Trojan Horse PSW banker4: AVG False positive

quote:

jortmeek schreef op zondag 09 november 2008 @ 22:00:
Het schijnt dat er meer mensen last van hebben. Ik heb vandaag al 2 mensen langs gehad met misschien hetzelfde probleem. Voor de mensen voor wie bovenstaande oplossingen niet werken raad ik het volgende aan. Het is wat omslachtiger maar het werkt.

Je moet user32.dll vervangen. Een goede versie kan gevonden worden in het mapje c:\windows\$NTuninstallKB925902$
Dit kan je doen door een windows xp cd erin te doen vervolgens te kiezen voor systeemherstel en vervolgens als er om een wachtwoord wordt gevraagd niks invullen. Dan kom je in de dos omgeving en hierin kun je dan het bovengenoemde bestandje kopiëren naar c:\windows\system32. Als het goed is werkt je computer dan weer.

Meer mensen last? Er zijn 10 miljoen lui AVG gebruikers en iedereen met XP SP2 heeft denk ik dit risico.....

Ach kleinigheidje.

Thx Roy even voor de duidelijkheid ik ben geen computer kenner en kom er gewoon niet verder mee.

Als ik hem opstart met de cd er in dan start ik hem op vanaf de cd, dat ding gaat ratelen en bestanden laden in beeld staat Windows Setup

Ik toets R

1 enter

wachtwoord enter

ik krijg c:\windows>

hierna heb ik alles geprobeerd maar het ding doet niks

Hoi, ik had hetzelfde probleem met user32.dll, die heb k dan kunnen herinstallen door de gevolgde stappen te volgen hier met de expand functie vanop de XP cd, maar nu krijg ik dezelfde fout maar dan met winsrv. Ik heb dezelfde methode gehanteerd als met user32.dll (ook al stond winsrv.dll in de system32, en heb ik die dus overschreven om zeker te zijn) maar de fout heb ik nog steeds. Wat is nu de beste methode om hier van af te geraken?

ik was ook een leek voor vandaag heb vanalles geprobeerd en het is me nu uiteindelijk gelukt.

Ik kon gelukkig wel in veilige modus opstarten (duw continu op f8 gedurende opstarten en kies voor veilige modus)
via start -> uitvoeren -> cmd de bestaande user32.dll gerenamed (ik raad aan dit altijd te doen)
ren c:\windows\system32\user32.dll user32.old < enter >


ik heb geen dllcach of servicepackfiles directory gevonden en de user32.dll files die ik wel nog vond op mijn pc had ik allemaal geprobeerd maar met geen enkele kon ik het reboten tegenhouden. Erger nog daarna lukte ik er zelfs niet in om nog in veilige modus te geraken.

voor diegenen die een xp cd gebruiken:

Als je in veilige modus zit kan je gewoon via mijn computer naar de inhoud van de cd kijken:
ga naar de dir i386 daar zou user32.dl_ moeten staan.

als je die gevonden hebt dient hij geexpaneerd te worden
ga terug naar een command venster
en type (vervang d door jouw station naam)

expand d:\i386\user32.dl_ c:\windows\system32\user32.dll <enter>

dan zou hij dat moeten uitgepakt hebben.
bij mij was er nog een foutje ingeslopen (of had ik me toch mistypt?) het bestand noemde nog steeds user32.dl_ maar het was toch uitgepakt en met een rename (ren) heb ik er dan user32.dll van gemaakt.

als je niet in veilige modus kan opstarten, plaats dan je cd tijdens het reboten erin ik heb dan op f9 of f12 geduwd om dan ergens te kunnen kiezen dat hij van de cd moest booten
dat duurt wel een tijdje maar je krijgt dan inderdaad een blauw scherm met 3 mogelijkheden.
kies voor de middelste en druk dus op R
dan moet je een nummer invoeren (welke windows versie of zoiets) kies 1
dan een wachtwoord gewoon enter, normaal is er geen wachtwoord of anders gebruik je het wachtwoord vanje administrator, is ook heel vaak "admin".
Dan kom je op c:windows>
dat is de promt
ga na welke letter je cd heeft
druk a:
hij kan dan a:> aangeven
type dir
kijk na of i386 tussen het rijtje staat
is dat de juisten dan is je cd tijdelijk de letter a
is het niet a ga dan al letters af tot je hem vind
bij mij was het J dus veel succes.
heb je de letter gevonden dan kan je nu het volgende doen (waarbij a dan jouw letter is)

expand a:\i386\user32.dl_ c:\windows\system32\user32.dll <enter>

tip: de : staat onder de M in het toetsenbord en de m bij het vraagteken.

je kan nu nog eens
dir c:\windows\system32\
om te controleren of user32.dll er nu goed tussenstaat.
en exit , nu zou hij opnieuw moeten rebooten en goed opstarten.
na vele pogingen is dat bij mij toch gelukt, zonder avg er af te zwieren, en ik heb avg ook niets doen overslagen.
veel succes

quote:

Ron Fleuren schreef op zondag 09 november 2008 @ 22:29:
Thx Roy even voor de duidelijkheid ik ben geen computer kenner en kom er gewoon niet verder mee.

Als ik hem opstart met de cd er in dan start ik hem op vanaf de cd, dat ding gaat ratelen en bestanden laden in beeld staat Windows Setup

Ik toets R

1 enter

wachtwoord enter

ik krijg c:\windows>

hierna heb ik alles geprobeerd maar het ding doet niks

Als je bij het scherm c:\windows bent hoef je alleen het volgende in te tikken:

copy c:\windows\$NTuninstallKB925902$\user32.dll c:\windows\system32

Dan zou je computer weer moeten werken.

Succes

Zie ook dit topic hier is er al iemand mee geholpen.

jortmeek wijzigde dit bericht 09-11-2008 22:39 (8%)

quote:

Ron Fleuren schreef op zondag 09 november 2008 @ 22:29:
Thx Roy even voor de duidelijkheid ik ben geen computer kenner en kom er gewoon niet verder mee.

Als ik hem opstart met de cd er in dan start ik hem op vanaf de cd, dat ding gaat ratelen en bestanden laden in beeld staat Windows Setup

Ik toets R

1 enter

wachtwoord enter

ik krijg c:\windows>

hierna heb ik alles geprobeerd maar het ding doet niks

Niks is erg weinig.

Met de post van Kruidje Geplaatst op zondag 09 november 2008 22:33 moet je toch wel een eind kunnen komen. Geef anders zo duidelijk mogelijk aan wat voor foutmelding je krijgt.

quote:

Albert020 schreef op zondag 09 november 2008 @ 22:25:
[...]


Dit doe je op deze manier:

Start de computer opnieuw opnieuw op.
Tijdens het opstarten, hou de F8-toets ingedrukt/of druk er meermalig op tot het opstartmenu verschijnt.
In dit menu kies je de optie "Veilige modus".

[afbeelding]

Daarna zal de computer verder opstarten in Veilige Modus. Je zal dit ook merken aan de "veilige modus" die in de 4 hoeken van je beeld zullen staan.

Nota: (De F8-methode is alleen van toepassing als Windows XP het enige besturingssysteem is op de computer.)

Inderdaad, veilige modus heb ik reeds geprobeerd, maar dit lukt niet. Wel heb ik via de Restore Console van Windows XP operating system de ren/copy en expand methode geprobeerd en er staat nog steed 'Toegang geweigerd'. (Dus zelfs in de Restore Mode).

Wel merkwaardig is dat ik nooit nummer 1 moet intypen en nooit een paswoord gevraagd krijg. Ik kom onmiddellijk in The Recovery Console met C:\>

Don-B wijzigde dit bericht 09-11-2008 22:43 (7%)

quote:

Don-B schreef op zondag 09 november 2008 @ 22:41:
[...]


Inderdaad, veilige modus heb ik reeds geprobeerd, maar dit lukt niet. Wel heb ik via de Restore Console van Windows XP operating system de ren/copy en expand methode geprobeerd en er staat nog steed 'Toegang geweigerd'. (Dus zelfs in de Restore Mode).

Wel merkwaardig is dat ik nooit nummer 1 moet intypen en nooit een paswoord gevraagd krijg. Ik kom onmiddellijk in The Recovery Console met C:\>

Als je bij het scherm c:\ bent hoef je alleen het volgende in te tikken:

copy c:\windows\$NTuninstallKB925902$\user32.dll c:\windows\system32

Dan zou je computer weer moeten werken.

Succes

Zie ook dit topic hier is er al iemand mee geholpen.

jortmeek wijzigde dit bericht 09-11-2008 22:44 (4%)

quote:

jortmeek schreef op zondag 09 november 2008 @ 22:35:
[...]


Als je bij het scherm c:\windows bent hoef je alleen het volgende in te tikken:

copy c:\windows\$NTuninstallKB925902$\user32.dll c:\windows\system32

Dan zou je computer weer moeten werken.

Succes

Zie ook dit topic hier is er al iemand mee geholpen.

WOW ik krijg reactie van mij laptop

hij geeft nu aan 1 bestand gekopieerd

wat moet ik nu dpoen

even nog toevoegen:
als je niet in veilige modus geraakt kan je vanaf cd reboten en daar ook
ren c:\windows\system32\user32.dll user32.old < enter >

intypen om de foute file even opzij te zetten

ikzelf heb deze file ook een paar keer terug gezet omdat ik met deze foute file toch nog wel in veilige modus geraakte, en met een aantal andere user32.dll die ik vond niet.
groetjes

quote:

jortmeek schreef op zondag 09 november 2008 @ 22:44:
[...]


Als je bij het scherm c:\ bent hoef je alleen het volgende in te tikken:

copy c:\windows\$NTuninstallKB925902$\user32.dll c:\windows\system32

Dan zou je computer weer moeten werken.

Succes

Zie ook dit topic hier is er al iemand mee geholpen.

Dank u voor de tip, ik heb het zojuist geprobeerd en krijg nog steeds 'Toegang geweigerd' als antwoord. Ik sta in de Herstelconsole vanuit de Windows XP cd.

quote:

Ron Fleuren schreef op zondag 09 november 2008 @ 22:48:
[...]


WOW ik krijg reactie van mij laptop

hij geeft nu aan 1 bestand gekopieerd

wat moet ik nu dpoen

Opnieuw opstarten, met een beetje geluk werkt je laptop dan weer

quote:

Don-B schreef op zondag 09 november 2008 @ 22:49:
[...]


Dank u voor de tip, ik heb het zojuist geprobeerd en krijg nog steeds 'Toegang geweigerd' als antwoord. Ik sta in de Herstelconsole vanuit de Windows XP cd.

Hoe heb je de herstelconsole opgestart? Vanuit windows of door een boot van cd

Pff wat een geouwehoer zeg, en dat allemaal door 1 zo'n update

Ik kreeg op de laptop van m'n moeder ook de melding dat er een Trojan Horse was gevonden in user32.dll, ook een "PSW Banker4".

Ik heb toen op "Ignore" geklikt (nadat ik had gekeken op Google, en zag dat er meer mensen met dit probleem waren).

Toen AVG 7.5 eraf geknikkerd, ge-reboot (AVG had niks gesloopt aan Windows ) en AVG 8.0 geinstalleerd. Toen geen melding meer van user32.dll Trojan Horse.


XP SP2 (of SP3, weet niet zeker) en AVG Free 7.5 (Nu 8.0 Free)

quote:

jortmeek schreef op zondag 09 november 2008 @ 22:49:
[...]

Opnieuw opstarten, met een beetje geluk werkt je laptop dan weer

thx thx thx hij doet het

avg eraf gooien en welke er op ?????

quote:

jortmeek schreef op zondag 09 november 2008 @ 22:52:
[...]

Hoe heb je de herstelconsole opgestart? Vanuit windows of door een boot van cd

door de officiële Windows XP CD (en dan R), ik geraak niet op windows of de veilige modus ervan. Ik weet niet waarom deze CD niet vraagt achter 1 en dan mijn paswoord.

Don-B wijzigde dit bericht 09-11-2008 22:56 (3%)

quote:

Don-B schreef op zondag 09 november 2008 @ 22:54:
[...]


door een boot van CD (en dan R), ik geraak niet op windows of de veilige modus ervan. Ik weet niet waarom deze CD niet vraagt achter 1 en dan mijn paswoord.

Hmm lastig ik heb elke keer niets ingevuld als er om een wachtwoord werd gevraagd en daarna de het bestand gekopieerd. Weet niet waarom de toegang dan geweigerd wordt. Misschien dat iemand anders kan bedenken hoe dat is te omzeilen.

Voor mij (windows xp - met service pack 2) werkte het volgende:

1. Booten van de windows XP cd naar de repair console zoals hierboven tig keer beschreven
2. Kopieer user32.dll vanuit c:\windows\system32\dllcache naar c:\windows\system32
voor de mensen van na het dos tijdperk typ:
copy c:\windows\system32\dllcache\user32.dll c:\windows\system32
3. Start opnieuw op, nu zonder windows cd, in veilige modus (dus na booten net zolang op F8 drukken tot je een keuze menu krijgt)
4. Eenmaal in veilige modus opgestart: verwijder AVG (via start, instellingen, configuratiescherm, software)
5. Start je computer weer normaal op

THX Jortmeek alles werkt

Volgende uitleg voor de aanmaak van een bootcd heeft mij ook geholpen.

nadien heb ik in de map op de c: de dll vervangen volgens de uitleg van Jortmeek:
copy c:\windows\$NTuninstallKB925902$\user32.dll c:\windows\system32

succes en bedankt!


************************

Indien je geen originele Windows XP CD hebt, voer de volgende instructie uit:
Om toegang te krijgen tot de PC is het belangrijk dat je de volgende zaken bij de hand hebt:
Een PC met internettoegang.
Een computer met CD-brander.
Een lege CD-rom.
Download het volgende bestand naar je bureaublad (Klik met de rechtermuisknop op de link en kies voor "bestand opslaan als" (FireFox: koppeling opslaan als)!!):
isoburner.iso - http://www.xs4all.nl/~wankytan/isoburner.exe
(*kopie 1*) - http://www.nucia.nl/download/isoburner.exe


Download het volgende bestand naar je bureaublad (Klik met de rechtermuisknop op de link en kies voor "bestand opslaan als" (FireFox: koppeling opslaan als)!!):
nuciaboot.exe - http://www.xs4all.nl/~wankytan/nuciaboot.iso
(*kopie 1*) - http://www.nucia.nl/download/nuciaboot.iso


Als beide bestanden gedownload zijn open je isoburner.exe. Controleer dat er in het venster achter 'ISO Path' het bestand nuciaboot.iso vermeld staat.


Stop een lege CD in de brander van de computer en druk op BURN ISO!.
---------------------

Ga naar de probleem-PC en stop de zojuist gemaakte CD-rom in de drive.
De CD-rom met BartePE zal nu starten. Zie je weer het scherm waar Windows vraagt om te kiezen hoe je wilt starten? Klik dan hier!.


Op de vraag of je netwerksupport wilt ondersteunen antwoord je nee. Als BartPE geladen is klik je op Go, gevolgd door Command Prompt (CMD).


