[virus] ujoneoxs heeft zich gekoppeld aan .exe files - Client software algemeen

zaterdag 25 oktober 2003 13:48

Acties:

gadgeteer

Topicstarter

Voor een collega van mijn vader heb ik beloofd zijn pc 'eventjes' weer op te lappen. Er staat nogal wat belangrijke zooi op, dus een volledige herinstallatie is geen optie.

Het probleem is als volgt: Hij had een virus gekregen onder windows 98. Welk virus weet ik helaas niet, want hij draaide een virusscanner (NVC) en die had dat virus netjes verwijderd. Wat wil het geval nu: Dit virus had zichzelf op de één of andere manier gekoppeld aan alle executables / toepassigen, oftewel de bestandsextensie .exe

Bij het opstarten van de pc wordt nu dus voortdurend om 'ujonexs.exe' gevraagd, dat nodig is voor het opstarten van het bestandstype 'toepassing'. Onder het control panel bestandsextensies staat ook een kopje 'toepassing', wat inderdaad gekoppeld is aan die 'ujonexs.exe'. Helaas zijn de knoppen 'bewerken' en 'verwijderen' van deze toewijzing disabled, dus daar kan ik niets mee doen.

Hoe krijg ik windows weer zo ver dat hij weer .exe files kan openen met explorer.exe ipv ujonexs.exe?

Virusscanners en fix-tooltjes gaan niet werken, want die kan ik dus niet uitvoeren.

[google=ujonexs] leverde helaas niets op.

micheljansen.org
Fulltime Verslaafde Commandline Fetisjist ©

zaterdag 25 oktober 2003 13:49

Acties:

alt-92

ye olde farte

klinkt als klez met een random 8.3 naam.

copy regedit.exe regedit.com,
run regedit.com
ga op zoek naar de handler voor exefile
pas daar de key aan zoals die hoort (en die info is zat te vinden op internet).

[ Voor 69% gewijzigd door alt-92 op 25-10-2003 13:52 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 25 oktober 2003 13:51

Acties:

_the_crow_

Rare vogel

Even veranderen in het register. De betreffende key heet: [HKEY_CLASSES_ROOT\exefile\shell\open\command].
Verander de waarde van '(Standaard)' in ""%1" %*".

[ Voor 55% gewijzigd door _the_crow_ op 25-10-2003 13:56 ]

Schrödingers cat: In this case there are three determinate states the cat could be in: these being Alive, Dead, and Bloody Furious.

zaterdag 25 oktober 2003 13:53

Acties:

Verwijderd

Draai deze tool eens in safemode: clrav.com

zaterdag 25 oktober 2003 13:58

Acties:

dawuss

gadgeteer

Topicstarter

Ik vermoed dat het swen is.

Dit is wel vervelend volgens symantec:

Due to the numerous changes that the worm makes to the Windows registry, the worm can be somewhat difficult to remove if it has already run and your Symantec antivirus product has subsequently quarantined or deleted it. If both of these have occurred, you will not be able to download and run the tool.

The actions you take if the worm has executed and the worm files were quarantined or deleted depends on your operating system.

o Windows NT/2000/XP: Download the tool as described in the following steps. However, rename the tool to use the .cmd extension as described in the Note in step 5, below.
o Windows 95/98/Me: Because renaming the tool to use the .cmd extension does not work on these operating systems, first follow the instructions of the "W32.Swen.A@mm has already been quarantined or deleted" section in the Removal section of the W32.A.Swen@mm writeup.

Ik ga dat renamen van regedit.exe naar regedit.com eens proberen. om de registerkeys beschreven in de eerste link terug te wijzigen.

micheljansen.org
Fulltime Verslaafde Commandline Fetisjist ©

zaterdag 25 oktober 2003 14:08

Acties:

Han

Virus topics mogen in Software Algemeen...

