Virus... hulp gevraagd! - Privacy en beveiliging

vrijdag 20 augustus 2010 08:53

Acties:

Topicstarter

Gisteren op mijn werkcomputer (staat op kantoor) een dubieus .exe bestandje geopend. Stom, ik had beter moeten weten. Een half uur daarna begon de ellende. pop-ups, fout meldingen, de hele rataplan.

Gisteren kreeg ik webpopups (adultfriendfiender.com en dat soort meuk), en daarnaast nepwaarschuwingen van een een nep virusscanner (althans dat denk ik). Het waren berichten die vanuit de taakbalk opdoken met teksten als "you're being attacked by an internet virus, activate your anti virus software now?" (zoiets was het). Ik denk dat het nep is, omdat er sowieso geen naan van een antiviruspakket bij stond, en daarnaast gebruiken we hier op het werk Norman.
Norman zelf doet niets helaas. gisteren lukte me het niet hem te openen, ik kreeg dan meldingen dat svchost.exe geinfecteerd was, en ook nog een ander bestand.

Ik heb de netwerkstekker er nu uit gehaald. Als ik de PC nu opstart kan ik inloggen, zie het bureaublad, maar hij laadt niet alles op. Ik blijf het zandlopertje zien, en krijg tientallen foutmeldingen met in de header van de window: "52117.exe - toepassingsfout" Daaronder staat "De instructie verwijst naar geheugen op ............" En bij de pun tjes komt steeds iets anders te staan als ik op ok druk.

Onze systeembeheerder wil hier niet mee lastig vallen (is nog op vakantie) en zou het het liefst zelf oplossen. Wat kan ik doen?

Zelf al gezocht, zoeken op "52117.exe" levert niets op. Weet niet zo goed hoe ik dit moet aanpakken!
Wij werken op Windows XP. Hebben overigens ook een aantal Windows 7 computers.

[ Voor 5% gewijzigd door tbenschop2 op 20-08-2010 08:57 ]

vrijdag 20 augustus 2010 08:55

Acties:

Viper®

ik gebruikte vroeger altijd hijackthis

sowieso in veilige modus opstarten

[ Voor 33% gewijzigd door Viper® op 20-08-2010 08:55 ]

vrijdag 20 augustus 2010 08:56

Acties:

Tsurany

⭐⭐⭐⭐⭐

Herinstallatie, zeker op een kantoor wil je niet dat een pc de rest kan besmetten, dan wil je 100% zeker zijn dat het virus weg is.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

vrijdag 20 augustus 2010 08:57

Acties:

tbenschop2

Topicstarter

Wil juist een herinstallatie voorkomen..

vrijdag 20 augustus 2010 09:00

Acties:

boers706

bij opstarten F8 en dan kiezen voor vorige versie herstellen of zo iets met een beetje geluk heb je updates geinstalleerd waardoor je een versie van afgelopen week ofzo terug kunt zetten. Je kunt op het laatste moment nog kiezen of je wilt herstellen of niet, als het herstel erg oud is zou ik het niet doen. Je bestanden etc blijven gewoon bestaan, alleen zet hij de originele windows bestanden terug.

vrijdag 20 augustus 2010 09:02

Acties:

Silver7

tbenschop2 schreef op vrijdag 20 augustus 2010 @ 08:57:
Wil juist een herinstallatie voorkomen..

Ik weet niet hoe ICT-zaken daar geregeld worden.

Maar het beste is gewoon de werkstation opnieuw inspoelen.
(op eigen riscio en/of risico van ICT-er die daar werkt)

vrijdag 20 augustus 2010 09:05

Acties:

Tsurany

⭐⭐⭐⭐⭐

tbenschop2 schreef op vrijdag 20 augustus 2010 @ 08:57:
Wil juist een herinstallatie voorkomen..

Dat snap ik maar dat is dus niet verantwoord. Kan jij er immers zeker van zijn dat het virus 100% verdwenen is? Kan je dat niet en sluit je je pc weer aan op het netwerk is de kans aanwezig dat het hele kantoor besmet wordt.
In zakelijke omgevingen is het gewoon herinstallatie en klaar.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

vrijdag 20 augustus 2010 09:07

Acties:

tbenschop2

Topicstarter

Op dit moment lukt het me niet op te starten in de veilige modus, althans het inloggen lukt niet. Ik ben al aan het rondvragen of iemand misschien weet hoe ik er in kom.

edit.
Is er geen testversie van een goed antivirusprogramma dat dit virus wél kan aanpakken?

[ Voor 22% gewijzigd door tbenschop2 op 20-08-2010 09:08 ]

vrijdag 20 augustus 2010 09:14

Acties:

LinuX-TUX

Geloof dat er ook een FaQ voor was, maar iig als de reetscheet naar: http://housecall.trendmicro.com/ en een online scan erbij laten uitvoeren.

Wat ik me wel afvraag is, gebruiken jullie uberhaubt wel virusscanners op de zaak? Of doen jullie graag aan russisch roulette?

vrijdag 20 augustus 2010 09:15

Acties:

Verwijderd

Download de Emsisoft Emergency Kit. Zip uitpakken op USB stick.

Zieke PC opstarten in veilige modus, op de USB stick het bestandje CommandlineScanner.bat starten.

Koffie zetten...

vrijdag 20 augustus 2010 09:21

Acties:

tbenschop2

Topicstarter

Bedankt, ik ben nog steeds aan het uitzoeken waarom ik niet kan inloggen in veilige modus.

Die online virusscan doe ik niet, ik laat mijn netwerkstekker eruit tot ik zeker weet dat het virus weg is.
En zoals ik al aangaf hebben we Norman. Niet een al te best pakket dus

@zomaar, die ga ik proberen zodra ik in de veilige modus zit! Bedankt!

vrijdag 20 augustus 2010 09:26

Acties:

Standeman

Prutser 1e klasse

Ik denk dat de beste actie is om die PC te laten wat het is en op een andere machine verder te werken. Dan wachten totdat de systeembeheerder terug is van vakantie en het hem laten fixen. Hij heeft van hoe jullie installaties in elkaar zitten en hoe de machines geconfigureerd zijn.

Als de systeembeheerder je begint uit te foeteren, kan je bij hem hetzelfde doen. Een goed beveiligde machine zou het niet eens toe moeten staan om zo'n exe uit te voeren.

The ships hung in the sky in much the same way that bricks don’t.

vrijdag 20 augustus 2010 09:29

Acties:

Sefyu

Probeer eens te scannen met een Live cd van Dr. Web:

http://www.freedrweb.com/livecd/

Dat is een linux live cd met een virusscanner, zo hoef je windows niet op te starten om te scannen. Je kan ook gerust je netwerkkabel er weer in doen wanneer je van deze cd opstart (is ook wel handig, want de updates moeten ook binnengehaald worden)

vrijdag 20 augustus 2010 09:30

Acties:

JackPoint

De meeste rommel kan je er met http://www.malwarebytes.org/mbam-download.php wel af halen.
Als het luk in veilige modes draaien.

vrijdag 20 augustus 2010 09:40

Acties:

Verwijderd

tbenschop2,

Wanneer er om een wachtwoord wordt gevraagd, wil de Enter toets ook wel eens uitkomst brengen.
Dus geen wachtwoord invullen. Misschien is er geen wachtwoord ingesteld om als admin in de veilige modus in te loggen en dan zal elk wachtwoord dat wél wordt ingevuld fout zijn.

vrijdag 20 augustus 2010 10:51

Acties:

tbenschop2

Topicstarter

Bedankt voor de reacties. Ik ben nu bezig met de scan van Emisoft (helaas niet in veilige modus), en heb al twee bestanden met een hoog risico eruit gehaald. Ik heb de computer gerestart en de foutmeldingen kwamen niet terug. Wel starten nog steeds niet alle programma's op (waaronder Norman, ik zie het icoontje iig niet verschijnen rechts onderin de taakbalk) De scan loopt nu door. Misschien vindt ie nog meer.

Edit: Yep, nog een hele zooi erbij. Hopelijk kan ik ze na de scan allemaal verwijderen.

