win32/Rustock.gen!C

[repjas3510i]

Hallo Allemaal,

Zoals de titel al zegt heb ik een probleem win32/rustock.gen!C, als ik mijn pc opstart geeft hij een melding:
Virus alert: Windows detected the Win32/Rustock.gen!C virus on your computer

This problem was caused by Win32/Rustock.gen!C, a known computer virus.

A solution is available that will solve this problem.

Dan moet ik naar safety.live.com gaan en dan die volledige scan uitvoeren.
Het probleem is echter dat ik ongeveer 10 seconden heb voordat de pc zichzelf weer opnieuw opstart en dan begint het weer van voor af aan. Dit gebeurd niet in veilige modus, daar heb ik mijn pc al gescand met Panda Antivirus, maar die gaf geen melding die daar mee te maken had geloof ik.

Als dit probleem al ergens anders in dit forum besproken is spijt het me dat ik het hier gezet heb, maar ik wil graag heel snel een antwoord want het is erg onhandig.

groetjes repjas3510i

 

[Michael4446]

Start eens op in de Veilige Modus en doe een volledige systeemscan met je anti-virusprogramam nog een keer.
Laat daarna alles verwijderen wat gevonden wordt.

Doe daarna dit:

1.Download en installeer
AVG Anti-Spyware.

• 
  Na de installatie, open AVG Anti-Spyware:
  * onder "Status", klik op Change state naast "Resident shield". (wijzig van active naar inactive!)
  * onder "Update", klik op de Start update knop.
  * onder "Scanner", tab "Settings":
  • - onder "How to act?", klik op "Recommended actions" en selecteer Quarantine. (ZEER BELANGRIJK!)
    * onder "Reports", selecteer Automatically generate report after every scan en verwijder het vinkje bij Only if threats were found
  Sluit AVG Anti-Spyware. Laat het nog niet scannen.

Start op in veilige modus

Start AVG Anti-Spyware.

• * Klik op Scan en kies Complete System Scan.
  Na de scan; volg onderstaande instructies :
  BELANGRIJK : Klik niet op de "Save Scan Report" knop vooraleer je de "Apply all Actions" knop hebt aangeklikt !
  * Draag er zorg voor dat Set all elements to: op Quarantine staat (1),
  zoniet klik op de link en kies Quarantine in de popup menu. (2)
  (Dit geldt niet voor cookies, deze worden onveranderlijk gedelete !)
  * Onderaan het venster klik op de Apply all Actions knop. (3)
  
  
  
  * Wanneer je de melding krijgt 'All actions have been applied', klik je onderaan op de knop Save Report.
  * Klik in het menu bovenaan op Reports. Kopieer het rapport van de scan en plaats dat hier in je volgende bericht.

 

[repjas3510i]

Sorry dat ik zo laat reageer, ik heb een nieuwe virusscanner (de andere was verlopen en update niet meer) ik hoop dat als hij geupdate is het virus wel herkend. Als dit niet werkt zal ik doen wat je gezegd hebt, bedankt voor je reactie in ieder geval.

 

[Michael4446]

Oke, maar start even op in de Veilige Modus en doe dan een volledige systeemscan met je nieuwe anti-virusprogramma.
Lukt het scannen in de Veilige Modus niet --> scan dan in de normale modus.
Hier lees je hoe je opstart in de Veilige Modus.

En ik zou, ook al wordt het virus wel herkend nu, sowieso een scan doen met AVG Anti-Spyware, wie weet wordt er nog wel wat anders gevonden.

 

[repjas3510i]

Ik heb hem gescand en hij vond alleen een ander virus wat daar niets mee te maken heeft, nu kan ik helemaal niet meer in normale modus want hij start nu meteen opnieuw op.

 

[Michael4446]

Doe even dit in de Veilige Modus eerst:
Klik rechts op deze computer.
Eigenschappen.
Tabblad geavanceerd.
De onderste button instellingen.
Vinkje weghalen voor: "De computer automatisch opnieuw opstarten".
Dit zorgt ervoor dat je voortaan een foutcode te zien krijgt ipv een zwart scherm en een reboot.

Daarna doe maar de scan met AVG Anti-Spyware als je die hebt, of probeer het installatiebestand via bijv. een USB-stick op die pc te krijgen.

Als je een blauw scherm krijgt, kan je alle gegevens ( foutcode, bestandsnaam, melding enz. ) allemaal hier even vermelden.

Succes!:thumb:

 

[repjas3510i]

Ok ik zal dit morgenvroeg proberen, ik heb het nu nogal druk.
Bedankt voor de hulp die ik krijg van je!

 

[Michael4446]

Oke, succes ermee:thumb:

 

[repjas3510i]

Ok dit werkt niet, als ik zeg dat hij niet automatisch moet opstarten geeft hij aan dat ik alerter service moet aanzetten, maar dit werkt alleen in de normale modus en ik kan mijn pc alleen in veilige modus gebruiken.

ik ga nu maar eens doen wat je in je eerste antwoord hebt gezegd.

 

[Michael4446]

Oke, laat dat dan maar even zitten maar doe wel de andere stappen!

 

[repjas3510i]

Ik heb het systeem met AVG gescand, volgens mij heeft hij niks van rustock.gen ontdekt.

---------------------------------------------------------
AVG Anti-Spyware - Scan Report
---------------------------------------------------------

+ Created at: 18:45:20 25-3-2007

+ Scan result:



C:\Program Files\Everest Poker\CStart.exe -> Adware.Casino : Cleaned with backup (quarantined).
C:\Program Files\Everest Poker\Everest Poker.exe -> Adware.Casino : Cleaned with backup (quarantined).
C:\Documents and Settings\Jasper Geelen\Local Settings\Temp\HbToolsU.exe -> Adware.HotBar : Cleaned with backup (quarantined).
C:\WINDOWS\Downloaded Program Files\gsda.dll -> Not-A-Virus.Downloader.Win32.SpyGame : Cleaned with backup (quarantined).
:mozilla.155:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.
:mozilla.238:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.
:mozilla.48:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.
:mozilla.188:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Adbrite : Cleaned.
:mozilla.189:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Adbrite : Cleaned.
:mozilla.167:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Coremetrics : Cleaned.
:mozilla.275:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Imrworldwide : Cleaned.
:mozilla.276:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Imrworldwide : Cleaned.
:mozilla.132:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Revsci : Cleaned.
:mozilla.136:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Revsci : Cleaned.
:mozilla.137:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Revsci : Cleaned.
:mozilla.138:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Revsci : Cleaned.
:mozilla.174:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Sitestat : Cleaned.
:mozilla.264:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Sitestat : Cleaned.
:mozilla.319:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Sitestat : Cleaned.
:mozilla.93:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Sitestat : Cleaned.
:mozilla.94:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Sitestat : Cleaned.
:mozilla.95:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Sitestat : Cleaned.
:mozilla.96:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Sitestat : Cleaned.
:mozilla.211:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Web-stat : Cleaned.
:mozilla.212:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Web-stat : Cleaned.
:mozilla.213:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Web-stat : Cleaned.
:mozilla.280:C:\Documents and Settings\Jasper Geelen\Application Data\Mozilla\Firefox\Profiles\8y3vc6kp.default\cookies.txt -> TrackingCookie.Webtrends : Cleaned.
C:\Documents and Settings\Jasper Geelen\Cookies\jasper_geelen@m.webtrends[1].txt -> TrackingCookie.Webtrends : Cleaned.
C:\Documents and Settings\Jasper Geelen\Cookies\jasper_geelen@statse.webtrendslive[1].txt -> TrackingCookie.Webtrendslive : Cleaned.
C:\Documents and Settings\Jasper Geelen\Mijn documenten\Mijn muziek\muziek\01 Track 1.wma -> Trojan.Wimad.a : Cleaned with backup (quarantined).


::Report end

 

[Michael4446]

Oke, dan wordt het tijd voor een HijackThis-logje, omdat je in de Normale modus niet meer kan werken.

De stappen van het plaatsen van het logje en lezen van de handleiding moet op een andere c het best en het maken van het logje doe je natuurlijk op de besmette pc in de Veilige Modus:

1 ) Lees eerst goed de handleiding van HijackThis:
http://www.nucia.nl/toonhandleiding.php?handleidingid=9

2 ) Lees dan het volgende bericht goed door:
http://www.nucia.nl/forum/showthread.php?t=12

3 ) Registreer je dan op Nucia/ASO Forum.
http://www.nucia.nl/forum/register.php

4 ) Plaats daarna je HijackThis-log in de daarvoor bestemde forumsectie:
http://www.nucia.nl/forum/forumdisplay.php?f=38

Vermeld ook daar je probleem erbij en de link van dit topic.

Succes!:thumb:

 

[repjas3510i]

Ik denk niet meer dat dat nodig is, nadat ik de pc met AVG heb gescand kan ik hem weer opstarten in de veilige modus zonder dat hij zich opnieuw opstart. Hij heeft iets van Wimad Trojan gescand (laatste regen van het report) mischien dat dat er iets mee te maken heeft?

wel krijg ik nog meldingen van: Upgrader.exe - de instructie op 0x7c91152a verwijst naar geheugen op 0xe312be4a. de lees of schrijfbewerking ("written") op het geheugen is mislukt.
klik op ok om het programma te beëindigen.

bedankt voor alle hulp die ik kreeg!

 

[Michael4446]

Oke mooi dat het ergste eruit is, die laatste regel kan er best wat mee te maken hebben.
Doe dan nu nog volgende dingetjes om je pc een beetje op te schonen:

1) Ga naar Start, klik met rechts op Deze Computer en kies voor Eigenschappen, ga dan naar het tabblad
Systeemherstel en zet een vinkje voor Systeemherstel uitschakelen.
Start de pc opnieuw op en doe hetzelfde maar haal het vinkje weg.

2) Download hier eens CCleaner.
Installeer het daarna en start het programma.
Gebruik de onderdelen Cleaner en Problemen, bij beide onderdelen, laat je pc scannen en laat alles verwijderen wat er gevonden wordt. Bij het onderdeel Problemen kan je nog kiezen om een back-up van de te verwijderen sleutels te maken, doe dit.
Vink aan de linkerkant niks nieuws aan dan wat er al aangevinkt staat, dit is voldoende.

En kan je even het volgende ook doen:

Ga naar start - uitvoeren - en typ msconfig - en ga naar het tabblad Opstarten.
Kan je dan even een screenshot maken, zodat ik kan zien wat er allemaal mee opstart.

Succes!:thumb:

 

[repjas3510i]

Ik dacht eerst dat ik het virus eruit had, dat bleek niet het geval. Toen heb ik reanimator.exe gebruikt om de rootkit van rustock te verwijderen. Hierna kon mijn eigen virusscanner het rustock verwijderen. Nu heb ik geen problemen meer geloof ik.

Wat het MSconfig betreft, dit heb ik al gedaan; ik heb zo weinig mogelijk programma's laten opstarten en ik geloof dat mijn pc nu weer als vanouds is. Bedankt voor alle hulp.

ps. Ik zal proberen de link te zoeken met de site waarmee ik de rootkit van rustock heb verwijderd.
Edit: dit is de link waarmee het gelukt is. Klik

Ik denk dat mijn probleem opgelost is, hier kan een slotje op.

 

[Michael4446]

Dank voor de link.

Maar doe aub nog wel even die 2 andere dingen die ik heb aangegeven.
Deze acties verwijderen eventuele restjes die achter zijn blijven zitten.

En als je vraag dus is opgelost, mag je rechtsonder van deze pagina klikken op Vraag is opgelost.

 

[repjas3510i]

Nogmaals dank voor alle hulp.

 

[Michael4446]

Nogmaals dank voor alle hulp.

Mooi.
Heb je die andere 2 stappen nog gedaan?

 

[repjas3510i]

ja