[malware] Search Assistant verkeerd verwijderd, login no go. - Privacy en beveiliging

zondag 30 mei 2004 01:26

Acties:

M'n nummerbord in de USA

Topicstarter

Ik heb een stukje malware dat niet gedetecteerd werd door Ad-Aware en Spybot geprobeerd te verwijderen door ondermeer de registry keys die absoluut bij dat programma hoorden weg te halen. Ook staan er files in twee directories. De ene kon ik weghalen, de andere herstelde zichzelf magischerwijze binnen enkele seconden. (nog nooit zoiets raars gezien! de bestanden kwamen gewoon terug!)

Vervolgens deed ik een reboot in Safe Mode, en... ik kom niet meer op mijn computer (windows xp pro). Iedere keer logt hij (automatisch) in, en je ziet "instellingen aan het ophalen, netwerkverbindingen activeren" etc, en dan "instellingen aan het opslaan, netwerkverbindingen verbreken" etc.

Oftewel het probleem: Door verkeerd verwijderde malware, logt mijn computer me steeds automatisch uit voordat ik ook maar ergens controle over heb. Dit gebeurd zowel in Safe Mode als Normal Mode, Recovery Mode (via Windows cd), Safe Mode met Dos-Prompt, Laatste Goede Configuratie..., kortom ik kan NIKS meer! (Ik schrijf dit vanaf iemand anders z'n pc)

Wat kan ik hier aan doen?? Ik kan dus geen prompt krijgen om bestanden te kunnen verwijderen of wijzigen. Is er een manier om dit te doen? (Ik heb ntfs partities) En windows er overheen installeren gaat niet lukken wegens te weinig schijfruimte.

PS: In een ander topic had iemand het al over Search Assistant, maar dit probleem is nu van zo'n andere aard dat het niet in de lijn van dat topic meer paste...

"Zie mij een toffe computer hebben!"

zondag 30 mei 2004 01:49

Acties:

Verwijderd

Doe gewoon een Full-format.

zondag 30 mei 2004 01:55

Acties:

Micros

M'n nummerbord in de USA

Topicstarter

Ik neem aan dat dit geen serieuze reactie was?
Zoals blijkt uit mijn post kan ik bij geen enkel bestand. Dan ga je dus niet formatteren.

"Zie mij een toffe computer hebben!"

zondag 30 mei 2004 02:00

Acties:

mr_petit

opperprutser

kan je niet in de windows recovery mode (zoiets heet dat geloof ik) -te bereiken via de setup van windows (handmatig een installatie repareren)- dat ene bestandje dat er nog staat verwijderen?

dat werkt natuurlijk alleen maar als dat bestandje de veroorzaker van dit euvel is

"man is not truly one, but truly two,"

zondag 30 mei 2004 02:06

Acties:

Micros

M'n nummerbord in de USA

Topicstarter

mr_petit schreef op 30 mei 2004 @ 02:00:
kan je niet in de windows recovery mode (zoiets heet dat geloof ik) -te bereiken via de setup van windows (handmatig een installatie repareren)- dat ene bestandje dat er nog staat verwijderen?

Helaas, heb ik al geprobeerd. Het probleem is dat deze recovery-mode je ook linlogt, en op dat moment gaat het dus al fout. Ik kom niet eens in de recovery console, net zo min als in bijvoorbeeld de safe mode dos-prompt...

dat werkt natuurlijk alleen maar als dat bestandje de veroorzaker van dit euvel is

Yep, maar het verwijderen van dat bestandje is zo'n beetje de laatste hoop.

(Overigens misschien dat iemand weet hoe je een ouder restore point dan het laatste kan gebruiken? Ik kom er niet achter.)

"Zie mij een toffe computer hebben!"

zondag 30 mei 2004 02:07

Acties:

Verwijderd

Micros schreef op 30 mei 2004 @ 01:55:
Ik neem aan dat dit geen serieuze reactie was?
Zoals blijkt uit mijn post kan ik bij geen enkel bestand. Dan ga je dus niet formatteren.

