Virus op mijn pc zorgt dat pc uitschakelt, wat nu?

woensdag 25 januari 2006 12:42

Topicstarter

Outerspace schreef op woensdag 25 januari 2006 @ 12:38:
Opstarten in veilig modus, msconfig nachecken en dan die tools draaien?

Dat heb ik al gedaan, zie bovenste bullet onder kopje "al gedaan" in de startpost.
Zowel sasser als blaster worden niet gevonden door de symantec removal tools.

Acties:

woensdag 25 januari 2006 12:44

Topicstarter

Verwijderd schreef op woensdag 25 januari 2006 @ 12:41:
Na inloggen meteen start->run(uitvoeren) en dan type shutdown -a. Althans dat moet je doen bij een windows xp/2003 bak. Dit zorgd ervoor dat die niet afsluit en kan je rustig je virus scanner en dergelijke draaien

OK, dat is er 1 die ik nog niet kende, ga het vanavond meteen proberen!

Acties:

Lenzzz

RPC bij services in computerbeheer, tabblad systeemherstel en dan die drie opties, eerste fout, tweede fout en derde fout wijzigen naar geen actie ondernemen.

Krijg je die irri, melding niet meer en kan je PC rustig laten scannen
Dan virusscanner laten scannen.

Succes!

[ Voor 15% gewijzigd door Lenzzz op 25-01-2006 12:51 ]

woensdag 25 januari 2006 12:45

Acties:

Lord_Salo

slash24 schreef op woensdag 25 januari 2006 @ 12:36:
Ik heb een virus opgelopen dat na 60 seconden de PC uitschakelt.

Heb je al een keer geprobeerd om je systeemtijd (rechtsonder je beeldscherm) terug te zetten. Paar uurtjes terug, zoniet dan paar dagen

. Dan heb je tenminste meer tijd dan 60 seconden, om alles te checken en te verwijderen.

I closed my eyes and closed myself, and closed my world and never opened, up to anything...and then it fell apart..

woensdag 25 januari 2006 12:55

Acties:

woensdag 25 januari 2006 13:01

Topicstarter

Lord_Salo schreef op woensdag 25 januari 2006 @ 12:45:
[...]

Heb je al een keer geprobeerd om je systeemtijd (rechtsonder je beeldscherm) terug te zetten. Paar uurtjes terug, zoniet dan paar dagen . Dan heb je tenminste meer tijd dan 60 seconden, om alles te checken en te verwijderen.

Wat een onzin man, als je niks zinnigs weet, zeg dan niks!

Acties:

Lord_Salo

Modbreak:Reageer dan niet

[ Voor 92% gewijzigd door pasta op 25-01-2006 16:43 ]

I closed my eyes and closed myself, and closed my world and never opened, up to anything...and then it fell apart..

woensdag 25 januari 2006 13:07

Acties:

Lord_Salo

Modbreak:Reageer dan niet, en edit in het vervolg

[ Voor 87% gewijzigd door pasta op 25-01-2006 16:44 ]

I closed my eyes and closed myself, and closed my world and never opened, up to anything...and then it fell apart..

woensdag 25 januari 2006 13:13

Acties:

Spivvi

Wat is de naam van het virus dat je hebt opgelopen, want volgens jezelf vind nod hem wel.

/offtopic
Lord_Salo: daar is een edit knop voor....

woensdag 25 januari 2006 13:13

Acties:

Marck21

Daar kun je natuurlijk ook de 'Edit knop' voor gebruiken, ware het niet dat het natuurlijk heerlijk offtopic is.

Het lijkt me verstandig elke tip die je krijgt zelf op waarde te schatten. Sommige zijn zinvol, andere laat je lekker aan je voorbij gaan.

Ontopic: die tip van Slash24 is erg nuttig. Sluit me er helemaal bij aan!

woensdag 25 januari 2006 13:45

Acties:

Lenzzz

woensdag 25 januari 2006 13:55

Acties:

woensdag 25 januari 2006 14:21

Mocht je meer dan 1 computer hebben dan zou je kunnen proberen de harde schijf in de andere computer te hangen maar of dat zonder risico is weet ik niet.

Andere opties zijn een live CD van Knoppix of iets dergelijks te downloaden. Verder zou je een log van HijackThis en NOD32 kunnen posten, dan weten we waar we het over hebben. Wellicht kun je in veilige modus (zonder dat de computer zo snel afsluit) dan de registervermeldingen en vage bestanden verwijderen.

[ Voor 5% gewijzigd door usgaap op 25-01-2006 13:56 ]

Acties:

lordsnow

I know nothing

Als je niet weet hoe je handmatig de RPC service uit kunt zetten, kan je ook het volgende tooltje gebruiken: http://www.grc.com/stm/shootthemessenger.htm

Je kan ook eens een 'scan in DOS' proberen:
- download het volgende SDAT bestand naar de root van je C: schijf:
http://download.nai.com/p...nglish/intel/sdat4684.exe
- herstart de PC, en gebruik F5 of F8 om in Veilige Modus met Opdrachtprompt te komen
- op de DOS prompt, type het volgende (elk commando gevolgd door een Enter, natuurlijk):
CD\
sdat4684 /e c:\sdat
CD SDAT
scan /adl /all /clean /report scanreport.txt

Eventueel wel je systeemherstel uit zetten van te voren als je vermoed dat er een kopie van het virus in je Restore map is geraakt.

