Windows map 2 virussen

Status
Niet open voor verdere reacties.
GambiaUser

GambiaUser

Gebruiker
Lid geworden
18 jul 2009
Berichten
730
Is er nog iets te doen tegen virussen in je Windows map?

Virussen betreffen:
Winlogon.exe
Winmxw32.dll

Virus naam:
Generic18.BMRT


Wat te doen?
 
Als winlogon.exe in de C:\Windows map staat, dan is het inderdaad 'troep'. winlogon.exe in de C:\Windows\System32 map zou wél een legitiem programma moeten zijn.

Tijs.
 
@ crash - Ik ben nu me Windows map aan het scannen met MBAM, zzal ik zo doen met SAS.

@ Dnties Ik zal even een screenshot uploaden voor verdere informatie.

352of4h.jpg
 
MBAM scan C:\WINDOWS

Code: 
Malwarebytes' Anti-Malware 1.43
Database versie: 3477
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21/08/2010 15:27:47
mbam-log-2010-08-21 (15-27-47).txt

Scan type: Snelle Scan
Objecten gescand: 17523
Verstreken tijd: 1 hour(s), 48 minute(s), 6 second(s)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
 
Laatst bewerkt:
Dat ziet er slecht uit, vooral het de melding dat winlogon.exe is geïnfecteerd in de system32 map... Zonder een goedwerkende winlogon.exe kun je niet inloggen...

Ik denk dat je winlogon.exe buiten de normale Windows zult moeten gaan fixen m.b.v. een opstart-cd van (bijv.) Ubuntu of (makkelijker nog) via Hiren's boot cd (opstartoptie Mini Windows XP).
Een geldige/schone versie van winlogon.exe zou moeten staan in de C:\Windows\System32\dllcache map. Even op letten dat dat een gecomprimeerde versie is, dus dat je checkt (zodra geplaatst over de geïnfecteerde in de system32 map) dat het bestand dan niet gecomprimeerd mag zijn (dus niet in blauw wordt aangegeven).
Is dat dan wel het geval, dan (in Hiren's Mini Windows XP) even erop rechtsklikken, Eigenschappen kiezen, knop Geavanceerd, vinkje uitzetten bij "Inhoud comprimeren..."

Nog wat anders: Gegeven dat het 'beschermde' bestand winlogon.exe geïnfecteerd is zou betekenen dat de Windows bescherming van dergelijke bestanden is uitgeschakeld door het virus.
hier wat achtergrondinformatie over wat het virus gedaan kan hebben. [Er wordt ook ingegaan op de dllcache map etc.] Er zijn echter meerdere methoden, zoals in de registry (zie hieronder).
Hier en hier (o.a.) registry-instellingen waar het virus in aangepast kan hebben om zichzelf te beschermen tegen WFP (Windows File Protection).

Succes,

Tijs.
 
Laatst bewerkt:
Ik heb even een aantal dingen geprobeert, en over en over gedaan..

Maar ik kom al niet verder bij C:\WINDOWS\SYSTEM32\DLLCACHE en dan de winlogon.exe..

Hij staat daar niet in, en nu?
 
Dan zou je die eigenlijk van de installatie-cd moeten halen. Maar er is een andere manier die ook werkt:
a. Download SP3 voor XP NL
b. Pak die uit met Winrar of 7-zip naar een aparte map. Kijk in de submap i386 van waar je SP3 in had uitgepakt.
c. Kopieer winlogon.ex_ naar je C:\windows\system32 map
d. Binnen Mini Windows XP van de Hiren's boot cd, zodra je de geïnfecteerde winlogon.exe hebt weggehaald uit de C:\windows\system32 map:
Dubbelklik op het Command-prompt icoontje of doe Start -> Run -> cmd.exe
expand C:\windows\system32\winlogon.ex_ C:\windows\system32\winlogon.exe

Je hebt dan de originele SP3 variant van winlogon.exe uitgepakt in de C:\Windows\system32 map.

Succes,

Tijs.
 
Ik ben nu de service pack aan het downloaden, alleen het is een .exe, maar moet ik dan de .exe uitpakken met 7-zip?

Dat heb ik nog nooit gedaan? :o

Eens moet de eerste keer zijn he :p
 
Dat werkt gewoon hoor... ;) Erop rechtsklikken en kiezen voor 7-zip -> Pak uit naar "WindowsXP-KB936929-SP3-x86-NLD\"
Je hebt het dan in de submap WindowsXP-KB936929-SP3-x86-NLD uitgepakt. Winlogon.ex_ staat dan in de submap i386 dáár weer onder.

Andere mogelijkheid (maar moeilijker, want afhankelijk waar je SP3 hebt neergezet) is de /x parameter te gebruiken.
Voorbeeld: Stel je download WindowsXP-KB936929-SP3-x86-NLD.exe naar de hoofdmap van C:
Dan via Start -> Uitvoeren -> C:\WindowsXP-KB936929-SP3-x86-NLD.exe /x:C:\sp3install
Je hebt SP3 in dat geval uitgepakt naar de (nieuwe) C:\sp3install map. Winlogon.ex_ staat dan (natuurlijk) in de C:\sp3install\i386 map.

Nogmaals: Je hebt een serieus probleem met een essentieel Windows-bestand, vandaar dat je met kleine middelen er niet vanaf komt.

Tijs.
 
Ik zie dat het werkt :p

Maar. Ik heb de hele map afgezocht met SP3 maar, winlogon.exe is niet aanwezig in de mappen?
 
Nogmaals: het is winlogon.ex_, die je expandeert ('uitpakt' zeg maar) naar winlogon.exe via het Expand commando vanuit de Mini Windows XP op de hiren's boot cd.

Kijk dus of je winlogon.ex_ kunt vinden in de i386 map onder de map waar je SP3 naar uitgepakt had.

Graag beter lezen wat ik schrijf: Ik heb die precieze naam ook al enkele malen vermeld in mijn vorige postings!

Tijs.
 
Laatst bewerkt:
Excuses en ik zie dat het helemaal werkt. :o

Heel erg super bedankt!:thumb::thumb::thumb::thumb:

Ik hou van je <3

srry:p moest er even uit :)
 
Heb je alles al gedaan dan? (dus incl. hiren's boot cd opstarten, winlogon.ex_ expanderen etc.)??

Tijs.
 
Dat is goed nieuws.

Ik wil wel weten of je het besmette winmxw32.dll bestand door AVG hebt laten verwijderen en dat je nu ook een hernieuwde handmatige scan gedaan hebt van de C:\Windows\system32 map in AVG, zodat je zeker weet dat de 2 besmettingen ook echt weg zijn?
[Handmatige scan: Rechtsklikken op de C:\Windows\System32 map, en kiezen voor Scan with AVG (of iets dergelijks).]

Ik hoor dat graag nog even terug van je.

Tijs.
 
Scan voltooid d en geen resultaten van een virus En ik heb de dll file ook vervangen en dat werkte ook goed :thumb:
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan