PersonalShieldPro en 7ikm.exe kan er nog wat in de MBR zijn?

Om een tijdelijke internet verbinding via extra routers en zo te testen dit even geprobeerd op een game PC. Deze PC komt normaal niet op internet en er staat Windows XPsp2 op en geen Antivirus. Maar alleen even proberen hè. Dus Internet Explorer gestart, Google opgeroepen en even bij de Telegraaf kijken. Daar liep IE vast.

Kan gebeurden dus IE afgesloten, even wat anders gedaan en toen ik terugkwam stond er een venster van PersonalShieldPro op het scherm. Op dit moment was de taskmanager al niet op te roepen en bleek de Windows Firewall uitgeschakeld. Ook was er een uitzondering voor 7ikm.exe toegevoegd.

Dus internet verbinding maar onderbroken en op een andere computer kijken hoe we er af komen. De procedure volgend opnieuw opstarten. De harde schijf kwam wel door de post maar booten deed hij niet. Toen als eerste de MBR hersteld en dat werkte, Windows kwam weer op.

De verwijder procedure hield in dat hierna in een map C:\Documents and Settings\all users\application data\... gewerkt moest worden maar het bleek dat al deze mappen niet meer zichtbaar waren in Windows Verkenner. Kennelijk waren de verborgen mappen dus verborgen. Die optie had ik toch aan staan. Bij de mapopties kijken. Waar is de knop mapopties gebleven? Zelfs de knop mapopties was weg. Een zeer agressief virus dus.

Het probleem was dus niet alleen PPP maar ook 7ikm.exe en wie weet wat nog meer.

Dit heb ik toen maar opgelost door die partitie te klonen van een image. Dit soort dingen overkomt me gelukkig zeer zelden maar je ziet hoe snel het gebeurd is en hoe lastig het kan zijn er af te komen.

Waar ik nog niet helemaal gerust op ben is het moeten herstellen van de MBR. Ik hoop niet dat er ergens iets in de MBR of zo is achtergebleven. Voor de zekerheid installeer ik nu antivirus en ga de hele schijf nog eens scannen. Kan een virusscanner dit eventueel herkennen?

[ Voor 0% gewijzigd door Obelink op 09-09-2011 08:02 . Reden: typo ]

Dit topic haal ik nog eens omhoog omdat dit muisje nog een staartje, zeg maar gerust staart blijkt te hebben.

Vandaag wilde ik een spelletje doen, computer opgestart, en opgehouden door een telefoontje. Bij terugkeer een computer die nauwelijks meer vooruit wilde. Hij bleek per abuis met internet verbonden en in de taskmanager stond een dozijn aan rare programmaatjes: 0ymvddwz.exe, bitsprx3.exe, f1ku.exe, i6g8xs.exe en ga zo maar door.

Computer van het internet gehaald en proberen op te ruimen. Overal op de harde schijf stonden kopieën van die programmaatjes. Verborgen snelkoppelingen in de map opstarten en systeem opstarten.
Virusscanners geïnstalleerd. Die sloegen volkomen op tilt, alles was besmet volgens hun. Malwarebytes erop losgelaten, wat kunnen opruimen.

De virusscanners had ik op een andere PC gedownload en op een USB stick gezet. Nadat ik de stick in het systeem had gedaan stonden er ineens extra bestanden op: logonui.exe, spoolsv.exe en autorun.inf. Autorun.inf verwees naar spoolsv.exe om te openen.

Op een schone en maagdelijke kloon (dacht ik) Sygate Personal Firewall gezet en na contact met internet wilde winlogon.exe verbinding maken met ilo.brenz.pl, dat levert wel wat hits op bij Google.

Ghost images terug gezet en nog eens en nog eens. Off line werkte de computer normaal, zodra er verbinding met internet was begon de ellende. Uiteindelijk twee concrete aanwijzingen, de virusscanners rapporteerden Win32:vitro -lees hier de horrorverhalen- en een bootscan leverde op MBR0 geïnfecteerd met alureon-H [RTK].

Mijn vrees uit de openingspost is dus bewaarheid, er zat iets in de MBR. Waar deze ellende vandaan komt kan ik niet nagaan, deze computer werd offline gebruikt en er stond niets op dat me ooit problemen bezorgd heeft. Dan zou het dat enen moment uit de openingspost geweest moeten zijn.

Gelukkig stond er ook niets op dat niet al op een andere computer stond want nu ben ik de harde schijf aan het wissen met Darik's Boot and Nuke. Ik hoop dat daarmee ook de MBR opgeschoond word en ik een nieuwe start kan maken. Met Killdisk wilde het overigens niet lukken, die rapporteerde om de haverklap een error 9 in sector zus-en-zo-veel waar ik geen clou over heb kunnen vinden.

Dit zijn dingen, die overkomen mij niet, dat hebben alleen anderen die niet goed oppassen met hun computers dacht ik altijd