleem, maar het kan duiden op dat je die infectie ergens anders op hebt gelopen, daarom zou ik zeker even die 2 laatste scans doen.


Succes
13-02-2014, 19:14 door Anoniem
Oh en merk je verder nog iets?

Startpagina, popups, vreemde processen in taakbeheer bijvoorbeeld?
13-02-2014, 19:32 door Spiff has left the building
Door -de-groot-, 17:45 uur:
Heb de freeware versie van Revo Uninstaller geinstalleerd. Hij kan FLV en Hitmanpro niet vinden. Bij het verlaten van de uninstaler geeft hij de melding dat het programma mogelijk niet correct is geïnstalleerd. Na aanklikken opnieuw installeren opnieuw met de uninstaler gezocht en niet gevonden. Mogelijk werkt het programma niet op mijn 64 bit versie van Windows.
Revo Uninstaller free werkt wel op een 64-bit systeem, maar enkel voor de geïnstalleerde 32-bit software.
Een 64-bit HitmanPro, bijvoorbeeld, kan daardoor niet met behulp van Revo Uninstaller free worden gevonden en gedeïnstalleerd.
Alleen Revo Uninstaller Pro heeft volledige 64-bit compatibiliteit en kan 64-bit software deïnstalleren.

Overigens heeft het deïnstalleren en herinstalleren van HitmanPro mogelijk geen nut om een verbruikte gratis licentie te omzeilen. Ik heb dat zelf ooit eens getest, maar zonder succes. HitmanPro verstopt activatiegegevens voldoende goed, of koppelt ze misschien wel aan IP-adres of systeemgegevens. Bij mijn testje heb ik de koppeling niet kunnen achterhalen of omzeilen.
Lukt het je wel om een verbruikte gratis HitmanPro licentie te omzeilen door grondig deïnstalleren en herinstalleren, dan is dat mooi meegenomen voor je. Al zal dat uiteraard niet SurfRight's bedoeling zijn ;-)
14-02-2014, 21:15 door -de-groot-
SnapDo.exe niet gevonden.

Heb geen last van vreemde processen, startpagina's of popups

Ook Emsisoft heeft geen bedreigingen gevonden.

Vervolgens heb ik m.b.v. Kaspersky virus Removal Tool mijn volledige computer gecontroleerd. Dit duurde ongeveer 9 uur.

Kaspersky vond Trojan.win32.cosm.bvqa een malafide programma met de naam Tev41s.exe op mijn J schijf. Het is een voor mij onbekend programma die in een map van mijn oude computer zat. Ik heb hem inmiddels met succes door Kaspersky laten verwijderen. De J Schijf gebruik ik alleen om data naar toe te kopiëren.

HitmanPro heb ik niet meer geprobeerd opnieuw te installeren. Ik verwacht dat de restanten van FLV Player geen gevaar meer kunnen opleveren.

Mocht dit wel zo zijn, dan hoor ik dat graag, waarna ik eventueel de betaalde versie van Hitman Pro kan aanschaffen.
15-02-2014, 11:20 door Anoniem
@Spiff: Bedankt voor de aanvulling.


Door -de-groot-: SnapDo.exe niet gevonden.

Heb geen last van vreemde processen, startpagina's of popups

Ook Emsisoft heeft geen bedreigingen gevonden.
Da's mooi, dan durf ik te zeggen dat je systeem weer adware vrij is.


Door -de-groot-: Vervolgens heb ik m.b.v. Kaspersky virus Removal Tool mijn volledige computer gecontroleerd. Dit duurde ongeveer 9 uur.

Kaspersky vond Trojan.win32.cosm.bvqa een malafide programma met de naam Tev41s.exe op mijn J schijf. Het is een voor mij onbekend programma die in een map van mijn oude computer zat. Ik heb hem inmiddels met succes door Kaspersky laten verwijderen. De J Schijf gebruik ik alleen om data naar toe te kopiëren.
Die scan-tijd is voornamelijk afhankelijk van de hoeveelheid data op je systeem, daar had ik voor mogen waarschuwen.

Zowel win32.cosm.bvqa als Tev41s.exe zeggen mij niets en kan ik ook niet terugvinden, muv een oude definite-lijst van F-Secure uit 2011. Ik ga er dan ook van uit dat het een false-positive is, of een onderdeel van een vorige / oude infectie. Mocht je ooit nog zoiets tegenkomen zou ik je willen vragen om het bestand te uploaden naar virustotal.com.

Als het bestand Tev41s.exe nog met Kaspersky terug te halen is, zou ik je willen vragen het alsnog even te willen uploaden naar virustotal en de link hier te posten alvorens het definitief te verwijderen. Zo niet, geen probleem.


Door -de-groot-: HitmanPro heb ik niet meer geprobeerd opnieuw te installeren. Ik verwacht dat de restanten van FLV Player geen gevaar meer kunnen opleveren.

Mocht dit wel zo zijn, dan hoor ik dat graag, waarna ik eventueel de betaalde versie van Hitman Pro kan aanschaffen.
Ik wil je niet op kosten jagen maar HitmanPro is zeker z'n geld waard. De restanten kunnen verder geen kwaad.
Ook zijn deze handmatig te verwijderen met regedit, wel eerst even een backup maken.


Ik ga er van uit dat het verder geregeld is zo, wel zou ik je willen adviseren om regelmatig (liefst wekelijks) een malware-scan uit te voeren met MBAM & ADWareCleaner, vergeet niet de laatste definities op te halen voordat je dat doet. Een snelle scan voldoet. De maandelijkse scan van Norton zou ik ook wekelijks doen, zeker als je wel eens financiële zaken regelt op het betreffende systeem.

Ook zou je back-ups & archiefbestanden (zip / rar etc.) van een (simpel) password kunnen voorzien om ze te beveiligen tegen malware en het scannen sneller te laten verlopen.


Hopelijk ben je er zo aan uit, als je verder nog vragen/opmerkingen hebt hoor ik het graag.
15-02-2014, 15:48 door Anoniem
vergeet niet om systeemherstel uit te schakelen voor alle schijven, daarna opnieuw opstarten en vervolgens systeemherstel weer inschakelen
15-02-2014, 16:47 door Spiff has left the building
Door Anoniem, 11:20 uur:
Als het bestand Tev41s.exe nog met Kaspersky terug te halen is, zou ik je willen vragen het alsnog even te willen uploaden naar virustotal en de link hier te posten alvorens het definitief te verwijderen. Zo niet, geen probleem.
Tip:
Zet de betreffende VirusTotal URL dan tussen BBcode voor URL (zie: Ondersteunde bbcodes) om te voorkomen dat een deel ervan na plaatsen buiten het reactiekader valt en de URL daarmee onvolledig en onbruikbaar is.
15-02-2014, 17:58 door -de-groot-
Na voltooing van de Kaspersky scan werd de installatie van het programma van mijn computer verwijderd. Ik weet niet hoe grondig dit gebeurt is, maar ik verwacht dat Quarantine omgeving ook is verwijderd.

Nogmaals bedankt voor alle goede adviezen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.