[ Voor 9% gewijzigd door tbenschop2 op 20-08-2010 10:53 ]

vrijdag 20 augustus 2010 11:01

Acties:

Miki

tbenschop2 schreef op vrijdag 20 augustus 2010 @ 10:51:
Bedankt voor de reacties. Ik ben nu bezig met de scan van Emisoft (helaas niet in veilige modus), en heb al twee bestanden met een hoog risico eruit gehaald. Ik heb de computer gerestart en de foutmeldingen kwamen niet terug. Wel starten nog steeds niet alle programma's op (waaronder Norman, ik zie het icoontje iig niet verschijnen rechts onderin de taakbalk) De scan loopt nu door. Misschien vindt ie nog meer.

Edit: Yep, nog een hele zooi erbij. Hopelijk kan ik ze na de scan allemaal verwijderen.

Ik weet niet in wat voor soort bedrijf je werkt maar om nu deze pc na het scannen en opschonen in het netwerk te hangen een bizar stompzinnig idee tenzij je het niet erg vind dat bedrijfscritische gegevens op straat mogen liggen.
Er is namelijk geen enkele garantie dat na het scannen van het systeem je geheel virus vrij bent. De enige juiste handeling is al eerder aangegeven, systeem uit het netwerk halen en wachten op de systeembeheerder opdat hij het systeem van een nieuwe image kan voorzien.

vrijdag 20 augustus 2010 11:31

Acties:

tbenschop2

Topicstarter

Hmm misschien wacht ik dan wel even tot maandag.. Als je "stompzinnig" zelfs onderstreept...

vrijdag 20 augustus 2010 11:39

Acties:

Finder

Als de rest van de PC's degelijk beveiligd is, hoeft 1 besmette PC nog geen gigantisch beveiligingsrisico te zijn. Beetje netwerk moet tegenwoordig toch wel rekening houden met mogelijke besmette 'gast' laptops. Mits er natuurlijk geen kritische info op de besmette PC staat.

vrijdag 20 augustus 2010 11:43

Acties:

ignace93

Zag je toevallig niks staan als: Anti Malware Doctor oid ? Daar had ik gisteren nog last van.

vrijdag 20 augustus 2010 11:49

Acties:

tbenschop2

Topicstarter

ER staat geen kritische info op de PC. Het is wel zo dat de rest van het netwerk met hetzelfde virusprogramma is uitgerust dat dit virus dus blijkbaar niet kon tegenhouden. Ik wacht toch even tot maandag.

En nee, geen Anti Malware Doctor.. Het was iets anders, weet het niet meer. Heb het vandaag niet meer gezien.

vrijdag 20 augustus 2010 11:50

Acties:

Verwijderd

Waarom probeer je dit zelf op te lossen? Ik weet niet wat er voor ICT support bij jou op kantoor is, maar laat hen dat even lekker uitzoeken. Ja je hebt een fout gemaakt door op die exe te klikken, maar blijf met je vingers van een pc af als je niet weet hoe deze opgeschoond moet worden.
Enige zinnige oplossing: format C: en herinstallatie. Zeker in een bedrijfsomgeving!

Als ik erachter zou komen dat medewerkers op 'mijn' netwerk zelf aan het klooien gaan met opschonen van virussen, kan je een flinke douw verwachten. Niet dat ze dat zouden kunnen, want de functionaliteit die de medewerkers NODIG hebben is beschikbaar. Verder is de boel dichtgetimmerd. (gelukkig wel, heb wel meer te doen dan dagelijks puin ruimen doordat betwetertjes de boel slopen)

vrijdag 20 augustus 2010 11:50

Acties:

Felsch

Zeg, heet die fake antivirus iets in de richting van antivirone ? of tenminste, je moet even googlen op de naam van de "fake antivirus" of 1 van de sites waar naar toe wordt gelinkt als je voor "protection" kiest. If so, dan vindt je daar wel oplossingen op google(registerwaardes verwijderen en bestanden). En als het goed is zou je eigenlijk niets kunnen openen behalve iexplore.exe ... ben niet zeker ervan of dit jou probleeem is, maar kan een iets zijn.

Overigens, zoals hierboven is gezegd, laat dit oplossen door iemand van je ict afdeling. niet handig om zelf te gaan snuffelen.

