Kan sites van antivirus niet openen - Privacy en beveiliging

woensdag 1 april 2009 19:10

Acties:

Topicstarter

Ik zit met een maf probleem. Ik had een mail gehad van KPN dat we mogelijk besmet zijn met een worm. Dus wil ik een virus scanner installeren, maar elke site van willekeurige antivirus programma's zijn niet bereikbaar.

Het lijkt wel alsof ik een virus heb die zichzelf beschermd tegen verwijdering.

Ik kan gewoon naar verschillende websites maar zodra het een site van een virus scanner is dan krijg ik de melding of ik wel verbonden ben met internet.
Het was toch nog mogelijk om AVG te downloaden via een andere site, maar dan komt het volgende probleem, ik kan hem niet updaten want dan zoek hij weer verbinding met avg.com en dat lukt dus niet.

Iemand ideeën wat ik kan doen behalve een format C:\ ?

woensdag 1 april 2009 19:11

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Op een andere machine een virusscanner downloaden en op een USB stick zetten, daarna installeren vanaf USB stick in Veilig Modus. Succes

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

woensdag 1 april 2009 19:11

Acties:

Verwijderd

C:\WINDOWS\system32\drivers\etc\hosts aanpassen en de onzin daaruit halen.

woensdag 1 april 2009 19:13

Acties:

RaZ

Funky Cold Medina

En wat is de foutmelding precies?

Ik vermoed dat je hosts file is geinfecteerd.. \windows\system32\drivers\etc\hosts

Ey!! Macarena \o/

woensdag 1 april 2009 19:47

Acties:

Bulls

Topicstarter

De foutmelding van de virusscanner is dat het geen verbinding kan maken met de site. En vervolgens staat er bij dat je op avg.com moet kijken in de FAQ, maarja ik kan de site niet op dus dat heeft ook geen zin.
De foutmelding van de browser is gewoon een standaard "kan site niet vinden"

Afbeeldingslocatie: http://img511.imageshack.us/img511/6674/avgk.jpg

Afbeeldingslocatie: http://img511.imageshack.us/img511/6674/avgk.jpg

Afbeeldingslocatie: http://img511.imageshack.us/img511/2210/avg2.jpg

De Host file staat niets bijzonders in alleen een 127.0.0.1 localhost

woensdag 1 april 2009 19:48

Acties:

JackPoint

Kun je Malwarebytes downloaden van http://www.download.com/M...3000-8022_4-10804572.html ?

Probeer dan daarmee eens de snelle scan.

[ Voor 16% gewijzigd door JackPoint op 01-04-2009 19:49 ]

woensdag 1 april 2009 19:50

Acties:

AndriesLouw

Conficker staat hier bekend om, dus het kan wel te maken hebben met een virus..

Edit: En Conficker is te detecteren door (bijv.) KPN, dus dat verhaal zou dan ook wel kloppen.
Edit 2: Wat meer details: Conficker nestelt zich in systeem processen, en omzeild zo het hosts bestand. Ik zou je toch aanraden om een format C:\ te doen het bericht onder mij te lezen, en dat eerst eens te proberen

.

[ Voor 89% gewijzigd door AndriesLouw op 01-04-2009 20:00 ]

Specificaties | AndriesLouw.nl

woensdag 1 april 2009 19:55

Acties:

JackPoint

Volgens ZDNet (http://www.zdnet.nl/news.cfm?id=100515) zijn er verwijder tools voor.

woensdag 1 april 2009 20:35

Acties:

Bulls

Topicstarter

Nou heb ik die Stinger Conficker gedownloaded en dan bij het opstarten sluit hij gelijk weer af, zal ook wel weer het werk zijn van de virus (heb ik al een keer eerder gehad met adaware)

woensdag 1 april 2009 20:55

Acties:

AndriesLouw

Malicious software removal tool van MS zelf proberen? Die schijnt het ook te doen.. (uitgebreide handleiding)

[ Voor 31% gewijzigd door AndriesLouw op 01-04-2009 20:57 ]

Specificaties | AndriesLouw.nl

woensdag 1 april 2009 21:52

Acties:

Bulls

Topicstarter

AndriesLouw schreef op woensdag 01 april 2009 @ 20:55:
Malicious software removal tool van MS zelf proberen? Die schijnt het ook te doen.. (uitgebreide handleiding)

De site kom ik niet op, en ik heb hem via een andere weg binnen gehaald. Maar bij het installeren kapt hij vanzelf af. Ik weet echt niet meer wat ik moet doen behalve een format (en nog 2 PC's hier op het netwerk)

Maar wie garandeert mij dat als ik windows opnieuw erop zet dat hij dan niet gelijk weer geïnfecteerd wordt.

In de mail van KPN melden ze dat als het niet wordt opgelost dat ze onze verbinding tijdelijk in een quarantaine zetten

Wie weet hoelang dat wel niet gaat duren dan.

donderdag 2 april 2009 08:59

Acties:

FlipFluitketel

Frontpage Admin

Hernoem die stinger_conficker.exe eens naar (bijvoorbeeld) verwijderding.com (extensie ook wijzigen ja, zie je die niet, stel dan via configuratiescherm, mapopties, tabblad weergave, vinkje weghalen bij "Extensies voor bekende bestandstypen verbergen".)
Van sommige spyware weet ik dat ze ook de namen van processen controleren en eventueel beëindigen, dit zou best door die conficker ook kunnen gebeuren (mits het daadwerkelijk dat virus is).
Probeer sowieso ook eens Malwarebytes (zoals JackPoint in "Kan sites van antivirus niet openen" ook al aangaf), kun je die ook niet installeren/opstarten, bestandsnaam wijzigen (van het installatiebestand en/of de executable die het programma opstart).

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

donderdag 2 april 2009 11:25

Acties:

Bulls

Topicstarter

Ja dat werkt, ik kan nu het progje draaien, nu maar hopen dat er wat gefixed wordt.

edit:

Stinger_conficker heeft niets kunnen vinden, terwijl ik toch echt de symptomen heb.
Mallwarebytes doet het wel gewoon zonder naamswijziging, die heeft ook niets gevonden.

[ Voor 55% gewijzigd door Bulls op 02-04-2009 11:56 ]

donderdag 2 april 2009 15:34

Acties:

Bulls

Topicstarter

2 van de 3 besmette PC's zijn gecleaned met die tool van symantec, maar mn eigen PC detecteert hem niet, dus heb ik het nog een keer gedaan nadat de andere PC hem wel had verwijderd (want ik dacht eerst dat de tool niet werkte) toen vond hij wel de Downadup, maar nadat hij verwijderd was heb ik nog steeds het zelfde probleem dat ik de bekende antivirus sites niet opkom. Heb ik vervolgens nog een keer de tool gedraaid en vind hij niets, en zegt dat de PC schoon is.

donderdag 2 april 2009 16:26

Acties:

hellknight

Medieval Nerd

download anders HIjackThis eens, en plaats een log. Dan kunnen we wat beter kijken wat er aan de hand kan zijn

Your lack of planning is not my emergency

donderdag 2 april 2009 16:44

Acties:

Bulls

Topicstarter

code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:42:21, on 2-4-2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\Shared Files\CTAudSvc.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\MICROS~2\GAMECO~1\STRATE~1\daemon14.exe
C:\Program Files\Ideazon\ZEngine\Zboard.exe
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.watch-movies.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Daemon14] C:\PROGRA~1\MICROS~2\GAMECO~1\STRATE~1\daemon14.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Zboard] C:\Program Files\Ideazon\ZEngine\Zboard.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0 .lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15030/CTSUEng.cab
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15106/CTPID.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 7716 bytes

donderdag 2 april 2009 18:44

Acties:

Petervanakelyen

Hmm, je PC is wel niet erg up-to-date hé...

Volgens je HijackThis logje draai je nog Windows XP Service Pack 2, terwijl ondertussen wel al een flinke tijd SP3 uit is.
Verder zie ik dat je IE6 gebruikt, terwijl je perfect op XP Internet Explorer 7 kan installeren.
Check daarna ook eens Microsoft Update.

En by the way, start HijackThis eens opnieuw op, en zet een vinkje bij de volgende items:

code:

1
2

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

Klik dan op Fix Checked.

Somewhere in Texas there's a village missing its idiot.

zondag 5 april 2009 00:02

Acties:

Bulls

Topicstarter

Ik heb vista er maar opgezet, ben er wel een halve dag zoet mee geweest met al die 80 updates etc, maar beter dan dat virus troep.

[ Voor 6% gewijzigd door Bulls op 05-04-2009 00:02 ]

zondag 5 april 2009 01:39

Acties:

Turdie

Bulls schreef op zondag 05 april 2009 @ 00:02:
Ik heb vista er maar opgezet, ben er wel een halve dag zoet mee geweest met al die 80 updates etc, maar beter dan dat virus troep.

Vind ik zelf niet echt een oplossing, maar opnieuw installeren, zonder echt je probleem te hebben opgelost.Wie weet is je MBR wel geinfecteerd, geloof dan heeft opnieuw installeren ook geen zin. Misschien heb je wel meerdere partities op je systeem, een C:\ en D:\ bijvoorbeeld, misschien is D:\ ook wel geinfecteerd, dan heb je het virus nog steeds.

Je kunt toch ook naar een computerwinkel kunnen lopen en daar een goed Anti-virus-pakket kunnen kopen, van bijvoorbeeld McAfee o.i.d.

. Zou ik i.i.g alsnog doen, en dan via de cd die in dit pakket, het op je pc installeren.AVG vind ik trouwens een van de slechtere pakketten, zou ik nooit gebruiken, maar daar verschillen de meningen over.

[ Voor 24% gewijzigd door Turdie op 05-04-2009 01:43 ]

zondag 5 april 2009 01:43

Acties:

_JGC_

Ik kom dit soort zooi wel vaker tegen de laatste tijd, ze gaan eigenlijk altijd gepaard met een rootkit. De enige oplossing die bij mij tot nu toe altijd heeft geholpen is een run met ComboFix, vervolgens malwarebytes anti-malware installeren en draaien en vervolgens de virusscanner (opnieuw) installeren.
Ik heb het idee dat AVG dit soort zooi niet kan detecteren, en ook niet gaat detecteren zodra het eenmaal op je systeem zit. Met Avira heb ik wat dat betreft betere ervaringen.

zondag 5 april 2009 04:05

Acties:

Bulls

Topicstarter

Nouja aangezien deze conficker virus gebruik maakt van een oud windows lek lijkt mij het sterk dat hij er nog doorkomt. Ik had vista ook op een verse HDD geinstalleerd terwijl de andere "besmette" was losgekoppeld.
Nadat alles volledig up to date was en antivirus geinstalleed, heb ik pas mn oude HDD weer erbij aangekoppeld. Ook gelijk maar weer de fix downadup gedraait en vond niets.

Aangezien ik nu wel gewoon op de sites kan komen van AVG mcafee etc, vind ik het wel best.

Het probleem was ook dat we hier 4 PCs thuis hebben, 3 met XP en 1 met vista, en alle 3 met XP waren besmet en die met vista niet, terwijl die ook pas voor het laatst geupdated was in september. En nadat ik alles had gechecked wilde alleen mijn PC niet clean. En ik wilde toch vista installeren omdat ik een DX10 kaart had gekocht vorige week.