Trojan Horse PSW banker4: AVG False positive

quote:

Don-B schreef op zondag 09 november 2008 @ 23:36:
Ik heb nu al 3 verschillende originele Windows XP CDs geprobeerd om via de Herstelconsole van deze opnieuw het bestand system32.dll te verkrijgen (via de expand en de ren/copy-methode en de derde methode $uninstall...) Ik blijf als antwoord krijgen 'Toegang geweigerd.'

Nog geen oplossing hiervoor gevonden.

@ Don-B:
Ik had ook het probleem dat het niet in 1 keer lukte door in de recovery console (terwijl ik in de map c:\windows\system32\ stond) het volgende te typen:

expand [letter van mijn cd-drive]:\i386\user32.dl_ c:\windows\system32\user32.dll
(kreeg hierop ook een foutmelding - weet alleen niet 100% zeker of dit dezelfde melding was die jij krijgt)

Mijn oplossing was om te proberen om de file eerst vanaf de cd gewoon maar ergens naar mijn harddisk te krijgen. Ik probeerde:

expand [letter van mijn cd-drive]:\i386\user32.dl_ c:\user32.dll
(of alleen c:\ op het eind zonder de 'user32.dll' - weet ik ook niet meer helemaal zeker...)

Dit werkte vreemd genoeg wel! Daarna de file domweg gekopieerd naar de system32 map met:

copy c:\user32.dll c:\windows\system32\

Hiermee werkte het terugzetten van user32.dll in mijn geval dus wel!!!

Mijn systeem werkte alleen nog niet omdat ik een oude windows cd (pre service pack 2) gebruikte met daarop een versie van de .dll die niet compatible was met mijn systeem (ik zit nog op service pack 2) - en me vervolgens een 'winsvr' bluescreen gaf. De user32.dll SP2 file die trinite_t al eerder voor ons heeft geupload (zie eerste pagina van deze thread) deed in mijn geval dus wonderen! (kon deze simpelweg in de recoverymode via een usb stick kopieren) Veel dank hiervoor!!!

Hoop dat dit helpt...
-Tim

quote:

timsmeg schreef op maandag 10 november 2008 @ 01:10:
[...]


@ Don-B:
Ik had ook het probleem dat het niet in 1 keer lukte door in de recovery console (terwijl ik in de map c:\windows\system32\ stond) het volgende te typen:

expand [letter van mijn cd-drive]:\i386\user32.dl_ c:\windows\system32\user32.dll
(kreeg hierop ook een foutmelding - weet alleen niet 100% zeker of dit dezelfde melding was die jij krijgt)

Mijn oplossing was om te proberen om de file eerst vanaf de cd gewoon maar ergens naar mijn harddisk te krijgen. Ik probeerde:

expand [letter van mijn cd-drive]:\i386\user32.dl_ c:\user32.dll
(of alleen c:\ op het eind zonder de 'user32.dll' - weet ik ook niet meer helemaal zeker...)

Dit werkte vreemd genoeg wel! Daarna de file domweg gekopieerd naar de system32 map met:

copy c:\user32.dll c:\windows\system32\

Hiermee werkte het terugzetten van user32.dll in mijn geval dus wel!!!

Mijn systeem werkte alleen nog niet omdat ik een oude windows cd (pre service pack 2) gebruikte met daarop een versie van de .dll die niet compatible was met mijn systeem (ik zit nog op service pack 2) - en me vervolgens een 'winsvr' bluescreen gaf. De user32.dll SP2 file die trinite_t al eerder voor ons heeft geupload (zie eerste pagina van deze thread) deed in mijn geval dus wonderen! (kon deze simpelweg in de recoverymode via een usb stick kopieren) Veel dank hiervoor!!!

Hoop dat dit helpt...
-Tim

Bedankt voor je tips. Ik heb geprobeerd om naar C:\ te expanden ipv c:\system32, maar hier stond op dat user32.dll niet kon worden gemaakt 0 bestanden overgedragen.
Ook heb ik geprobeerd het bestand user32.dll op een usb stick te plaatsen en te kopiëren naar C:\ maar hier bleek het systeem de usb-stick niet te herkennen.

Groeten

Oke, er zijn al vele berichten gepost maar ik hoop toch dat iemand mij kan helpen.

Ook ik ben zo dom geweest om na de melding van AVG het bestand naar de vault te verbannen, waarna mijn Windows meteen afsloot en na opstarten het welbekende blauwe scherm gaf.

Na zoeken heb ik een Belgisch forum gevonden waar ze enkele oplossingen gaven. In volgorde is dit wat ik gedaan heb (ik kan en kon XP SP2 niet opstarten in veilige modus)

1) Met een geleende officiele CD:
http://www.9lives.be/foru...-dienst.html#post10795121

Ik moest weer een beetje inkomen in het hele DOS gedoe (ben niet een grote nerd en het was alweer een x aantal jaar geleden voor het laatst). Volgens mij gaf hij geen melding na dit commando wat natuurlijk vreemd is en ik vast niet goed gezien heb Toen ik bij een van de latere stappen in die map keek zag ik uberhaupt het bestandje niet staan, maar wellicht dat het inmiddels verwijderd was door de setup?? Anyway, ik heb opnieuw opgestart en het probleem bleef.

2) Stap 1 heb ik herhaald maar dan nav
http://www.nucia.nl/forum/showthread.php?t=42813
Dus eerst hernoemd en daarna gekopieerd. Opnieuw opstarten resulteerde vervolgens in een melding over winsrv ipv user32.dll

3) Toen heb ik dit gedaan:
http://www.multidesk.be/f...5667/C0000135-winsrv.html, reactie #9.
Hierdoor bleef mijn computer steeds in een setuploop: 39 minuten naar 34' en telkens weer opstarten.
Ik werd daar erg ongelukkig/ongeduldig van en heb het toen opnieuw gedaan met de gedachte dat dat misschien beter was. DOM ! Sindsdien krijg ik geen enkele melding meer, maar eindigt alles in een zwart scherm nadat ik opstart (na het ' windowsopstartlogo' of na de keuze voor veilige modus).

4) Ik kwam toen op Tweakers terecht en heb nog een keertje via DOS chckdsk uitgevoerd waarbij inderdaad fouten gevonden werden, nog een keer een copy gemaakt vanaf de opstart CD en deze uiteindelijk overschreven met een copy uit de $uninstallmap. Ook heb ik deze voor de zekerheid in mapje Dllcache gezet en de user32.old laten staan in system32.


Maar nog steeds resulteert opstarten zonder CD (moeilijk overigens, want hij geeft me weinig kans om de opstartCD eruit te halen, terwijl mijn andere CDdriver wel gewoon altijd opent ) in een windowsopstartscherm gevolgd door eindeloos zwart.
Ik heb het vermoeden dat met de setup die ik gestart heb ergens een map is aangemaakt waardoor mijn compu weet dat hij ermee bezig was, maar doordat ik hem afgebroken heb het telkens blokkeert.

Kan iemand mij misschien helpen, want ik wil zo heel erg graag bij mijn compu. Heb de BartPE Cd niet gemaakt, want ik heb het idee dat mijn user32.dll nu wel goed zit, maar ik het probleem verplaatst heb...

Voor zover ik uit deze woordenbrij kan halen heeft dezelfde fout voor verschillende mensen verschillende uitwerkingen.
Het eerste probleem is gelijk (de BSOD infinite boot-cycle), maar sommigen hebben na het oplossen van de ene een ander probleem (winsrv.dll) Ikzelf heb dit probleem niet gehad. Het lijkt me interessant te kijken wat de voorwaarden voor deze tweede error zijn.

Ik heb een XP pro SP2 van een officiële XP pro SP2 cd.
Bij mij werkte dit:
windows cd in mijn computer, boot from cd. Hier had ik de mogelijkheid op R te drukken. (welke mensen hadden dat niet en wat voor cd en versie van windows hebben die?)
In de repair console heb ik het volgende ingetikt:
1
*wachtwoord*
cd system32
extract E:\i386\user32.dl_ C:\windows\system32
[extracted 1 file]
exit

Hierna werkte mijn systeem weer als vanouds. Maar er zijn mensen die hierna een andere error kregen. Welke versie van XP hebben die, en wat voor installatie cd (if any), en wat hebben die gedaan om de eerste error (user32.dll) op te lossen?

Heb er vanavond ook last van gehad. Wat irritant dat AVG zo geblunderd heeft eigenlijk, met die (inmiddels een-na-) laatste update!

Na wat kleine vastlopertjes PC herstart, vlak voor ik weg wilde naar een vriend, toen bleef ie in een loop met opnieuw opstarten. Ik in de stress, mooi kut. Uiteindelijk via 'de computer niet automatisch opnieuw opstarten na systeemcrash' uitgezet en daarmee gezien dat er wat mis was met user32.dll

Geklooi, toch naar die vriend, daar even geGoogled en al gauw op de eerder genoemde :
http://www.nucia.nl/forum/showthread.php?t=42813 terecht gekomen. Met het stappenplan daar, met een originele XP + SP2 (NL) kon ik, na wat kutten met de MS-DOS prompt opdracht..na het kopiëren van user32.dll naar de windows/system32 weer verder

Gelukkig.. Voor diegene die na het doorlopen van bovenstaande nog steeds problemen ondervinden..sterkte ermee (Y) Blij dat het hier uiteindelijk vlot was opgelost

ik zit nog stees met dit probleem.

