[vir] virus terug na format - Privacy en beveiliging

woensdag 5 november 2008 23:44

Acties:

it is I , you worst nightmare

Topicstarter

beste tweakers,

Sinds 3 dagen zit ik met een nogal vervelend probleem. Een virus op de pc....
nou goed, dat gebeurt wel eens, scannen, verwijderen en hoppa. Helaas lukt dit nu niet.

het beestje doet zich voor als windows security en geeft steeds meldingen die precies zo uit zien als die van microsoft. Hij staat ook vaak zelfs naast het echte windows security. In taskmanager zie ik dan een aantal processen die gestart zijn
G.exe
bla32.exe
~bla,exe
loader.exe
en nog een

( bla = ik weet de exacte naam niet atm )

Wat ik al geprobeert heb :

norton internet security -> geeft foutmelding en word direct afgesloten
mcafee -> foutmelding en kan verder niks
kaspersky -> kan niks uitvoeren, scan is voltooid in 0 sec en vind niks
adaware -> runt normaal maar vind niks
formateren snel/ normaal -> virus is weer terug na 1x rebooten wanneer windows weer geinstaleerd is.

Het probleem is dan ook dat ik niet achter de naam van t beestje kom, geen enkele virus/spyware scanner geeft iets aan. Dus ik kan ook niet vinden wat de oplossing moet zijn.
Ik heb wel al gezocht naar virusen/spyware die zich voor doet als microsoft dingen maar dan kom ik alleen op eentje uit die zich voor doet als windows update. ( methode wel geprobeert maar werkt niet )

mischien nog iets wat nuttig voor jullie is, wanneer de pc in windows komt begint de pc meteen te zeuren over explorer.exe en de a: drive ( terwijl ik die niet heb )

help.....

ik voel me lekkaah !!!

woensdag 5 november 2008 23:52

Acties:

Pavla

Een telkens terugkerend virus duid erop dat op één of andere manier je computer telkens opnieuw geïnfecteert word. Zorg er ten eerste voor dat je windows installatie legaal en volledig schoon is. Ten tweede, verbind je computer niet met enig medium (netwerk/internet/vage cd roms, usb drives enz.) voordat je voldoende beveiliging hebt geïnstalleerd, dit houdt in: goede virusscanner met updates. Pas als je dit hebt geïnstalleerd kun je verder, namelijk met windows update, zorg dat heel je windows is gepatcht.
Nu ga je de media waarvan je data terug wilt zetten grondig scannen met de virusscanner. Ten slotte kun je data terug gaan zetten. Als je dit precies aanhoudt, is er geen manier waarop het virus terug kan komen.

Trots lid van [DPC] Team Boonanza @ SoB - Bezoek pwnshop.nl!

woensdag 5 november 2008 23:56

Acties:

LyP0

it is I , you worst nightmare

Topicstarter

Ik heb dus nu voor de 7e of 8e keer vandaag weer windows opnieuw dr op gezet.
De pc is niet verbonden met internet of een netwerk, de c schijf is de enige schijf in de computer.
Het enige medium wat er in gezeten heeft is de windows xp cd.

En toch heb ik alweer de zelfde problemen
( direct na de instalatie, ik heb nog niks terug gezet ofzo )

[ Voor 9% gewijzigd door LyP0 op 05-11-2008 23:58 ]

ik voel me lekkaah !!!

woensdag 5 november 2008 23:58

Acties:

John767

Heb je ook Malwarebytes als geprobeerd? Dat is een klein programmaatje, maar scant snel en pakt veel spyware. Meer dan Spybot S&D en Ad-aware bij elkaar.

Het gebruik hiervan is gratis, tenzij je permanente beveiliging wilt hebben.

http://www.malwarebytes.org/

woensdag 5 november 2008 23:58

Acties:

BastiaanCM

Ik suggereer even te scannen in de veilige modus, waarin je eigenlijk ook de antivirus in dit geval moet installeren.

[ Voor 52% gewijzigd door BastiaanCM op 06-11-2008 00:08 ]

donderdag 6 november 2008 00:00

Acties:

Verwijderd

LyP0 schreef op woensdag 05 november 2008 @ 23:44:
In taskmanager zie ik dan een aantal processen die gestart zijn
G.exe
bla32.exe
~bla,exe
loader.exe
en nog een

( bla = ik weet de exacte naam niet atm )

Zou je die bestanden eens naar virus@kaspersky.nl kunnen sturen? Als deze malware KAV min of meer zeep kan helpen, ben ik daar uitermate benieuwd naar.

formateren snel/ normaal

Was de pc verbonden met een netwerk gedurende die tijd? Ik typ langzaam.

Ik vermoed dat we met nieuwe MBR malware te maken hebben. Zou je http://gmer.net/gmer.zip eens kunnen draaien om te kijken of deze klaagt over rootkits? En dan specifiek voor meldingen mbt. disk. \Device\Harddisk\DR0 oid.

donderdag 6 november 2008 00:02

Acties:

3dfx

LyP0 schreef op woensdag 05 november 2008 @ 23:56:
Ik heb dus nu voor de 7e of 8e keer vandaag weer windows opnieuw dr op gezet.
De pc is niet verbonden met internet of een netwerk, de c schijf is de enige schijf in de computer.
Het enige medium wat er in gezeten heeft is de windows xp cd.

En toch heb ik alweer de zelfde problemen
( direct na de instalatie, ik heb nog niks terug gezet ofzo )

Heb je een originele windows cd of 1 of gebruik je 1 of andere "backup iso" die je op het internet hebt gevonden ?

donderdag 6 november 2008 00:03

Acties:

Mistraller

Verwijderd schreef op donderdag 06 november 2008 @ 00:00:
[...]

Zou je die bestanden eens naar virus@kaspersky.nl kunnen sturen? Als deze malware KAV min of meer zeep kan helpen, ben ik daar uitermate benieuwd naar.

[...]

Was de pc verbonden met een netwerk gedurende die tijd? Ik typ langzaam.

Ik vermoed dat we met nieuwe MBR malware te maken hebben. Zou je http://gmer.net/gmer.zip eens kunnen draaien om te kijken of deze klaagt over rootkits? En dan specifiek voor meldingen mbt. disk. \Device\Harddisk\DR0 oid.

Ik zou die files gewoon eens naar virustotal.com uploaden. Dan heb je meteen 36 virusscanners in plaats van eentje.

Als ik google op G.exe krijg ik overigens al direct een hoop hits. Zo nieuw kan het dus volgens mij niet zijn.

[ Voor 7% gewijzigd door Mistraller op 06-11-2008 00:06 ]

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

donderdag 6 november 2008 00:05

Acties:

Verwijderd

Mistraller schreef op donderdag 06 november 2008 @ 00:03:
[...]

Ik zou die files gewoon eens naar virustotal.com uploaden. Dan heb je meteen 36 virusscanners in plaats van eentje.

virus@kaspersky.nl is geen virusscanner. Daar zit een persoon achter.
En een (competente) persoon is een stuk beter in het herkennen van onbekende malware dan een malwarescanner.

donderdag 6 november 2008 00:09

Acties:

LyP0

it is I , you worst nightmare

Topicstarter

@john 767 : nee nog niet geprobeert, ik probeer de oplossingen gewoon eens om de beurt.

@bastiaan : jah norton laat zich niet eens instaleren ( foutmelding ) kaspersky geen reactie

@ schouw : ga ik direct even proberen, mits deze tool uitgevoert kan worden

@iva_bigone : orginele cd

ik voel me lekkaah !!!

donderdag 6 november 2008 00:11

Acties:

Speedie76

Ik heb dit vervelende virus ook gehad en met succes verwijderd!!

Download de tool Unlocker, hiermee kan je de DLL files uit het geheugen halen.

Daarna had ik het tooltje HiJackThis gedownload en daarmee de startup van windows gewijzigd.