[ Voor 13% gewijzigd door lordsnow op 28-01-2006 18:25 ]

woensdag 25 januari 2006 14:22

Acties:

Da Fox

slash24 schreef op woensdag 25 januari 2006 @ 12:55:
[...]

Wat een onzin man, als je niks zinnigs weet, zeg dan niks!

En wat voor computer expert denk jij dan wel niet te zijn, dat je hier zo op moet reageren. Dit is zeker de nuttigste tip die ik hier totnutoe heb gelezen, omdat dit het snelste is gedaan.
Bovendien weet ik uit ervaring dat dit inderdaad werkt (was ook wel te verwachten met die mircozacht jonges, maar ok), en heb jij je niet eens de moeite getroost om uberhaupt te checken of dit wel of niet helpt. Hoeveel moeite was dat ook alweer? 60 seconden? Nou, als je dat niet eens kunt opbrengen vraag ik me af wat je hier eigenlijk komt doen. Blijkbaar weet je alles toch beter.

"Man fears the darkness, and so he scrapes away at the edges of it with fire." - Rei Ayanami

woensdag 25 januari 2006 14:25

Acties:

woensdag 25 januari 2006 14:32

Topicstarter

Spivvi schreef op woensdag 25 januari 2006 @ 13:13:
Wat is de naam van het virus dat je hebt opgelopen, want volgens jezelf vind nod hem wel.

/offtopic
Lord_Salo: daar is een edit knop voor....

Wist ik de naam ervan maar: Nod32 is zelf ook redelijk vernaggeld (door dit virus) en vindt van allerlei ad-ware, spyware, en nog tal van dingen. Nadeel is dat ie elke minuut 1 of meerdere problemen vindt en dan aan mij gaat vragen wat ie ermee moet doen. Op zich is dat al irritant, moet ik voor alles wat ie vindt zelf weer knopje drukken, maar erger nog: het enige wat ik kan aanklikken is: deny (de andere knoppen zoals "schonen" zijn grayed-out... en dat is dus ook pas vanaf de virusbesmetting zo.

Acties:

woensdag 25 januari 2006 14:36

Topicstarter

Da Fox schreef op woensdag 25 januari 2006 @ 14:22:
[...]

En wat voor computer expert denk jij dan wel niet te zijn, dat je hier zo op moet reageren. Dit is zeker de nuttigste tip die ik hier totnutoe heb gelezen, omdat dit het snelste is gedaan.
Bovendien weet ik uit ervaring dat dit inderdaad werkt (was ook wel te verwachten met die mircozacht jonges, maar ok), en heb jij je niet eens de moeite getroost om uberhaupt te checken of dit wel of niet helpt. Hoeveel moeite was dat ook alweer? 60 seconden? Nou, als je dat niet eens kunt opbrengen vraag ik me af wat je hier eigenlijk komt doen. Blijkbaar weet je alles toch beter.

Hey, chill man! Heb ik ergens gezegd dat ik computerexpert ben??

Natuurlijk heb ik dit al geprobeerd (sorry, stond niet in het lijstje van "geprobeerd")

Als ik even in de informatie van bekende antivirus bedrijven zoek, lees ik daar letterlijk dat de RPC exploit in windows niet datum en tijd afhankelijk is (althans de virussen die op die exploit gebaseerd zijn.) Sorry als mijn opmerking iets te bot over kwam, maar waarschijnlijk was ik iets te gefrustreerd en reageerde daardoor iets te kort door de bocht.

Acties:

Verwijderd

Ja maar de oplossing om de tijd eraf te halen blijft egt shutdown -a.
Tevens is dit nog sneller dan je tijd terug zetten.

woensdag 25 januari 2006 14:40

Acties:

woensdag 25 januari 2006 14:42

Topicstarter

Verwijderd schreef op woensdag 25 januari 2006 @ 14:36:
Ja maar de oplossing om de tijd eraf te halen blijft egt shutdown -a.
Tevens is dit nog sneller dan je tijd terug zetten.

Zoals gezegd: Dit ga ik vanavond zeker proberen! bedankt!

[ Voor 68% gewijzigd door slash24 op 25-01-2006 14:40 ]

Acties:

Freakertje

PC schopt kont, ik nog niet...

Kortom, beide niet netjes geweest, elkaar even lief aankijken en handje schudden en weer verder met het probleem. Als anderen zich nu ook niet meer over de netiquette willen uitlaten en het eventueel direct in "Schop een Modje" (of hoe dat tegenwoordig ook heet

) met een topic report willen melden dan kunnen we in dit topic bezig blijven met het daadwerkelijke probleem, waarnaar ik nu ook zeer nieuwsgierig ben geworden welk virus dit veroorzaakt.

slash24, heb je ook enig idee hoe je dit hebt opgelopen? Tijdens het surfen (al dan niet op pronsites)? Was je iets aan het downloaden (al dan niet warez)?