Typ hier de volgende commando's. Let erop dat je spaties en leestekens -exact- overneemt.
cd .. < enter >
cd .. < enter >
dir < enter >
Je ziet nu een overzicht met bestandsmappen die een opbouw heeft zoals nl_xp_sp2. Je moet nu de map kiezen die het best overeenkomt met het systeem wat jij op je computer hebt staan!! Indien je een foute keuze maakt kun je het later wel ongedaan maken.
en_home_sp2 -> Windows XP Home Edition Service Pack 2 Engels
en_home_sp3 -> Windows XP Home Edition Service Pack 3 Engels
en_mce_sp2 -> Windows XP Media Center Edition Service Pack 2 Engels
en_mce_sp3 -> Windows XP Media Center Edition Service Pack 2 Engels
en_pro_sp2 -> Windows XP Professional Edition Service Pack 2 Engels
en_pro_sp3 -> Windows XP Professional Edition Service Pack 3 Engels
nl_home_sp0 -> Windows XP Home Edition Nederlands
nl_home_sp2 -> Windows XP Home Edition Service Pack 2 Nederlands
nl_home_sp3 -> Windows XP Home Edition Service Pack 3 Nederlands
nl_mce_sp2 -> Windows XP Media Center Edition Service Pack 2 Nederlands
nl_mce_sp3 -> Windows XP Media Center Edition Service Pack 2 Nederlands
nl_pro_sp2 -> Windows XP Professional Edition Service Pack 2 Nederlands
nl_pro_sp3 -> Windows XP Professional Edition Service Pack 3 Nederlands.
Typ nu cd nl_home_sp3 < enter >. Vervang het nl_home_sp3 gedeelte met de versie van Windows XP die op jouw computer staat!
Typ ren c:\windows\system32\user32.dll user32.old < enter > (indien deze stap misgaat mag je hem overslaan)
Typ copy user32.dll c:\windows\system32\user32.dll
Klik op GO, klik op Shut down, Shut down.


*****************

Vanaf Nucia.nl http://www.nucia.nl/forum/showthread.php?t=42813 BartPe gedowloaded.
Deze cd gebruikt om de xp machine op te starten.
Vanaf c:\windows\servicepackfiles\i386 user32.dll, maar ook gdi32.dll gecopieerd naar c:\windows\system32
Mijn computer loopt weer, morgen avond ga ik de overbuurman helpen om zijn computer weer aan de praat te krijgen.

Blij dat ik eerst even op psw.banker4 gegoogled heb vanmiddag en hier terecht kwam. Ik heb eerst 20x ignore gedrukt, toen de melding onder naar het scherm gesleept waardoor ik niet meer gestoord werd. Om ca 17.00 vond AVG weer een update en sindsdien geen melding meer gehad.

Ik heb nu al 3 verschillende originele Windows XP CDs geprobeerd om via de Herstelconsole van deze opnieuw het bestand system32.dll te verkrijgen (via de expand en de ren/copy-methode en de derde methode $uninstall...) Ik blijf als antwoord krijgen 'Toegang geweigerd.'

Nog geen oplossing hiervoor gevonden.

Groeten

quote:

casaubon schreef op zondag 09 november 2008 @ 22:58:
Voor mij (windows xp - met service pack 2) werkte het volgende:

1. Booten van de windows XP cd naar de repair console zoals hierboven tig keer beschreven
2. Kopieer user32.dll vanuit c:\windows\system32\dllcache naar c:\windows\system32
voor de mensen van na het dos tijdperk typ:
copy c:\windows\system32\dllcache\user32.dll c:\windows\system32
3. Start opnieuw op, nu zonder windows cd, in veilige modus (dus na booten net zolang op F8 drukken tot je een keuze menu krijgt)
4. Eenmaal in veilige modus opgestart: verwijder AVG (via start, instellingen, configuratiescherm, software)
5. Start je computer weer normaal op

Beetje raar, bij mij lukt het t/m stap 2, maar als ik wil rebooten in veilige modus, dan start hij gewoon weer opnieuw op. Het kopieren van de file lukt dus wel via de xp install-cd.

Iemand nog een idee?