vrijdag 19 februari 2010 15:29

Acties:
  • 0 Henk 'm!

Anoniem: 346043

Topicstarter
Ik heb een probleem met het bestand sndvol32.exe. (Windows XP SP3 32bit OEM) Sinds een tijdje krijgt een vriend van mij bij het opstarten de melding: Bezig met het maken van persoonlijke instellingen voor c:\windows\system32\sndvol32.exe Restart. Hier door wordt het opstarten verlengt met ongeveer 2 minuten. Verder heeft hij nergens problemen mee.

Dit zijn kenmerken die ik heb ontdekt:
- via uitvoeren gebeurt er niets als ik sndvol32 uitvoer
- het bestand is 20 MB groot i.p.v. iets over de 100 KB
- ik kan het bestand niet verwijderen of renamen via CMD (bestand niet gevonden)
- het bestand is niet te zien in Explorer (uiteraard met verborgen bestanden en mappen laten zien
ingeschakeld)
- Lavasoft Ad Aware stopt met scannen (in de veilige en gewone modus) na ong. een minuut en sluit zichzelf
dan af OF geeft een foutmelding (in de veilige en gewone modus) bij het starten (uiteraard verwijderd en
opnieuw proberen te installeren)

Dit heb ik geprobeerd om het op te lossen:
- originele sndvol32.exe terug geplaatst van de legitieme Windows XP cd (na opnieuw opstarten weer het 20
MB bestand aanwezig als ik het probeer te overschrijven met het originele)
- gezocht op virussen en spyware in de veilige en gewone modus met McAfee virusscanner, Spybot Search
and Destroy en Lavasoft Ad Aware free. (met Ad Aware lukte het niet om alles te scannen)
Resultaat: niets gevonden behalve tracking cookies

Weet iemand misschien een oplossing?

vrijdag 19 februari 2010 19:53

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Anoniem: 346043 schreef op vrijdag 19 februari 2010 @ 15:29:
Ik heb een probleem met het bestand sndvol32.exe. [...]

- Lavasoft Ad Aware stopt met scannen (in de veilige en gewone modus) na ong. een minuut en sluit zichzelf
dan af OF geeft een foutmelding (in de veilige en gewone modus) bij het starten (uiteraard verwijderd en
opnieuw proberen te installeren)

Weet iemand misschien een oplossing?
Gaan er dan geen alarmbellen rinkelen bij je?
Als trojan zijnde ben ik namelijk dol op het misleiden van argeloze computeraars door me voor te doen als 'normaal' bestand, en áls ze al zo bijdehand zijn om een bekend antivirus of ander ding te draaien heb ik er geen problemen mee om dat proces de nek om te draaien.
Uiteraard wil ik namelijk gewoon blijven zitten waar ik zit >:)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 21 februari 2010 15:54

Acties:
  • 0 Henk 'm!

Anoniem: 346043

Topicstarter
Uiteraard gaan er dan alarmbellen rinkelen. De vraag is alleen of er geen oplossing is om deze handmatig te verwijderen of met een tooltje. Hier kon ik namelijk niks over vinden via Google en GOT. (of heb ik niet goed gezocht?) Of moet ik gewoon andere virusscanners uitproberen? Ik kan het bestand namelijk niet uploaden naar zo'n virus/trojan/spyware analyse website omdat ik er niks mee kan behalve overschrijven.

[ Voor 36% gewijzigd door Anoniem: 346043 op 27-02-2010 14:52 ]

zaterdag 27 februari 2010 14:52

Acties:
  • 0 Henk 'm!

Anoniem: 346043

Topicstarter
Weet niemand een mogelijke oplossing?

zaterdag 27 februari 2010 14:57

Acties:
  • 0 Henk 'm!
  • gambieter
  • Registratie: Oktober 2006
  • Niet online

gambieter

Just me & my cat

Anoniem: 346043 schreef op zaterdag 27 februari 2010 @ 14:52:
Weet niemand een mogelijke oplossing?
Wat dacht je van het maken van een bartPE live CD met antispyware en antivirus scanner(s), en dan nog eens scannen? En ook eens in de settings van de geluidskaart gekeken?