Kan je ook niet met een opstart diskette bij fdisk komen en dan alle partities verwijderen?

zondag 30 mei 2004 02:56

Acties:

mr_petit

opperprutser

Micros schreef op 30 mei 2004 @ 02:06:
[...]

Helaas, heb ik al geprobeerd. Het probleem is dat deze recovery-mode je ook linlogt, en op dat moment gaat het dus al fout. Ik kom niet eens in de recovery console, net zo min als in bijvoorbeeld de safe mode dos-prompt...

[...]

Yep, maar het verwijderen van dat bestandje is zo'n beetje de laatste hoop.

(Overigens misschien dat iemand weet hoe je een ouder restore point dan het laatste kan gebruiken? Ik kom er niet achter.)

kan je je schijf niet in een andere pc hangen en dan het bestandje verwijderen?

"man is not truly one, but truly two,"

zondag 30 mei 2004 07:53

Acties:

cutter

Wannabe i7 fanboy

Download de knoppix linux bootcd van http://www.knoppix.org/ kun je iig je bestanden benaderen. En Gabe... niet zo blaaten

bij een nieuwe windows install vanaf een bootable cd kun je partities verwijderen en formateren.

zondag 30 mei 2004 09:57

Acties:

elevator

Officieel moto fan :)

Micros schreef op 30 mei 2004 @ 01:26:
Vervolgens deed ik een reboot in Safe Mode, en... ik kom niet meer op mijn computer (windows xp pro). Iedere keer logt hij (automatisch) in, en je ziet "instellingen aan het ophalen, netwerkverbindingen activeren" etc, en dan "instellingen aan het opslaan, netwerkverbindingen verbreken" etc.

Nu is de vraag natuurlijk - welke keys heb je verwijderd?

Verder - heb je toevallig toegang tot de PC vanaf een netwerk - zo ja - controleer dan eens je eventlog vanaf afstand?

Zo nee - bouw eens en CD met Bart's PEbuilder (www.nu2.nu/pebuilder) en kijk daarmee bootend eens in je eventlog

zondag 30 mei 2004 20:23

Acties:

IceStorm

This place is GoT-like!!!

Damn, ik zit nu met een pc met precies hetzelfde probleem en precies dezelfde frustraties. Ik zal PEbuilder eens proberen maar weinig hoop eigenlijk

zondag 30 mei 2004 21:02

Acties:

Booster

Superuser

Ik wil mijn laptop opofferen als proefkonijn, (onderzoeken wat de uninstaller precies doet, en voornamelijk wat het dus fout doet) maar dan moet ik een plek hebben waar ik mijn laptop kan infecteren met die BlazeFind troep.

Wie weet er een pagina of link? Op BlazeFind.com vind ik niks.

The cake is a lie | The Borealis awaits...

zondag 30 mei 2004 21:12

Acties:

Verwijderd

Hang een 2e PC in je LAN
Je kan dan dingen als:
-remote reg edit
-C$ benaderen

zondag 30 mei 2004 21:34

Acties:

Booster

Superuser

Verwijderd schreef op 30 mei 2004 @ 21:12:
Hang een 2e PC in je LAN
Je kan dan dingen als:
-remote reg edit
-C$ benaderen

Dat werkt niet in alle situaties. In de situatie van IceStorm in ieder geval niet, weet ik.

Mijn tools staan klaar. Als iemand een besmettingsbron weet dan hoor ik het graag zo snel mogelijk

(je mag de URL ook mailen naar dont . do . this @ home . nl)

[ Voor 27% gewijzigd door Booster op 30-05-2004 21:36 ]

The cake is a lie | The Borealis awaits...

zondag 30 mei 2004 21:59

Acties:

Micros

M'n nummerbord in de USA

Topicstarter

Bedankt voor de hartverwarmende reacties. Ik ben er even tussenuit en ga dinsdag met nieuwe hoop aan de slag. Ik houd jullie op de hoogte of en hoe het lukt.
@Gabe > Nee dank je, ik wil mijn bestanden niet ook niet kwijt door mijn partities te verwijderen

@mr_petit > Het is helaas een laptop harddisk...
@booster > Sorry, geen idee hoe ik er aan ben gekomen. Ik gebruik bijna altijd Firefox en maar heel soms IE... Ik had niets verdachts geinstalleerd meen ik. Alleen een After Effects plugin. Maar alvast bedankt voor je hulp. (Zoek ook op omniscient.exe?)
@IceStorm > Jij een idee hoe je er aan kwam?

