[malware] XP virus Backdoor.Prorat*

Heb je al in veilige modus geboot en toen geprobeerd de bestanden te verwijderen.

Backdoor.Prorat Detection & Removal

Hurricane schreef op 08 mei 2004 @ 15:53:
Heb je al in veilige modus geboot en toen geprobeerd de bestanden te verwijderen.

Hij zegt al dat dat ook niet lukt.

[ Voor 7% gewijzigd door Hahn op 08-05-2004 15:55 ]

download gewoon Ultimate Boot cd en verwijder het in dos.

Hoodlum2000 schreef op 08 mei 2004 @ 15:58:
download gewoon Ultimate Boot cd en verwijder het in dos.

schiet lekker op als het een ntfs schijf is.

Verwijderd schreef op 08 mei 2004 @ 18:36:
[...]


schiet lekker op als het een ntfs schijf is.

Geen probleem als je deze gebruikt: meuktracker: BartPE 3.0.32

Volgens mij is die BartPE CD de beste oplossing voor je probleem.

[ Voor 3% gewijzigd door WimB op 08-05-2004 18:41 ]

Virussen horen in BV

WOS > BV

Ik denk, dat je als eerste NAV moet updaten. Dat kan ook handmatig.
Pas dan zal het correct bij opstarten herkend worden en hopelijk ook netjes gekilled.

Updates kun je hier halen.

Verder info over het verwijderen staat hier

[ Voor 9% gewijzigd door Verwijderd op 08-05-2004 18:53 ]

Start taakbeheer en controleer welke services/progs aktief zijn. Beïndig hier de onbekenden (laat hier anders een lijst achter dan kunnen we aangeven welke gestopt moeten worden).

Start regedit. Zoek eerst op wininv.dll en verwijder alle entries; zoek dan op winkey.dll en verwijder hiervan ook alle entries.

Start msconfig.exe en disable alle (!!!!) opstart items.
Herstart de computer.

Zet de restore points uit.
Probeer dan nog eens de wininv.dll en winkey.dll (keylogger) te verwijderen en laat je antivirussoftware lopen (als het goedgegaan is moet dat lukken...).

[ Voor 5% gewijzigd door Nulnulnix op 08-05-2004 18:54 ]

Backdoor.Prorat volgens welke AV?
Heerlijk weer zo'n generic name - er zijn nogal wat varianten..
Nieuwste is afaik ~twee weken oud.

Pas dan zal het correct bij opstarten herkend worden en hopelijk ook netjes gekilled.

Hmm, redelijk unlikely.

Start msconfig.exe en disable alle (!!!!) opstart items.

Dat lijkt me niet echt een strak plan.

Post eens je HijackThis log nav. Beveiliging en Virussen - Nieuw topic starten

Verwijderd schreef op 08 mei 2004 @ 19:24:

Dat lijkt me niet echt een strak plan.

Waarom niet??? Wel motiveren, anders hebben we ook niets aan een dergelijke opmerking.

Ik moet dat (helaas) vaker doen als beheerder zijnde... Op die manier start het virus ook niet mee op en kun je makkelijker e.e.a. verwijderen!
Achetraf kun je e.e.a. weer aanzetten.
Zo slecht is het idee dus niet!

Nulnulnix schreef op 16 mei 2004 @ 08:00:
[...]

Zo slecht is het idee dus niet!

Zo slecht is het idee dus wel, zéér slecht zelfs.

Voor hetzelfde geld 'monitored' het virus de run-key (of in welke key hij dan ook gestart word), en word er in het geval van verwijderen van die key de payload (in de vorm van iets als "del c:\windows\*.*) gestart.

Het is knap *dom* om iets te gaan verwijderen voor je precies weet wat een virus allemaal uitvreet...

En daarnaast kun je nog wel eens wat anders uitzetten via msconfig wat niet zo'n fraaie gevolgen kan hebben.
Jij weet immers niet zo wat iemand anders allemaal heeft draaien..