-> Software Algemeen

Doubt thou the stars are fire; Doubt that the sun doth move; Doubt truth to be a liar; But never doubt I love.

zaterdag 25 oktober 2003 14:51

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Even een quote van mezelf:

quote: http://gathering.tweakers..._messages/783264///#virus
Diverse virussen passen de aanroep van executables binnen Windows aan, o.a. dit zodat het virus steeds wordt aangeroepen als een programma wordt opgestart. Dit betekent echter dat na het verwijderen van zo'n virus-infectie geen .exe bestanden meer kunnen worden opgestart omdat de kopelling is verdwenen. Dit is na het verwijderen van het virus redelijk makkelijk op te lossen door het volgende bestandje te openen: deze voor Windows 2k/XP en deze voor Windows 9x. Als je zelfs geen .reg bestanden meer kunt openen door het virus, kan je deze .inf openen. Kijk bij beiden natuurlijk even met kladblok naar de inhoud om te zien wat het doet
Als dat niet werkt: kopieer (of hernoem) met de verkenner regedit.exe naar regedit.com en start deze regedit.com op.
In je register zou HKEY_CLASSES_ROOT\exefile\shell\open\command als default "%1" %* moeten bevatten, als hier dus iets anders staat, pas dit aan.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe hoeft enkel een lege default te hebben staan. Dus als de default iets anders is, verwijder deze tekst.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zondag 26 oktober 2003 19:47

Acties:

dawuss

gadgeteer

Topicstarter

Ik heb het uiteindelijk opgelost door dat virusscan .com ding te renamen naar "naamvanhetvirus.exe" en toen iets proberen op te starten. Die virusscanner loste toen ook meteen de foutieve registerkeys op (want zowel .com, .bat .lnk als .exe waren ge-bind aan het virus), waarna ik het virus handmatig kon verwijderen

Bedankt voor alle hulp.

Stom dat ik dat stukje faq gemist had

dinsdag 2 december 2003 23:53

Acties:

BdR

TV is gooder then books

jammer dat dit topic Wat is dit voor een virus? weer zo snel gesloten werd, want ik heb het op kunnen lossen en deze oplossing stond volgens mij nog nergens genoemd.

Mn neef had het virus op zn pc, het bestand javhniqy.exe (in dit geval, de naam is altijd willekeurig) stond in C:\Windows\ en het probleem is dus dat het virus in de registry heeft gezet dat voor het opstarten van elke .EXE .COM .BAT etc eerst het virus programma wordt opgestart, met het op te starten programma als parameter. Bijv als je notepad opstart doet hij eigenlijk "javhniqy.exe notepad.exe"

Dus ook als je REGEDIT.EXE op wil starten zorgen die registry entries ervoor dat windows dan "javhniqy.exe regedit.exe" opstart. En nu de oplossing:

1, download dit bestandje UNDO.REG
2, maak een copy van REGEDIT.EXE en noem deze JAVHNIQY.EXE (in dit geval, naam is altijd verschillend)
3, sleep het bestand UNDO.REG op deze JAVHNIQY.EXE (is dus eigenlijk REGEDIT.EXE)
4, "wilt u instellingen van JAVHNIQY.EXE importeren in registry" -> nee
5, "wilt u instellingen van UNDO.REG importeren in registry" -> ja

wat je bij stap 3 doet, is hetzelfde als in de commandprompt dit intypen "javhniqy.exe javhniqy.exe undo.reg" Die eerste javhniqy.exe komt van de registry entry bij .EXE, de 2e javhniqy.exe komt omdat dat het programma is wat je wilt opstarten. Dan heb je dus de REGEDIT opgestart met 2 parameters, de eerste sla je over, de tweede importeer je

mijn web games -> Impossible Snake 2 :: Impossible Snake :: Snake Slider

woensdag 3 december 2003 00:02

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Sowwy

Even toegevoegd, thanks

edit:
Grmbl, zo komt de SA FAQ noooit af

Oftewel: komt er bij in de volgende update als ik heb heb bevestigd

[ Voor 62% gewijzigd door F_J_K op 03-12-2003 00:13 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)