@all others > Zodra ik thuis ben ga ik aan de slag. Thanx.

[ Voor 3% gewijzigd door Micros op 30-05-2004 21:59 ]

"Zie mij een toffe computer hebben!"

maandag 31 mei 2004 03:16

Acties:

IceStorm

This place is GoT-like!!!

Micros schreef op 30 mei 2004 @ 21:59:
@IceStorm > Jij een idee hoe je er aan kwam?

Niet mijn pc

Een echte oorzaak is ook niet gemeld.
Ik ga morgen gewoon verder aan de slag, als het niks wordt gaan we wel reinstallen maar liever niet

maandag 31 mei 2004 03:57

Acties:

Aetje

Troubleshooting met HAMERRR

Je kunt proberen een repair install te doen, indien winlogon.exe oid kapot is zal dat uitkomst bieden.

Forget your fears...
...and want to know more...

maandag 31 mei 2004 04:29

Acties:

mr_petit

opperprutser

Micros schreef op 30 mei 2004 @ 21:59:
@mr_petit > Het is helaas een laptop harddisk...

je kan altijd nog een 2,5"->3,5" hdd converter kopen voor een paar euro als je er niet uitkomt met een knoppix cd of PE builder (dat ziet er interresant uit

)

"man is not truly one, but truly two,"

maandag 31 mei 2004 16:40

Acties:

Verwijderd

Ik het hetzelfde probleem man. Elke keer als ik wil inloggen wordt ik automatisch afgemeld. Ik heb al eerder met de Technical Support gebeld van Dell, maar die konden me ook niet verder helpen. Ik ben nu van plan te formateren. Wel kut is dat ik dan mijn bestanden kwijt ben, maar m'n computer is dan wel weer lekker snel.

Bestaat er geen manier op via DOS (met een Win98 opstartdiskette ofzo) bestanden te redden? Er bestond dacht ik wel een command "copy *naam* a:" waarmee je spullen kon kopieren naar diskette. Werkt dat?

Wel kut dat jij niks meer kan. Ik heb bij het opstarten nog verschillende keuzes. Bijvoorbeeld als ik op F12 druk kom ik bij een Setup Menu. Als ik daar voor cdrom kies en de WinXP CDrom erin pleur start hij die setup op. Ik heb al een 'systeem herstel' geprobeerd, maar dat mocht niet baten.

[ Voor 24% gewijzigd door Verwijderd op 31-05-2004 16:47 ]

maandag 31 mei 2004 20:53

Acties:

Micros

M'n nummerbord in de USA

Topicstarter

Ik kan denk ik ongeveer evenveel als jij. System repair etc kan ik ook wel doen, maar hij komt niet verder zodra er ingelogd moet worden.

Een windows98 opstartdiskette (die kun je trouwens ook in XP maken door dat aan te vinken bij het formatteren) is alleen nuttig als je FAT32 partities hebt en geen NTFS. Vroeger had je het commando xcopy/s *.*, die kopieerde een hele directorstructuur inclusief bestanden. Ik weet niet of dat nog bestaat.

"Zie mij een toffe computer hebben!"

maandag 31 mei 2004 21:17

Acties:

Micros

M'n nummerbord in de USA

Topicstarter

Verwijderd schreef op 30 mei 2004 @ 21:12:
Hang een 2e PC in je LAN
Je kan dan dingen als:
-remote reg edit
-C$ benaderen

Hoe gaat dit in z'n werk? Ik zie wel bij Regedit de mogelijkheid om verbinding te maken met een ander register, maar die andere dingen? Is dit een vorm van remote desktop? Ik denk niet dat ik dat aan heb staan namelijk...