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

zaterdag 27 februari 2010 17:15

Acties:
  • 0 Henk 'm!

Anoniem: 346195

Als zelfs in de veilige modus het bestand wordt teruggezet naar 20 MB betekend dit dat de oorzaak ook meegeladen wordt tijdens het veilig opstarten.

Paar dingen die je kunt proberen:
  • Download hijackthis en laad dit programma eens lopen, en analyseer vervolgens de logfile op dezelfde site.
  • Een tweede optie is om de services die met Windows meestarten eens na te lopen, net als de System32 map. Dit bestand is duidelijk maar een deel van de infectie dus er zullen meer bestanden zijn die o.a ook voor het opnieuw infecteren zorgen.
  • Een derde mogelijkheid is om de schijf los te koppelen en deze te analyseren vanaf een ander systeem. Zoals gambieter al aangeeft kun je hiervoor ook BartPE gebruiken.
  • Als laatste, download dit tooltje eens en laat het lopen, en post de resultaten terug. Dit is overigens alleen wanneer de andere methodes niet werken. Rootkits komen nog relatief zelden voor.
Succes ermee! :)

zaterdag 27 februari 2010 20:15

Acties:
  • 0 Henk 'm!
  • maartn
  • Registratie: April 2004
  • Laatst online: 17-04-2024

maartn

Anoniem: 346043 schreef op vrijdag 19 februari 2010 @ 15:29:
Ik heb een probleem met het bestand sndvol32.exe. (Windows XP SP3 32bit OEM) Sinds een tijdje krijgt een vriend van mij bij het opstarten de melding: Bezig met het maken van persoonlijke instellingen voor c:\windows\system32\sndvol32.exe Restart. Hier door wordt het opstarten verlengt met ongeveer 2 minuten. Verder heeft hij nergens problemen mee.

Dit zijn kenmerken die ik heb ontdekt:
- via uitvoeren gebeurt er niets als ik sndvol32 uitvoer
- het bestand is 20 MB groot i.p.v. iets over de 100 KB
- ik kan het bestand niet verwijderen of renamen via CMD (bestand niet gevonden)
- het bestand is niet te zien in Explorer (uiteraard met verborgen bestanden en mappen laten zien
ingeschakeld)
- Lavasoft Ad Aware stopt met scannen (in de veilige en gewone modus) na ong. een minuut en sluit zichzelf
dan af OF geeft een foutmelding (in de veilige en gewone modus) bij het starten (uiteraard verwijderd en
opnieuw proberen te installeren)

Dit heb ik geprobeerd om het op te lossen:
- originele sndvol32.exe terug geplaatst van de legitieme Windows XP cd (na opnieuw opstarten weer het 20
MB bestand aanwezig als ik het probeer te overschrijven met het originele)
- gezocht op virussen en spyware in de veilige en gewone modus met McAfee virusscanner, Spybot Search
and Destroy en Lavasoft Ad Aware free. (met Ad Aware lukte het niet om alles te scannen)
Resultaat: niets gevonden behalve tracking cookies

Weet iemand misschien een oplossing?
Beste Peter, hoop dat het inmiddels is opgelost.

Mijn advies aan je is: zet je netwerk verbindingen zo snel mogelijk uit!

Dit is helaas een virus /trojan.
sndvol32 is een bekende exe die word misbruikt, normaal is dat het xp mengpaneel van idd rond de 50 kb.

maandag 1 maart 2010 13:18

Acties:
  • 0 Henk 'm!

Anoniem: 346043

Topicstarter
Ik ga de (mogelijke) oplossingen zo snel mogelijk uitproberen. Bedankt allemaal voor jullie tips!

maandag 1 maart 2010 15:16

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

>> B &V

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq