[XP SP2] Oa. klok vervangen door "virus alert" melding*

Vandaag probeerde ik iets te installeeren, maar ik krijg een fotmelding dat hij de setupcontroller niet kon vinden. Bovendien kam AVG virusscanner met een popup dat EasyUpdt.exe onveilig was. Omdat ik dacht dat daarom die setupcontroller niet werkte, heb ik even als proef mijn AVG virusscanner disabled.

NIET DOEN DUS !

Direct er na had ik een virus te pakken en een hele vervelenden.
Eentje die me wat virussoftware probeerd aan te smeren.
In een splitsecond is mijn hele laptop compleet aan puin:

- Klok is vervangen voor de woorden "VIRUS ALERT!"
- Taakbeheer is niet meer te benaderen, want ik heb ineens geen beheerrechten
- Op mijn bureaublad staan 3 nieuwe snelkoppelingen: Spyware protection, Error cleaner, Privacy Protection.
- Mijn snelkoppeling naar configuratiescherm is verdwenen uit mijn start menu
- Start>uitvoeren>regedit is niet mee rmogelijk ivm beheerrechten die ik niet meer heb
- Schijven c en d zijn niet zichtbaar, maar nog wel te benaderen met C: en D:

Hoe pak ik dit aan?
Zonder admin rechten kun je namelijk bizar weinig meer doen.
Momenteel ben ik AVG in veilige modus mijn pc aan het scannen, maar al gauw zie ik dat hij veel geinfecteerde bestanden ziet, maar die zijn gelocked. Vermoedelijk ook door beheerrechten.

Ik draai windows xp pro sp2

[ Voor 30% gewijzigd door kinderpindakaas op 11-09-2008 13:47 ]

Ik ben idd dom geweest, maar ik weet waar mijn software vandaan komt, dus ik vertrouwde het.
Ik heb een mega server waar ik van al mijn (legale) software images heb gemaakt.
Even inladen in deamontools en installen.

Blijkbaar is de bron image dit keer niet van een originele cd wat ik niet verwachte.
AVG loop wel vaker te klagen over dingen die er niet toe doen.

Als ik wist dat dit een gedownloade versie was, dan had ik nooit de virusscanner uitgezet natuurlijk.
Dus ff ontopic graag, ik heb een mega probleem en het enige wat ik vraag is om wat tips en hulp.
Als je niets nuttigs kan toevoegen, mag je in de zandbak gaan spelen

Ik heb zojuist na de virusscan en adeware in veilige modus, mijn systeem 1 dag terug gezet met systeemherstel.
Het merendeel lijkt daarmee opgelost te zijn.
Maar erg gerust ben ik er nog niet op.
Aangezien de 3 snelkoppelingen er nog wel stonden, maar dit keer wel met een windows default icoontje.

Windows herstellen met de cd is ook niet echt safe genoeg denk ik.
Misschien dat ik vanavond nog even goed ga speuren op vreemde processen

[ Voor 9% gewijzigd door kinderpindakaas op 11-09-2008 16:05 ]

Petervanakelyen schreef op donderdag 11 september 2008 @ 18:23:
Ha, dit kan weer worden toegevoegd aan het lijstje van grappigste topics op tweakers.net

Dit is anders niet zo grappig !!
Heel soms maak je nu eenmaal even een blunder dat geef ik toe, peper het er dan niet in aub.

[ Voor 15% gewijzigd door kinderpindakaas op 11-09-2008 18:51 ]

vooralsnog lijkt de methode systeemherstel alles al goed gemaakt te hebben.
Weet iemand nog specifieke locaties waar nog resten van dit virus kunnen zitten?

BCC schreef op donderdag 11 september 2008 @ 21:55:
Je hardeschijf

goh

Bestaan er geen tootltje die specifiek op verdachte processen kunnen scannen?
Want meestal hebben deze processen een dergelijke naam, dat je ook kan vermoeden dat het bij windows hoort

Petervanakelyen schreef op donderdag 11 september 2008 @ 20:14:
[...]
Ik vind dit wel grappig, en zo te zien ben ik niet de enige
[...]

------
"Nu ben ik 14, en heb ik een jaar ongeveer tweakers.net ontdekt via mijn neef. Mijn computerinteresse is uitgegroeid tot een alledaagse hobby, en moet nu constant van her naar der om allerhande computerproblemen op te lossen.

Ik ken nu ook al iets van linux, en "droom" ervan later moderator te worden, maar dan in de sectie beveiliging & virussen, omdt ik daar het meeste van ken."
-----

Dat zegt genoeg over jou niveau
In de zandbak spelen dus

Zou mooi zijn als ik met de windows cd alleen windows kon repareren en dat al mijn programmas blijven bestaan. Anders ben ik weer 2 volle dagen kwijt om alles te installeren.

Nog een reden om regelmatig een backup te draaien

Begrijp dat mijn zandbak opmerking beetje verkeerd is gevallen, excuses.
Moet er wel bij vertellen dat iemand uitlachen omdat hij een virus heeft opgelopen ook niet echt leuk is.
Wil enkel met mijn zandbak verhaal een beetje tegengas geven, maarja dat mag dan ineens weer niet.
Ik heb de afgelopen 10 jaar om precies te zijn 1 virus opgelopen en dat is deze.
Logisch dat ik dus ook niets van het goed verwijderen van virussen weet.

In dit geval betreft het een zakelijke PC waarmee ik altijd legale images vanaf een eigen server installeer. Als dan een installatie niet lukt, omdat AVG een bestand blokkeert kun je wel eens fouten maken. Direct na dat ik de fout maakte was het na 3 seconden om zeep.
Met het risico dat je hele zakelijke projecten op straat kunnen liggen.

Zit ik dan zo raar in elkaar dat ik een dergelijke opmerking maak als mensen enkel uit kunnen lachen ?

Goed dat even terzijde.
Ik ben nu bezig met hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:16:48, on 13-9-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Notebook Hardware Control\nhc.exe
C:\Program Files\Apoint\Apoint.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Apoint\HidFind.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\I8kfanGUI\I8kfanGUI.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Program Files\PrintScreen\PrintScreen.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Privoxy\privoxy.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\YellowTip\MySQL\bin\mysqld-nt.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\MsiExec.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.nl/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.nl/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.nl/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favorieten
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Program Files\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [i8kfangui] C:\Program Files\I8kfanGUI\I8kfanGUI.exe /startup
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Program Files\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Privoxy.lnk = C:\Program Files\Privoxy\privoxy.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobiele favorieten maken - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn...tatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1012F9C6-E18C-4133-B576-C2E478A78B26}: NameServer = 194.109.6.66,194.109.9.99
O17 - HKLM\System\CS1\Services\Tcpip\..\{1012F9C6-E18C-4133-B576-C2E478A78B26}: NameServer = 194.109.6.66,194.109.9.99
O17 - HKLM\System\CS2\Services\Tcpip\..\{1012F9C6-E18C-4133-B576-C2E478A78B26}: NameServer = 194.109.6.66,194.109.9.99
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: YellowTipWS_Apache - Apache Software Foundation - C:\Program Files\YellowTip\bin\Apache.exe
O23 - Service: YellowTipWS_mysql - Unknown owner - C:\Program Files\YellowTip\MySQL\bin\mysqld-nt.exe

Zijn er dingen die jullie in twijfel brengen?

[ Voor 81% gewijzigd door kinderpindakaas op 13-09-2008 15:21 ]