[ Voor 17% gewijzigd door Micros op 31-05-2004 21:24 ]

"Zie mij een toffe computer hebben!"

maandag 31 mei 2004 21:51

Acties:

Verwijderd

Micros schreef op 31 mei 2004 @ 21:17:
[...]Hoe gaat dit in z'n werk? Ik zie wel bij Regedit de mogelijkheid om verbinding te maken met een ander register, maar die andere dingen? Is dit een vorm van remote desktop? Ik denk niet dat ik dat aan heb staan namelijk...

Remote desktop wordt je vermoed ik net zo hard afgemeld.
Probeer op een andere pc in te tikken in een browser: \\ipadres\c$
ipadres moet uiteraard het adres van de "gecrashte" machine zijn.
Als je mazzel hebt krijg je een popup waar je administrator+pwd kan invullen, en zit je op je schijf!

dinsdag 1 juni 2004 12:51

Acties:

Verwijderd

Je hebt gelijk Micros, met een Win98 opstart diskette lukte het niet. Dus ik heb die oude bestanden maar gelaten voor wat ze waren en ben nu bezig met het formateren en opnieuw installeren van Windows XP (Home). Ik verwacht straks wel gezeik van me zus die haar schoolproject kwijt is, maar daar kan ik ook niks aan doen

dinsdag 1 juni 2004 13:45

Acties:

cutter

Wannabe i7 fanboy

Verwijderd schreef op 01 juni 2004 @ 12:51:
Je hebt gelijk Micros, met een Win98 opstart diskette lukte het niet. Dus ik heb die oude bestanden maar gelaten voor wat ze waren en ben nu bezig met het formateren en opnieuw installeren van Windows XP (Home). Ik verwacht straks wel gezeik van me zus die haar schoolproject kwijt is, maar daar kan ik ook niks aan doen

Kun je die harde schijf niet ff in een andere pc hangen? En heb je knoppix geprobeerd? Beetje rigoreus bezig imho....

dinsdag 1 juni 2004 16:30

Acties:

Micros

M'n nummerbord in de USA

Topicstarter

Goed, via een andere computer kan ik inmiddels bij de c-schijf via \\ip\c$. Maar remote regedit lukt niet. Hij zegt "unable to connect to (Mijn computernaam), make sure you have permission to administer this computer". En die rechten heb ik zeker weten. Ik heb het geprobeerd als Administrator en met een andere user met admin-rechten, maar met beide krijg ik dezelfde fout...

Het is heel verwarrend, maar in windows zelf zit ook iets dat Search Assistant heet. Mogelijk zijn sommige van die registry keys die ik verwijderd heb dus toch dingen van windows zelf. (windows\srchasst)
Maar dan nog, zou het aan Windows kunnen liggen dat hij steeds vanzelf weer uitlogt? Ik heb nog steeds het vermoeden namelijk dat er een bestandje gestart wordt dat dat doet. Ik Google me helemaal suf, maar kom er maar niet achter welke bestanden dat zouden kunnen wezen...

Verwijderd schreef op 01 juni 2004 @ 12:51:Ik verwacht straks wel gezeik van me zus die haar schoolproject kwijt is, maar daar kan ik ook niks aan doen

Beetje lullig, je kunt er prima bij vanaf een andere pc of inderdaad als je de hd in een andere hangt...

[ Voor 37% gewijzigd door Micros op 01-06-2004 17:21 ]

"Zie mij een toffe computer hebben!"

woensdag 2 juni 2004 11:27

Acties:

IceStorm

This place is GoT-like!!!

Ik heb het overigens ook opgegeven. HD in een andere pc gehangen, bestanden overgeheveld, geformat en weer een clean install.

Jammer maar helaas.

woensdag 2 juni 2004 16:00

Acties:

Micros

M'n nummerbord in de USA

Topicstarter

Idem hier...

Gelukkig heb ik nog wel via het netwerk alle bestanden kunnen redden dankzij de tips hier, alleen vind ik de bookmarks van Firefox niet terug... (niet in bookmarks.html of registry)

Mijn vermoeden is dus dat het verwijderen van search-assistant registry keys ook niet-gerelateerde dingen beschadigd, waardoor je registry verkloot is en je dus steeds weer uitgelogd wordt.

"Zie mij een toffe computer hebben!"

Pagina: 1

Reageer