Dit was voor mij voldoende om het virus te laten verdwijnen

Ik draai trouwens Windows XP SP3 met Avast als virusscanner

[ Voor 8% gewijzigd door Speedie76 op 06-11-2008 00:12 ]

donderdag 6 november 2008 00:19

Acties:

Saab

LyP0 schreef op donderdag 06 november 2008 @ 00:09:

@iva_bigone : orginele cd

Dus jij beweert dat er op de orginele XP cd rom een virus staat?

https://www.discogs.com/user/jurgen1973/collection

donderdag 6 november 2008 00:40

Acties:

LyP0

it is I , you worst nightmare

Topicstarter

nee, het enige wat ik zeg is dat ie er op een of andere manier steeds weer in zit 1 reboot na de instalatie. ( ten eerste kan ik gebruik maken van de windows cd van de zaak, en ten 2e heb ik windows gekregen van school dus waarom zou ik moeite doen om een minder legale versie bemachtigen )

Ik ben nu wel al verder dan ik gekomen ben, tot nu toe nog geen meldingen.

handelingen die k ondernomen heb.
format schijf als fat32
direct na de instalatie kaspersky er op.
Scannen met kaspersky en dan een file met een onbekende trojan verwijderd.
nu bezig met het instaleren van drivers

update : ik krijg nu een aantal meldingen over heur.trojan.generic
hey nog een : win32.sdbot.ifz

@ schouw : die files heb ik atm niet meer, ik heb toch als fat32 geformate en nu krijg ik die files niet.
Ik probeer om ( als ze alsnog terug komen ) een mail te sturen met die dingen.
Ik kan je wel zeggen in welke file die laatste zit ( win32.sdbot.ifz ) : smartmgr.exe
Dat is een file die van de orginele driver cd komt van een asus p5b/deluxe moederbord. Hij vind met scannen 5 geinfecteerde files op de cd en ook diep in de c schijf ergens.

btw, misschien kan ik kijken of ik het filetje wat dit alles veroorzaakt heeft nog terug kan vinden, het was iig door een via torrents verkregen iets

damn nog een 3e : heur.invader geeft ie aan, verder niets.

[ Voor 39% gewijzigd door LyP0 op 06-11-2008 01:05 ]

ik voel me lekkaah !!!

donderdag 6 november 2008 00:47

Acties:

Verwijderd

LyP0 schreef op donderdag 06 november 2008 @ 00:40:
format schijf als fat32

Daarmee heb je de MBR wel om zeep geholpen. Goed voor je probleem, maar je MBR was redelijk belangrijk voor de anti-virus wereld.

direct na de instalatie kaspersky er op.
Scannen met kaspersky en dan een file met een onbekende trojan verwijderd.
nu bezig met het instaleren van drivers

update : ik krijg nu een aantal meldingen over heur.trojan.generic

Stuur die files _please_ naar virus@kaspersky.nl danwel newvirus@kaspersky.com
Als dit inderdaad een nieuwe MBR trojan is, hebben we zoveel mogelijk aanwijzingen nodig.

donderdag 6 november 2008 01:17

Acties:

Verwijderd

LyP0 schreef op donderdag 06 november 2008 @ 00:40:
update : ik krijg nu een aantal meldingen over heur.trojan.generic

Beetje lastig als je posts edit terwijl er al iemand na je heeft gereplied.

Anyway, ook in de bestanden die nu pas gedetecteerd worden ben ik geinteresseerd.

donderdag 6 november 2008 11:20

Acties:

LyP0

it is I , you worst nightmare

Topicstarter

Het is nu compleet verwijderd van mij pc maar het heeft zich verspreid naar de virtual machine op mn macbook.
Ik krijg van mcafee meldingen over W32/sdbot.worm / generic.dx trojan / Vundo.gen.k.

