xa4.no-ip.info

Probeer eens met een andere anti-virus zoals MS Security Essentials of Avast of AVG of watooit. Virusscanners vinden lang niet altijd dezelfde dingen.
Kijk ook welke processen actief zijn en scan vanuit safe mode.

Als je dat soort dingen te zien krijgt zou ik niet eens twijfelen en gewoon je stuff backuppen en opnieuw installeren. Gewoon om zeker te zijn dat het weg is en blijft.

Als ik zie dat een complete installatie (met alle programmas die ik nodig heb, en alle instellingen zoals ik het wil en met alle updates geinstalleerd) me tegenwoordig nog 34 minuten kost (oke is wel linux) dan moet dat met windows 7 ook wel te doen zijn in een 1.5 uur lijkt me.

Dit is juist waarschijnlijk scareware. Wordt er ook gerefereerd naar een tool die je moet downloaden om het te verwijderen? En welk programma geeft die melding dan?

Is dat een melding van F-Secure AV?
Ik lees net een BleepingComputer post met dezelfde waarschuwing; " You are infected with a botnet. The person host who has infected you is XA4. no-ip.info."
Alleen deze persoon gebruikt Eset.

edit, zoals cryforhelp schrijft; is het geen scareware melding?

[ Voor 11% gewijzigd door Baserk op 08-04-2010 16:11 ]

Process Explorer heeft als ik het me goed herinner de mogelijkheid om te laten zien bij welk process een bepaald venster hoort, dus wellicht dat je via die weg eens kan kijken waar de melding vandaan komt

Als de melding er uit zag als een 'gewoon' Windows 7 Explorer scherm dan mag je gevoeglijk aannemen dat je idd scareware hebt binnengehengeld.
Ik gebruik F-Secure zelf niet maar die zal toch een duidelijk anders 'Waarschuwings scherm/popup' hebben, iig iets met F-Secure of hun logo.

Kan je je HDD in een ander systeem zetten om 'm te scannen?
Anders kan je ook nog via een Linux live CD aan de slag en dan online scans draaien en/of met Live-CD's van AV fabrikanten aan de slag.
Een schone install is waarschijnlijk een stuk sneller hoor.
Je leert er weinig van maar je hebt dan wel weer de zekerheid van een schoon systeem.
Gebeurde dit trouwens met UAC aan of uit? En ik neem aan onder een admin-account?

Ik heb zelf goede ervaringen met mbam (Malwarebytes' Anti-Malware). Verder zou je eens kunnen kijken of er vreemde (TCP/IP) poorten open staan ? met bijvoorbeeld "TCPview" van sysinternals.

Orion84 in "xa4.no-ip.info" al geprobeerd?

Draai ook nog even een scan met HitmanPro.
Zal hoogstens minuten duren.

Ziet er uit als een programma geschreven in Java (Swing?). Wellicht dat dat het zoeken vereenvoudigd, grote kans dat de task "java.exe" of "JavaVM.exe" oid heet, met als parameter het gewraakte scareware programmatje.

C:/Prg files/Java/Jre6/Bin/...

Rare locatie.
Als het C:\Program Files\Java\Jre6\bin\javaw.exe was, dan was het waarschijnlijk een normale java installatie.
(of heb je geen java geinstalleerd staan?)

Met Process Explorer kun je d.m.v. Find Window's Process (target ikoon) zoeken welke process achter het scherm zit. En hier wanneer nodig meer informatie uit halen.

en als het uit de boot komt, blader dan ook eens door msconfig en services.msc heen.

SPee schreef op donderdag 08 april 2010 @ 18:22:
[...]

Rare locatie.
Als het C:\Program Files\Java\Jre6\bin\javaw.exe was, dan was het waarschijnlijk een normale java installatie.
(of heb je geen java geinstalleerd staan?)

Met Process Explorer kun je d.m.v. Find Window's Process (target ikoon) zoeken welke process achter het scherm zit. En hier wanneer nodig meer informatie uit halen.

Inderdaad, weet je zeker dat de Javaw.exe in "C:/Prg files/Java/Jre6/Bin/..." staat. En niet in C:\Program Files ? Je gebruikt ook forward slashes ipv van backslashes in je padomschrijving. Mocht je toch C:\Program Files\Java\Jre6\bin\javaw.exe verwijderd/gerenamed hebben, dan denk ik dat je je java runtime environment onklaar gemaakt hebben. Effectief is dit de oplossing voor het probleem wat je hebt omdat dit de JRE gebruikt, maar houd er wel rekening mee dat andere applicaties die gebruik maken van de JRE ook niet meer werken.

Mogelijk is je probleem weer terug als je in de toekomst je de java runtime environment opnieuw installeerd.

Beter zou zijn om uit te vinden welke applicatie de pop-up te voorschijn tovert en deze dan te verwijderen/onklaar maken.

Misschien kan je met "software verkenner" of "Software explorer" uit Windows defender uitvinden welk programma opgestart wordt ?

kulgan schreef op vrijdag 09 april 2010 @ 08:07:
[...]


Inderdaad, weet je zeker dat de Javaw.exe in "C:/Prg files/Java/Jre6/Bin/..." staat. En niet in C:\Program Files ? Je gebruikt ook forward slashes ipv van backslashes in je padomschrijving. Mocht je toch C:\Program Files\Java\Jre6\bin\javaw.exe verwijderd/gerenamed hebben, dan denk ik dat je je java runtime environment onklaar gemaakt hebben. Effectief is dit de oplossing voor het probleem wat je hebt omdat dit de JRE gebruikt, maar houd er wel rekening mee dat andere applicaties die gebruik maken van de JRE ook niet meer werken.

Mogelijk is je probleem weer terug als je in de toekomst je de java runtime environment opnieuw installeerd.

Hmm verdraaid, een waarschuwing van mijn plaats was wel op z'n ... plaats . Geen zorgen, er is geen man overboord. Javaw.exe verwijderen zorgt voor een onbruikbare Java-installatie. Lost jouw probleem op, maar veroorzaakt weer een aantal andere problemen. Mijn advies is de opstart-mappen, registries en files (waarom zit dat overal en nergens tegelijk?) af te struinen en te kijken waar javaw.exe wordt aangeroepen. Als je die opstartregels verwijdert waar javaw in voor komt (of liever nog, kijken wat er met javaw wordt gestart voordat je overgaat tot verwijderen) en de Java Runtime Environment opnieuw installeert (te vinden op http://java.sun.com ) ben je "good to go". Hoe je die opstartregels vindt kan ik je niet uitleggen, daar mijn Windows-kennis een beetje is weggezakt.

[ Voor 8% gewijzigd door RSpliet op 09-04-2010 12:39 ]

Zie in de upcoming nieuwsberichten de kop "Lek in Java maakt Windows-pc's kwetsbaar voor aanvallen" staan, wellicht dat je daar het slachtoffer van bent geworden.

edit: ik slaap nog laat maar dit bericht...

[ Voor 106% gewijzigd door bastian433 op 10-04-2010 12:37 ]

De-installeer Java en zoek eens over je filesystem heen naar javar.jar. Ik vermoed dat dat je probleem-programma (virus/scareware) is. Je hebt nog steeds niet verteld wat er tussen je opstartprogramma's staat aan (java-)toepassingen.
Herinstalleren van je computer werkt altijd, beetje rigoureus, maar wel makkelijk.

Allen,

Ik heb het "probleem" ook gehad en heb het gisteren verholpen. Jullie hebben het inderdaad wel bij het juiste eind: Javar.jar is de boosdoener. Dit bestand is echter ook nodig om Java te kunnen draaien maar kennelijk zit in dit bestand "Het lek van Java".

In ieder geval, hier de oplossing:

1. De-installeer Java. Aan te raden is ook om de complete map uit de Program Files te verwijderen.

2. Ik zelf draai Windows Vista. In dit geval: ga naar de map C:\Gebruikers\<je gebruikersnaam>\. Let op: je moet de optie om verborgen mappen en bestanden zichtbaar te maken aan hebben staan!

3. Zoek het bestand "javar.jar". Dit is een verborgen bestand! Probeer deze te verwijderen. In mijn geval ging dit de eerste keer niet daar deze nog in gebruik zou zijn. In dat geval: check in Taakbeheer of er nog iets met Java in gebruik is. Klinkt onlogisch natuurlijk want Java is al verwijderd. Mocht je echter toch nog iets vinden (denk aan een taak als bijvoorbeeld "jusched.exe", java.exe", jrun.exe", etc.) Je zou, om er helemaal zeker van te zijn, via Start -> uitvoeren -> Services.exe, alle mogelijke Java services uit kunnen zetten.

4. Installeer Java opnieuw (download vanaf HIERRRRRR).

5. Herstart de computer. Als het goed is zou je bij het opnieuw opstarten geen melding meer krijgen. Mocht dit wel zo zijn dan is dit HET moment om met programma's als msconfig en de Software verkenner van de Windows Defender te checken wat er nu wordt uitgevoerd, waar het vandaan komt en welke bestanden je nog meer dient te verwijderen.

Bij mij is dit gelukt, echter lees ik dat jij Windows 7 hebt... Excuseer mij in dat geval als bovenstaande niet werkt .

In ieder geval: SUCCES!

Groeten.

Rob

[ Voor 9% gewijzigd door Verwijderd op 13-04-2010 08:31 ]

Super!

Aan allemaal; oplossing schijnt dus niet alleen voor Vista geschikt te zijn maar ook voor de Windows 7 van Bram178