Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

  • D4NG3R
  • Registratie: Juli 2009
  • Nu online
Ik heb al geruime tijd last van een hardnekkig virus.. Nou ben ik eindelijk achter de bron gekomen (username/local settings/temp)

maar nu kan ik deze niet verwijderen met een melding dat de toegang is geweigerd...

Nou zou een Linux Live CD'tje de oplossing kunnen bieden.. maar dat is hier niet het geval, aangezien de DVD speler een week of 9 terug kapot is gegaan.. & dit MoBo ondersteunt geen boot's vanaf USB.

Wat ik heb gedaan:
Op een ander account inloggen en hem daar verwijderen... maar dan kopieert hij zichzelf naar de user waar ik op inlog (zelfde map, zelfde naam.. kan hem dan weer niet verwijderen).

Dit virus komt in combinatie met een ander virus/programma: Herss.exe.. het opent om de 30 seconden reclame op internet explorer (maar dan 10x tegelijk) en sluit hem meteen weer (af en toe popt er ineens een reclame in beeld op IE... terwijl ik op FF zit) maar doet verder (bekend) niks schadelijks..

Met Malwarebyte's FILEASSASIN, kan ik HERSS.exe wel weg krijgen.. maar het DLL bestand niet (kan bestand niet verwijderen, herstart computer om het bestand te verwijderen.. doe ik OK, reset de PC. is de DLL er nog steeds)

Oplossing ligt ook binnen handberijk... maar dit kan niet worden gebruikt :( (HitmanPRO 3.5 heeft het van een andere PC ook af gekregen... maar het is al verlopen op deze computer).

Edit: http://www.greatis.com/appdata/d/c/cvasds0.dll.htm. Maar programmas die ik op dat soort sites zie vind ik zelf nooit echt betrouwbaar... tenzij een mede-tweaker het zou adviseren.

[ Voor 6% gewijzigd door D4NG3R op 05-04-2010 02:17 ]

Komt d'r in, dan kö-j d’r oet kieken


  • Room42
  • Registratie: September 2001
  • Niet online
Je kunt Ubuntu installeren vanuit windows met de Wubi-installer, dan ben je iig van het boot-cd probleem af.
Wat ik heb gedaan:
Op een ander account inloggen en hem daar verwijderen... maar dan kopieert hij zichzelf naar de user waar ik op inlog (zelfde map, zelfde naam.. kan hem dan weer niet verwijderen).
d0h :P Maar hoe heb je het bestand geprobeerd te verwijderen? Want inderdaad, via de verkenner lukt dat meestal niet. Gebruik de command line eens. En dan mogelijk eerst met 'attrib -r -s -h virus.exe' het bestand schrijfbaar maken (-read only, -system, -hidden).

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron


  • D4NG3R
  • Registratie: Juli 2009
  • Nu online
Commandprompt ziet het bestand niet eens...
Had ik al geprobeerd.. vergeten te vermelden.

Edit: het bestand is verborgen & word NIET zichtbaar waneer verborgen mappen ect aan word gezet..

[ Voor 35% gewijzigd door D4NG3R op 05-04-2010 02:27 ]

Komt d'r in, dan kö-j d’r oet kieken


  • Room42
  • Registratie: September 2001
  • Niet online
D4NG3R NL schreef op maandag 05 april 2010 @ 02:25:
Commandprompt ziet het bestand niet eens...
Had ik al geprobeerd.. vergeten te vermelden.
Room42 schreef op maandag 05 april 2010 @ 02:22:
[...] En dan mogelijk eerst met 'attrib -r -s -h virus.exe' het bestand schrijfbaar maken (-read only, -system, -hidden).
O-)

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron


  • D4NG3R
  • Registratie: Juli 2009
  • Nu online
Hmm..
Afbeeldingslocatie: http://img143.imageshack.us/img143/7214/111222333.png
(ja ik weet dat ik moeilijk zat te doen met die manier van CD xD)


(nog steeds zelfde melding als ik hem probeer te verwijderen via verkenner)

[ Voor 17% gewijzigd door D4NG3R op 05-04-2010 02:31 ]

Komt d'r in, dan kö-j d’r oet kieken


  • Room42
  • Registratie: September 2001
  • Niet online
Maar doe eens een 'attrib' in Temp om te zien of ie de attributes wel kwijt is.

Als dat wel zo is, zal het bestand misschien in gebruik zijn. Dan moet je uit zien te vinden wat dat bestand locked. Dat zal het virus zelf wel zijn. Hoe dat moet, moet je even googlen, dan heb ik ook niet paraat :)

Welke Windows hebben we het eigenlijk over? Aan de screenshot te zien Windows XP?

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron


  • D4NG3R
  • Registratie: Juli 2009
  • Nu online
Room42 schreef op maandag 05 april 2010 @ 02:40:
Maar doe eens een 'attrib' in Temp om te zien of ie de attributes wel kwijt is.

Als dat wel zo is, zal het bestand misschien in gebruik zijn. Dan moet je uit zien te vinden wat dat bestand locked. Dat zal het virus zelf wel zijn. Hoe dat moet, moet je even googlen, dan heb ik ook niet paraat :)

Welke Windows hebben we het eigenlijk over? Aan de screenshot te zien Windows XP?
Windows XP Professional service pack 3.
Laatste update die ik heb gehad was van dat browser selectiescherm.. dus zo goed als up-to-date.

Edit: In combo met NOD32 (Licenced -legaal ja-) en Malwarebytes anti-malware.

[ Voor 5% gewijzigd door D4NG3R op 05-04-2010 02:47 ]

Komt d'r in, dan kö-j d’r oet kieken


  • D4NG3R
  • Registratie: Juli 2009
  • Nu online
Na 4 uur lang handmatig gekloot te hebben ben ik er dan eindelijk vanaf :(.
(Daar lijkt het tenminste op)

Geweldig virusscanners *zucht*...

Het probleem bleek simpeler als verwacht.. op de C:/ schijf stond een autorun.inf bestand, wat als "System " was aangegeven.. (ontzichtbaar dus). Deze opende constant 4 andere programma's (bj8ex.exe en dat soort namen) welke weer kopieen maakte van die cvasds0.dll & herrs.exe....

Scanned met Hitman Pro 3.5, daarna alle namen handmatig invoeren bij FILEaSSASSIN & ze daar weghalen.

Scan van malwarebytes eroverheen & 2 registery keys er uit gehaald.

Nu:
2x NOD32 laten scannen. Niks gevonden.
2x MalwareBytes laten lopen. Niks gevonden
meerdere malen HitmanPRO 3.5 laten zoeken. Niks gevonden.

Ik hoop dat hiermee het probleem is opgelost :S, anders word het nog kut..

Komt d'r in, dan kö-j d’r oet kieken


  • Sefyu
  • Registratie: November 2006
  • Niet online
Anders even Unlocker gebruiken:

http://ccollomb.free.fr/unlocker/

  • Bor
  • Registratie: Februari 2001
  • Laatst online: 11:38

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

D4NG3R NL schreef op maandag 05 april 2010 @ 03:37:
Ik hoop dat hiermee het probleem is opgelost :S, anders word het nog kut..
Gezien je geïnfecteerd bent of bent geweest raad ik je aan opnieuw te installeren zodat je zeker bent dat alle troep verdwenen is. Je weet nu immers niet wat er nog is achtergebleven en mogelijk is het lek waardoor je besmet bent geraakt ook nog niet gedicht. Beste werkwijze is herinstallatie, gevolgd door direct patchen tot meest up2date patch niveau , gevolgd door een restore van je bestanden van een gecontroleerde schone bron.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


  • D4NG3R
  • Registratie: Juli 2009
  • Nu online
Bor de Wollef schreef op maandag 05 april 2010 @ 14:05:
[...]


Gezien je geïnfecteerd bent of bent geweest raad ik je aan opnieuw te installeren zodat je zeker bent dat alle troep verdwenen is. Je weet nu immers niet wat er nog is achtergebleven en mogelijk is het lek waardoor je besmet bent geraakt ook nog niet gedicht. Beste werkwijze is herinstallatie, gevolgd door direct patchen tot meest up2date patch niveau , gevolgd door een restore van je bestanden van een gecontroleerde schone bron.
Het probleem was dat er bestanden op staan die belangrijk zijn. (Belastingdienst, Bestanden voor werk & school ect) en als ik iets op een stickje zette, dat het virus zich meteen overdroeg.

Hierom was een schone install geen optie.

Maar ik ben van het virus af & heb alles backupped. Dus er gaat straks ook wel mooi een schone install overheen.

Edit: Schiet me ineens te binnen.. hoe wil ik in godsnaam een clean install erop zetten... Zonder DVD speler.

[ Voor 5% gewijzigd door D4NG3R op 05-04-2010 16:55 ]

Komt d'r in, dan kö-j d’r oet kieken


  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 24-09 10:39
nieuwe dvd speler halen? voor 20 euro ofzo heb je d'r al 1 ;-)

IDE - http://www.alternate.nl/h...lu-ray&l2=DVD-ROM&l3=IDE&
Sata - http://www.alternate.nl/h...l2=DVD-ROM&l3=Serial-ATA&

  • AE86
  • Registratie: Februari 2004
  • Laatst online: 27-02-2023

  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 28-11 09:35

leuk_he

1. Controleer de kabel!

D4NG3R NL schreef op maandag 05 april 2010 @ 16:55:
[...]


Het probleem was dat er bestanden op staan die belangrijk zijn. (Belastingdienst, Bestanden voor werk & school ect) en als ik iets op een stickje zette, dat het virus zich meteen overdroeg.
Op de autorun.inf op dat sticky dus, dat is er zo weer vanaf te halen op een pc waar autorun.inf uitgezet is.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.


  • D4NG3R
  • Registratie: Juli 2009
  • Nu online
Daarvoor dien je een floppy speler te hebben + je kan dan geen schijven formatteren..

Ik koop gewoon ergens een 2e hands PATA DVD spelertje voor 10/15 euro.. Deze PC word eigenlijk alleen nog maar gebruikt voor media & internet (films/muziek ect) maar aangezien mijn nieuwe PC nog niet werkt (Geheugen bleek DOA te zijn) moet ik het nog even uithouden met deze..

Daarnaast gaat deze PC straks naar mijn zusjes kamer, en zij wil wel graag een 100% werkende PC (Virusvrij met DVD speler dus)

Komt d'r in, dan kö-j d’r oet kieken


  • D4NG3R
  • Registratie: Juli 2009
  • Nu online
leuk_he schreef op maandag 05 april 2010 @ 17:10:
[...]

Op de autorun.inf op dat sticky dus, dat is er zo weer vanaf te halen op een pc waar autorun.inf uitgezet is.
Heb de autorun's al weggehaald :+. (Gewoon -externe schijf als voorbeeld- e:/autorun.inf) openen, en dan de tekst aanpassen naar iets als AAAAA ofzo.. daarna wil hij wel verwijderd worden :))

Komt d'r in, dan kö-j d’r oet kieken

Pagina: 1