Ik zal straks maar weer eens de driver cd pakken en dan die smartmgr een sturen naar dat adres.
Hier word ik serieus helemaal gek van.

ik voel me lekkaah !!!

donderdag 6 november 2008 21:33

Acties:

Mistraller

LyP0 schreef op donderdag 06 november 2008 @ 11:20:
Het is nu compleet verwijderd van mij pc maar het heeft zich verspreid naar de virtual machine op mn macbook.
Ik krijg van mcafee meldingen over W32/sdbot.worm / generic.dx trojan / Vundo.gen.k.

Ik zal straks maar weer eens de driver cd pakken en dan die smartmgr een sturen naar dat adres.
Hier word ik serieus helemaal gek van.

Als je hem nou eens even naar virustotal.com upload. Als G.exe gewoon bekend is als virus, en mcafee herkent er ook een boel, dan heb je daarmee zo het antwoord wat het is. Het is algemeen bekend dat je niet op één virusscanner af moet gaan, ook al werkt een welwillende GoTter toevallig voor Kaspersky.

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

donderdag 6 november 2008 22:05

Acties:

Verwijderd

Mistraller schreef op donderdag 06 november 2008 @ 21:33:
[...]

Het is algemeen bekend dat je niet op één virusscanner af moet gaan, ook al werkt een welwillende GoTter toevallig voor Kaspersky.

Nogmaals, dat emailadres is geen scanner. Besides, een detectienaam zegt bar weinig en een filename nog veel minder. Anyway, zolang er een URL naar de scanresultaten (van VirusTotal) wordt gepost, kan ik ook nog wel aan het bestand komen.

donderdag 6 november 2008 22:12

Acties:

To_Tall

Mistraller schreef op donderdag 06 november 2008 @ 21:33:
[...]

Als je hem nou eens even naar virustotal.com upload. Als G.exe gewoon bekend is als virus, en mcafee herkent er ook een boel, dan heb je daarmee zo het antwoord wat het is. Het is algemeen bekend dat je niet op één virusscanner af moet gaan, ook al werkt een welwillende GoTter toevallig voor Kaspersky.

Maar je vergeet dat indien er een nieuw type virus in omploop is dat geen enkele virus scanner deze virus zal herkennen. Hiervoor hebben we dus mensen werken bij. B.V. Kaspersky in dit geval

A Soldiers manual and a pair of boots.

donderdag 6 november 2008 22:52

Acties:

Dutch2007

wil topic niet hyjacken ofzo...

maar ik heb dat GMER programma maar eens gedraaid, en nu vindt GMER

een SSDT met als name: spru.sys, windows search vind het bestand NIET! (ook niet als ik search system & hidden folders laat zoeken)

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-06 22:51:51
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

SSDT spru.sys ZwEnumerateKey [0xB9EC6CA2]
SSDT spru.sys ZwEnumerateValueKey [0xB9EC7030]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 8AE8E1F8

AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip wpsdrvnt.sys (Symantec CMC Firewall WPS/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp wpsdrvnt.sys (Symantec CMC Firewall WPS/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp wpsdrvnt.sys (Symantec CMC Firewall WPS/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp wpsdrvnt.sys (Symantec CMC Firewall WPS/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

---- EOF - GMER 1.0.14 ----

Kan bestand dus ook niet laten scannen op een virus, want ja wat er niet is kan ik moeilijk uploaden

verder : http://babelfish.yahoo.co...=ru_en&btnTrUrl=Translate

gevonden dat script is dat beetje veilig? komt nml van russische site af

SSDT spru.sys ZwEnumerateKey [0xB9EC6CA2]
SSDT spru.sys ZwEnumerateValueKey [0xB9EC7030]

via dat programma proberen te cleanen: helpt niet..., na een restart staan ze er weer

heb hier een vista dvd liggen, kan de promise 378 xp drivers daarin laden en dan fixmbr doen, zal dit geen kwaad kunnen om dit te doen? (met andere woorden zal ik XP blijven kunnen booten?)

[ Voor 18% gewijzigd door Dutch2007 op 06-11-2008 23:13 ]

Pagina: 1

Reageer