Virus kan niet worden verwijderd - Privacy en beveiliging

maandag 11 februari 2008 17:10

Acties:

Verwijderd

Topicstarter

Hallo Tweakers,
Tijdens surfen is er een dll bestand op mijn computer gezet (in windows\system32 ) dat herkend wordt als virus, maar niet kan worden verwijderd. Ook niet in de veilige modus omdat WINLOGON het gebruikt. Mijn labtop heeft geen floppydrive, zodat ik niet in MSDOS kan opstarten.
Het bestand heet efccdde.dll en wie weet hoe ik het kan verwijderen. Smitfraudfix, ccleaner, hitman enzovoort hebben gefaald. Wie weet het en helpt me.

Groet, Eric

maandag 11 februari 2008 17:26

Acties:

Petervanakelyen

Welkom op Tweakers.net !

Het is een beetje een magere topicstart, en ik zal je aanraden om dit eens door te lezen:

Beveiliging en Virussen - Nieuw topic starten

Verder, welke virusscanner gebruik je ?
Post eens een HijackThis log.
Scan met Prevx CSI.
Scan en repareer problemen met Spybot S&D

... en plaats ALLE logs die je kan vinden van bovengenoemde progs hier...

Somewhere in Texas there's a village missing its idiot.

maandag 11 februari 2008 17:30

Acties:

benoni

Het kan met een Linux live-cd, maar de manier waarop het gaat is een beetje 'technisch' zogezegd, met de oude vertrouwde terminal. Het kan zijn dat hetzelfde inmiddels ook wat makkelijker vanuit de grafische user-interface kan, ik ben daar niet van op de hoogte en de ontwikkelingen gaan snel. Als uit de andere reacties blijkt dat Linux de beste mogelijkheid biedt, dan zou je met een topic report (het hand-icoontje linksboven) een verplaatsing kunnen aanvragen naar het Non-Windows subforum, daar zitten de Linux guru's

quote: http://forums.livingwiths...owthread.php?t=1869951857
There are times in Windows, when you will get a virus that you cannot remove. You can locate the virus, but it will not let you delete it - even if safe mode. That's because the virus has embedded itself inside of a running process - usually svchost or rundll.

This process will guarantee, 100% of the time, the virus be deleted.

1. Locate the viruses and write down where they are located.

Use hijack this, spybot, AVG or anything else to actual locate the virus. E.G The wife's computer was infected with the Vundo Virus, and it put a file called ssqpm.dll in C:\Windows\System32.

I tried to delete this file with hijackthis, avast!, Nod32, everything - it would not delete it. Even is 'safe mode' it would not delete.

2. Download and burn a Linux Live CD that has NTFS-3G pre-loaded on it.
INSERT and Knoppix 5.1+ both have NTFS-3G loaded on it.

3. Insert the CD into your machine and reboot your computer.
Once Linux has booted, make sure you get to the desktop.

4. Open up a terminal and mount Windows
Right click on the desktop, (I believe both distros are running fluxbox or gnome), and look for something called a terminal.

5. Mount your Windows partition.
Once you have the terminal window open, type:
code:
1
mount -t ntfs-3g /dev/XXXX /mnt
The X's represent where your Windows partition is loaded. This is usually sda1 or hda1 etc. If neither of those work, you can try mounting everything, and issuing a 'ls' command to see if you see Windows, Document and Settings etc.

Once its mounted you can do your work.

6. Navigate to the files.

Navigate to where the viruses are (you should have wrote them down),

You navigate with the 'cd' command. If you want to see what is in a directory you can type 'ls'. The '.' represents the current directory, and the '..' represents the directory above. If you want to go up one directory you can do a
code:
1
cd ..
7. Delete the file
To delete the file you want to do an rm filename. So if the file is called ssqpm.dll, and it is in the Windows/System32 directory, and you are in that directory you can do a the 'rm' command. E.G
code:
1
rm ssqpm.dll
.

maandag 11 februari 2008 18:32

Acties:

Petervanakelyen

@Benoni: Kan misschien allemaal wel, maar het is véél gemakkelijker om te doen wat ik zeg, nl. een HijackThis log maken. Daarna kan je het virus ook verwijderen met KillBox.

Somewhere in Texas there's a village missing its idiot.

maandag 11 februari 2008 19:28

Acties:

benoni

Petervanakelyen schreef op maandag 11 februari 2008 @ 18:32:
@Benoni: Kan misschien allemaal wel, maar het is véél gemakkelijker om te doen wat ik zeg, nl. een HijackThis log maken. Daarna kan je het virus ook verwijderen met KillBox.

Zoiets dacht ik al, vandaar de hint naar 'de andere reacties' in mijn post.

De methodiek is verder hetzelfde, alleen werkt KillBox zo te zien vanuit het draaiende systeem. Stel dat de malware bestaat uit een ecosysteempje van verschillende processen die, als er één wordt afgesloten, de boel in een andere gedaante meteen weer gaat installeren, dan zul je alsnog vanaf een andere schijf moeten opstarten.

maandag 11 februari 2008 19:31

Acties:

Verwijderd

Topicstarter

Virusscanner = Norman
Ik ga je tips uitproberen

Petervanakelyen schreef op maandag 11 februari 2008 @ 17:26:
Welkom op Tweakers.net !

Het is een beetje een magere topicstart, en ik zal je aanraden om dit eens door te lezen:

Beveiliging en Virussen - Nieuw topic starten

Verder, welke virusscanner gebruik je ?
Post eens een HijackThis log.
Scan met Prevx CSI.
Scan en repareer problemen met Spybot S&D

... en plaats ALLE logs die je kan vinden van bovengenoemde progs hier...

dinsdag 12 februari 2008 17:41

Acties:

Arthas

Voordeel van de Linux-manier is dat het virus (dat geschreven is voor Windows) geen grip heeft op het besturingsysteem. Het virus kan dus niet zichzelf herladen of hernoemen, wat bij Windows wel zal gebeuren. Het is de meest effectieve manier van verwijderen van malware, op een volledige format van je harde schijf na.

Maar zoals Petervanakelyen al aangeeft, geef eens een HJT log. Hierin staan waarschijnlijk al meer gevalletjes die verwijderd zouden moeten worden.
Twee vraagjes, hoe up-to-date is je anti-virus? En wat voor naam geeft Norman aan het virus?

"A person ignorant of the possibility of failure can be a halfbrick in the path of the bicycle of history" - Terry Pratchett