poisonIvy.20

[Tayana]

Ik heb een plugin voor een mail programma geinstalleerd en bij een virusscan blijkt daat in te zitten: win32/remoteadmin.poisonIvy.20 applicatie = backdoor server worm.
Op beide pc's waar dit geinstalleerd is doet vrijwel niets het meer.
ook nadat dit bestand is verwijderd doen alle services het niet meer.
config-systeenbeheer-services-uitgebried(locaal) is leeg, dus installer service, rcp, systeemherstel-knippen/plakken enz. niets werkt meer.
Ook internetverbinding wireless (laptop) weg.
vraag 1: is er een manier bivoorbeeld registercommando om deze services weer op te starten?
vraag 2: Kan het register copleet vervangen worden door een 2 weken geleden gesafed registerbestand, als ik commando importeren geef is er het antwoord: is toegevoegd, maakt geen verschil.
Omdat ik alleen maar een productherstel cd voor de laptop heb (zonder sp2) zou er bij opnieuw installeren alles gewist worden en ik heb voor mij belangrijke bestanden er op staan die ik er niet kan afhalen: immers knippen/plakken naar usb werkt niet - wireless netwerk ook niet, DVD is geen writer, geen netwerkkaart, directe verbinding maken heb ik nog niet geprobeerd.
wie weet raad.? helpmij

 

[Boeing_737]

Heb je het volgende al geprobeerd?

Opstarten, maar dan via F8 naar het keuzemenu voor o.a. Veilige modus?

Er staan meer opstartmogelijkheden, zoals laatste goed werkende configuratie (of zoiets),
allemaal geprobeerd?

Kijk na of op de productherstel CD de map i386 voorkomt. Zo ja, laat hem in de lade zitten, ga via Start naar Uitvoeren en typ in Openen: sfc /scannow. De systeembestanden van Windows worden dan hersteld of teruggeplaatst.

 

[Tayana]

hartelijk dank voor je reactie, en zo diep in de nacht.
Alle f8 veilige modus mogelijkheden heb ik al geprobeerd, ook daar geen succes. Om de register back-up terug te zetten moet je vlgs instrukties van ms (wat een wartaal overigens) via alle programma's-bureau-systeemwerkset back-up aktiveren, maar dat staat er bij mij niet bij.
Op de produktherstel dvd is geen direktory i386 te ontdekken.
Zou je dat vergelijkings commando sfc /scannow ook kunnen toepassen met een geleend complete windows xp cd of loop je dan weer tegen een produktcode aan?

 

[Boeing_737]

Zou je dat vergelijkings commando sfc /scannow ook kunnen toepassen met een geleend complete windows xp cd

Volgens mij lukt dat wel.

 

[Tayana]

Nee dat lukte dus niet : het volume in is niet het juiste blablabla....
Maar, ik heb het gevonden> Deze trojan verandert van alles in het register. De reden dat alle lokale services zijn uitgeschakeld is dat er een fake services.exe bestand wordt aangemaakt in windows system32 met verwijzingen in het register,ook o.a. fake svchost en lsas.exe bestanden en er wordt een server geinstalleerd en een poort geopend. Ik heb alle bestanden van de datum dat het begon in eigenschappen gecontroleerd of er op versie "onbekend" stond deze verwijderd, opnieuw opgestart toen had ik weer lokale services en kan ik weer van alles doen. Omdat ik tijdens alle experimenten een keer in msconfig alle services vakje uigeschakeld heb voor herstart in de hoop dat ze weer terugkwamen zijn helaas alle systeem herstelpunten verdwenen. Omdat ik vermoed dat er nog een heleboel ongeldige register verwijzingen zijn moet ik nog een manier vinden om het register te vervangen door een backup van enkele weken geleden.

 

[Boeing_737]

Voor dit geval, of in de toekomst: kijk eens op deze site:

http://www.antispywareoffensief.nl/forum/showthread.php?t=12.

Dat is een in de bestrijding van spyware en adware gespecialiseerde site.

 

[BANDIT123]

Voor dit geval, of in de toekomst: kijk eens op deze site:

http://www.antispywareoffensief.nl/forum/showthread.php?t=12.

Dat is een in de bestrijding van spyware en adware gespecialiseerde site.

En dat zou ik ook maar even doen,want met die infectie is er nog wel het een en ander achtergebleven.