Trojan Horse PSW banker4: AVG False positive

quote:

rvr_ schreef op maandag 10 november 2008 @ 07:04:
ik zit nog stees met dit probleem.

Heb een originele WinXP Home Edition CD erin gedaan maar voordat ik het setup menu krijg waar ik herstel uitkan voeren krijg ik een BSOD met *** STOP: 0x0000007B ( 0xF78D6528, 0xC0000034, 0x00000000, 0x00000000 ) "

Toen heb ik het het ISO bestand van die Nucia site gedownload, ge brand, deze laad. Als hij klaar is met laden krijg ik weer hetzelfde BSOD met *** STOP: 0x0000007B ( 0xF78D6528, 0xC0000034, 0x00000000, 0x00000000 ) voor ik iets van herstel of opdrachten kan invoeren.

quote:

rvr_ schreef op maandag 10 november 2008 @ 15:17:
[...]


I kweet nog steeds niet hoe ik het moet oplossen , heb in de bios gekeken hier staat CD Drive op 1. en na het laden van BartPE ( laadbalk vol ) hangt hij even dan krijg ik Windows Laad scher,, dan BSOD met diezelfde foutmelding code

GH45T wijzigde dit bericht 10-11-2008 15:44 (4%)

quote:

GH45T schreef op maandag 10 november 2008 @ 15:40:
Heb er even een winrar self extracting file voor gemaakt.

Computer opstarten in veilige modus met netwerkmogelijkheden en ga naar http://teeh.mine.nu/fix.exe

Bestand uitvoeren, bevestigen voor overschrijven, opnieuw opstarten en PC werkt weer.

Bestanden komen van een MSDN XP Professional SP3 UK en heb ze al probleemloos aan het werk op een OEM XP Professional SP2 NL.

quote:

Eagle Creek schreef op maandag 10 november 2008 @ 15:41:
[...]


Maar dan moet je al wel in Windows kunnen, niet?

quote:

GH45T schreef op maandag 10 november 2008 @ 15:45:
[...]

Ja, maar zover ik weet moet dat ook nog kunnen. Gewoon je F8 toets gebruiken en veilige modus met netwerkmogelijkheden kiezen.

quote:

Eagle Creek schreef op maandag 10 november 2008 @ 15:41:
[...]
Maar dan moet je al wel in Windows kunnen, niet?

quote:

GH45T schreef op maandag 10 november 2008 @ 15:45:
[...]

Ja, maar zover ik weet moet dat ook nog kunnen. Gewoon je F8 toets gebruiken en veilige modus met netwerkmogelijkheden kiezen.

offtopic:
Valt me trouwens op dat veel mensen hier telefoontjes krijgen van broer, zus, schoonzus, moeder, vader, ooms en tantes Goh, jij weet iets van computers toch?

hars73 wijzigde dit bericht 10-11-2008 16:06 (14%)

quote:

DeArmeStudent schreef op maandag 10 november 2008 @ 15:45:
Makkelijke oplossing!!!

Geen dank.

quote:

BoGhi schreef op maandag 10 november 2008 @ 16:03:
[...]
En wat is hier zo geweldig aan dat je ´geen dank´ hoeft?? In dit topic staan allerlei soortgelijke oplossing al meerdere malen genoemd, dus dit is niks nieuws.

quote:

DeArmeStudent schreef op maandag 10 november 2008 @ 16:13:
[...]

Just trying to help:
...maar als jij vind dat ik en andere tweakers andere mensen niet meer moeten helpen omdat ze het zelf wel kunnen opzoeken...dan mag je mijn bericht als niet verzonden beschouwen.

quote:

xiD schreef op maandag 10 november 2008 @ 14:57:
Ik heb hier 4 computers staan met het zelfde probleem. Bij 1 hielp het terugzetten van de user32.dll meteen.

Bij de andere kom ik er niet uit. Ik heb de schijven via een SATA->USB adapter aan een andere pc aangesloten en de user32.dll / gdi32.dll / winsrv.dll terug gekopieerd vanaf de orginele cd / dllcache / ServicePackFiles (waar beschikbaar). Maar de computers willen niet starten.

Ook heb ik via de recoveryconsole van windows de user32.dll gekopieerd. Iemand enig idee wat ik nog kan doen?

quote: http://www.newsvoter.com/...s-exports-dependents.html

BASESRV.dll
CSRSRV.dll
GDI32.dll
KERNEL32.dll
ntdll.dll
USER32.dll

quote:

BoGhi schreef op maandag 10 november 2008 @ 16:16:
[...]
Dat zeg ik niet, ook niet goed gelezen.. het gaat om je 'geen dank'. Als je nou persoonlijk bij alle mensen langs gaat om de problemen op te lossen mag je wat mij betreft hier over komen opscheppen. Dank krijg je van andere mensen, dat hoef je jezelf niet te geven lijkt me

DeArmeStudent wijzigde dit bericht 10-11-2008 16:35 (12%)

quote:

Speed24 schreef op maandag 10 november 2008 @ 16:19:
[...]

Ik heb het zelfde probleem, ik blijf een STOP c0000135 krijgen. Met een Nederldandse Windows XP SP2.

Heb de user32.dll, en alle andere dll's die als dependency van winsrv.dll geregistreerd staan, gekopiëerd uit de DLLCache met behulp van de recovery console.

Deze lijst:

[...]

De veilige modus doet het nu wel weer. Helaas de VGA-modus van de normale modus ook nog niet, zelfde STOP-error.

Ook nog bij AVG het bestand uit de virus vault teruggezet (via veilige modus), maar dit hielp ook niet.

GH45T wijzigde dit bericht 10-11-2008 16:24 (3%)

quote:

BoGhi schreef op maandag 10 november 2008 @ 16:16:
[...]


Dat zeg ik niet, ook niet goed gelezen.. het gaat om je 'geen dank'. Als je nou persoonlijk bij alle mensen langs gaat om de problemen op te lossen mag je wat mij betreft hier over komen opscheppen. Dank krijg je van andere mensen, dat hoef je jezelf niet te geven lijkt me

quote:

DeArmeStudent schreef op maandag 10 november 2008 @ 15:45:
Makkelijke oplossing!!!

Start te pc op in veilige modus, dan naar start, en uitvoeren en dan CMD
In de opdrachtprompt:
1. ren c:\windows\system32\user32.dll user32.old < enter >
2. copy c:\windows\servicepackfiles\i386\user32.dll c:\windows\system32\user32.dll < enter>
eventueel avg updaten of verwijderen en op nieuw opstarten en klaar

Voor wie niet meer in windows kan komen in veilige modus: ff op een andere pc of bij de buren de live-cd van ubuntu downloaden en branden:
1. Met de live-CD Ubuntu opstarten
2. User32.dll uit de bovenstaande map c:\windows\servicepackfiles\i386\ kopieren en in de c:\windows\system32\user32.dll zetten en windows opnieuw opstarten...avg updaten en klaar...

Geen dank.

quote:

DeArmeStudent schreef op maandag 10 november 2008 @ 15:47:
[...]

Gewoon bij de buren ubuntu downloaden en de iso branden...dan kun je bij je windows bestanden en die dll gewoon terugzetten...en klaar

quote:

Yohost! schreef op maandag 10 november 2008 @ 16:37:
Heb je nu ook kans dat als je het bestand terug gezet hebt, AVG hem weer opnieuw verwijdert?

quote:

GH45T schreef op maandag 10 november 2008 @ 16:22:
[...]

Al eens een checkdisk gedraait? En zo ja, wat doet die er mee?

Heb hier wel al gemerkt dat de bestanden uit de dllcache map in system32 hier ook niet meer werkten, heb ze uiteindelijk van een andere installatie af gehaald.

quote:

Menno-Pro schreef op maandag 10 november 2008 @ 16:01:
Probeer dit eens:

Windows cd erin laten draaien en dan op R drukken van repair.

Druk op 1 voor de versie van windows en daarna enter bij het admin wachtwoord.
voor nu de volgende regel in.

Copy C:\windows\$NTuninstallKB925902$\user32.dll c:\windows\system32\user32.dll

Druk op enter en hij vraagt of je het wil overschrijven... druk dan op ja of alle.
Nu moet hij weer verder kunnen gaan.

greetz Moi

quote:

Speed24 schreef op maandag 10 november 2008 @ 16:50:
[...]
Dit alles op Windows XP SP2 (NL):
De user32.dll uit de DLLCache-directory was uit 2007, maar deze werkte niet.
Ik heb uit de KB925062-directory ( \Windows\$NTUninstallKB925062$ ) de user32.dll gehaald (bestand uit 2005), nu werkt het wel.
Dankzij Menno-Pro:

[...]

quote:

Annedien schreef op maandag 10 november 2008 @ 16:57:
En wat is anders een slimme aanpak- ik heb nu internet uitgezet (kan dus niet automatisch updaten) en aangelaten zodat er iets gefixt zou kunnen worden.

Kixtart wijzigde dit bericht 10-11-2008 17:00 (28%)

quote:

Albert020 schreef op zondag 09 november 2008 @ 20:13:
[...]


Hmm, voor mij is dit de eerste keer in 6 jaar dat ik AVG gebruik dat er zoiets gebeurt.......

quote:

robbiesan schreef op maandag 10 november 2008 @ 17:00:
Ik kan vanavond ook op pad om enkele mensen te helpen, en wil iedereen vast hartelijk danken voor alle zeer nuttige info ! .Nog 1 vraagje echter: De map "dllcache" die in windows\system32 zou moeten staan, kan ik op mijn computer - windows Xp pro, SP3 - NIET vinden helaas. Ligt dat dat aan de windowsversie of heb ik per ongeluk in het verleden iets te radicaal opgeruimd ? Ik heb wel de optie "verborgen bestanden en mappen weergeven" geactiveerd.

quote:

Dazsur schreef op maandag 10 november 2008 @ 17:04:
[...]


En de optie systeembestanden weergeven?

quote:

koekoek2003nl schreef op maandag 10 november 2008 @ 17:12:
Als je je user32.dll niet hebt weggegooit is er niks aan de hand toch?
ook al zal ik ongetwijfelt dezelfde melding weer krijgen als ik de boel opnieuw opstart. Maar als ik gewoon op ignore klik tot AVG met een update komt is er niks aan de hand toch?

drunkfux wijzigde dit bericht 10-11-2008 17:23 (50%)

quote:

Un-X-PecteD schreef op maandag 10 november 2008 @ 17:48:
Goed, huidige situatie. Laptop zonder cd-drive. Met pijn en moeite een externe harde cd-rom drive weten te lenen. In de bios bovenaan gezet, hij herkent de drive wel, maar als ik hem door laat starten dan komt er geen optie om via de cd te booten, en laadt hij gewoon door naar de BSOD.

Hoe kan dit nu weer ? Legacy USB Support staat aan...

Ik begin echt para te worden

drunkfux wijzigde dit bericht 10-11-2008 18:06 (9%)

Tuumke wijzigde dit bericht 10-11-2008 19:10 (13%)

quote:

drunkfux schreef op maandag 10 november 2008 @ 18:04:
[...]

Heb je er wel een cd in?

ps, wat mij trouwens opviel vandfaag is dat alle pc's met dit probleem SP2 waren en geen een met SP3..

quote:

Wouter! schreef op maandag 10 november 2008 @ 20:47:
Ik ben wel benieuwd hoeveel mensen in totaal nu daadwerkelijk met dit probleem te kampen hebben (of inmiddels hebben gehad). Dit lijkt me een wereldwijd probleem, niet?

AVG kan daar vast wel een inschatting van maken, maar of ze dat ook doen is een tweede .

quote:

Church of Noise schreef op maandag 10 november 2008 @ 19:41:
Ik heb user32.dll laten verwijderen door AVG, en had daarbij 't bijkomende nadeel dat ik 'n Asus eee 900 heb en voorlopig geen externe cd/dvd-lezer.
Na wat zoeken, heb ik dit programma'tje gevonden: http://www.ntfs.com/boot-disk.htm dat je toelaat een bootable usb-stick te maken (10 dagen free trial). Na 't klaarmaken van de usb-stick op m'n desktop, copieerde ik de dll ook op de stick, en het probleem was opgelost door met de usb stick te booten en de dll te copieren naar de juiste plaats.

quote:

- winserv.dll
- user32.dll
- gdi32.dll

quote:

Loadichus schreef op maandag 10 november 2008 @ 23:12:
Met de tips in dit topic is het al gelukt een aantal computers te maken, echter heb ik nu 1 probleem geval.

En de vraag is samen te vatten als: Hoe kan ik in Ubuntu de HD forceren om te openen?

1
2

sudo mkdir /local/
sudo mount /dev/hda1 /local/

quote:

Church of Noise schreef op maandag 10 november 2008 @ 19:41:
Ik heb user32.dll laten verwijderen door AVG, en had daarbij 't bijkomende nadeel dat ik 'n Asus eee 900 heb en voorlopig geen externe cd/dvd-lezer.
Na wat zoeken, heb ik dit programma'tje gevonden: http://www.ntfs.com/boot-disk.htm dat je toelaat een bootable usb-stick te maken (10 dagen free trial). Na 't klaarmaken van de usb-stick op m'n desktop, copieerde ik de dll ook op de stick, en het probleem was opgelost door met de usb stick te booten en de dll te copieren naar de juiste plaats.

slappezever wijzigde dit bericht 11-11-2008 09:07 (98%)

quote:

ginod schreef op dinsdag 11 november 2008 @ 08:53:
Hoezo kom je niet in de bios ? Wachtwoord, of weet je niet welke toets ? Meestal is het de DEL toets, ESC, F10 etc...

Misscchien dat een bootable USB stick wel werkt voor je dan ?

quote:

AcidBanger schreef op maandag 10 november 2008 @ 17:33:
Ik heb hetzelfde probleem hier ondervonden.

Als je geen map met servicepackfiles op je PC heb kan je gewoon het DLL bestandje terug vinden op je windows CD/DVD.

C:\i386

Als je de commando zoekt om hem te vervangen ( in windows recovery console )ik post hem hieronder.

copy D:\i386\user32.dl_ C:\WINDOWS\System32\user32.dll

Ik ben ervan uitgegaan dat je CD/DVD station D: is kan natuurlijk verschillen per PC.

quote:

slappezever schreef op dinsdag 11 november 2008 @ 09:03:
test

quote:

Ron25 schreef op dinsdag 11 november 2008 @ 09:07:
[...]


probleem is dat ik niet in de bios kom. Dus bij het opstarten kan ik de F2 toets (deze is nodig om in de bios te komen) indrukken wat ik wil maar er gebeurd niets....dus schiet de laptop daarna door na het windows opstartscherm en dat blijft ie continu opnieuw opstarten...

Als ik een bootable usb stick erin stop betwijfel ik of deze gepakt wordt, aangezien ook de 'bootable' cd die ik gemaakt had bij het opstarten van de laptop niet gepakt wordt...maar ga het proberen

quote:

slappezever schreef op dinsdag 11 november 2008 @ 09:11:
***** Sorry voor de TEST post. Ik wist niet meer of ik van deze site een pass had ****

Hallo allemaal,

Eerst had ik een complete reinstall gedaan toen ik nog niet wist dat AVG het probleem was. Gisteren heb ik samen met een maat handmatig de benodigde bestanden terug gezet. (Hij had een cd met een os, toen konden we op mijn harde schijf komen. Veilige modus werkte niet)

Enige wat ie nu doet is xp opstarten (geen startup loop meer gelukkig), en de melding "cocreateinstance error" geven. Klik je op ok doet ie verder niks meer. HELP!

Ik heb echt alles al geprobeerd en ben hier al 2 dagen mee bezig. Bedankt AVG.

quote:

Ron25 schreef op dinsdag 11 november 2008 @ 09:07:
[...]
probleem is dat ik niet in de bios kom. Dus bij het opstarten kan ik de F2 toets (deze is nodig om in de bios te komen) indrukken wat ik wil maar er gebeurd niets....dus schiet de laptop daarna door na het windows opstartscherm en dat blijft ie continu opnieuw opstarten...

Als ik een bootable usb stick erin stop betwijfel ik of deze gepakt wordt, aangezien ook de 'bootable' cd die ik gemaakt had bij het opstarten van de laptop niet gepakt wordt...maar ga het proberen

quote:

sjakkie99 schreef op dinsdag 11 november 2008 @ 13:50:
Beste mensen,

Hier dus nog een geval, alleen ik kom niet eens verder dan de keuze voor veilige modus (f8), heb geen opstartcd of usb stick en ben een totale nitwit op dit gebied.
Probleem: opstartloop. Ik kom dus niet verder. Ik kan voor veilige modus kiezen, maar dan start ie niet door. Vervolgens gaat ie dan weer vrolijk opnieuw opstarten. Ook bij de keuze laatste config terugzetten gebeurt er niets.
Hoe werkt dat Live ubuntu? ik zie daar linux voorbij komen. wat is dat en kan dat gewoon op een pc met windows xp prof sp2?
Wat moet ik dan precies downloaden? Ik hoop dat iemand mij wil helpen?!


Thanks alvast!

jacq.

quote:

FlipFluitketel schreef op dinsdag 11 november 2008 @ 11:42:
[...]

Het is niet echt nuttig om binnen 10min je vraag opnieuw te stellen (wordt sowieso ook niet echt op prijs gesteld). Heb je die melding al eens in Google gegooid? Lijkt er dus op dat een of ander programma niet lekker meer werkt.
Welke bestanden heb je teruggezet? In de meeste gevallen is het nl. voldoende om maar 1 bestand terug te zetten..

slappezever wijzigde dit bericht 11-11-2008 15:15 (3%)

quote:

AKA_ACE schreef op dinsdag 11 november 2008 @ 16:58:
Is er stomtoevallig een verschil in opzet voor XP Home en XP prof?

XP prof. machines gaven geen probleem maar er is een laptop met XP Home en dat blijft maar mislukken...

Op alle XP Prof. machines stond er nog wel een user32.dll in de system32 map (welke na overschrijven weer een werkend systeem oplevert) maar op de XP Home machine kan ik geen enkel bestand vinden dat op user32.dll lijkt?

Doe ik iets fout of zie ik iets over het hoofd?

quote:

-Emiel- schreef op dinsdag 11 november 2008 @ 19:06:
[...]

Hmm op mijn XP Prof was geen user32.dll meer aanwezig, ik wilde, zoals de instructie op dat nucia oid, gaf, de oude user32.dll renamen, maar dat was niet mogelijk want het bestand was er niet meer. Dus hoefde ik alleen stap 2 te doen, user32.dll kopieren van XP SP2 CD naar desystem32 map. Daarna startte de PC weer gewoon op

quote:

Tranzy schreef op woensdag 12 november 2008 @ 12:35:
Oplossing van AVG zelf.

http://free.avg.com/faq.num-1577

CDimage downloaden. Daarvan booten en probeert zelf het ontbrekende bestand te herstellen.

quote:

Tranzy schreef op woensdag 12 november 2008 @ 12:35:
Oplossing van AVG zelf.

http://free.avg.com/faq.num-1577

CDimage downloaden. Daarvan booten en probeert zelf het ontbrekende bestand te herstellen.

quote:

wiene schreef op woensdag 12 november 2008 @ 13:13:
[...]

Jaja, dat lukt mij allemaal wel maar daar heb ik niks aan als ik al op locatie ben zonder internet en 9km van huis.

quote:

Damian schreef op woensdag 12 november 2008 @ 12:53:
[...]


wat een ruktool, ding gaat gewoon je hd doorzoeken of er ergens een user32.dll staat, en die kopieert ie dan terug. Lekker handig als ie de verkeerde versie vind of iets dergelijks

quote:

AKA_ACE schreef op woensdag 12 november 2008 @ 13:23:
[...]


En toch heeft dit de boel weer lopend gekregen...
Alleen niet in één keer...
Er stond nog een user32.dll in de system32 map (een eerder geplaatste dll, want ik ben er al een tijdje mee bezig geweest). Ik heb deze eerst, via een BartPE cd, hernoemd naar .bak, ook in de i386 map stond er nog eentje en nadat ik deze ook hernoemd heb heb ik de AVG-fix er weer op losgelaten en tadaaaaa....

De laptop werkt weer...

Dus zo'n "ruktool" is het ook weer niet blijkbaar...
Sterker nog, dit is het enige dat geholpen heeft (mag ook wel eigenlijk, AVG is tenslotte degene die dit heeft veroorzaakt)...

quote:

impala schreef op woensdag 12 november 2008 @ 16:45:
[...]


Ik heb ook al allerlei user32.dll´s erop gezet met BartPE (heb XP pro maar weet niet helemaal zeker of het engels of NL was en welk servicepack) maar nog zonder resultaat.
Ik wil vanavond de AVG methode gaan proberen.
Maar hoe kom ik van die dll´s af die ik er nu zelf al opgezet heb? Ik heb er niet veel verstand van, kan alleen stap-voor-stap handleidingen volgen helaas.

Hoe werkt dat hernoemen van de dll-bestanden via de BartPE precies??

En maakt het voor de avg oplossing uit of je XP home of Pro hebt en welke taal? Zag nl alleen verschillende versies voor AVG 7.5 en 8 (en ik weet ook al niet zeker welke versie ik heb )

Onbekend wijzigde dit bericht 12-11-2008 20:09 (19%)

quote:

Guuzz schreef op woensdag 12 november 2008 @ 22:52:
nu zoek ik dus iets waarmee ik kan booten zonder afhankelijk te zijn van de al aanwezige windows-installatie, waarbij ik rechten heb in de system32 map.

ParaNoiMia wijzigde dit bericht 12-11-2008 23:08 (6%)

quote:

ParaNoiMia schreef op woensdag 12 november 2008 @ 23:08:
[...]

Er is hier al tig-keer de BartPE CD genoemd, dat is exact wat je zoekt. Een Linux live cd werkt ook prima overigens

quote:

kverstre schreef op donderdag 13 november 2008 @ 22:09:
Hallo,

Ik heb ook het ondertussen gekende AVG probleem (acer laptop met windows XP home + SP3) ...

Nadat ik last had hiervan heb ik over mijn verborgen acer partitie (dat ding heeft verder toch geen nut, hoop ik n...?) windows XP pro geïnstalleerd om zo makkelijk mijn user32.dll terug te zetten. Dit lukte perfect maar nu krijg ik bij het opstarten, net nadat ik de XP home editie heb aangeduid in mijn boot-keuzescherm het bericht dat "hal.dll missing or corrupt" is??
Weet iemand raad...?

quote:

SithWarrior schreef op vrijdag 14 november 2008 @ 16:44:
Ze zijn lekker bezig daar bij AVG, na updaten van de laaste definities krijg ik ineens allemaal meldingen dat het bestand in de directory Windows\System32\Macromed\Flash een virus is, wel te verstaan FlashUtil10a.

Ik net lopen klooien, tot ik er op andere pc achter kom dat na updaten van defs die ook ineens denkt dat er een virus schuilgaat in FlashUtil10a. Lekker hoor.

quote:

ParaNoiMia schreef op vrijdag 14 november 2008 @ 16:55:
[...]


Ik heb hier de free versie van AVG 8 draaien en expres even mn Flash naar 10 geupdate, maar ik krijg hier geen meldingen met de laatste defs (270.9.3/1788)

quote:

Luqq schreef op maandag 10 november 2008 @ 23:21:
[...]


Uhm forceren hoeft niet, probeer de volgende commands eens:
code:

1 2	sudo mkdir /local/ sudo mount /dev/hda1 /local/

Zo is 't bij mij gelukt op een kapotte cd, wel knoppix, maar dat zou niet uit moeten maken. Succes!

1
2

sudo fdisk -l
sudo mount /dev/sd** /mnt -o force