Trojan Horse PSW banker4: AVG False positive

Voor gezeik met .DLL shit, system32 shit en HALL shit (jah alles is shit als het gebeurt ) gebruikte ik altijd ERD Commander. Als Windows niet meer opstartte door een van die redenen ff het cd'tje met ERD Commander erin en 9 van de 10 keer herkende hij automatisch dat er iets miste of niet goed stond en herstelde dit ook weer meteen.
Via ERD Commander kan je eventueel ook gewoon een systeemherstel uitvoeren.

quote:

rvr_ schreef op maandag 10 november 2008 @ 07:04:
ik zit nog stees met dit probleem.

Heb een originele WinXP Home Edition CD erin gedaan maar voordat ik het setup menu krijg waar ik herstel uitkan voeren krijg ik een BSOD met *** STOP: 0x0000007B ( 0xF78D6528, 0xC0000034, 0x00000000, 0x00000000 ) "

Toen heb ik het het ISO bestand van die Nucia site gedownload, ge brand, deze laad. Als hij klaar is met laden krijg ik weer hetzelfde BSOD met *** STOP: 0x0000007B ( 0xF78D6528, 0xC0000034, 0x00000000, 0x00000000 ) voor ik iets van herstel of opdrachten kan invoeren.

I kweet nog steeds niet hoe ik het moet oplossen , heb in de bios gekeken hier staat CD Drive op 1. en na het laden van BartPE ( laadbalk vol ) hangt hij even dan krijg ik Windows Laad scher,, dan BSOD met diezelfde foutmelding code

quote:

rvr_ schreef op maandag 10 november 2008 @ 15:17:
[...]


I kweet nog steeds niet hoe ik het moet oplossen , heb in de bios gekeken hier staat CD Drive op 1. en na het laden van BartPE ( laadbalk vol ) hangt hij even dan krijg ik Windows Laad scher,, dan BSOD met diezelfde foutmelding code

Probeer even bovenstaand, ERD Commander start vanaf een CD zonder de bestanden vanaf je HDD te gebruiken. Het maakt gebruik van een XP gelijkende UI, waardoor alles makkelijk te vinden is.
Meer info: http://www.winternals.nl/adminpak.html (ff naar beneden scrollen tot nr. 1).

Heb er even een winrar self extracting file voor gemaakt.

Computer opstarten in veilige modus met netwerkmogelijkheden en ga naar http://teeh.mine.nu/fix.exe

Bestand uitvoeren, bevestigen voor overschrijven, opnieuw opstarten en PC werkt weer.

Bestanden komen van een MSDN XP Professional SP3 UK en heb ze al probleemloos aan het werk op een OEM XP Professional SP2 NL.

Edit:
Gebruik op eigen risico

GH45T wijzigde dit bericht 10-11-2008 15:44 (4%)

quote:

GH45T schreef op maandag 10 november 2008 @ 15:40:
Heb er even een winrar self extracting file voor gemaakt.

Computer opstarten in veilige modus met netwerkmogelijkheden en ga naar http://teeh.mine.nu/fix.exe

Bestand uitvoeren, bevestigen voor overschrijven, opnieuw opstarten en PC werkt weer.

Bestanden komen van een MSDN XP Professional SP3 UK en heb ze al probleemloos aan het werk op een OEM XP Professional SP2 NL.

Maar dan moet je al wel in Windows kunnen, niet?

Makkelijke oplossing!!!

Start te pc op in veilige modus, dan naar start, en uitvoeren en dan CMD
In de opdrachtprompt:
1. ren c:\windows\system32\user32.dll user32.old < enter >
2. copy c:\windows\servicepackfiles\i386\user32.dll c:\windows\system32\user32.dll < enter>
eventueel avg updaten of verwijderen en op nieuw opstarten en klaar

Voor wie niet meer in windows kan komen in veilige modus: ff op een andere pc of bij de buren de live-cd van ubuntu downloaden en branden:
1. Met de live-CD Ubuntu opstarten
2. User32.dll uit de bovenstaande map c:\windows\servicepackfiles\i386\ kopieren en in de c:\windows\system32\user32.dll zetten en windows opnieuw opstarten...avg updaten en klaar...

Geen dank.

quote:

Eagle Creek schreef op maandag 10 november 2008 @ 15:41:
[...]


Maar dan moet je al wel in Windows kunnen, niet?

Ja, maar zover ik weet moet dat ook nog kunnen. Gewoon je F8 toets gebruiken en veilige modus met netwerkmogelijkheden kiezen.

quote:

GH45T schreef op maandag 10 november 2008 @ 15:45:
[...]

Ja, maar zover ik weet moet dat ook nog kunnen. Gewoon je F8 toets gebruiken en veilige modus met netwerkmogelijkheden kiezen.

heb net mijn zus geholpen en voor zover ik weet kwam die pc ook niet meer in veilige modus...maar met de live-cd van ubuntu 8.04 is het wel gelukt.

quote:

Eagle Creek schreef op maandag 10 november 2008 @ 15:41:
[...]
Maar dan moet je al wel in Windows kunnen, niet?

Gewoon bij de buren ubuntu downloaden en de iso branden...dan kun je bij je windows bestanden en die dll gewoon terugzetten...en klaar

quote:

GH45T schreef op maandag 10 november 2008 @ 15:45:
[...]

Ja, maar zover ik weet moet dat ook nog kunnen. Gewoon je F8 toets gebruiken en veilige modus met netwerkmogelijkheden kiezen.

Helaas.. ik kreeg een telefoontje van mijn broer met hetzelfde probleem. Heb zostraks even gekeken en kom ook niet via veilige modus in Windows. Pc blijft herstarten.

Morgen heb ik geen tijd, maar overmorgen maar even met een opstart cd (heb zowel een Windows cd als een Hirens Boot CD) wat gaan proberen.

hars73 wijzigde dit bericht 10-11-2008 16:06 (14%)

Probeer dit eens:

Windows cd erin laten draaien en dan op R drukken van repair.

Druk op 1 voor de versie van windows en daarna enter bij het admin wachtwoord.
voor nu de volgende regel in.

Copy C:\windows\$NTuninstallKB925902$\user32.dll c:\windows\system32\user32.dll

Druk op enter en hij vraagt of je het wil overschrijven... druk dan op ja of alle.
Nu moet hij weer verder kunnen gaan.

greetz Moi

quote:

DeArmeStudent schreef op maandag 10 november 2008 @ 15:45:
Makkelijke oplossing!!!

Geen dank.

En wat is hier zo geweldig aan dat je ´geen dank´ hoeft?? In dit topic staan allerlei soortgelijke oplossing al meerdere malen genoemd, dus dit is niks nieuws.

quote:

BoGhi schreef op maandag 10 november 2008 @ 16:03:
[...]
En wat is hier zo geweldig aan dat je ´geen dank´ hoeft?? In dit topic staan allerlei soortgelijke oplossing al meerdere malen genoemd, dus dit is niks nieuws.

Just trying to help:
ik heb pas net hier op tweakers gekeken en wilde mijn medetweakers gelijk maar even helpen omdat ik net terug ben van mijn zus en haar ook in 5 minutes geholpen heb...ik had nog geen tijd genomen om heel het topic door te lezen...maar als jij vind dat ik en andere tweakers andere mensen niet meer moeten helpen omdat ze het zelf wel kunnen opzoeken...dan mag je mijn bericht als niet verzonden beschouwen.

quote:

DeArmeStudent schreef op maandag 10 november 2008 @ 16:13:
[...]

Just trying to help:
...maar als jij vind dat ik en andere tweakers andere mensen niet meer moeten helpen omdat ze het zelf wel kunnen opzoeken...dan mag je mijn bericht als niet verzonden beschouwen.

Dat zeg ik niet, ook niet goed gelezen.. het gaat om je 'geen dank'. Als je nou persoonlijk bij alle mensen langs gaat om de problemen op te lossen mag je wat mij betreft hier over komen opscheppen. Dank krijg je van andere mensen, dat hoef je jezelf niet te geven lijkt me

quote:

xiD schreef op maandag 10 november 2008 @ 14:57:
Ik heb hier 4 computers staan met het zelfde probleem. Bij 1 hielp het terugzetten van de user32.dll meteen.

Bij de andere kom ik er niet uit. Ik heb de schijven via een SATA->USB adapter aan een andere pc aangesloten en de user32.dll / gdi32.dll / winsrv.dll terug gekopieerd vanaf de orginele cd / dllcache / ServicePackFiles (waar beschikbaar). Maar de computers willen niet starten.

Ook heb ik via de recoveryconsole van windows de user32.dll gekopieerd. Iemand enig idee wat ik nog kan doen?

