Trojan Horse PSW banker4: AVG False positive

Ik kan vanavond ook op pad om enkele mensen te helpen, en wil iedereen vast hartelijk danken voor alle zeer nuttige info ! .Nog 1 vraagje echter: De map "dllcache" die in windows\system32 zou moeten staan, kan ik op mijn computer - windows Xp pro, SP3 - NIET vinden helaas. Ligt dat dat aan de windowsversie of heb ik per ongeluk in het verleden iets te radicaal opgeruimd ? Ik heb wel de optie "verborgen bestanden en mappen weergeven" geactiveerd.

quote:

Albert020 schreef op zondag 09 november 2008 @ 20:13:
[...]


Hmm, voor mij is dit de eerste keer in 6 jaar dat ik AVG gebruik dat er zoiets gebeurt.......

Zie hier: Kijkuit met AVG!

2e keer dus... ik wist het nog als de dag van gisteren

quote:

robbiesan schreef op maandag 10 november 2008 @ 17:00:
Ik kan vanavond ook op pad om enkele mensen te helpen, en wil iedereen vast hartelijk danken voor alle zeer nuttige info ! .Nog 1 vraagje echter: De map "dllcache" die in windows\system32 zou moeten staan, kan ik op mijn computer - windows Xp pro, SP3 - NIET vinden helaas. Ligt dat dat aan de windowsversie of heb ik per ongeluk in het verleden iets te radicaal opgeruimd ? Ik heb wel de optie "verborgen bestanden en mappen weergeven" geactiveerd.

En de optie systeembestanden weergeven?

quote:

Dazsur schreef op maandag 10 november 2008 @ 17:04:
[...]


En de optie systeembestanden weergeven?

helemaal perfect !! Thanks !

Als je je user32.dll niet hebt weggegooit is er niks aan de hand toch?
ook al zal ik ongetwijfelt dezelfde melding weer krijgen als ik de boel opnieuw opstart. Maar als ik gewoon op ignore klik tot AVG met een update komt is er niks aan de hand toch?

Op de vaste pc heb ik er iig geen last meer van na 1x op ignore gedrukt te hebben.

Ik heb een simpele fix gevonden (bij de bluescreen van WINSRV.DLL) voor dit probleem: gewoon booten naar veilige modus en dan AVG 7.5 deïnstalleren. Heb het net zelf moeten fixen op die manier, telefonisch (met gsm, zal weer wat kosten ) en het is volledig gelukt volgens de voorgeschreven methode. Huzzah!

Zo, de storm op het werk is weer voorbij..
Voor een klein plaatsje met maar 10000 inwoners een stuk of 35-40 pc's in een paar uurtjes tijd verholpen..
Ben benieuwd hoe druk de echt grote jongens het hebben vandaag

quote:

koekoek2003nl schreef op maandag 10 november 2008 @ 17:12:
Als je je user32.dll niet hebt weggegooit is er niks aan de hand toch?
ook al zal ik ongetwijfelt dezelfde melding weer krijgen als ik de boel opnieuw opstart. Maar als ik gewoon op ignore klik tot AVG met een update komt is er niks aan de hand toch?

klopt, gewoon even avg updaten en je bent er vanaf..

drunkfux wijzigde dit bericht 10-11-2008 17:23 (50%)

Niemand die weet hoe het met winsrv zit? Ik kreeg eerst de user32.dll error, die heb ik verholpen, maar nu krijg ik constant een winsrv error (dus zonder .dll), hoe krijg ik dat weg??

Ik heb hetzelfde probleem hier ondervonden.

Als je geen map met servicepackfiles op je PC heb kan je gewoon het DLL bestandje terug vinden op je windows CD/DVD.

C:\i386

Als je de commando zoekt om hem te vervangen ( in windows recovery console )ik post hem hieronder.

copy D:\i386\user32.dl_ C:\WINDOWS\System32\user32.dll

Ik ben ervan uitgegaan dat je CD/DVD station D: is kan natuurlijk verschillen per PC.

Goed, huidige situatie. Laptop zonder cd-drive. Met pijn en moeite een externe harde cd-rom drive weten te lenen. In de bios bovenaan gezet, hij herkent de drive wel, maar als ik hem door laat starten dan komt er geen optie om via de cd te booten, en laadt hij gewoon door naar de BSOD.

Hoe kan dit nu weer ? Legacy USB Support staat aan...

Ik begin echt para te worden

quote:

Un-X-PecteD schreef op maandag 10 november 2008 @ 17:48:
Goed, huidige situatie. Laptop zonder cd-drive. Met pijn en moeite een externe harde cd-rom drive weten te lenen. In de bios bovenaan gezet, hij herkent de drive wel, maar als ik hem door laat starten dan komt er geen optie om via de cd te booten, en laadt hij gewoon door naar de BSOD.

Hoe kan dit nu weer ? Legacy USB Support staat aan...

Ik begin echt para te worden

Heb je er wel een cd in?

ps, wat mij trouwens opviel vandfaag is dat alle pc's met dit probleem SP2 waren en geen een met SP3..

drunkfux wijzigde dit bericht 10-11-2008 18:06 (9%)

Nou..
Ik heb dus weer een CD gebrand, Dit maal met ERD COMMANDER 2005

Computer start op, Boot via DVD RW Drive met ERD commander CD in de drive.

ERD Commander 2005 laad balk laad
Als hij klaar is staat er Please Wait

Dan komt het Windows XP laad balk scherm, en meteen daarna BSOD

http://img83.imageshack.us/img83/8094/afb050zl1.jpg dit...

Misschien is het makkelijk als de topic starter het e.e.a. aan oplossingen in de startpost zet?
Bijv dat je vanaf cd moet booten, 'R'moet kiezen voor repareren, daarna dus je windows isntall kiezen (vaak 1) en dan in moet voeren:

expand <cdromdrive>:\i386\user32.dl_ <windowsdrive>:\windows\system32\


dat was bij mij al genoeg
die andere dll's had ie het niet eens over!

-edit-
zo hebben wij vandaag op het werk al een pc'tje of 10 moeten repareren
word denk ik een drukke week

Tuumke wijzigde dit bericht 10-11-2008 19:10 (13%)

quote:

drunkfux schreef op maandag 10 november 2008 @ 18:04:
[...]

Heb je er wel een cd in?

ps, wat mij trouwens opviel vandfaag is dat alle pc's met dit probleem SP2 waren en geen een met SP3..

Gok eens...

Ik heb user32.dll laten verwijderen door AVG, en had daarbij 't bijkomende nadeel dat ik 'n Asus eee 900 heb en voorlopig geen externe cd/dvd-lezer.
Na wat zoeken, heb ik dit programma'tje gevonden: http://www.ntfs.com/boot-disk.htm dat je toelaat een bootable usb-stick te maken (10 dagen free trial). Na 't klaarmaken van de usb-stick op m'n desktop, copieerde ik de dll ook op de stick, en het probleem was opgelost door met de usb stick te booten en de dll te copieren naar de juiste plaats.

Ik ben wel benieuwd hoeveel mensen in totaal nu daadwerkelijk met dit probleem te kampen hebben (of inmiddels hebben gehad). Dit lijkt me een wereldwijd probleem, niet?

AVG kan daar vast wel een inschatting van maken, maar of ze dat ook doen is een tweede .

quote:

Wouter! schreef op maandag 10 november 2008 @ 20:47:
Ik ben wel benieuwd hoeveel mensen in totaal nu daadwerkelijk met dit probleem te kampen hebben (of inmiddels hebben gehad). Dit lijkt me een wereldwijd probleem, niet?

AVG kan daar vast wel een inschatting van maken, maar of ze dat ook doen is een tweede .

Geen wereldwijd probleem.
Alleen Ned, NA en Sur.

Alleen de Nedse versie voor AVG, Nod32 en nog 1, die dezelfde virusdef. van dezelfde server hadden gebruikt. Daarbij hebben degenen die Vista of SP3 gebruiken geen last!

Het blijft mij verbazen hoeveel PC's een administrator wachtwoord hebben. Blij dat er iets als BartPE bestaat.

Zelf hier thuis nergens problemen mee, alhoewel ik wel Nod32 (versie 2.7) gebruik. Zal wel komen omdat ik zelf een nodupdate server draai.

Ik werk in een computer-reparatie zaak.

Vandaag in een 3 uur tijd wel zo'n 20 klanten voor gekregen en zo'n 20 klanten via de telefoon met dit probleem.
Allemaal AVG probleem.

Het beste wat werkte is uit de \Windows\$NTUninstallKB925062$ het user32.dll bestandje halen..

quote:

Church of Noise schreef op maandag 10 november 2008 @ 19:41:
Ik heb user32.dll laten verwijderen door AVG, en had daarbij 't bijkomende nadeel dat ik 'n Asus eee 900 heb en voorlopig geen externe cd/dvd-lezer.
Na wat zoeken, heb ik dit programma'tje gevonden: http://www.ntfs.com/boot-disk.htm dat je toelaat een bootable usb-stick te maken (10 dagen free trial). Na 't klaarmaken van de usb-stick op m'n desktop, copieerde ik de dll ook op de stick, en het probleem was opgelost door met de usb stick te booten en de dll te copieren naar de juiste plaats.

Thanks man! Het is me eindelijk gelukt om via USB stick bij me harde schijf te komen en user32.dll te restoren!

Foei, na een uur of zes, zeven prutsen ben ik ook weer in mijn pc.

Herstelconsole kon ik niet inkomen, bartPE werkte niet (BSOD), veilige modus: ook niet toegankelijk. Hiren-cd: ook geen toegang.

Bijkomend probleem was dat mijn boot-disc in Raid 1 staat, dus twee harde schijven.

Uiteindelijk toch maar beide schijven in de reserve-pc gehangen. Eerst geprobeerd om de bestanden op iedere schijf te zetten en dan beiden weer terugzetten, maar daar werd hij niet blij van: kreeg een melding over een probleem van het laden van dll in de kernel - ofzo. Logisch, want er zit altijd een verschil tussen beide schijven als je een voor een kopieert. Ubuntu zag twee verschillende c-schijven die ik beide in Ubuntu niet kon benaderen.

Dan toch maar een backup gemaakt van alles. Daarna beide schijven teruggeplaatst en via de RAID-utility één van beide schijven uit de Raid 1 gehaald. Utility begon gelijk te piepen dat er een schijf miste en daarna dezelfde schijf weer aangewezen om bij de RAID te horen. Die wordt nu weer opgebouwd as we speak.

Geen prettige onderneming, want één fout bij het werken met de RAID en je bent alles kwijt. Flink backuppen dus mensen! En bedankt AVG.

Yes!! mijn pc doet het ook weer, dankzij alle raad en hulp van iedereen die hier gepost heeft op het forum :-)
ik heb volgende regel gebruikt:
copy c:\windows\servicepackfiles\i386\user32.dll c:\windows\system32\user32.dll < enter>
en hij werkt weer als vanouds!

Bedankt iedereen

Groetjes, Christel

Misschien niet helemaal de manier. Maar met alle maniere van de commands kreeg ik het niet voorelkaar.
Dus heb het even rigoreus aangepakt door de hd eruit te trekken en aan mijn main pc te hangen. Hup filetjes overzetten en klaar was het....

Mss een tip voor degene die helemaal desperate is hehe

Met de tips in dit topic is het al gelukt een aantal computers te maken, echter heb ik nu 1 probleem geval.

En de vraag is samen te vatten als: Hoe kan ik in Ubuntu de HD forceren om te openen?

De andere computers heb ik opgelost door simpelweg de computer in veilige modus te starten en de 3 bestanden te kopieeren naar de c:\windows\system32 map.

quote:

- winserv.dll
- user32.dll
- gdi32.dll

Bij de laatste computer kom ik voor geen mogelijkheid in de veilige modus. Hij restart simpelweg zodra de veilige modus begint te laden.

Daarna het volgende geprobeerd.
- Bootcd (Win98 + de 3 bestanden) gemaakt : Resultaat computer start op, kan de cd netjes benaderen maar kan natuurlijk de HD niet benaderen omdat het NTFS is.

- Ubuntu Live CD : De cd start netjes op maar kan de HD niet benaderen. Nu staat er dat ik het openen kan forceren maar heb geen idee hoe ik dit kan doen.

Zou iemand hier mij mee kunnen helpen? Of moet ik toch ook de regireuze aanpak doen?