Trojan Horse PSW banker4: AVG False positive

even reagerende op iemand van de eerste pagina, waarom zou ik in godsnaam sp3 moeten installeren als avg ineens denkt dat user32.dll een virus is...
Dan kan je netzo goed zeggen even formateren en klaar...

Ik heb hem nu net zelf ook. had al wel verwacht dat er iets niet helemaal fis was, dus eerst even op internet gekeken.

Maar is er nou wel of niet iets met mijn user.dll aan de hand.
virustotaal.com zegt alleen dat avg een trojan ondenkt heeft, maar ik neem aan dat er niks met mijn user.dll aan de hand is toch?

koekoek2003nl wijzigde dit bericht 10-11-2008 12:03 (22%)

quote:

Crazy_maniac schreef op maandag 10 november 2008 @ 11:52:
..We zullen hem dan maar gewoon laten vermaken zeker bij een specialist... als hij maar niet alles formatteert...

Dat zou een echte specialist zijn..

Hoe hebben jullie het WINSRV probleem opgelost? User32.dll vervangen was geen probleem, maar nu krijg ik een WINSRV error, en WINSRV.dll vervangen helpt niet, want die stond al op mijn PC vervangen heeft niks geholpen. De error gaat ook om WINSRV, en niet om WINSRV.dll.. Weet iemand hoe ik dat kan verhelpen?

Ik werk bij een IT bedrijf. Telefoon staat roodgloeiend met allemaal deze foutmelding.

Wat ik het meeste tegen kom is dat je zowel user32.dll als GDI32.dll terug moet zetten naar de system32 map

opstarten van orginele xp cd (sp1/sp2/sp3 cd maakt niet zo veel uit)
dan R voor recovery drukken
En dan 1 voor je windows partitie (niet op enter want dan herstart je pc!)
eventueel administrator wachtwoord invullen (vaak is dit leeg, dus gewoon enter drukken)

en dan expand d:\user32.dl_ c:\windows\system32 enter

(D is in mijn geval de CD/DVD rom station, dit kan bij meerdere schijven in het systeem ook een E of F drive zijn)

en daarna expand d:\gdi32.dl_ c:\windows\system32 enter

exit en pc opnieuw opstarten. daarna zou die weer gewoon XP moeten laden.

quote:

BoGhi schreef op maandag 10 november 2008 @ 11:24:
[...]


Heb je al geprobeerd gewoon zonder een wachtwoord op te geven daar? Meestal is dit gewoon het geval namelijk. Zo niet, er bestaan wel liveCD´s waarmee je het administrator wachtwoord kunt leeg poetsen. Of je download de ophcrack liveCD en kraakt het admin wachtwoord Succes

ja, heb ik al gedaan, gewoon enter gedrukt bij het wachtwoord, maar dan krijg ik ook "foutief wachtwoord", ik snap het niet, er staat gewoon helemaal geen wachtwoord op, ik word er moedeloos van, en de winkel waar ik altijd ga met mijn pc is op maandag gesloten dus moet ik tot woensdag gaan wachten. Die liveCD heb ik niet, zou eigenlijk ook niet weten hoe ik die moet gebruiken als ik mijn pc niet opgestart krijg, ben niet zo een crack...

AAAAh heerlijk tis gelukt!!!! kheb de dlls van winsrv en gdi32 gekopieerd vanuit de dllcache naar de system32 (user32 vond ie blijkbaar nie) dan heb 'k de user32.dll van hier op 't forum (sp2) (dankuwel daarvoor ) er ook bij gekopieerd, dan heropgestart (zonder cd!!!!) en nu kunnen we weer in het systeem. Direct in AVG dat path bijgevoegd dat ie niet mag aanpassen, dit is eens maar geen twee keer zulle!

Ik kreeg vandaag ook al 3 telefoontjes met dit probleem.
Straks mag ik die computers gaan repareren.

Als ik Windows terug opgestart krijg,
is het dan best om AVG erop te laten (of flikt 'ie het dan nog een keer)?
Indien neen, welke andere gratis antivirus wordt hier aangeraden?

quote:

josjos schreef op maandag 10 november 2008 @ 11:38:
Pogingen: winsrv.dll, user32.dll en gdi32.dll terugzetten van :
C:\I386 en C:\windows\$NTInstallKB925902$\ en externe files van internet hielp niet.
Veilige modus werkte niet en de pc gaf geen meldingen maar starten zomaar opnieuw op.

Wat bij mij hielp:
PC opstarten met Volkov Commander 4.99 van de Hiren CD (9.6)
intype:
copy D:\windows\system32\dllcache\winsrv.dll D:\windows\system32
copy D:\windows\system32\dllcache\user32.dll D:\windows\system32
copy D:\windows\system32\dllcache\gdi32.dll D:\windows\system32

Rebooten en bij opstarten AVG melding van virus in user32d.ll op IGNORE drukken.
Update AVG en klaar was ik...

Dit hebben wij onderhand op 2 pc's geprobeerd, en dit lijkt inderdaad de correcte oplossing te zijn

Hier ook 3 vrienden met hetzelfde probleem. Straks eens proberen met de recovery....

quote:

Damian schreef op maandag 10 november 2008 @ 12:20:
[...]


Dit hebben wij onderhand op 2 pc's geprobeerd, en dit lijkt inderdaad de correcte oplossing te zijn

En dan "D" als windows-schijfletter?

Totaalgeflipt wijzigde dit bericht 10-11-2008 12:27 (62%)

quote:

Totaalgeflipt schreef op maandag 10 november 2008 @ 12:23:
Hier ook 3 vrienden met hetzelfde probleem. Straks eens proberen met de recovery....


[...]

En dan "D" als windows-schijfletter?

dat is niet zo vreemd als je opstart met een bootcd

quote:

Tutti-frutti schreef op zondag 09 november 2008 @ 13:54:
Ik ben al door 5 mensen gebeld... daar starten de pc's al niet meer op. Dit wordt een grote chaos geloof ik
Zowel Windows vista als windows XP.

Dito. Vanavond moet ik 3 machines op halen. En de telefoon staat niet stil vandaag

Toch maar goed dat ik hier even gekeken heb, weet ik tenminste wat er aan de hand is.

Ik hoop dat ik hem met een BartPE terug kan zetten en dan dat bestand kan uitsluiten van het scannen.

quote:

Roman schreef op maandag 10 november 2008 @ 12:44:
[...]


Dito. Vanavond moet ik 3 machines op halen. En de telefoon staat niet stil vandaag

Toch maar goed dat ik hier even gekeken heb, weet ik tenminste wat er aan de hand is.

Ik hoop dat ik hem met een BartPE terug kan zetten en dan dat bestand kan uitsluiten van het scannen.

Met een BartPe cd lukt het sowieso om het user32.dll terug te zetten
Daarna moet je avg updaten en dan is (normaal gezien) alles in orde

quote:

josjos schreef op maandag 10 november 2008 @ 11:38:

Wat bij mij hielp:
PC opstarten met Volkov Commander 4.99 van de Hiren CD (9.6)
intype:
copy D:\windows\system32\dllcache\winsrv.dll D:\windows\system32
copy D:\windows\system32\dllcache\user32.dll D:\windows\system32
copy D:\windows\system32\dllcache\gdi32.dll D:\windows\system32

Dit was voor mij de oplossing, al deed ik het gewoon via de Recovery-modus van de XP-cd.

Erg fijn dit, zeker omdat ik wist dat het geen virus was, maar per ongeluk en uit irritatie op "heal" drukte, en meteen wist dat het vervolgens fout zou gaan...

ja dezelfde miserie bij mij:

ik probeerde de user32.dll te vervangen door die van de XP CD, dat ging maar dan gaf ie bij het opnieuw opstarten dat hij winsrv.dll miste, ook al stond die gewoon in mijn system32 directory.
dat bestandje vervangen door winsrv.dll van de XP cd hielp niet, dezelfde error bleef. dan probeerde ik die file te vervangen door een file van ergens op het net. Dan kreeg ik een andere error, een lange boodschap met veel nummertjes.
Dan heb ik uiteindelijk die drie files (user32,winsver,gdi.dll) allemaal gekopieerd vanuit mijn system32/dllcache folder, zoals hierboven staat beschreven, en wonderbaarlijk hij starte terug op!!1 hallelujah.

Ik denk dat die drie files allemaal dezelfde versie moeten zijn om een fatsoenlijke boot te krijgen, kan dat öisschien zijn? alvast bedankt hierboven voor de oplossing!

quote:

Crazy_maniac schreef op maandag 10 november 2008 @ 12:18:
Direct in AVG dat path bijgevoegd dat ie niet mag aanpassen, dit is eens maar geen twee keer zulle!

Dacht ik ook eerst te doen, maar volgens mij zijn er voldoende virussen die net wel gaan rommelen in de system32 map. Ofwel AVG updaten, ofwel een andere installeren. Ik ben Antivir en Avast even aan de tand aan het voelen, Antivir is op het eerste zicht wat te beperkt. Avast test ik straks nog

quote:

josjos schreef op maandag 10 november 2008 @ 11:38:
Pogingen: winsrv.dll, user32.dll en gdi32.dll terugzetten van :
C:\I386 en C:\windows\$NTInstallKB925902$\ en externe files van internet hielp niet.
Veilige modus werkte niet en de pc gaf geen meldingen maar starten zomaar opnieuw op.

Wat bij mij hielp:
PC opstarten met Volkov Commander 4.99 van de Hiren CD (9.6)
intype:
copy D:\windows\system32\dllcache\winsrv.dll D:\windows\system32
copy D:\windows\system32\dllcache\user32.dll D:\windows\system32
copy D:\windows\system32\dllcache\gdi32.dll D:\windows\system32

Rebooten en bij opstarten AVG melding van virus in user32d.ll op IGNORE drukken.
Update AVG en klaar was ik...

Een alternatief dat bij mij ook werkte, is een recente Ubuntu LiveCD (8.04+) op te starten en vervolgens de benodigde DLL's over te kopieren. Ook raad ik aan de map AVG en Grisoft te verwijderen en de laatste versie van AVG te downloaden.

Kom wel in de veilige modus, maar blijft vastlopen als ik kies voor opstarten in veilige modus. Hoe zorg ik ervoor dat hij vanaf cd-rom USB stick kan opstarten? Heb programma's als BartPE of Volkov Commander op USB stick staan, maar worden niet herkent...

Of moet er een en ander in Bios wordebn aangepast?

Oplossing voor het winsrv.dll probleem bij mij was alsvolgt:
Opgestart vanaf een boot cd. Toen naar c: gegaan en daar het magische commando: dir user32.dll /s gegeven.
En waarrempel er stonden een aantal van deze files op het systeem. Toen de nieuwst gezocht en die gekopieerd naar: C:\Windows\system32\ Ook stond er nog een gdi32.dll in diezelfde directory.
Ook die gekopieerd naar c:\windows\system32\ en toen begon het weer te werken.
Opgestart in veilige modus.... AVG eraf gebonjourd en toen weer in gewone modus opgestart.

Succes

Als je een Vista bootable DVD hebt, dan kun je ook daarmee starten, en dan kiezen voor repareren. Dan krijg je een mooi menu met allerlei opties (System restore, Check problems etc), maar ook de gewone command prompt. Daarmee heb je gelijk ADMIN rechten op de PC (C: Partitie) en kun je de user32.dll (en eventueel andere) terugzetten / kopieren etc. Volgens mij als je boot met die DVD en je hangt je USB stick eraan, met de goeie dll's kun je ze zo kopieren !

AVG houdt ons in ieder geval goed bezig

Wat voor mij werkte:

1. Zorg ervoor dat u een Windows installatie-CD heeft. U mag er ook een lenen van de buren mocht u zelf niet over zo'n CD beschikken. U heeft deze CD nodig om de Windows-installatie op te starten.

2. In het blauwe installatiescherm kiest/drukt u op de R om de repair console te starten.

3. De Windows herstelconsole wordt gestart en gevraagd wordt bij welke Windows installatie aangemeld moet worden. Kiest u hier de eerste C:\Windows installatie. Typ dus een 1 (typ eerst de 1 en druk daarna pas op enter!)

4. Vervolgens wordt u gevraagd om het administrator wachtwoord op te geven. Bij de meeste personen is dit leeg en kan er direct op enter gedrukt worden.

5. In het volgende scherm staat C:\Windows met een knipperend streepje. Hier moeten de volgende commando's getypt worden. Let erop dat u de commando's -exact- overneemt, inclusief spaties en leestekens.

ren c:\windows\system32\user32.dll user32.old < enter > (indien deze stap misgaat mag u deze overslaan)

copy d:\i386\user32.dl_ c:\windows\system32\user32.dll < enter> (waar D: de letter van uw CD-rom drive is!)

6. Typ exit en druk op < enter >. De computer wordt nu herstart.

Is er overigens nergens een nieuwsbericht geplaatst over dit stukje euh, onzorgvuldigheid van AVG ?

Wat ik mij afvraag is of de mensen met meerdere dll fouten hun user32.dll hebben vervangen voor 1 van de windows cd en dan welke sp 1/2/3 of uit de dll cache of uit het uninstall mapje?

Als ik zo de berichten door scan krijg ik het idee dat het uitmaakt welke dll als eerst wordt geprobeerd.

jortmeek wijzigde dit bericht 10-11-2008 15:23 (22%)

Ik heb hier 4 computers staan met het zelfde probleem. Bij 1 hielp het terugzetten van de user32.dll meteen.

Bij de andere kom ik er niet uit. Ik heb de schijven via een SATA->USB adapter aan een andere pc aangesloten en de user32.dll / gdi32.dll / winsrv.dll terug gekopieerd vanaf de orginele cd / dllcache / ServicePackFiles (waar beschikbaar). Maar de computers willen niet starten.

Ook heb ik via de recoveryconsole van windows de user32.dll gekopieerd. Iemand enig idee wat ik nog kan doen?

quote:

pluto71 schreef op maandag 10 november 2008 @ 12:15:
[...]

ja, heb ik al gedaan, gewoon enter gedrukt bij het wachtwoord, maar dan krijg ik ook "foutief wachtwoord", ik snap het niet, er staat gewoon helemaal geen wachtwoord op, ik word er moedeloos van, en de winkel waar ik altijd ga met mijn pc is op maandag gesloten dus moet ik tot woensdag gaan wachten. Die liveCD heb ik niet, zou eigenlijk ook niet weten hoe ik die moet gebruiken als ik mijn pc niet opgestart krijg, ben niet zo een crack...

Dan staat er wèl een wachtwoord op je admin account dus, zo te zien zonder dat je dat zelf weet / hebt gedaan. Dat kan heel goed, bv. als degene die je Windows heeft geleverd en geinstalleerd dit heeft ingesteld. Als je het niet ziet zitten dit wachtwoord te schonen of te kraken (erg moeilijk is dat niet, maar goed) gebruik dan een andere liveCD oplossing zoals hier al beschreven wordt, bv. een normale bartPE of de werkwijze van nucia, zie http://www.nucia.nl/forum/showthread.php?t=42813. Met zo´n liveCD start je op vanaf die CD, en is je eigen Windows dus niet actief en volledig benaderbaar. Dan kun je dus simpel je user32.dll , en evt. winsrv.dll en gdi32.dll vervangen.

Dag iedereen,
Ook ik heb hetzelfde probleem en werk ook met de CD van xp om het opgelost te krijgen
Echter, wanneer ik het copy- commando wil intikken blijkt dat mijn ( en ook een ander) toetsenbord opeens geen : meer kan drukken...iemand een flauw idee waar dit aan zou kunnen liggen ?
Alvast bedankt