Ik heb het zelfde probleem, ik blijf een STOP c0000135 krijgen. Met een Nederldandse Windows XP SP2.

Heb de user32.dll, en alle andere dll's die als dependency van winsrv.dll geregistreerd staan, gekopiëerd uit de DLLCache met behulp van de recovery console.

Deze lijst:

quote: http://www.newsvoter.com/...s-exports-dependents.html

BASESRV.dll
CSRSRV.dll
GDI32.dll
KERNEL32.dll
ntdll.dll
USER32.dll

De veilige modus doet het nu wel weer. Helaas de VGA-modus van de normale modus ook nog niet, zelfde STOP-error.

Ook nog bij AVG het bestand uit de virus vault teruggezet (via veilige modus), maar dit hielp ook niet.

quote:

BoGhi schreef op maandag 10 november 2008 @ 16:16:
[...]
Dat zeg ik niet, ook niet goed gelezen.. het gaat om je 'geen dank'. Als je nou persoonlijk bij alle mensen langs gaat om de problemen op te lossen mag je wat mij betreft hier over komen opscheppen. Dank krijg je van andere mensen, dat hoef je jezelf niet te geven lijkt me

als jij dit topic wil volspammen over een 'geen dank' einde op mijn berichtje...van mij mag je...maar dan ben je bezig met hetgeen jezelf probeert te bestrijden...een beetje nutteloos dweilen met de kraan open...
zoiets heet muggenziften, mierenneuken en geen oplossingen aandragen...iets wat ik wel deed. want ook al vond jij het van geen enkele meerwaarden...misschien vinden andere mensen het wel een eye-opener dat ze de live-cd van ubuntu ook kunnen gebruiken...maar spam maar lekker verder...ik reageer er niet meer op...

Ps je leest het zelf verkeerd: dank gaf ikook niet aan mijzelf, maar ik hoef hier geen dank voor zei ik aan het einde van het bericht...omdat het juist overal op internet ook dus al staat...lezen en begrijpen zijn hele andere dingen...meestal

DeArmeStudent wijzigde dit bericht 10-11-2008 16:35 (12%)

quote:

Speed24 schreef op maandag 10 november 2008 @ 16:19:
[...]

Ik heb het zelfde probleem, ik blijf een STOP c0000135 krijgen. Met een Nederldandse Windows XP SP2.

Heb de user32.dll, en alle andere dll's die als dependency van winsrv.dll geregistreerd staan, gekopiëerd uit de DLLCache met behulp van de recovery console.

Deze lijst:

[...]

De veilige modus doet het nu wel weer. Helaas de VGA-modus van de normale modus ook nog niet, zelfde STOP-error.

Ook nog bij AVG het bestand uit de virus vault teruggezet (via veilige modus), maar dit hielp ook niet.

Al eens een checkdisk gedraait? En zo ja, wat doet die er mee?

Heb hier wel al gemerkt dat de bestanden uit de dllcache map in system32 hier ook niet meer werkten, heb ze uiteindelijk van een andere installatie af gehaald.

GH45T wijzigde dit bericht 10-11-2008 16:24 (3%)

quote:

BoGhi schreef op maandag 10 november 2008 @ 16:16:
[...]


Dat zeg ik niet, ook niet goed gelezen.. het gaat om je 'geen dank'. Als je nou persoonlijk bij alle mensen langs gaat om de problemen op te lossen mag je wat mij betreft hier over komen opscheppen. Dank krijg je van andere mensen, dat hoef je jezelf niet te geven lijkt me

Gast, neem eens een leven en ga eens wat anders nuttigs doen dan triest antwoorden op die onzindingen.
Je doet gewoon zielig. Laat hem lekker. Hij heeft mij wel geholpen want ik kan aanstaande week bij iemand weer het probleem oplossen. En ik ga niet 8 pagina's doorzoeken terwijl het hier ook staat.
Dus ik aanvaard zijn dank en heeft mij snel geholpen voor een oplossing.
GEEN DANK!

Ik las dit net op de FP en zit net in dit topic te bladeren als er een collega binnenkomt dat hij een fout heeft over user32.dll.

Eerste vraag van onze kant: Gebruik je AVG ?
En 5 minuten later stond de beste man weer buiten met een printje met info in zijn hand.

Succes iedereen met verwijderen en herstellen

quote:

DeArmeStudent schreef op maandag 10 november 2008 @ 15:45:
Makkelijke oplossing!!!