[ Voor 12% gewijzigd door Felsch op 20-08-2010 11:54 ]

vrijdag 20 augustus 2010 12:11

Acties:

CH4OS

It's a kind of magic

tbenschop2 schreef op vrijdag 20 augustus 2010 @ 11:49:
ER staat geen kritische info op de PC.

Wat is dan het probleem om de machine niet zsm opnieuw te laten inspoelen en zelf uit te wijken naar een andere werkplek?

Dan verklein je in ieder geval het risico dat het virus zich (ongezien) uitbreid.

Het is wel zo dat de rest van het netwerk met hetzelfde virusprogramma is uitgerust dat dit virus dus blijkbaar niet kon tegenhouden. Ik wacht toch even tot maandag.

Lijkt mij des te meer reden om snel(ler) actie te ondernemen ipv een afwachtende houding te nemen.
Dus ik begrijp wel waarom iemand de opmerking bold maakte en liet onderstrepen...

Wellicht ook een idee om bij jullie ICT-afdeling aan te geven dat Norman niet deugd?

[ Voor 15% gewijzigd door CH4OS op 20-08-2010 12:13 ]

vrijdag 20 augustus 2010 12:13

Acties:

osmosis

als je nog in windows kan komen. hitmanpro

laat die maar ff los

vrijdag 20 augustus 2010 12:19

Acties:

Viper®

De vraag is of het een virus is of gewoon een adware applicatie die je browser instelling aanpast en pagina's laadt.

De meeste virusscanners pikken virussen namelijk wel op, zeker in een bedrijfsnetwerk omgeving.

desalniettemin vind ik zoals al vermeld het beste idee om de pc z.s.m. af te sluiten en niet meer te gebruiken. Meld het direct bij netwerk/systeembeheer.

Als je zelf nu dingen gaat lopen proberen heb je later alleen maar een grotere kans dat je verantwoordelijk bent voor eventuele problemen.

vrijdag 20 augustus 2010 12:20

Acties:

dutch_camel

It's Orange!

Daarbij zou ik voorzichtig zijn met het ergens anders opstarten (andere werkplek). Het zal niet de eerste keer zijn dat een virus ook in je profiel terecht is gekomen, en dat je vanaf die andere werkplek meteen weer een pc besmet (regen-drup verhaal).

Volg de tips op: Bel jullie ICT man/vrouw op. En zorg voor een goed ingesteld anti-virus pakket. Ik krijg het vermoeden dat het pakket zelf misschien niet zo slecht is, maar dat het compleet soft staat ingesteld.

~... this doesn't look like Kansas to me, Toto... ~

vrijdag 20 augustus 2010 12:51

Acties:

Tsurany

⭐⭐⭐⭐⭐

Finder schreef op vrijdag 20 augustus 2010 @ 11:39:
Als de rest van de PC's degelijk beveiligd is, hoeft 1 besmette PC nog geen gigantisch beveiligingsrisico te zijn. Beetje netwerk moet tegenwoordig toch wel rekening houden met mogelijke besmette 'gast' laptops. Mits er natuurlijk geen kritische info op de besmette PC staat.

Als die pc netwerk toegang heeft en toegang tot shares kan het virus in theorie al die data uploaden naar verweggistan. Dat is het grote risico.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

vrijdag 20 augustus 2010 13:03

Acties:

gulie

Een virus op een PC bij een bedrijf kan gewoon voor grote problemen zorgen, wat de meeste mensen hier zeggen alle wachten tot maandag. Behalve verspreiding binnen het netwerk kan je PC ook dingen gaan zenden naar het internet en dan mag je systembeheerder maandag ook gaan bellen met jullie ISP om weer internet te krijgen.

Dus het beste is echt wachten. Want er is een grootte verspreidingen kans met vergaande gevolgen. En kan je uit ervaring vertellen dat dat gewoon een bedrijf voor meerder dagen kan stil leggen.

Ben Dis... dyc... dic... Dyslexie

vrijdag 20 augustus 2010 13:19

Acties:

Muskalade

Vergeet niet alle USB media apparaten die je in je laptop hebt gehad te scannen .