Heb een originele WinXP Home Edition CD erin gedaan maar voordat ik het setup menu krijg waar ik herstel uitkan voeren krijg ik een BSOD met *** STOP: 0x0000007B ( 0xF78D6528, 0xC0000034, 0x00000000, 0x00000000 ) "

Toen heb ik het het ISO bestand van die Nucia site gedownload, ge brand, deze laad. Als hij klaar is met laden krijg ik weer hetzelfde BSOD met *** STOP: 0x0000007B ( 0xF78D6528, 0xC0000034, 0x00000000, 0x00000000 ) voor ik iets van herstel of opdrachten kan invoeren.

quote:

Sander1991 schreef op maandag 10 november 2008 @ 00:22:
[...]

Beetje raar, bij mij lukt het t/m stap 2, maar als ik wil rebooten in veilige modus, dan start hij gewoon weer opnieuw op. Het kopieren van de file lukt dus wel via de xp install-cd.

Iemand nog een idee?

Het enige wat je hoeft te doen is user32.dll vervangen. Een goede versie kan gevonden worden in het mapje c:\windows\$NTuninstallKB925902$ dit is in de meeste gevallen de meest recente versie van deze dll.
Dit kan je doen door een windows xp cd erin te doen vervolgens te kiezen voor systeemherstel en vervolgens kom je in de dos omgeving en hierin kun je dan het bovengenoemde bestandje kopiëren naar c:\windows\system32. Als het goed is werkt je computer dan weer.

In dos taal zou je dan het volgend moeten tikken:

copy c:\windows\$NTuninstallKB925902$\user32.dll c:\windows\system32

Ik heb dit gedaan, copy c:\windows\$NTuninstallKB925902$\user32.dll c:\windows\system32
maar mijn PC blijft opnieuw opstarten....(XP Prof),
Ik heb wel de winsrv vervangen na aanleiding van dit topic, kan dit het probleem nu zijn?

quote:

trinite_t schreef op zondag 09 november 2008 @ 16:05:
Heb de winsrv.dll en de gdi32.dll ook op server gezet. Zijn allemaal de SP2 files. SP3 files on request

quote:

trinite_t schreef op zondag 09 november 2008 @ 15:28:
Ik zal wel even een zipje online zetten met het bestand van sp2. momentje

hier te downloaden: user32.dll.zip

Dit heeft voor mij geholpen in combo met ERD 2005, TotalCMD en een USB stick .

Als je niet thuis bent met een command prompt ga dan niet zelf klooien, gezien de verschillende uitwerkingen van deze problemen met AVG is de kans op een verder verkloot systeem veel te groot. Gewoon naar een computerservice mannetje (of vrouwtje) gaan, en de rekening van 30 euro declareren bij AVG

quote:

BoGhi schreef op maandag 10 november 2008 @ 10:38:
Als je niet thuis bent met een command prompt ga dan niet zelf klooien, gezien de verschillende uitwerkingen van deze problemen met AVG is de kans op een verder verkloot systeem veel te groot. Gewoon naar een computerservice mannetje (of vrouwtje) gaan, en de rekening van 30 euro declareren bij AVG

Ik heb de voorwaarden even gelezen van AVG free edition (ik neem aan dat de meeste mensen met de gratis versie werken) en er staat heel mooi in dat ze niet aansprakelijk zijn.
http://free.avg.com/93828 Onder kopje 4 en 5. Dat kan je ook niet verwachten als het een gratis service is.

Is er eigenlijk al een fix van AVG voor dit probleem? Ik wil namelijk die hele procedure niet overal nog een keer gaan doen

Ik heb een Ubunte cd gebruikt om te booten vanaf de CD. Daarmee kun je gewoon in de windows/system mappen. Ik heb bestandje gedownload via de link in de eerste pagina in deze post en terug gezet. Toen opgestart zonder de Ubuntu cd erin en alles werkt weer!

quote:

D4rkSt4r schreef op maandag 10 november 2008 @ 11:03:
Is er eigenlijk al een fix van AVG voor dit probleem? Ik wil namelijk die hele procedure niet overal nog een keer gaan doen

Ja, een latere update is al uit

Ik geraak nog steeds niet verder dan de herstelconsole aangezien er steeds om een admin wachtwoord gevraagd wordt dat er nooit opgezet is, enteren helpt niet, ik heb al "admin" geprobeerd, maar niets, ik geraak er gewoon niet in. Zou het kunnen helpen als ik dat user32.dll bestandje op een usb stick zet en dan vanaf de stick probeer op te starten ipv vanaf mijn windows cdrom?
Groetjes

We hebben hier het probleem met winsrv ook. Ik kwam erachter dat we nu wel in veilige modus kwam. Met die user32.dll melding niet. AVG verwijderen ?

Pfff miserie miserie miserie, eerst de user32.dll van de originele cd gekopieerd, toen vroeg hij om de winsrv, dan heb 'k die nog 's gekopieerd maar dat had geen effect. Toen heb ik de user32.dll van SP2 er op gezet en kreeg ik een foutmelding in de vorm van C000021a - 0xC0000005. Nu heb 'k die van SP3 er op gezet en krijg ik de foutmelding: C0000139, entrypoint missing for gdi32.dll

Wil dit nu zeggen dat er toch SP2 op staat of dat ik met SP3 zit maar hij gdi32.dll niet kan vinden? Pls help ^^

quote:

pluto71 schreef op maandag 10 november 2008 @ 11:20:
Ik geraak nog steeds niet verder dan de herstelconsole aangezien er steeds om een admin wachtwoord gevraagd wordt dat er nooit opgezet is, enteren helpt niet, ik heb al "admin" geprobeerd, maar niets, ik geraak er gewoon niet in. Zou het kunnen helpen als ik dat user32.dll bestandje op een usb stick zet en dan vanaf de stick probeer op te starten ipv vanaf mijn windows cdrom?
Groetjes

Heb je al geprobeerd gewoon zonder een wachtwoord op te geven daar? Meestal is dit gewoon het geval namelijk. Zo niet, er bestaan wel liveCD´s waarmee je het administrator wachtwoord kunt leeg poetsen. Of je download de ophcrack liveCD en kraakt het admin wachtwoord Succes

quote:

Damian schreef op maandag 10 november 2008 @ 11:21:
We hebben hier het probleem met winsrv ook. Ik kwam erachter dat we nu wel in veilige modus kwam. Met die user32.dll melding niet. AVG verwijderen ?

Kun je niet gewoon ook winsrv expanden vanaf je Windows CD? Dit werkte bij mij goed

quote:

BoGhi schreef op maandag 10 november 2008 @ 11:25:
[...]


Kun je niet gewoon ook winsrv expanden vanaf je Windows CD? Dit werkte bij mij goed

file staat er gewoon. Jij hebt dus winsrv.dll vervangen? en toen werkte het?

quote:

Damian schreef op maandag 10 november 2008 @ 11:26:
[...]


file staat er gewoon. Jij hebt dus winsrv.dll vervangen? en toen werkte het?

ja

makkelijk zeg een gratis virusscanner van het internet!!
Makkelijk posts scoren zo, onderbouw het volgende keer gewoon je post of laat het achterwege.

pasta wijzigde dit bericht 10-11-2008 12:26 (47%)

Pogingen: winsrv.dll, user32.dll en gdi32.dll terugzetten van :
C:\I386 en C:\windows\$NTInstallKB925902$\ en externe files van internet hielp niet.
Veilige modus werkte niet en de pc gaf geen meldingen maar starten zomaar opnieuw op.

Wat bij mij hielp:
PC opstarten met Volkov Commander 4.99 van de Hiren CD (9.6)
intype:
copy D:\windows\system32\dllcache\winsrv.dll D:\windows\system32
copy D:\windows\system32\dllcache\user32.dll D:\windows\system32
copy D:\windows\system32\dllcache\gdi32.dll D:\windows\system32

Rebooten en bij opstarten AVG melding van virus in user32d.ll op IGNORE drukken.
Update AVG en klaar was ik...

josjos wijzigde dit bericht 10-11-2008 11:39 (7%)

Ik heb een collega met een prive laptop waarop hij vanmorgen die user32.dll ge-"healed" heeft. Laptop is sindsdien niet gereboot, echter AVG kun je niet opstarten om het bestand uit de vault terug te zetten. Wat zijn eventuele opties zonder te rebooten om dit te fixen?

edit:
Blijkbaar hielp het kopieren van user32.dll uit het uninstall folder van een patch zoals hier ergens in het topic werd genoemd. Pc bleef vreemd doen, maar na restart weer ok.

Quantor wijzigde dit bericht 10-11-2008 13:24 (25%)

Nu heb ik de gdi32.dll hernoemd en gekopieerd maar ik krijg nu weer de 0xc000021a errorcode en dat het systeem afgesloten werd. We zullen hem dan maar gewoon laten vermaken zeker bij een specialist... als hij maar niet alles formatteert...