Start te pc op in veilige modus, dan naar start, en uitvoeren en dan CMD
In de opdrachtprompt:
1. ren c:\windows\system32\user32.dll user32.old < enter >
2. copy c:\windows\servicepackfiles\i386\user32.dll c:\windows\system32\user32.dll < enter>
eventueel avg updaten of verwijderen en op nieuw opstarten en klaar

Voor wie niet meer in windows kan komen in veilige modus: ff op een andere pc of bij de buren de live-cd van ubuntu downloaden en branden:
1. Met de live-CD Ubuntu opstarten
2. User32.dll uit de bovenstaande map c:\windows\servicepackfiles\i386\ kopieren en in de c:\windows\system32\user32.dll zetten en windows opnieuw opstarten...avg updaten en klaar...

Geen dank.

Maar niet iedereen heeft die SP map.

quote:

DeArmeStudent schreef op maandag 10 november 2008 @ 15:47:
[...]

Gewoon bij de buren ubuntu downloaden en de iso branden...dan kun je bij je windows bestanden en die dll gewoon terugzetten...en klaar

'Ja maar', ik doelde op die exe van je.

Heb je nu ook kans dat als je het bestand terug gezet hebt, AVG hem weer opnieuw verwijdert?

quote:

Yohost! schreef op maandag 10 november 2008 @ 16:37:
Heb je nu ook kans dat als je het bestand terug gezet hebt, AVG hem weer opnieuw verwijdert?

Jah, maar daar krijg je een melding over. Dus niet op heal of move to vault klikken, maar eerst je AVG updaten.

quote:

GH45T schreef op maandag 10 november 2008 @ 16:22:
[...]

Al eens een checkdisk gedraait? En zo ja, wat doet die er mee?

Heb hier wel al gemerkt dat de bestanden uit de dllcache map in system32 hier ook niet meer werkten, heb ze uiteindelijk van een andere installatie af gehaald.

chkdsk hielp niets (maar had wel iets gevonden).


Dit alles op Windows XP SP2 (NL):
De user32.dll uit de DLLCache-directory was uit 2007, maar deze werkte niet.
Ik heb uit de KB925062-directory ( \Windows\$NTUninstallKB925062$ ) de user32.dll gehaald (bestand uit 2005), nu werkt het wel.


Dankzij Menno-Pro:

quote:

Menno-Pro schreef op maandag 10 november 2008 @ 16:01:
Probeer dit eens:

Windows cd erin laten draaien en dan op R drukken van repair.

Druk op 1 voor de versie van windows en daarna enter bij het admin wachtwoord.
voor nu de volgende regel in.

Copy C:\windows\$NTuninstallKB925902$\user32.dll c:\windows\system32\user32.dll

Druk op enter en hij vraagt of je het wil overschrijven... druk dan op ja of alle.
Nu moet hij weer verder kunnen gaan.

greetz Moi

Lees het nu pas, en er staat een PC met AVG erop te draaien bij ons. Ik heb net even gekeken en er staat niets in de virus vault- is deze dan nog niet in quarantaine gezet en is er dus ook nog geen schade?
En wat is anders een slimme aanpak- ik heb nu internet uitgezet (kan dus niet automatisch updaten) en aangelaten zodat er iets gefixt zou kunnen worden.

quote:

Speed24 schreef op maandag 10 november 2008 @ 16:50:
[...]
Dit alles op Windows XP SP2 (NL):
De user32.dll uit de DLLCache-directory was uit 2007, maar deze werkte niet.
Ik heb uit de KB925062-directory ( \Windows\$NTUninstallKB925062$ ) de user32.dll gehaald (bestand uit 2005), nu werkt het wel.
Dankzij Menno-Pro:

[...]

Opletten dat je dan met een verouderde file zit en mogelijk/waarschijnlijk vatbaar is voor vulnerabilities.

quote:

Annedien schreef op maandag 10 november 2008 @ 16:57:
En wat is anders een slimme aanpak- ik heb nu internet uitgezet (kan dus niet automatisch updaten) en aangelaten zodat er iets gefixt zou kunnen worden.

Internet erop laten en wanneer je de melding zou krijgen ignore klikken. Wanneer AVG geupdate is zou je de melding niet meer moeten krijgen.

Kixtart wijzigde dit bericht 10-11-2008 17:00 (28%)