Behoorlijk irritant virus

[Verwijderd lid 21204]

Hey,

Ik ben niet helemaal nieuw in het verwijderen van virussen e.d. maar nu ben ik toch echt even hulp nodig.
Ik heb hier een laptop staan met een virus die er voor zorgt dat werken onmogelijk word dankzij deze melding:

En ja, deze krijg ik ook in veilige modus.

Ik heb via BartPE al geprobeerd hem te vinden, maar de virusscanners die bij BartPE meegeleverd worden kunnen het virus niet vinden.

Nu heb ik na lang zoeken wel eens gezien dat het Sirefef kan zijn, maar de DLL's die daarbij horen zijn nergens te vinden.

Het nadeel is, ik kan geen hijack this log maken, en ook RKill kan het proces wat het opnieuw opstarten veroorzaakt stoppen.
Ook heb ik al de bootable CD van GDATA geprobeerd, maar ook die kan hem niet vinden.

Iemand enig idee??

 

[Laurensv99]

Lijkt mij geen virus http://support.microsoft.com/kb/976586/nl

Waarom denk je dat het een virus is?

 

[Verwijderd lid 21204]

Bedankt voor je reactie.
De fout die jij laat zien is een iets andere fout.

Ik ben het wel met je eens dat het niet per se een virus hoeft te zijn, maar omdat ik bijvoorbeeld programma's als "msconfig" ook niet kan openen dacht ik wel het eerste aan een virus.


Edit:
Ik heb net even heel snel geklikt en ben in het logboek van Windows terecht gekomen nog voordat deze opnieuw opstarte, daar stond het volgende:

Microsoft Antimalware heeft een kritieke fout gevonden tijdens het ondernemen van actie tegen schadelijke of andere mogelijk ongewenste software.
Zie de onderstaande gegevens voor meer informatie:
http://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Sirefef.AH&threatid=2147655284
Naam: Trojan:Win32/Sirefef.AH
Id: 2147655284
Ernst: Ernstig
Categorie: Trojaans paard
Pad: containerfile:_C:\Windows\System32\services.exe;file:_C:\Windows\System32\services.exe->731;process:_pid:468
Detectieoorsprong: Lokale computer
Detectietype: Concreet
Detectiebron: Systeem
Gebruiker: NT AUTHORITY\SYSTEEM
Procesnaam: C:\Windows\system32\services.exe
Actie: In quarantaine plaatsen
Actiestatus: No additional actions required
Foutcode: 0x800704ec
Foutbeschrijving: Dit programma wordt geblokkeerd door Groepsbeleid. Neem voor meer informatie contact op met de systeembeheerder.
Versie handtekening: AV: 1.131.1722.0, AS: 1.131.1722.0, NIS: 0.0.0.0
Versie engine: AM: 1.1.8601.0, NIS: 0.0.0.0

 

[Verwijderd lid 21204]

Ok, ik heb het gevoel dat ik een stap verder ben, of misschien ook wel een stap terug

In de korte tijd die ik heb, heb ik Emsisoft Emergency Kit laten draaien. Deze vond inderdaad SIREFEF (ook wel zeroacces) en heeft deze verwijderd.
Het geïnfecteerde bestand was echter: services.exe
Dus nu krijg ik bij opnieuw opstarten een crashdump (BSOD)
De STOP code is: 0x000000F4

Heeft hier toevallig iemand een oplossing voor?

 

[RogerS]

Vanaf een originele CD het bestand services.exe . Waarschijnlijk heeft je scanner het bestand niet gecleand maar verwijderd. Windows heeft dit bestand toch wel echt nodig.

Ben het wel eens met die besmetting. Het wil trouwens nog wel eens werken om hijackthis.exe eerst een andere naam te geven (bijv. tooltje.exe) en dan via een USB stick te draaien op de besmette pc.

 

[Spocky]

kun je nog in veilige modus opstarten?

 

[Verwijderd lid 21204]

@ Roger
Nu nog even een originele CD vinden, dat blijkt lastiger te zijn dan het lijkt. Als ik via BartPE kijk zie ik inderdaad geen services.exe in de system32 map staan en zoals je zelf al zegt, deze heeft windows toch echt nodig.
De reden dat ik hijackthis niet kon draaien was omdat die gewoon niet snel genoeg was, ik kon maar 2 minuten ofzo werken in windows en toen kreeg ik al een reboot (ook als ik shutdown -a als command gaf..)

@Spocky
Helaas kan ik dat ook niet, zelfde bluescreen, services.exe is dusdanig belangrijk dat opstarten zonder ook niet in de veilige modus werkt

 

[Spocky]

tja je zou die orginele cd moeten opstarten en dan opstart system repair uitvoeren, maar dit gaat dus niet?

 

[Verwijderd lid 21204]

Ja, na veel moeite heb ik eindelijk een CD gevonden. Opstartherstel werkte niet, dus maar naar een eerdere datum teruggezet met systeemherstel en nu start hij weer door naar Windows.
Oftewel alles lijkt weer te werken. Nu even checken of het virus er ook echt af is.

 

[Spocky]

oke ik ben benieuwd......

 

[davidgor]

hallo

ik ben toch niet zeker dat dit geen virus is.
iemand die in mijn klas zit heeft een virus gemaakt dat er net hetzelfde uit ziet.
het virus staat volgens mij in de map opstarten(Windows opent standaard alle dingen in die map bij het opstarten)en dat virus doet een opdragtenpromp regel die de computer zegt afsluit opnieuw opstarten etc...
de oplosing hier voor is opstarten met Linux download dit
en kies iets (ik zou fedora 17 kde nemen) en download dat
start op vanaf de usb waar je dat hebt op gezet(via de boot).
en kijk naar deze map /media/de volgende tekens ken ik niet dit is bij iedereenanders/Users/je gebruikersnaam(ken je die niet an kies je gewoon niet "openbaar"maar het andere)/AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startupen wis daar alles tenzij je dar zelf dingen gezet hebt


hopenlijk helpt dit