Toon posts:

[TweakUI]TweakUI has been disabled by your administrator

Pagina: 1
Acties:
  • 177 views sinds 30-01-2008
  • Reageer

maandag 3 mei 2004 18:46

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Heel vreemd; als ik tweakui wil openen zegt ie:
"TweakUI has been disabled by your administrator".

Ik had vandaag dit ook met taakbeheer, dit kon je oplossen met gpedit.msc en dan wat wijzigen. Echter, in gpedit.msc kan ik niks vinden over TweakUI.

Ik heb windowsXP professional met SP1, legaal.
Ik ben gewoon (1 van de) beheerders van de computer. Het is pas sinds vandaag...

leoaq.fm // Jeune Loop

maandag 3 mei 2004 18:58

Acties:
  • stevenP
  • Registratie: December 2003
  • Laatst online: 06:53

stevenP

hmm, al eens ge'chkdsk't? (start->run->chkdsk)

Gasloos! 3100Wp Z, 2150Wp W, Panasonic 5J monoblock, Panasonic 150L WPB

maandag 3 mei 2004 19:01

Acties:

Verwijderd

stevenP schreef op 03 mei 2004 @ 18:58:
hmm, al eens ge'chkdsk't? (start->run->chkdsk)
Hoe kan dit te maken hebben met het probleem?

Voor topicstarter: kijk eens onder
code:
1

\local computer policy\windows settings\security settings\software restriction policies


bijvoorbeeld. En zo zijn er nog wel meer.

Overigens denk ik dat dit buiten die forum valt, en je gewoon aan je systeembeheerder moet vragen om tweakui..

Wel een prutser die systeembeheerder, dat ie tweakui blocked maar gpedit.msc niet :P

[ Voor 11% gewijzigd door Verwijderd op 03-05-2004 19:02 ]

maandag 3 mei 2004 19:06

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Nee dit is gewoon een thuiscomputer waarvan ik beheerder ben.

O en in gpedit kan ik dát wat jij zegt niet vinden :?

[ Voor 33% gewijzigd door sjaakaq op 03-05-2004 19:06 ]

leoaq.fm // Jeune Loop

maandag 3 mei 2004 19:08

Acties:

Verwijderd

leokennis schreef op 03 mei 2004 @ 19:06:
Nee dit is gewoon een thuiscomputer waarvan ik beheerder ben.
Dat is raar? Waarom log je niet gewoon als beheerder in dan? Is het probleem gelijk opgelost :)

maandag 3 mei 2004 19:11

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
dat bén ik dus :'(

Ik ben ingelogd als beheerder maar kan TweakUI niet openen omdat het disabled is door de beheerder zegt ie dus...

leoaq.fm // Jeune Loop

maandag 3 mei 2004 19:25

Acties:
  • Spider.007
  • Registratie: December 2000
  • Niet online

Spider.007

* Tetragrammaton

leokennis schreef op 03 mei 2004 @ 19:11:
dat bén ik dus :'(

Ik ben ingelogd als beheerder maar kan TweakUI niet openen omdat het disabled is door de beheerder zegt ie dus...
Zou je dit soort informatie in het vervolg direct in de startpost willen vermelden zodat er geen twijfel hoeft te ontstaan over de legaliteit van jouw vraag?

Verder is dit een Windows probleem wat niet in SA hoort :)

SA > WOS

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

maandag 3 mei 2004 19:26

Acties:
  • Resistor
  • Registratie: April 2001
  • Niet online

Resistor

Niet meggeren!

Ga eens scannen op vsv (virussen, spyware, en andere vuiligheid)

Sommige dingen hebben de neiging zichzelf te beschermen.

What will end humanity? Artificial intelligence or natural stupidity?

maandag 3 mei 2004 19:34

Acties:

Verwijderd

The "Disabled by your administrator" message means that your
administrator has disabled registry editing tools, in which
category Tweak UI falls.
misschien heb je daar iets aan? Als ik zoek bij google, is dat zo'n beetje het gemiddelde antwoord.

Je moet 'm dus vertellen dat je wel het register mag editten..

maandag 3 mei 2004 19:40

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
OK maar...waar vind ik dat? Het zijn zoooveel instellingen...

Nu weer een ander probleem in diezelfde trant: taakbeheer doet het niet, ook disabled door de beheerder. Dit had ik vanmorgen ook, maar via een wijziging via gpedit.msc wekte het weer....totdat ik me heb afgemeld en me weer aanmeld, dan begint ie weer.

Een virus/trojan oid kan het bijna zeker niet zijn; ik heb gisteren gescand en vandaag ben ik (met opera==bijna zeker geen trojans) alleen naar 'lieve sites' geweest. Het enige wat ik vandaag gedaan heb is:
Norton uninstalled
Panda-trial geïnstalleerd en er daarna weer afgehaald
Kaspersky AV erop gezet en eraf gehaald
Norton weer geïnstalleerd
offtopic:
En ik zie nu dat LiveUpdate het ook niet meer doet omdat hij een of andere catalogus met geïnstalleerde producten niet kan vinden :X
En ik kan het main window van NAV ook niet meer openen, ik kan wel op het tray-icon klikken maar dan gebeurd er niks, de configuartioe kan ik wél openen...

[ Voor 11% gewijzigd door sjaakaq op 03-05-2004 19:42 ]

leoaq.fm // Jeune Loop

maandag 3 mei 2004 19:43

Acties:

Verwijderd

Als ik je verhaal zo lees, weet ik eigenlijk wel zeker dat je met een virus/trojan te maken hebt.. het heeft er in elk geval ALLE schijn van.

Dus: download en installeer een goede virusscanner, zorg dat die up-to-date is, en scan je PC. Scan daarna nog eens met tools als ad-aware, spycop en hijackthis.
met opera==bijna zeker geen trojans
dat zou ik maar snel uit m'n hoofd zetten als ik jou was.