Kijk trouwens ook eens in taakbeheer (of met een sniffer) of de computer uit zichzelf iets over het netwerk verzend. Eventueel kun je dan de netwerk kabel eruit pluggen zodat het niets nieuws binnen kan halen, want uit jouw verhaal lijkt mij dat het geval te zijn...

[ Voor 3% gewijzigd door Freakertje op 25-01-2006 15:13 ]

Ik ga een aantal zaken even helemaal anders doen!
Totale Modjesgekte

woensdag 25 januari 2006 14:42

Acties:

Phreak

KTM SuperDuke

Verwijderd schreef op woensdag 25 januari 2006 @ 14:36:
Ja maar de oplossing om de tijd eraf te halen blijft egt shutdown -a.
Tevens is dit nog sneller dan je tijd terug zetten.

Idd je kan gewoon met shutdown -a de shutdown afbreken.
Je kan dan b.v. bij symantec een online virusscan uit laten voeren.
Dit lijkt me verstandiger dan de virusscanner te laten draaien die op je pc draait.
Deze zal waarschijnlijk beschadigd zijn door het virus.

Mocht je niet op website van b.v. symantec kunnen komen dat moet je je host file even checken.
Deze staat c:\windows\system32\drivers\etc\ daar staat een file genaamt hosts, deze openen in kladblok.
Daar mag normaal gesproken alleen het ip "127.0.0.1 localhost" in staan
Alles waar een "#" voor staat is commentaar, dit staat er normaal gesproken ook in.

Noobmeter WoT: Froekie

woensdag 25 januari 2006 14:42

Acties:

lordsnow

I know nothing

Verwijderd schreef op woensdag 25 januari 2006 @ 14:36:
Ja maar de oplossing om de tijd eraf te halen blijft egt shutdown -a.
Tevens is dit nog sneller dan je tijd terug zetten.

Het wordt eens tijd dat dit forum een sciptje krijgt die ''egt" automatisch corrigeerd naar "echt", want je ziet dit nu zó vaak...

woensdag 25 januari 2006 14:46

Acties:

Verwijderd

Aha NOD32 vindt allerlei "zooi" en je hebt geen idee hoe je eraan komt op je beschermde gepatchde pc?

Ik zou voor een reinstall gaan. Kost minder tijd dan aan klooien. En daarna je gebruiksgewoonten is aanpassen, scheeld helemaal veel tijd

woensdag 25 januari 2006 14:51

Acties:

woensdag 25 januari 2006 14:51

Topicstarter

Freakertje schreef op woensdag 25 januari 2006 @ 14:42:
Kortom, beide niet netjes geweest, elkaar even lief aankijken en handje schudden en weer verder met het probleem. Als anderen zich nu ook niet meer over de netiquette willen uitlaten en het eventueel direct in "Schop een Modje" (of hoe dat tegenwoordig ook heet ) willen melden dan kunnen we in dit topic bezig blijven met het daadwerkelijke probleem, waarnaar ik nu ook zeer nieuwsgierig ben geworden welk virus dit veroorzaakt.

slash24, heb je ook enig idee hoe je dit hebt opgelopen? Tijdens het surfen (al dan niet op pronsites)? Was je iets aan het downloaden (al dan niet warez)?

Kijk trouwens ook eens in taakbeheer (of met een sniffer) of de computer uit zichzelf iets over het netwerk verzend. Eventueel kun je dan de netwerk kabel eruit pluggen zodat het niets nieuws binnen kan halen, want uit jouw verhaal lijkt mij dat het geval te zijn...

Heb het inderdaad opgelopen op een dubieuze site, weliswaar geen pr0n site, maar wel een dubieuze. Eigen schuld dikke bult wat dat betreft. Verder lijkt het erop dat er in ieder geval niks verzonden wordt via het netwerk; DU meter geeft geen traffic weer en taakbeheer ook niet.

offtopic:
Nogmaals sorry voor mijn ongenuanceerde uitspraak eerder in dit topic, hopelijk accepteren jullie mijn excuus en hoeven we vanaf nu hier niet meer over te praten. Ik zie zelf nu ook in dat ik niet netjes bezig was

Acties:

Verwijderd

Mijn PC herstart steeds na 60 seconden met een melding over Remote Procedure Call (RPC)?
Als je vlak nadat je PC opgestart is regelmatig de melding krijgt dat er een shutdown initiated is door "NT AUTHORITY\SYSTEM" (bv. iets als dit plaatje), dan ben je hoogstwaarschijnlijk kwetsbaar voor de zogenaamde RPC DCOM vulnerability - (MS03-026).

Deze vulnerability is eigenlijk bekend geraakt onder de naam "MS Blaster" - het virus wat in Augustus 2003 veel overlast veroorzaakte over heel de wereld. MS Blaster is echter de naam van een van de virussen die gebruik maakten van dit lek, en niet het probleem zelf.

Installeren van de patchOm niet meer kwetsbaar te zijn voor dit probleem is een virus scanner dan ook niet geschikt - je zal de fout in Windows zelf moeten oplossen. Je doet dit door bovenstaande patch te installeren op je systeem, zie dit lijstje om te zien welke patch je nodig hebt:Windows NT 4.0 Server/Workstation SP6a (Nederlands)Windows NT 4.0 Server/Workstation SP6a (English)Windows NT 4.0 Terminal Server SP6 (English)
Windows 2000 SP3 of SP4 (Nederlands)Windows 2000 SP3 or SP4 (English)
Windows XP 32-Bit Edition SP1 of Gold (Nederlands)Windows XP 32-Bit Edition SP1 or Gold (English)Windows XP Embedded SP1 or Gold (English)Windows XP 64-Bit Edition SP1 or Gold (English)
Windows 2003 Server 32-Bit Edition (Nederlands)Windows 2003 Server 32-Bit Edition (English)Windows 2003 Server 64-Bit Edition (English)

Als je PC de gehele tijd herstart, en je dus niet de mogelijkheid hebt om deze fix te downloaden, kan je tijdelijk de volgende workaround gebruiken:

Ga naar Start -> Uitvoeren (Run) en type in "services.msc"
Zoek de "Remote Procedure Call (RPC)" service op, en vraag hier de Eigenschappen (properties) van op.
Op de tab "Systeemherstel" (Recovery) zie je 3 velden staan voor fout 1 t/m 3 welke op "Computer opnieuw opstarten" ("Reboot system") staat - zet deze alle 3 op "Service Opnieuw Opstarten" ("Restart service").
Installeer nu de patch (zie bovenstaand lijstje)
Herstel de service in vorige staat.
NOTE: Het is belangrijk dat je de service weer terugbrengt in originele staat - een niet werkende RPC service geeft veel 'rare' problemen als een niet werkend clipboard, en een leeg control panel.

Blaster verwijderenElke moderne virusscanner die uptodate is kan blaster, en alle andere bekende varianten van blaster, verwijderen. Veel van de anti-virus fabrikanten hebben echter ook een speciale utility uit gebracht om snel dit virus (en soms een paar anderen) te verwijderen:
McAfee/NAI Stinger (HTML)Bitdefender Anti-MSBlaster (HTML)Symantec FixBlaster (HTML)CA CleanProza (HTML)F-Secure LovSAN removal (TXT)TrendMicro SystemCleaner (HTML)Kaspersky ClearAV

Download en gebruik deze tool om je PC te desinfecteren met de destijds bekende wormen. Omdat je schijnbaar kwetsbaar was voor dit probleem - is het wel belangrijk dat je vervolgens ook nog met een volledige virusscanner die up-to-date is je gehele PC scanned. Bovenstaande tools zijn namelijk geen vervangers voor een virusscanner.

Security UpdatesMS Blaster (het virus) kwam uit ongeveer een maand nadat de patch voor dit probleem in Windows, beschikbaar was.

Dit betekent dat als je je systeem up to date had gehouden met patches (bijv. door middel van Windows Update) dat je niet kwetsbaar was geweest en er dus ook geen last van had gehad. Het is dan ook belangrijk dat je je systeem up-to-date houdt wat betreft security updates.

Extra informatieHet meeste van deze informatie kwam uit onderstaande topics (en dan met name deze post).

Zie verder nog deze informatie:RPC crash/shutdown 'vraag bak' - deel 1RPC crash/shutdown 'vraag bak' - deel 2W32.Blaster.Worm

En als shotdown -a niet lukt, kan je het via de registry doen, alleen moet ik even opzoeken wat precies.

woensdag 25 januari 2006 14:53

Acties:

Freakertje

PC schopt kont, ik nog niet...

mjmb1: reïnstall werkt idd het 'snelst', maar zo kom je er dus nooit achter wat het was en leer je er verder ook niet veel van. Als ik bijv. laatst niet mijn tanden in een besmette PC had gezet had ik de term "rootkit" ook nog steeds niet gekend

Je moet dus niet standaard naar een reïnstall willen grijpen, tenzij je het systeem a.s.a.p. weer up en running wilt hebben.

Ik ga een aantal zaken even helemaal anders doen!
Totale Modjesgekte

woensdag 25 januari 2006 14:57

Acties:

donderdag 26 januari 2006 11:47

Topicstarter

Verwijderd schreef op woensdag 25 januari 2006 @ 14:46:
Aha NOD32 vindt allerlei "zooi" en je hebt geen idee hoe je eraan komt op je beschermde gepatchde pc?

Ik zou voor een reinstall gaan. Kost minder tijd dan aan klooien. En daarna je gebruiksgewoonten is aanpassen, scheeld helemaal veel tijd

Ik begrijp dat je twijfelt aan mijn gebruiksgewoonten in dit geval.
Echter:
1) De avond voor de besmetting nog een systeemscan gedaan en toen werd er niets gevonden
2) Hitman pro draait 3x per week en die vindt ook zelden iets
3) Deze PC draait inmiddels ruim een jaar en wordt regelmatig gescand, nooit noemenswaardige problemen

Ik begrijp volledig dat je mijn gewoonten in twijfel trekt, maar ik ben gelukkig niet zo'n "N00B" zoals voorheen hier werd gesuggereerd. Ik ben alleen helaas naar een "dubieuze" pagina gegaan (eenmalig) waarvan ik wist dat er risico's aan verbonden waren en nu moet ik op de blaren zitten.

Acties:

Spivvi

En is het gelukt gisteravond?

donderdag 26 januari 2006 12:23

Acties:

donderdag 26 januari 2006 13:03

Topicstarter

Helaas niet gelukt gisteravond!

Het commando shutdown -a werkte wel, maar daarna hing mijn PC en moest ik de reset knop gebruiken om weer iets te kunnen doen.

Verder geprobeerd:
* Starten in safe mode en mcafee "stinger" er overheen draaien --> niets gevonden
* Starten in safe mode en de symantec "online scanner" er overheen --> niets gevonden
* Starten in safe mode en NOD32 nogmaals draaien --> NOD32 is om 1 of andere reden vernaggeld
* Vanochtend: starten in safe mode en hitman pro laten scannen --> (update volgt, moest naar mijn werk, scan zal nu wel klaar zijn laat vanavond weten of dit iets heeft opgeleverd)

Wat ik nog ga proberen:
* NOD32 deinstalleren en opnieuw installeren met daarna een full scan
* Indien dit niet lukt nog eens proberen met een andere virusscan

Nog mensen die andere suggesties hebben?

[ Voor 18% gewijzigd door slash24 op 26-01-2006 12:25 ]

Acties:

Phreak

KTM SuperDuke

Als je in safe mode opstart, draai dan eens msconfig.exe

Als je dan bij het tabblad opstarten kijkt, staan daar nog bijzondere bestanden bij die je niks zeggen?
Misschien is het geen virus omdat b.v. de symantec online scanner niks kan vinden.
Als het spyware is die symantec niet kent dan kom je daar niet zo snel vanaf.
Kijk eens in die lijst bij tabblad opstarten wat daar in staat.

[ Voor 10% gewijzigd door Phreak op 26-01-2006 13:03 ]

Noobmeter WoT: Froekie

donderdag 26 januari 2006 13:09

Acties:

pasta

Ondertitel

NC_Phreak schreef op donderdag 26 januari 2006 @ 13:03:
Als je in safe mode opstart, draai dan eens msconfig.exe

Voor de zekerheid, kijk even met HijackThis icm Google of het verdachte entries zijn, mocht je er niet wijs uit worden, scan ze dan op Jotti's online malware scan. Mocht je hier in je eentje niet uitkomen, of twijfelen over bepaalde entries, post dan de log hier tussen [code][/code]-tags, en geef aan welke entries je verdacht vond (bijv. met een * voor de regel).

Check ook je Event Viewer (eventvwr.msc) en post eens een van de volledige meldingen die erin staan over het afsluiten in 60 seconden. Een screenshot van het afsluit-venster kan ook nog wel helpen.

Signature

donderdag 26 januari 2006 13:14

Acties:

donderdag 26 januari 2006 13:29

Topicstarter

pasta schreef op donderdag 26 januari 2006 @ 13:09:
[...]
Voor de zekerheid, kijk even met HijackThis icm Google of het verdachte entries zijn, mocht je er niet wijs uit worden, scan ze dan op Jotti's online malware scan. Mocht je hier in je eentje niet uitkomen, of twijfelen over bepaalde entries, post dan de log hier tussen [code][/code]-tags, en geef aan welke entries je verdacht vond (bijv. met een * voor de regel).

Check ook je Event Viewer (eventvwr.msc) en post eens een van de volledige meldingen die erin staan over het afsluiten in 60 seconden. Een screenshot van het afsluit-venster kan ook nog wel helpen.

Okay! weer een heleboel goede tips om verder te gaan met mijn probleem. Verhaal wordt vervolgd.....

Acties:

[Jules]

Confusion in confusion

Als echt niks meer werkt zou je kunnen overwegen om de harde schijf in een ander systeem te hangen en van dat systeem af gaan scannen.
Of wellicht kun je het met een bootable recovery cd (a la bartpe) beter verhelpen.

Knowing others is to be clever.
Knowing yourself is to be enlightened.
Overcoming others requires force.
Overcoming yourself requires strength.

donderdag 26 januari 2006 13:36

Acties:

BlackBull

oplossing is net ergens anders te vinden

Windows OS FAQ:

Windows Operating Systems - FAQ

donderdag 26 januari 2006 14:00

Acties:

[Jules]

Confusion in confusion

BlackBull schreef op donderdag 26 januari 2006 @ 13:36:
oplossing is net ergens anders te vinden Windows OS FAQ:

Windows Operating Systems - FAQ

Zoals je in de TS hebt kunnen lezen: "....Zowel Sasser als Blaster heb ik bij bekenden vaak genoeg verwijderd, maar op dit moment lijkt het erop dat ik hier te maken heb met een ander virus....."

Knowing others is to be clever.
Knowing yourself is to be enlightened.
Overcoming others requires force.
Overcoming yourself requires strength.

donderdag 26 januari 2006 14:03

Acties:

BlackBull

Die gratis virusscannertjes die voor dit probleem te downloaden zijn, ruimen niet allemaal maar 1 virus op, is het proberen waard toch?

donderdag 26 januari 2006 14:46

Acties:

donderdag 26 januari 2006 15:49

Topicstarter

BlackBull schreef op donderdag 26 januari 2006 @ 14:03:
Die gratis virusscannertjes die voor dit probleem te downloaden zijn, ruimen niet allemaal maar 1 virus op, is het proberen waard toch?

Daar heb je zeker gelijk in, echter zoals ik hierboven al aangaf:

* Starten in safe mode en mcafee "stinger" er overheen draaien --> niets gevonden

Stinger is 1 van die gratis virusscannertjes, in dit geval die van Symantec en die vindt dus niets!

[Jules] schreef op donderdag 26 januari 2006 @ 13:29:
Als echt niks meer werkt zou je kunnen overwegen om de harde schijf in een ander systeem te hangen en van dat systeem af gaan scannen.
Of wellicht kun je het met een bootable recovery cd (a la bartpe) beter verhelpen.

Is misschien ook nog wel een optie, maar daarover heb ik nog wel een paar vragen:
* Heb ik geen kans dat ik het virus dan mee "exporteer" naar het tweede systeem?
* Kan het niet zo zijn dat het virus op meerdere harde schijven in mijn PC aanwezig is zodat ik al die schijven naar een ander systeem moet overplaatsen en scannen??

[ Voor 40% gewijzigd door slash24 op 26-01-2006 14:48 ]

Acties:

[Jules]

Confusion in confusion

slash24 schreef op donderdag 26 januari 2006 @ 14:46:
[...]

Is misschien ook nog wel een optie, maar daarover heb ik nog wel een paar vragen:
* Heb ik geen kans dat ik het virus dan mee "exporteer" naar het tweede systeem?
* Kan het niet zo zijn dat het virus op meerdere harde schijven in mijn PC aanwezig is zodat ik al die schijven naar een ander systeem moet overplaatsen en scannen??

Op zich zou het andere systeem geen last mogen ondervinden van een virus zolang je maar geen executables start van de geinfecteerde schijf.
Als je op safe wil spelen zou ik voor een bootable cd gaan waar diverse tools als ad-aware en virusscanners al op staan.

Knowing others is to be clever.
Knowing yourself is to be enlightened.
Overcoming others requires force.
Overcoming yourself requires strength.

zaterdag 28 januari 2006 17:22

Acties:

zaterdag 28 januari 2006 18:26

Volgens mij heb ik hetzelfde probleem te pakken.
Gisterenavond mijn pc rustig uitgezet, vanochtend probeerde ik op te starten, maar bleef windows tijdens opstarten 5 minuten hangen voordat het inlogscherm werd weergegeven. (muis kon je bewegen, maar voor de rest stond hij niks te doen)
Als je dan na 5minuten inlogt krijg je geen startbalk, en direct de melding dat een RPC call zorgde voor een shutdown. Onder veilige modus duur het ook 5 minuten voor je je inlogscherm krijgt, maar krijg je niet de melding van shutdown. Mijn AVG met virusdefenities van de 26e vind niets.
Nu zit ik dus onder knoppix en heb ik net F-Prot gedraait, deze vind een file genaamd cracksearcher.exe - virtool.di met datum ergens in 2003 (my received files). Deze file is echter niet te verwijderen vanwege ntfs problemen e.d. Maar ik ben er van overtuigt dat deze file niet zorgt voor de bovengenoemde problemen aangezien deze file al langere tijd op mijn pc aanwezig is.
(google op virtool.di levert niks op. google op virtool levert een trojan horse op, relatief onschadelijk)

Kortom, ik denk dat ik hetzelfde probleem heb als de topicstarter. Een virusinfectie die niet gevonden wordt door de virusscanners....
Is er al iemand met een oplossing?

Acties:

lordsnow

I know nothing

slash24: heb je mijn eerdere suggestie al geprobeerd?

[ Voor 6% gewijzigd door lordsnow op 28-01-2006 18:27 ]

zaterdag 28 januari 2006 19:16

Acties:

zaterdag 28 januari 2006 20:46

-veilige modus start gewoon prima
-veilige modus met networking ook
-veilige modus met networking: er zijn geen networks installed, als ik druk op toevoegen van een nieuw netwerk-verbinding crasht explorer. Als ik dan vervolgens een nieuwe explorer.exe start, krijg ik direct de melding dat de system down shut in 60seconds. Vervolgens kan ik dit dan wel aborten mbv shutdown -a.

Samengevoegd, het virus dat de restart initeerd zit vast aan de explorer (de start van explorer.exe). Het virus wordt niet gedetecteerd door de virusscanners van dit moment.

(ik probeer dus nu de suggestie van lordsnow, maar ik krijg zonder networking vrij lastig dat bestand op mijn c-root. Floppy past niet, misschien usbstick eens proberen...)

Acties:

zaterdag 28 januari 2006 20:55

situatie update:
-onmogelijk om usb stick werkend te krijgen, installatie raakt in loop (kortom usb-stack is kapot gemaakt)
-Ik kan de services niet stoppen van rpc, details windows opent gewoon niet
-knippen/plakken/slepen van bestanden werkt niet, kortom ik kan geen backups maken van mijn files

Dit is dus duidelijk een virus!
hoe zou ik er aan komen? Ik zit achter livebox van wanadoo, draai sygate personal firewall pro en als virusscanner avg free. Verder heb ik de laatste paar dagen niet op vreemde sites vertoeft, en ook geen vreemde zooi gedownload.
Verder, waarom wordt het niet herkend door avg free, en niet door knoppix+f-prot

Acties:

Peentje

MacOS/Windows/Linux don't care

Mmm heb ook wel eens zoiets gehad(op mijn pc), het enige wat helpt is een reinstall.
Helaas.

_{gelukkig kan ik overal heen surfen en hoef ik niet bang te zijn voor virussen, zo haal ik ook vaak info voor vrienden van die dubieuze xp-destroy sites}

[ Voor 27% gewijzigd door Peentje op 28-01-2006 20:57 ]

zaterdag 28 januari 2006 20:59

Acties:

zondag 29 januari 2006 00:10

Peentje schreef op zaterdag 28 januari 2006 @ 20:55:
Mmm heb ook wel eens zoiets gehad(op mijn pc), het enige wat helpt is een reinstall.
Helaas.

ik had me net dus neergelegd bij een reinstall, maar:
1. backuppen van my documents + mail + favo's e.d. is niet mogelijk

2. als ik niet weet waar het virus vandaan komt, kan het zijn dat het op 1 van mijn andere schijven/partities staat, waardoor het probleem zich gewoon zal herhalen

Acties:

zondag 29 januari 2006 01:13

2. als ik niet weet waar het virus vandaan komt, kan het zijn dat het op 1 van mijn andere schijven/partities staat, waardoor het probleem zich gewoon zal herhalen.

Dat is mogelijk, post je HijackThis-log en alle andere meuk eens...... wie weet.
Ik neem aan dat je
1 - Systeemherstel uit hebt staan.
2 - Alle updates hebt gedaan die je nog kunt doen.

ik had me net dus neergelegd bij een reinstall, maar:

Ik zou er nog even mee wachten; post eerst eens alle troep die je tegenkomt hier met HijackThis en
AVG of F-Prot.

Verder, waarom wordt het niet herkend door avg free, en niet door knoppix+f-prot

Ben je nog in staat om uberhaupt het internet op te gaan op jouw eigen computer? Probeer anders een trial van Kaspersky.

[ Voor 20% gewijzigd door usgaap op 29-01-2006 00:14 ]

Acties:

zondag 29 januari 2006 01:34

usgaap1976 schreef op zondag 29 januari 2006 @ 00:10:
[...]

Dat is mogelijk, post je HijackThis-log en alle andere meuk eens...... wie weet.
Ik neem aan dat je
1 - Systeemherstel uit hebt staan.
2 - Alle updates hebt gedaan die je nog kunt doen.

[...]

Ik zou er nog even mee wachten; post eerst eens alle troep die je tegenkomt hier met HijackThis en
AVG of F-Prot.

[...]

Ben je nog in staat om uberhaupt het internet op te gaan op jouw eigen computer? Probeer anders een trial van Kaspersky.

-Mijn pc is niet instaat om onder windows het internet op te gaan. (normale windows / veilige modus / veilige modus + networking). Mijn networkconnections zijn verdwenen. Als ik een nieuwe probeer aan te maken loop de explorer keer op keer vast.
-ik draai geen hijack this, en denk dat ik dit niet zal kunnen installeren aangezien ik het niet eens voorelkaar krijg om in windows een usb-stick aan de praat te krijgen
-AVG scan lukte vanmorgen nog in veilige modus, op het moment krijg ik avg ook niet meer aan de praat in de veilige modus, hij start niet meer op.
-ik draai nu knoppix vanaf de cd, om zo toch op internet te kunnen zitten, zoekend naar een oplossing

-System Restore staat nog aan, wat bereik ik ermee als ik dit uitzet?

Acties:

zondag 29 januari 2006 01:40

-System Restore staat nog aan, wat bereik ik ermee als ik dit uitzet?

Alle virussen die eventueel in jouw "System Restore" staan zijn verwijderd als je het uitzet. Dit is belangrijk wanneer je een virus probeert te verwijderen van jouw harde schijf. Wanneer je "System Restore" aan hebt staan betekent dit dat jouw "schijfimage" ook een virus bevat.

[ Voor 6% gewijzigd door usgaap op 29-01-2006 01:35 ]

Acties:

zondag 29 januari 2006 01:53

Ahja precies, dan zal ik dat morgen als eerste proberen!

Maar dat neemt nog niet weg dat ik een virus heb wat niet herkend wordt door de virusscanners van dit moment, waardoor ik waarschijnlijk 1 dezer dagen genoodzaakt zal zijn om mijn schijf te formateren....

Acties:

zondag 29 januari 2006 11:25

Dude!,

waardoor ik waarschijnlijk 1 dezer dagen genoodzaakt zal zijn om mijn schijf te formateren....

Is het je misschien gelukt om een andere virusscanner los te laten op jouw harde schijf? Kun je hem (harde schijf) niet in een andere computer stoppen zodat je hem op die manier kan scannen? Welke virusscanners heb je al geprobeerd behalve F-Prot en AVG?

1- Probeer eerst eens "System Restore" uit te ztten,
2- Alle virusscanners te updaten (welke dan ook, Kaskersky Trial of iets anders.Welke heb jij eigenlijk, behalve F-Prot en AVG?
3- Windows in veilige modus te starten zonder netwerkmogelijkheden.
4- Het opnieuw te proberen.

[ Voor 3% gewijzigd door usgaap op 29-01-2006 01:53 ]

Acties:

zondag 29 januari 2006 11:35

usgaap1976 schreef op zondag 29 januari 2006 @ 01:53:
Dude!,

[...]

Is het je misschien gelukt om een andere virusscanner los te laten op jouw harde schijf? Kun je hem (harde schijf) niet in een andere computer stoppen zodat je hem op die manier kan scannen? Welke virusscanners heb je al geprobeerd behalve F-Prot en AVG?

1- Probeer eerst eens "System Restore" uit te ztten,
2- Alle virusscanners te updaten (welke dan ook, Kaskersky Trial of iets anders.Welke heb jij eigenlijk, behalve F-Prot en AVG?
3- Windows in veilige modus te starten zonder netwerkmogelijkheden.
4- Het opnieuw te proberen.

Bedankt voor je reply! Ik zal hieronder even puntsgewijs de situatie verder toelichten:

1. Ik zet straks als eerste system restore uit
2. Op windows is AVG-Free geinstalleerd. Deze heeft de reference files van de 26e. Ik kan deze niet up daten omdat mijn netwerkerverbinden kapot zijn, en als ik nieuwe aanmaak de explorer consequent crasht.
Er is geen mogelijkheid om een andere virusscanner op de pc te krijgen, omdat zelfs het inpluggen van een USB-Stick zorgt voor een explorer crash (nieuwe hardware wizard hangt)
3. Windows in veilige modus zonder netwerkmogelijkheden blijft draaien, maar hier kan ik helaas weinig, aangezien AVG-Free het virus niet herkend.

Ik heb de mogelijkheid om mijn HDD in een andere pc te hangen. Het is dan echter de pc van mijn huisgenoot, en deze zal niet blij zijn als het virus naar hem zou overslaan....

Acties:

aZuL2001

Als je goed oplet hoe je het aansluit, en alleen vanaf de hd van je huisgenoot start dan heb je geen probleem. Het virus is immers niet aktief.

Let er wel op dat je van je eigen schijf geen enkele executable start zolang die schijf in de pc van je huisgenoot zit.

Als de pc van je huisgenoot van zijn eign hd gewoon is gestart dan zul je in de verkenner zien dat er een extra schijf bij is. Ga dan eens naar Trend Micro Housecall en scan met name je eigen schijf.

Verder kan het geen kwaad om de faq eens te lezen. Daar staat erg veel bruikbare info in, en dat ding is niet voor de sier gemaakt.

[ Voor 19% gewijzigd door aZuL2001 op 29-01-2006 11:38 ]

Abort, Retry, Quake ???

maandag 30 januari 2006 13:38

Acties:

maandag 30 januari 2006 13:47

Topicstarter

lordsnow schreef op zaterdag 28 januari 2006 @ 18:26:
slash24: heb je mijn eerdere suggestie al geprobeerd?

Ja, die heb ik inmiddels al geprobeerd. Iedereen bedankt voor de hulp en suggesties, maar na een week rotzooien en VEEL wachten op virusscanners en andere tools heb ik dit weekend besloten om een FORMAT C:\ uit te voeren en het op die manier op te lossen

Ik zal er dus nooit achter komen wat het nou precies is geweest, maar moet zeggen dat gelukkig alles weer als een trein draait (zou ook niet goed zijn als dat niet zo was)

@Mad_Dog: Ik wens jou veel succes toe en hoop dat het jou wel gaat lukken om dit probleem te verhelpen.... Ik blijf dit topic in ieder geval volgen en ben zeer benieuwd of je het zelfde probleem hebt... Het klinkt in ieder geval helemaal als een gelijk probleem!

Acties:

Blacksnak

Jammer. Ben topic al paar dagen aan't volgen en was echt wel benieuwd wat de oorzaak was van al je ellende.

Maar het belangrijkste is natuurlijk dat je er vanaf bent!

[ Voor 5% gewijzigd door Blacksnak op 30-01-2006 13:47 ]

maandag 30 januari 2006 14:33

Acties: