Hardnekkige infectie W32.Sober.G@mm

Status
Niet open voor verdere reacties.
W

WDRWDR

Gebruiker
Lid geworden
30 jan 2006
Berichten
12
Mijn virusscanner Symantec Client Security pak zo elke minuut de worm: "W32.Sober.G@mm". Deze wordt gevonden in C:\documents and Settings\All Users\Application Data\Symantec Antivirus Corporation\7.5\APtemp. De worm verschijnt steeds onder een andere filename zoals "APQ2B.temp of APQ54.tmp of APQ55.tmp etc. De scanner zegt dat de file ACTION: "deleted" is, STATUS: "deleted" is en dat de CURRENT LOCATION" : "deleted" is. De worm word telkens gepakt maar verschijnt steeds weer opnieuw.

Voor zover mogelijk van belang: ik heb recentelijk mijn "oudere" Symantec virusscanner ge-update met een nieuwere versie. Symantec Firewall is actief.

Van Symantec heb ik een speciale W32.Sober Removal Tool gedownload welke ik heb laten draaien, maar welke geen W32.Sober.G@mm vindt? Mogelijk omdat de viruscanner hem steeds afvangt.

Ook heb ik op aanraden van advies van Symantec website: (1) de Windows herstel functie uitgezet - (2) de computer in safe mode opgestart en de (3) computer opnieuw met de Symentec antivirus scanner gescanned. :confused: Na opstarten van de computer begint het geheel echter weer opnieuw waarbij er elke minuut weer de bovenstaande worm gevonden wordt en naar zeggen met succes wordt gedelete.

Een professionele uitdaging voor jullie - Ik wordt er gek van!

Groetjes en hopelijk tot hoors!

WDRWDR
 
Welkom op Helpmij.:)

kijk eens of Stinger van Mcafee wat kan vinden:
http://vil.nai.com/vil/stinger/

Download eens Ewido Security Suite en laat daar je pc mee scannen:
http://www.ewido.net/en/download/

Laat het programma updaten, door op "update" te klikken.
Start Ewido Security Suite
Klik op "Scanner" --> "Complete System Scan" om het scannen te starten.
Als er een bestand gevonden wordt, zal er gevraagd worden om het bestand te verwijderen, klik dan op "OK".

Eventueel kun je een log van de scan bewaren, door na afloop op de knop "Save report" te klikken.

Mocht dat niet geholpen hebben, dan kun je met een Hijackthis log de experts van ASO/Nucia forum er eens naar laten kijken:
Lees dit bericht goed door:
http://www.nucia.nl/forum/showthread.php?t=12

Kijk hier voor uitleg Hijackthis:
http://www.nucia.nl/toonhandleiding.php?handleidingid=9

Plaats daarna je Hijackthis log in de volgende sectie:
http://www.nucia.nl/forum/forumdisplay.php?f=38

Vermeld daar ook je probleem erbij.

Zie ook deze mededeling, waarom je de Hijackthis log op een ander forum moet plaatsen:
http://www.helpmij.nl/forum/announcement.php?s=&forumid=272
 
Ik heb je advies opgevolgd:
- McAfee Stinger vondt niets (terwijl deze wel specifiek op W32.Sober.G@mm zoekt)
- Ewido vond niets interessants (anders dan enkeel cookies)
- HitmanPro (Adaware en SpyBot) loste het probleem ook niet op.

Een HijackThis log staat nu op Nucia ter evaluatie.

Zou het ermee te maken kunnen hebben dat de verdachte files steeds in de subdirectery van Symantec zelf plaatsvind?

Alvast bedankt voor je eerste reactie

WDRWDR
 
WDRWDR zei:
Mijn virusscanner Symantec Client Security pak zo elke minuut de worm: "W32.Sober.G@mm". Deze wordt gevonden in C:\documents and Settings\All Users\Application Data\Symantec Antivirus Corporation\7.5\APtemp. De worm verschijnt steeds onder een andere filename zoals "APQ2B.temp of APQ54.tmp of APQ55.tmp etc. De scanner zegt dat de file ACTION: "deleted" is, STATUS: "deleted" is en dat de CURRENT LOCATION" : "deleted" is. De worm word telkens gepakt maar verschijnt steeds weer opnieuw.
Klik om te vergroten...
Lijkt me geen actieve infectie maar een probleem in je Symantec software. Die tijdelijke bestanden in de map APTemp worden door Symantec zelf aangemaakt. Probeer het volgende:

1) leeg de quarantaine van Symantec;
2) start op in veilige modus en verwijder alle bestanden die in de volgende map zitten: C:\documents and Settings\All Users\Application Data\Symantec Antivirus Corporation\7.5\APtemp
Herstart daarna in normale modus en kijk of het probleem zich nog voordoet.
 
Buffy, je suggestie uitgevoerd en : Het:) werkt! Geen continue waarschuwingen meer!

Buffy en ook Crash erg bedankt voor jullie betrokkenheid!

Great, Yeah:thumb:

WDRWDR
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan