NOD 32 en een virus

[Garfield1966]

Hallo Forummers,

Mijn computer is al een half jaar beveilligd met NOD 32. Normaal scan ik bijna nooit, maar nu eens voor de veiligheid gedaan. Helaas was het raak. Ik kreeg meldingen van diverse besmettingen in een bestand. Als actie van NOD werd voorgesteld om de bestanden in Quarantaine te plaatsen en om het naar NOD te zenden. Beide heb ik gedaan. Maar ik ben dat virus liever kwijt. In de log van het programma kan ik alleen dit nog vinden:
D:\System Volume information\_restore{D15FA6D1-7531-46FF-AE7F-3AD093C696EE}\RP277\A0022370.exe meerdere infiltraties In quarantaine geplaatst - verwijderd NT AUTHORITY\SYSTEM Gebeurtenis onstaan bij een bestand dat is aangepast door de applicatie: C:\WINDOWS\System32\svchost.exe. Het bestand is verplaatst naar quarantaine. U mag dit venster sluiten.
5-3-2008 21:54:34 AMON bestand D:\RECYCLER\S-1-5-21-1957994488-261903793-725345543-1004\Dd12.exe meerdere

Nu staan er op mijn D (data) schijf 2 mappen nl. D:\System Volume information en D:\RECYCLER Beide mappen kan ik niet handmatig wegkrijgen. De map waar het virus in is gevonden heb ik wel kunnen deleten (D\blite)

Wie weet wat ik hier nog mee kan. Nu is de comp volgens NOD virusvrij.

 

[gast0225]

Als die schijf (partitie) verder leeg is, dan kies maar voor format, dan zijn die mappen weg. Het zin systeemmappen van Windows die later (automatisch) weer opnieuw worden aangemaakt.

 

[Garfield1966]

Als die schijf (partitie) verder leeg is, dan kies maar voor format, dan zijn die mappen weg. Het zin systeemmappen van Windows die later (automatisch) weer opnieuw worden aangemaakt.

Dat is in ieder geval een manier. Maar deze schijf is lang niet leeg en is eigenlijk mijn dataschijf. De bedoeling daarvan is om deze nooit te formateren. Maar omdat ik daarop ook de gedownloade bestanden neerzet is het toch misgegaan. Dat moet dus in de toekomst anders.

 

[gast0225]

Kopie van de data naar een andere schijf en dan de format?

 

[whisperTT]

systeem herstel uitschakelen opnieuw starten en weer inschakelen

 

[Garfield1966]

systeem herstel uitschakelen opnieuw starten en weer inschakelen

Dat hielp dus niet: toegang geweigerd Ik zal het toch op Pasja's manier moeten doen, als niemand anders met een beter idee komt.

 

[Harry Snor]

Hoi !

Toch is de oplossing van @whisper TT de juiste !

De besmetting zit in de herstelpunten, die gemaakt zijn.

Als je systeemherstel uitschakelt worden deze verwijder.

Opnieuw opstarten, systeemherstel inschakelen en opnieuw controleren.

Toegang geweigerd: welk OS ?

Greetz,

Harry.

 

[Garfield1966]

Hoi !

Toch is de oplossing van @whisper TT de juiste !

De besmetting zit in de herstelpunten, die gemaakt zijn.

Als je systeemherstel uitschakelt worden deze verwijder.

Opnieuw opstarten, systeemherstel inschakelen en opnieuw controleren.

Toegang geweigerd: welk OS ?

Greetz,

Harry.

Ik heb het nogmaals geprobeerd en ook systeemherstel van de C (systeem) schijf uitgeschakeld. Zonder succes. Ik heb een comp met XP. Vreemd vind ik het dat er ook op een niet systeemschijf toch systeemherstel zit. Is dit normaal?
De map Recycler is toegankelijk, maar het bestand daarin is niet te verwijderen.
De map System Volume Information is niet toegankelijk. Voor de C en D schijf is dat gelijk.

 

[gast0225]

Da's op zich redelijk logisch dat er op de niet Windows partitie ook een recovery zit. Als binnen systeemherstel niet staat aangegeven dat van andere partities géén backup gemaakt moet worden, worden idd. ook voor die schijven herstelgegevens weggeschreven.

Wat in andere berichten te lezen is over het uitschakelen van systeemherstel en dan de pc opnieuw opstarten om de besmetting kwijt te raken, ben ik het gedeeltelijk eens. De SVI wordt m.i. niet verwijderd als je het op die manier doet.
Vandaar dat even een verkenner kopieerslagje van de data op die schijf naar een andere schijf en vervolgens een format van de "besmette" schijf, m.i. de veiligste methode is.

 

[Ton52]

De SVI is systeemherstel, en wordt dus verwijderd bij het uitschakelen.
Bij het weer inschakelen wordt er weer een nieuw herstelpunt aangemaakt.

 

[Garfield1966]

De SVI is systeemherstel, en wordt dus verwijderd bij het uitschakelen.
Bij het weer inschakelen wordt er weer een nieuw herstelpunt aangemaakt.

In dat geval is er dus altijd een SVI bij draaiende computer die ik dus niet kan verwijderen. :evil:

 

[gast0225]

Tenzij je systeem herstel uitschakelt.

 

[Ton52]

Je hoeft het ook niet zelf te verwijderen, dat doet Windows als je het uitschakeld en je computer opnieuw opstart.
Weet je waar en hoe?

 

[Garfield1966]

Ik heb systeemherstel uitstaan. Ik kan SVI niet verwijderen. Ik heb nu maar een online scan gedaan met Kaspersky online scanner. Niet veel online aan trouwens. Je download 18 MB aan data. Als die ook niets meer vindt, ga ik ervan uit dat het gevaar geweken is.

 

[Garfield1966]

Ik heb de scan met Kaspersky online gedaan. Die vindt een heleboel. Ook de virussen die voornamelijk opgeslagen zijn in NOD 32 als infected. Helaas geeft Kaspersky een fout op de pagina, zodat ik niets verder kan doen. Een tweede scan doet hetzelfde. Positief is dat op de D schijf geen virus is aangetroffen. Alleen SVI wordt aangegeven als "Object is locked"
Kasperski geeft de namen in de log wel aan van de virussen. Dat heeft NOD ook wel gedaan, maar daar kan ik ze nu niet meer vinden.
Het zijn de volgende:
Trojan-Clicker.Win32VB.gs
en Trrojan.win32.VB.wh

Gaarne advies. Mag ik ervan uitgaan dat NOD32 ze veilig opgeborgen heeft? Hoe krijg ik ze definitief weg? Ik zou natuurlijk NOD kunnen deinstalleren en daarna opnieuw installeren. Maar is dat verstandig:shocked:

 

[Harry Snor]

Hoi !

Je kunt SVI niet verwijderen, maar wel leegmaken.

Als de ongein zich bevindt in de quarantaine-map van NOD32 hoef je je daarover geen zorgen te maken.

Evt. kun je de map legen door in het NOD32-venster op tools te klikken en dan op quarantaine.

Herinstallatie is nergens voor nodig.

Greetz,

Harry.

 

[Garfield1966]

Hoi !

Je kunt SVI niet verwijderen, maar wel leegmaken.

Als de ongein zich bevindt in de quarantaine-map van NOD32 hoef je je daarover geen zorgen te maken.

Evt. kun je de map legen door in het NOD32-venster op tools te klikken en dan op quarantaine.

Herinstallatie is nergens voor nodig.

Greetz,

Harry.

Ik heb die map met quarantaine gevonden en daar zitten wel wat bestanden in, maar niet de bestanden die Kaspersky gevonden heeft in de map van NOD heeft gevonden.
Hier even de 6 bestanden:
C:\Program Files\ESET\infected\I1OQYJCA.NQF/stream/data0005/data0002 Infected: Trojan-Clicker.Win32.VB.gs skipped
C:\Program Files\ESET\infected\I1OQYJCA.NQF/stream/data0005/data0004 Infected: Trojan.Win32.VB.wh skipped
C:\Program Files\ESET\infected\I1OQYJCA.NQF/stream/data0005 Infected: Trojan.Win32.VB.wh skipped
C:\Program Files\ESET\infected\I1OQYJCA.NQF/stream Infected: Trojan.Win32.VB.wh skipped
C:\Program Files\ESET\infected\I1OQYJCA.NQF NSIS: infected - 4 skipped
C:\Program Files\ESET\infected\I1OQYJCA.NQF PE-Crypt.XorPE: infected - 4 skipped

Het bestand C:\Program Files\ESET\infected\I1OQYJCA.NQF is te vinden met de verkenner.
Kan ik deze veilig handmatig verwijderen.

 

[Harry Snor]

Hoi !

Kun je rustig verwijderen,

Greetz,

Harry.

 

[Garfield1966]

Ik heb alle bestanden verwijderd en daarna gescand met NOD 32 en Kaspersky. Beide vinden niets meer. Dus mijn comp is weer schoon.
Ik dank iedereen die mij van goed advies hebben voorzien.

Groeten
Gerard

 

[Harry Snor]

Hoi !

Graag gedaan !

Greetz,

Harry.