[ Voor 16% gewijzigd door Verwijderd op 03-05-2004 19:44 ]

maandag 3 mei 2004 19:54

Acties:
  • Spider.007
  • Registratie: December 2000
  • Niet online

Spider.007

* Tetragrammaton

Dan gaan we deze voor de zekerheid toch maar verplaatsen naar de experts :P

WOS > BV

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

maandag 3 mei 2004 19:54

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Hmm nou ok een virus. Ik pak een CD met een oude Panda versie aangezien Norton niks doet. Ik stop de CD erin en wil de installatie starten:
"Kan geen toegang tot het opgegeven apparaat, pad of bestand krijgen. Mogelijk hebt u geen toegangsmachtigingen voor het item".
OK, spybot dan:
"Kan geen toegang tot het opgegeven apparaat, pad of bestand krijgen. Mogelijk hebt u geen toegangsmachtigingen voor het item".

Eigenlijk krijg ik dit nu dus overal bij...ik ben nu op internet via de windows catalogus knop, aangezien ik het ook krijg bij IE en Opera :'(

Conclusie: iets heeft (voor alle gebruikers, ook op andere profielen krijg ik deze melding) de gebruikersrechten e.d. vern**kt. Wat, dat weet ik niet en ik kan dit dus niet controleren aangezien ik geen enkel programma kan starten.

[ Voor 3% gewijzigd door sjaakaq op 03-05-2004 19:56 ]

leoaq.fm // Jeune Loop

maandag 3 mei 2004 19:59

Acties:

Verwijderd

Als je nog wel een andere PC hebt die werkt: download bv. eens knoppix, boot de geinfecteerde PC van die CD en scan dan op virussen?

maandag 3 mei 2004 20:00

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Wel een andere PC, geen andere brander :'(

EDIT: Pfiieeeuuuw dat "Kan geen toegang tot het opgegeven apparaat, pad of bestand krijgen. Mogelijk hebt u geen toegangsmachtigingen voor het item" is weg. Was een foute de-install van NAV2003. Opgelost door in veilige modus dat NAV removal tooltje van symantec te gebruiken.

Wat blijft is dat mijn gebruikersinstellingen nog steeds verneukt zijn; tweakui en taskmanager disabled.

* sjaakaq snapt de relativiteitstheorie opeens en vind het niet eens zo erg meer dat mijn rechten niet 100% kloppen :*)

[ Voor 86% gewijzigd door sjaakaq op 03-05-2004 20:27 ]

leoaq.fm // Jeune Loop

maandag 3 mei 2004 21:10

Acties:

Verwijderd

leokennis schreef op 03 mei 2004 @ 20:00:
Wat blijft is dat mijn gebruikersinstellingen nog steeds verneukt zijn; tweakui en taskmanager disabled.
kun je regedit wel starten? (lijkt me stug)

start --> uitvoeren --> regedit
/me snapt de relativiteitstheorie opeens en vind het niet eens zo erg meer dat mijn rechten niet 100% kloppen :*)
Omgekeerde kruifiaanse logica: elk nadeel heb z'n voordeel :)

maandag 3 mei 2004 21:30

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
nee regedit lukt ook niet...

leoaq.fm // Jeune Loop

maandag 3 mei 2004 21:35

Acties:

Verwijderd

Klinkt toch als het werk van malware...
Check eens of er bijzondere poorten openstaan, vage processen draaien of dat er iets vaag mee opstart.
Zie ook de stickies van BV. :)

maandag 3 mei 2004 21:37

Acties:

Verwijderd

is dit niet te omzeilen door in safe mode op te starten en daar regedit te gebruiken?

Of zelf een policy maken waarin regedit aan staat, en die aan de user koppelen..

maandag 3 mei 2004 21:52

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Zal de stickies zo ff lezen.

En dat veilige modus:
Wil ik uiteraard proberen, alleen kan iemand even uitleggen wát ik dan moet instellen en wáár, ik ben geen systeembeheerder in het dagelijks leven en dus niet echt bekend met dat gpedit.msc scherm...

Ok virusscan gedaan: 1 virus, dropper.bridge.a die netjes is 'opgeschoond'. Probleem blijft. Spybot had ook 1 'probleem' en dat is ook verwijderd.
HiJackThis log:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76

Logfile of HijackThis v1.97.7
Scan saved at 22:34:46, on 3-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
c:\WINDOWS\Fonts\lsass.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\Leo\Bureaublad\HijackThis.exe
C:\Program Files\Opera7\opera.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:///
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gathering.tweakers.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Open NOOIT attachments van onbekenden!
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcpack.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll
O2 - BHO: OpinionBar IE monitor - {6607C683-AE7C-11D4-ACD7-0050DAC291A2} - C:\PROGRA~1\OPINIO~1\MYIEMO~1.DLL
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Wintask] c:\WINDOWS\Fonts\lsass.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [WallPaper] C:\PROGRA~1\WALLPA~2\WALLPA~1.EXE /h
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Client.lnk = C:\Program Files\Samurize\Client.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Download &All by FD - file://C:\Program Files\FreshDevices\FreshDownload\fdiectx2.htm
O8 - Extra context menu item: Download with &FD - file://C:\Program Files\FreshDevices\FreshDownload\fdiectx.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O13 - WWW. Prefix: http://
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030530/qtinstall.info.apple.com/bonnie/us/win/QuickTimeInstaller.exe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {5D8844F9-1CB8-11D2-A0A0-00600859EB9F} (PatchCtl Class) - ftp://ftp.pt.ea.com/QA/pub/easports/patches/fifa2004/pc/EN-UK/patchx2.cab
O16 - DPF: {A9FD89D6-C839-11D3-B0FE-0050044B8FE9} (OBInstallRunner Control) - http://www.opinionbar.com/download/resources/OBInstallCabinet.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab


Oja heb ook dat sasser geval niet; speciale tool hiervoor vond em niet. Ik ga er iig vanuit dat lsass.exe een normaal bestand is? Ik weet wel dat het iets met dat sasser te maken heeft, maar ik krijg geen errors oid...

[ Voor 96% gewijzigd door sjaakaq op 03-05-2004 22:39 ]

leoaq.fm // Jeune Loop

maandag 3 mei 2004 23:16

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

leokennis schreef op 03 mei 2004 @ 21:52:
c:\WINDOWS\Fonts\lsass.exe
Dat is al niet goed.
UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcpack.exe
Ook niet goed.
C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll
http://www.pestpatrol.com/PestInfo/f/fresh_devices.asp
O2 - BHO: OpinionBar IE monitor - {6607C683-AE7C-11D4-ACD7-0050DAC291A2} - C:\PROGRA~1\OPINIO~1\MYIEMO~1.DLL
zal ook wel spijware zijn gok ik :)
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
zegt me niets.
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
Zal ook wel weg kunnen.
O4 - HKLM\..\Run: [Wintask] c:\WINDOWS\Fonts\lsass.exe
Is nog steeds niet goed.
O4 - HKCU\..\Run: [WallPaper] C:\PROGRA~1\WALLPA~2\WALLPA~1.EXE /h
Zal ook wel rotzooi zijn.
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Deze moet je weg halen.
O8 - Extra context menu item: Download &All by FD - file://C:\Program Files\FreshDevices\FreshDownload\fdiectx2.htm
O8 - Extra context menu item: Download with &FD - file://C:\Program Files\FreshDevices\FreshDownload\fdiectx.htm
Hoort vermoedelijk nog bij die andere zooi.
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
zegt me niks - google er maar even op :)
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.co...stall/TEInstallPlugIn.cab
zegt me niks - google er maar even op :)
O16 - DPF: {A9FD89D6-C839-11D3-B0FE-0050044B8FE9} (OBInstallRunner Control) - http://www.opinionbar.com...rces/OBInstallCabinet.CAB
zegt me niks - google er maar even op :)

maandag 3 mei 2004 23:21

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Hmm en m'n hosts file:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13

# 3-5-2004 22:41:36
127.0.0.1       localhost
127.0.0.1       http://downloads4.kaspersky-labs.com
127.0.0.1       http://downloads2.kaspersky-labs.com
127.0.0.1       http://downloads1.kaspersky-labs.com
127.0.0.1       ftp://downloads4.kaspersky-labs.com
127.0.0.1       ftp://downloads2.kaspersky-labs.com
127.0.0.1       ftp://downloads1.kaspersky-labs.com
127.0.0.1       downloads-us1.kaspersky-labs.com
127.0.0.1       rads.mcafee.com
127.0.0.1       liveupdate.symantecliveupdate.com
127.0.0.1       liveupdate.symantec.com
127.0.0.1       update.symantec.com

Vage shit, wél sasser, geen foutmeldingen :?

leoaq.fm // Jeune Loop

maandag 3 mei 2004 23:23

Acties:

Verwijderd

UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcpack.exe
Backdoor waarschijnlijk.
c:\WINDOWS\Fonts\lsass.exe
Mja, iig niet goed.

Ik zou iig die eerste niet zomaar verwijderen, daar kan een nasty payload aan vastzitten.
Volg de 'stappen' in mijn sig svp, eerst de betreffende files scannen, als ze niet herkend worden aub submitten. :)

maandag 3 mei 2004 23:24

Acties:
  • momania
  • Registratie: Mei 2000
  • Laatst online: 05:21

momania

iPhone 30! Bam!

leokennis schreef op 03 mei 2004 @ 23:21:
Hmm en m'n hosts file:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13

# 3-5-2004 22:41:36
127.0.0.1       localhost
127.0.0.1       http://downloads4.kaspersky-labs.com
127.0.0.1       http://downloads2.kaspersky-labs.com
127.0.0.1       http://downloads1.kaspersky-labs.com
127.0.0.1       ftp://downloads4.kaspersky-labs.com
127.0.0.1       ftp://downloads2.kaspersky-labs.com
127.0.0.1       ftp://downloads1.kaspersky-labs.com
127.0.0.1       downloads-us1.kaspersky-labs.com
127.0.0.1       rads.mcafee.com
127.0.0.1       liveupdate.symantecliveupdate.com
127.0.0.1       liveupdate.symantec.com
127.0.0.1       update.symantec.com

Vage shit, wél sasser, geen foutmeldingen :?
Dan is het niet zo gek he dat Norton etc niet updaten ;)

Neem je whisky mee, is het te weinig... *zucht*

maandag 3 mei 2004 23:26

Acties:

Verwijderd

Een Agobot infectie dus zeer waarschijnlijk. :/
Apart dat die niet in HT log staan...qhosts trojan erbij?

maandag 3 mei 2004 23:27

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
tja zit nu nog te scannen op sasser met die symantec tool.

BTW:
C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll = download manager (freshdownloads oid)

O2 - BHO: OpinionBar IE monitor - {6607C683-AE7C-11D4-ACD7-0050DAC291A2} - C:\PROGRA~1\OPINIO~1\MYIEMO~1.DLL = iets dat mijn zus doet, die monitort je surfgedrag en dan moet je surveys invullen en dan krijg je geld oid

O4 - HKCU\..\Run: [WallPaper] C:\PROGRA~1\WALLPA~2\WALLPA~1.EXE /h = wallpaper changer

Maar in dat sasser discussietopic zeggen ze dat dat lsass.exe NIET erg is als je up to date bent :?

O, en kan ik dat hosts bestand gewoon leeghalen op de localhost regel na?

[ Voor 7% gewijzigd door sjaakaq op 03-05-2004 23:28 ]

leoaq.fm // Jeune Loop

maandag 3 mei 2004 23:29

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

lsass.exe is onderdeel van Windows - en heb je dus nodig. Echter - in je C:\Windows\Fonts\ directory staan meestal Fonts en geen Windows executables.

Verder - je hebt gewoon een groot aantal stukken malware op je PC staan - dus helemaal up to date was je hoogstwaarschijnlijk niet :)

maandag 3 mei 2004 23:31

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Tja spybot herkende maar 1 ding en dat was een bestandsextensie die door een programma geclaimed was wat niet mocht oid...

Maar die spyware en zut kan ik er wel afhalen enzo, dat is vrij standaard. Dat sasser echter, baart me veel zorgen. Hoe ik die wegkrijg...

BTW lsass.exe zie ik niet staan in m'n fonts folder, ook niet met verborgen zut aan...

[ Voor 15% gewijzigd door sjaakaq op 03-05-2004 23:31 ]

leoaq.fm // Jeune Loop

maandag 3 mei 2004 23:32

Acties:

Verwijderd

Het draait allemaal om de locatie van de lsass.exe file.
De legit lsass.exe staat in %systemdir% - windows\system32 - dat staat deze dus niet, iets wat ik in dat topic al had willen zeggen als mijn internetverbinding niet zo extreem traag was op het moment.

Die hostsfile wordt waarschijnlijk gewoon weer opnieuw overschreven...
Dus dat heeft maar half nut waarschijnlijk, 'uitsluitsel' over de betreffende files leert ons meer waarschijnlijk. :)

maandag 3 mei 2004 23:37

Acties:

Verwijderd

lege hostfile neerzetten en die read-only maken?

maandag 3 mei 2004 23:40

Acties:

Verwijderd

Kun je de andere file wel zien?
http://www.sysinternals.com/files/procexpnt.zip
Run die, kill daar de juiste lsass.exe mee, kijk of je hem dan kan zien, dan scannen. :P
Die Ago heeft geen nasty payloads, maar die file die in de ini wordt genoemd, zou ik toch niet zomaar killen.

Disclaimer: Eigen risico enzo..

maandag 3 mei 2004 23:43

Acties:

Verwijderd

Hij kan ook gewoon deze regel wegknikkeren:

O4 - HKLM\..\Run: [Wintask] c:\WINDOWS\Fonts\lsass.exe

en dan opnieuw opstarten.. is ie er ook van af (moet je 'm nog wel verwijderen uiteraard)

maandag 3 mei 2004 23:45

Acties:

Verwijderd

Nee, dat doet hij niet, eerst proces killen is veel veiliger.
Nouja, als je tweede running process daarop nasty gaat doen niet natuurlijk, maar het payloaden @ removen van regkey komt veel meer voor.

maandag 3 mei 2004 23:49

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Sorry voordat ik iets fout doe:
1)met dat programmaatje uit die links van schouw eerst lsass.exe killen, diegene die in de fonts map staat
2)lsass.exe uit de opstartlijst halen

* sjaakaq wacht nog steeds op dat symantec tooldingesgeval...

Afbeeldingslocatie: http://picserver.student.utwente.nl/view_image.php/B9Z2TT039THM/picserver.jpeg

OK nu snap ik er niks meer van:
1)volgens symantec scanner geen sasser
2)als ik met dat progje van schouw lsass.exe kill dan krijg ik het scherm dat windows over 45 seconden gaat afsluiten en dat ik moet opslaan
3)m'n hosts file is wel 'vies'
4)ik heb verder geen symptomen van sasser (dus geen vage cmd-prompt die dingen naar een ftp probeert te sturen oid...)

[ Voor 52% gewijzigd door sjaakaq op 03-05-2004 23:57 ]

leoaq.fm // Jeune Loop

maandag 3 mei 2004 23:56

Acties:

Verwijderd

Dit staat compleet los van Sasser, het enige verband is dat ze gebruik maken van hetzelfde lek in Windows.
Iig het is het meest waarschijnlijk op dit moment dat het zo is gegaan.

Kill die file eens, en kijk dan nog eens in de directorie of je de file er dan wél kunt zien.
Als je hem kan zien moet je hem online scanne(zie signature), als het ding als een Agobot geflagged wordt, kun je de file deleten en de entry weggooien.(Anders mailen als dat mogelijk is svp)

Maar kun je C:\WINDOWS\System32\svcpack.exe nu wel zien of niet?
Zelfde geldt voor deze file als dat voor die andere, nouja, ik wil eerst graag de naam van het virus weten als de online scanner zegt dat het een virus is, voordat je hem dus gaat verwijderen.

maandag 3 mei 2004 23:59

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
ik kan svcpack.exe WEL zien.

en je hebt het steeds over een file die ik moet scannen, welke?? (sorry dat ik n00b ben maar wat je allemaal zegt kan ik niet echt volgen :'( )

Als ik met dat progje (procexp) lsass.exe kill dan krijg ik het scherm dat windows over 45 seconden gaat afsluiten en dat ik moet opslaan.

[ Voor 41% gewijzigd door sjaakaq op 04-05-2004 00:05 ]

leoaq.fm // Jeune Loop

dinsdag 4 mei 2004 00:08

Acties:

Verwijderd

Ok...dan doen we dit stap voor stap. :)
Open dat programma waar ik een link naar postte, process explorer.
Kill de juiste lsass.exe en ga dan nog eens naar de desbetreffende directorie, zie je de file nu wel staan?
-Ja: scan de file eens @ http://www.kaspersky.com/scanforvirus.html
-De file wordt gezien als een virus, post dan hier als wélk virus.
-De file wordt niet gezien als een virus, probeer de file dan te mailen aub.(Zie signature onder post voor mail)
-Nee: Delete dan toch maar de betreffende regkey en boot daarna in safemode.
Verplaats dan, mits je lsass.exe wel kan zien nu, de file ergens anders naar(of rename het ding).
Reboot terug naar normale modus en volg dan de 'ja-stappen' hierboven omschreven.

Je zal natuurlijk zelf ook wat moeite moeten doen als je er niet direct uitkomt...deze bovenstaande stappen zouden toch duidelijk genoeg moeten zijn. :)

dinsdag 4 mei 2004 00:10

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
OK dank echter: in process explorer zie ik maar 1 lsass.exe. En als ik die kill dan krijg ik dat schermpje dat windows afsluit en dat ik moet opslaan. En dan blijft er vrij weinig tijd over voor de overige stappen ;)

edit:en nu zie ik er weer wel 2...

OK het probleem is dus dit:
1-als ik de goede lsass.exe kill, zie ik de slechte nog steeds niet. En dus kan ik de slechte lsass.exe ook niet scannen op virussen.
2-als ik de slechte lsass.exe kill krijg ik die 'windows gaat afsluiten' melding, waardoor ik niet kán scannen...

Deze melding:
Afbeeldingslocatie: http://antivirus.area404.nl/125007b.gif
Tja...dus wat ik dán moet doen :?

[ Voor 65% gewijzigd door sjaakaq op 04-05-2004 00:23 ]

leoaq.fm // Jeune Loop

dinsdag 4 mei 2004 09:30

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Sorry dat ik kick ipv. edit maar ja...dat virus staat er dus op.

Schouw, ontzettend bedankt voor de hulp maar:

k...dan doen we dit stap voor stap.
Open dat programma waar ik een link naar postte, process explorer.
Kill de juiste lsass.exe en ga dan nog eens naar de desbetreffende directorie, zie je de file nu wel staan? nee
-Ja: scan de file eens @ http://www.kaspersky.com/scanforvirus.html
-De file wordt gezien als een virus, post dan hier als wélk virus.
-De file wordt niet gezien als een virus, probeer de file dan te mailen aub.(Zie signature onder post voor mail)
-Nee: Delete dan toch maar de betreffende regkey en boot daarna in safemode.
Verplaats dan, mits je lsass.exe wel kan zien nu, de file ergens anders naar(of rename het ding).In SafeMode kan ik lsass.exe ook niet zien in de fomts folder, en als ik daarna weer in de normale modus boot staat de foute lsass.exe toch weer bij de draaiende processen, ondanks dat ik die regkey verwijderd heb...
Reboot terug naar normale modus en volg dan de 'ja-stappen' hierboven omschreven. Wat helaas niet kan, want ik zie die file dus nog steeds niet...

[ Voor 25% gewijzigd door sjaakaq op 04-05-2004 09:45 ]

leoaq.fm // Jeune Loop

dinsdag 4 mei 2004 10:32

Acties:

Verwijderd

Bij de forced shutdown moet je in een command prompt typen:
code:
1

shutdown -a

Probeer ook dit eens: [rml]dbzdragon in "[ Malware] MS04-011 Backdoor/Bot"[/rml]

Draai je een AV op die bak?
Zo ja, is die up to date?
Heb je al een full system scan e.d. gedaan?

dinsdag 4 mei 2004 10:55

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Run Hijack This again and put a check by these. Close all windows except HijackThis and click "Fix checked"

O4 - HKLM\..\Run: [scvhost] scvhost.exe heb ik niet ertussen staan

O4 - HKLM\..\RunServices: [scvhost] scvhost.exe heb ik niet ertussen staan

O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe heb ik niet ertussen staan

Restart to safe mode.

Now find and delete:

The C:\WINDOWS\System32\scvhost.exe file Deze file heb ik niet
The C:\Program Files\Common Files\GMT folder Deze map heb ik niet


Also in safe mode navigate to the C:\Windows\Temp folder. Open the Temp folder and go to Edit > Select All then Edit > Delete to delete the entire contents of the Temp folder. OK

Now navigate to the C:\Windows\System32\drivers\etc folder. Locate the HOSTS file. Open the HOSTS file in notepad by clicking on it to open it. It will ask you what program you want to use to open it. Tick "Select the program from a list" and click OK. In the menu of programs that opens find and select notepad and click OK. The HOSTS file will open in notepad. Look for a list like this:

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com

Delete all those lines leaving only this one:

127.0.0.1 localhost

Now close the file and answer Yes to confirm the changes. OK


Empty the Recycle Bin.


Turn off System Restore:

On the Desktop, right-click My Computer.
Click Properties.
Click the System Restore tab.
Check Turn off System Restore.
Click Apply, and then click OK.
Restart your computer.

When you are sure you are clean turn it back on and create a restore point.


Go here and do an online virus scan:

http://housecall.trendmicro.com/
Oja omdat norton het door dit virus niet meer deed heb ik die gratis AVG gedownload. Die helemaal ge-update en die vond alleen dropper.brdige.a en die heeft ie opgeschoond...

leoaq.fm // Jeune Loop

dinsdag 4 mei 2004 11:00

Acties:

Verwijderd

leokennis schreef op 04 mei 2004 @ 10:55:
[...]

Oja omdat norton het door dit virus niet meer deed heb ik die gratis AVG gedownload. Die helemaal ge-update en die vond alleen dropper.brdige.a en die heeft ie opgeschoond...
Nouja, ipv scvhost.exe moet je je lsass.exe even indenken, maar goed..

Noem me maar een spammert, maar download KAV5 eens aub.
http://downloads1.kaspers...av5.0trial_personalen.exe
Ik weet voor 95+% zeker dat KAV deze Ago wél detecteert...
AVG is niet echt goed als het op Ago's en andere backdoors aankomt.

Edit: vergeet het ding niet te updaten en let erop dat dat goedgaat.
Kan zijn dat je hostsfile weer is aangepast.

[ Voor 9% gewijzigd door Verwijderd op 04-05-2004 11:02 ]

dinsdag 4 mei 2004 11:33

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Zal ik zo doen maar om even op je stappenplan terug te komen:
-Als ik de slechte lsass.exe kill en shutdown -a intyp, kan ik in C:\windows\font lsass.exe nog steeds niet zien (die optie dat systeembestanden niet te zien zijn stond al uitgevinkt).

In safe mode zie ik em ook niet. Ik kan em wel uitvoeren door C:\windows\fonts\lsass.exe in te typen (dan zegt ie niet dat hij het niet vind oid) maar als ik in de opdrachtprompt intyp "del C:\windows\fonts\lsass.exe" dan kan ie em NIET vinden...

Lekker vaag dat Kaspersky; ik installeer het en nu kan ik ongeveer niks meer openen; als ik op een exe klik kan hij het niet openen omdat ie em niet gevonden heeft...terwijl je er dus gewoon op klikt.

Maar zal nu scannen met Kaspersky met de nieuwste updates, dus de komende 1 à 2 uur ben ik wel ff stil (thorough scan zal dus wel lang duren).

Oja, windows catalogus to the resque; dé manier om het internet op te komen als alles flipt :/

[ Voor 33% gewijzigd door sjaakaq op 04-05-2004 11:44 ]

leoaq.fm // Jeune Loop

dinsdag 4 mei 2004 14:16

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Full scan met Kaspersky gedaan; hij viond wel 2 virussen maar NIET sasser...

Volgende probleem: alles snelkoppelingen en EXE's waar op klik leveren deze foutmelding op:

"Windows kan het bestand naamvanhetbestand.exe niet vinden. Controleer of u de naam juist hebt ingevoerd en probeer het daarna opnieuw. Klik als u naar een bestand wil zoeken op de knop Start en daarna op Zoeken."

:'(

Ook zegt ie steeds dat ie rundll32.exe niet kan vinden terwijl die er wél gewoon is...

[ Voor 14% gewijzigd door sjaakaq op 04-05-2004 14:21 ]

leoaq.fm // Jeune Loop

dinsdag 4 mei 2004 14:27

Acties:

Verwijderd

Nogmaals: dit staat los van Sasser......
Er wordt alleen gebruik gemaakt van dezelfde exploit.
Zie ook de vele andere topics.

Hmm, het was niet helemaal de bedoeling dat je direct zomaar dingen ging deleten. :X
Welke virussen werden gedetecteerd?
Run de com file hierin: ftp://ftp.avp.ru/utils/clrav/clrav.zip
Als dat niet lukt: http://members.home.nl/kav/clrav.com

dinsdag 4 mei 2004 14:36

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
_/-\o_ _/-\o_ _/-\o_ _/-\o_ _/-\o_ _/-\o_ _/-\o_ _/-\o_

Programma's werken weer!!!

Maarre...ik heb niks verwijderd hoor...

leoaq.fm // Jeune Loop

dinsdag 4 mei 2004 14:40

Acties:

Verwijderd

Hmm, mja kan evengoed verwijderd zijn door bepaalde feature van KAV...
Maar zou je ons nog kunnen verblijden met de virusnamen? :)

Doe ook even een scan met de extended bases zodat er op nog wat meer meuk gescand wordt.

dinsdag 4 mei 2004 14:47

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Ik heb al een thorough scan gedaan (meest uitgebreide, duurder van 11:45 tot 14:15). Die virusnamen heb ik opgezocht...tja de namen weet ik niet meer (logs weggeknikkerd....stom), maar het was niet netsky oid, 1 was een virus uit 1993 volgens nai, met risk op "LOW' en de ander was W32.trojan.downloader.worm

[ Voor 11% gewijzigd door sjaakaq op 04-05-2004 14:47 ]

leoaq.fm // Jeune Loop

dinsdag 4 mei 2004 14:49

Acties:

Verwijderd

W32.trojan.downloader.worm
Dat lijkt nog niet eens een beetje op een KAV-naam. :D
Geen Agobot?

dinsdag 4 mei 2004 14:51

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Nee.

BTW als dit helpt: allle virussen zaten in de map "Document and settings", niks in de Windows map.

leoaq.fm // Jeune Loop

dinsdag 4 mei 2004 16:20

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Nog even 1 vraagje:
schouw, als ik in dat programma kijk; proces explorer, zie ik maar 1 lsass.exe 'draaien'. Als ik bij 'properties' kijk staat er: path: c:\windows\system32\lsass.exe

Kan een virus zoiets aanpassen (dus: de lsass.exe uit c:\windows\fonts draait maar hij doet alof ie in system32 staat) of niet?

Zonee, dan zou het geen virus zijn...alleen wel vreemd dat ik em dan nog nooit eerder gezien heb...

leoaq.fm // Jeune Loop

dinsdag 4 mei 2004 16:28

Acties:

Verwijderd

Hmmm..
En zonet draaide er wel nog twee verschillende lsass.exe processen?
Érg lastig dat je die reports weg heb gemikt..
Heb je na KAV5 install nog gereboot?
Zonee, dan zou het geen virus zijn...alleen wel vreemd dat ik em dan nog nooit eerder gezien heb...
Wat bedoel je nou precies? die uit \system32\ is juist net de goede....

Ik vind je verhaal zo ontzettend warrig dat het eigenlijk gewoon het beste is om te formatten, alleen maar om zeker te zijn, want hier durf ik echt niets meer over te zeggen.

dinsdag 4 mei 2004 16:36

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Ok zal het uitleggen:
Vóór de KAV scan had ik 2 lsass.exe's draaien. 1 van de 2 was slecht (uit de FONT map), 1 was goed (uit de system32 map).

Toen scande ik met KAV.

Toen rebootte ik.

Nu heb ik nog maar 1 lsass.exe, en die ZEGT dat ie uit system32 komt. Nu is de vraag:

als proces explorer zegt dat lsass.exe (de enige die er draait) uit system32 komt, is dit dan ook 100% zeker zo? Of is het de slechte lsass.exe uit de fonts folder, die proces explorer voor de gek houdt en doet alsof ie uit system32 komt?

Tja...ik heb geen backup van mijn muziek. Aan die collectie heb ik een jaar lang gebouwd, dus een format doe ik uiteraard liever niet...

[ Voor 6% gewijzigd door sjaakaq op 04-05-2004 16:38 ]

leoaq.fm // Jeune Loop

dinsdag 4 mei 2004 16:48

Acties:

Verwijderd

als proces explorer zegt dat lsass.exe (de enige die er draait) uit system32 komt, is dit dan ook 100% zeker zo? Of is het de slechte lsass.exe uit de fonts folder, die proces explorer voor de gek houdt en doet alsof ie uit system32 komt?
Lijkt me sterk, maar de vorige keer na de scan draaide hij wel nog zei je.
No offence, maar ik twijfel toch of je wel 100% weet waarmee je bezig bent...

Ik ga dan ook absoluut geen uitspraken doen over of jouw bak nu schoon is of niet.

dinsdag 4 mei 2004 17:11

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Je hebt gelijk; ik weet niet 100% zeker wat ik aan het doen ben, omdat ik er ook niet veel vanaf weet.

Ik ga nu McAfee corp. edition aanschaffen en dan scannen. Als deze óók niks vindt (tenminste, geen sasser/goabot/enz.) dan ga ik niet formatten, anders wel)

leoaq.fm // Jeune Loop

dinsdag 4 mei 2004 17:13

Acties:

Verwijderd

leokennis schreef op 04 mei 2004 @ 17:11:
Je hebt gelijk; ik weet niet 100% zeker wat ik aan het doen ben, omdat ik er ook niet veel vanaf weet.

Ik ga nu McAfee corp. edition aanschaffen en dan scannen. Als deze óók niks vindt (tenminste, geen sasser/goabot/enz.) dan ga ik niet formatten, anders wel)
Als het je om je MP3-tjes gaat.. gebruik een tool als PartitionMagic om je MP3-tjes op een losse partitie te krijgen (dus ALLEEEN je MP3-tjes), en formatteer de rest.. kom je al een heel eind mee...

dinsdag 4 mei 2004 17:14

Acties:
  • aReaRe
  • Registratie: Juli 2001
  • Niet online

aReaRe

Welkom Patrick (11-02-2022) <3

leokennis schreef op 04 mei 2004 @ 16:36:
Ok zal het uitleggen:
Vóór de KAV scan had ik 2 lsass.exe's draaien. 1 van de 2 was slecht (uit de FONT map), 1 was goed (uit de system32 map).

Toen scande ik met KAV.

Toen rebootte ik.

Nu heb ik nog maar 1 lsass.exe, en die ZEGT dat ie uit system32 komt. Nu is de vraag:

als proces explorer zegt dat lsass.exe (de enige die er draait) uit system32 komt, is dit dan ook 100% zeker zo? Of is het de slechte lsass.exe uit de fonts folder, die proces explorer voor de gek houdt en doet alsof ie uit system32 komt?

Tja...ik heb geen backup van mijn muziek. Aan die collectie heb ik een jaar lang gebouwd, dus een format doe ik uiteraard liever niet...
JE kan proberen om je windows een repair te laten doen uitvoeren, of een nieuwe installatie en dan geen format doen.

TIP voor de volgende keer: splits je harde schijf in of meer partities en zorg dat SYsteem en Data fysiek gescheiden zijn.

VB: C-schijf is Windows
D-Schijf is Data en zorg dan dat My Documents / Mijn Documenten hierna verwijzen.

Renault Mégane Estate 1.3 TCe EDC (IV) 140pk Bose (oktober 2019) met aan de trekhaak een Caravelair Antares Titanium 390 (mei 2021)

dinsdag 4 mei 2004 17:35

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
idd áls ik format ga ik -ook op aanraden van schouw- partities maken. (laten maken, ik ben te n00b om windows te installen).

leoaq.fm // Jeune Loop

dinsdag 4 mei 2004 18:20

Acties:

Verwijderd

leokennis schreef op 04 mei 2004 @ 14:51:
Nee.

BTW als dit helpt: allle virussen zaten in de map "Document and settings", niks in de Windows map.
Kortgezegd heb je je systeem gewoon niet uptodate en de virusscanner die je draait ook niet??
Begrijp ik je nu goed?

dinsdag 4 mei 2004 19:25

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Nee.

Een uptodate virusscanner scande mijn uptodate windows xp. Hij vond 2 virussen. De 2 geïnfecteerde bestanden bevonden zich allebei in de map Documents and Settings.

Niet in de Windows map, waar het sasser virus en aanverwanten zich schuil zouden moeten houden.

leoaq.fm // Jeune Loop

dinsdag 4 mei 2004 21:03

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Laatste update: volgens mij ben ik virusvrij (iig van het sasser-of aanverwante virus)

als ik hijackthis run dan staat lsass.exe ook niet meer bij auto-opstartende dingen. Eerst kwam dit steeds terug, ook al verwijderde ik het in HJthis. Na de scan in KAV staat het er niet meer.

leoaq.fm // Jeune Loop

woensdag 5 mei 2004 11:45

Acties:

Verwijderd

leokennis schreef op 04 mei 2004 @ 19:25:
Nee.

Een uptodate virusscanner scande mijn uptodate windows xp. Hij vond 2 virussen. De 2 geïnfecteerde bestanden bevonden zich allebei in de map Documents and Settings.

Niet in de Windows map, waar het sasser virus en aanverwanten zich schuil zouden moeten houden.
Los van welk virus of de lokatie, als het uptodate was, had het virus er toch niet opgestaan?
Maargoe...ik ben blij te horen dat het allemaal toch nog goed aan het aflopen is.

maandag 11 oktober 2004 22:11

Acties:

Verwijderd

Hmmm...de laatste Post is al even geleden, maar dan toch nog maar...

De pc van mijn schoonzus start gewoon helemaal niet meer op...iedere keer bij het opstarten krijg ik de "Lsass.exe Systeemfout" melding en start de pc meteen weer opnieuw op.
Kheb geprobeerd om de laptop in veilige modus op te starten, maar dat doet ie ook niet.
Het "verwijder tooltje" van Symantec kan ik bij haar dus niet gebruiken en ook de Windows Update kan ik dus niet installeren.

Nu staat er drie kwart van haar eindscriptie al op (ja ja...zonder back-up uiteraard...de muts), en mijn vraag is of nog een Opstartmogelijkheid is waar ik niet aan gedacht heb?
Of moet ik dan toch de Recovery CD's gebruiken, waardoor ze alles kwijt is?

Alvast bedankt voor t antwoord...jullie zijn mijn laatste redding en anders wordt t toch een format C:

THNX,
Ralph

dinsdag 12 oktober 2004 10:10

Acties:

Verwijderd

Heren,
Het spijt me van deze tweede post achter elkaar, maar ik zou echt graag een tip willen van iemand.
Ze heeft haar laptop namelijk dringend nodig en ik zal vandaag actie moeten ondernemen...of een mogelijkheid om alsnog iets uit te kunnen voeren, of toch een Recovery...

Dit is een smeekbede om hulp...Alvast bedankt.

Grtz,
Ralph

dinsdag 12 oktober 2004 10:17

Acties:
  • Rob
  • Registratie: Februari 2000
  • Niet online

Rob

Zet je klok eens een dag terug als je dat Systeemfout scherm krijgt (hij telt daar toch terug?)

In the beginning the Internet was a bunch of smart users with dumb terminals. Now...

dinsdag 12 oktober 2004 11:28

Acties:
  • sjaakaq
  • Registratie: September 2003
  • Laatst online: 29-09 07:31

sjaakaq

It might get loud

Topicstarter
Kan je ook niet in safe-mode opstarten?

Bij mij was de "redding" dat ik Kaspersky heb laten scannen. Die gaf welliswaar geen Agobot aan, maar verwijderde hem toch...miss. tagde KAV het wel met een andere naam oid, het was daarna iig weg.

Wat je zou moeten proberen:
1-opstarten in safe mode
2-hosts file op 1 regel na leegmaken
3-temp-folder leeg
4-system restore uit
5-Nieuwste Kaspersky downloaden en updaten
6-VOLLEDIGE scan. Dat is echt alles, duurt LANG.
7-Dan afsluiten en weer "normaal" opstarten.
8-Bidden...

Echt zoiets is zeeeer kut ja...succes ermee.

leoaq.fm // Jeune Loop

dinsdag 12 oktober 2004 12:48

Acties:

Verwijderd

Hier op deze link staan instructies om de worm te verwijderen en wat je er aan moet doen om het opnieuw starten van het systeem tegen te gaan.

dinsdag 12 oktober 2004 12:53

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 07:15

_JGC_

Wat betreft die scriptie zonder backup: je kunt altijd nog een linux distro als knoppix van CD booten, die scriptie op USB stick of netwerk zetten en vervolgens dat ding reinstallen met de recovery CD.

Zelf boot ik meestal knoppix en pleur ik met NFS nog de laatste zooi naar mijn server toe voor ik de hele boel leegflikker.

woensdag 13 oktober 2004 15:54

Acties:

Verwijderd

Helaas...hij start helemaal niet meer op...tijdens het opstarten krijg ik gelijk de "LSASS.exe: Systeemfout" >> er wordt niet afgeteld (CTRL-ALT-PAUSE werkt ook niet...niks werkt), maar gelijk weer gereboot.

Opstarten in Safe Mode werkt ook niet...krijg ik dezelfde melding...
Het begint er een beetje op te lijken dat het misschien geen Sasser Worm is, maar een ander soort virus wat de Registry onder handen heeft genomen.
De Systeemfout melding zegt ook iets over een "fout wachtwoord"...
Helemaal kan ik 'm niet lezen, want hij reboot 'm echt gelijk!!

Ik heb een Mounting Disk geprobeerd, maar ook dat deed ie niet...
Het is NFTS en met een Bootdisk gaat ie zeuren over een wachtwoord.
Mijn kennis houdt op...

woensdag 13 oktober 2004 19:02

Acties:

Verwijderd

Ok dan...het heeft even geduurd, maar we zijn er nu eindelijk achter wat het is...het is in ieder geval geen (Sasser) Virus, maar een Bug in Windows.

Dit wordt duidelijk gemaakt in onderstaande twee links (Microsoft en Packard Bell) en het opnieuw installeren van Windows schijnt de enige optie te zijn. Daarna gelijk de nieuwe Service Pack installeren...

Het scheen in XP-SP1 al opgelost te zijn, maar dat staat er bij de betreffende laptop reeds op en toch zit de Bug er ook in...Dan maar gelijk SP2 installeren, nadat XP er opnieuw opgezet is.

Dit is dus ook voor jullie info!!
Bedankt voor de reacties nog!!

http://support.microsoft....spx?scid=kb;EN-US;Q316134
Hier wordt ook precies dezelfde melding genoemd als dat op haar laptop verschijnt, namelijk:
System error lsass.exe:
When trying to update a password the return status indicates that the value provided as the current password is not correct.

http://support.packardbel...platform_clipper_ixtremeS
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq