Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

hoe raak ik dit virus kwijt?

Fr@ns
11 antwoorden
  • Probleem: pc van kennis is besmet met een virus of trojan.

    Opeens waren zij alle instellingen kwijt. Nu blijkt dat er een nieuw account is aangemaakt. Dit account heet administrator.CC793232-B. Het originele account administrator is nog wel te benaderen, bestanden staan er allemaal nog. Alleen is dit account niet meer op te starten.

    Nu heb ik een ander account gemaakt met beheerdersrechten. Hier kan ik wel op inloggen en dan het "virus-account" verwijderen. Echter als ik weer inlog met administrator krijg ik het "virus-account" weer.

    Systeemherstel is uitgeschakeld, ik heb al gescant met avast!, ad-aware, CCleaner, Spybot en a-squared.

    Iemand een idee?! Hierbij een hijackthis log:

    Logfile of HijackThis v1.99.1
    Scan saved at 22:53:29, on 23-11-2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32
    vsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\msiexec.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
    C:\WINDOWS\System32\CTFMON.EXE
    C:\YZ\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.home.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.home.nl/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door @Home
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1082
    l-nl\msntb.dll
    O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1082
    l-nl\msntb.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
    O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O14 - IERESET.INF: START_PAGE_URL=http://start.home.nl/
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097698699248
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
    vsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe



  • Je logje lijkt schoon :roll:

    Doe dit maar eens:
    Download, installeer en update free trial versie van Ewido Security Suite
      [*:a74c42ce9c]Tijdens de installatie, onder "Additional Options", haal je de vinkjes weg bij "Install background guard" en "Install scan via context menu". [*:a74c42ce9c]Als je Ewido voor de eerste keer runt, zal je een foutmelding krijgen "Database could not be found!". Klik dan op [b:a74c42ce9c]OK[/b:a74c42ce9c]. Dit is normaal. [*:a74c42ce9c]In het hoofdscherm van Ewido, klik je op [b:a74c42ce9c]update[/b:a74c42ce9c] in het linker menu, en vervolgens op de [b:a74c42ce9c]Start update[/b:a74c42ce9c] knop. [*:a74c42ce9c]Als de updates gedaan zijn, zal er op de status bar beneden "Update successful" staan. [*:a74c42ce9c]Sluit Ewido. Laat het nog [b:a74c42ce9c]niet[/b:a74c42ce9c] scannen [/list:o:a74c42ce9c] Start je computer op in VEILIGE MODUS Open Ewido Security Suite[list:a74c42ce9c] [*:a74c42ce9c]klik op [b:a74c42ce9c]Scanner[/b:a74c42ce9c] [*:a74c42ce9c]Zorg dat er een vinkje staat bij volgende regels:[list:a74c42ce9c] [*:a74c42ce9c]Binder [*:a74c42ce9c]Crypter [*:a74c42ce9c]Archieven [/list:u:a74c42ce9c] [*:a74c42ce9c]Klik op [b:a74c42ce9c]Start Scan[/b:a74c42ce9c] [*:a74c42ce9c]Laat het programma je pc scannen [/list:u:a74c42ce9c]Tijdens de scan zal je gevraagd worden of je gevonden bestanden wilt verwijderen. Klik dan op [b:a74c42ce9c]OK[/b:a74c42ce9c] Als de scan beëindigd is, zal je een knop zien [b:a74c42ce9c]Save report[/b:a74c42ce9c][list:a74c42ce9c] [*:a74c42ce9c]Klik op [b:a74c42ce9c]Save Report[/b:a74c42ce9c] [*:a74c42ce9c]Sla het rapport op op je bureaublad [*:a74c42ce9c]Sluit Ewido af [/list:u:a74c42ce9c] Herstart nu je computer in normale modus en plaats dan het rapport van Ewido. Groeten smeenk :wink:
  • smeenk, bedankt voor uw reactie.

    Ik heb uw raad opgevolgd. Ik heb die foutmelding niet gekregen. Ik heb de mogelijkheid om Binder, Crypter en Archieven in te stellen niet gevonden. Voor de rest gedaan zoals u zei: Ewido geupdate en laten scannen in veilige modus. Hieronder het resultaat. Het virus/worm is in ieder geval niet weg…! De computernaam is trouwens ook veranderd in CC793232-B.

    ———————————————————
    ewido security suite - Scan rapport
    ———————————————————

    + Gemaakt op: 22:26:23, 25-11-2005
    + Rapport samenvatting: D1700015

    + Scan resultaten:

    C:\Documents and Settings\Administrator\Cookies\administrator@stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Schoongemaakt met een backup
    C:\Documents and Settings\Administrator\Cookies\administrator@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Schoongemaakt met een backup
    C:\Documents and Settings\Administrator\Cookies\administrator@burstnet[2].txt -> Spyware.Cookie.Burstnet : Schoongemaakt met een backup
    C:\Documents and Settings\Administrator\Cookies\administrator@112.2o7[2].txt -> Spyware.Cookie.2o7 : Schoongemaakt met een backup
    C:\Documents and Settings\Administrator\Cookies\administrator@serving-sys[3].txt -> Spyware.Cookie.Serving-sys : Schoongemaakt met een backup
    C:\Documents and Settings\Administrator\Cookies\administrator@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Schoongemaakt met een backup
    C:\Documents and Settings\piet\Cookies\piet@stat.onestat[1].txt -> Spyware.Cookie.Onestat : Schoongemaakt met een backup
    C:\Documents and Settings\piet\Cookies\piet@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Schoongemaakt met een backup


    ::Einde rapport
  • Gewoon verder zoeken dan maar:

    Download [b:a3c7e47ae5]SilentRunners[/b:a3c7e47ae5].
    [b:a3c7e47ae5]Unzip[/b:a3c7e47ae5] het naar een eigen, permanente map.
    Open de SilentRunners map en dubbelklik op [b:a3c7e47ae5]SilentRunners.vbs[/b:a3c7e47ae5].
    Als je antivirusprogramma een melding geeft, blokkeer dit script dan niet maar laat het toe - het is goedaardig.
    Wacht rustig af tot SilentRunners klaar is.
    Als SilentRunners zijn werk heeft gedaan, staat er een log (een .txt bestand) in de SilentRunners map. Kopieer dat volledige log en plaats het hier in je volgende bericht.

    Doe dit ook eens:
    Download f-secure-Beta Trial
    http://www.f-secure.com/blacklight/
    Sla het op je bureaublad op. Dubbelklik daarna op blbeta.exe
    Als de check afgelopen is klik je op – next
    Op je bureaublad vindt je nadien een textbestand, kopieer de inhoud in je volgende bericht.

    Groeten smeenk :wink:
  • [b:159f337db9]Log van SilentRunners in gewone modus onder het "neppe" administrator account:[/b:159f337db9]

    Startup Programs (CC793232-B) 2005-11-28 18.46.00.txt

    "Silent Runners.vbs", revision 41, http://www.silentrunners.org/
    Operating System: Windows XP SP2
    Output limited to non-default values, except where indicated by "{++}"


    Startup items buried in registry:
    ———————————

    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
    "Tweak UI" = "RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp" [MS]
    "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
    {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
    "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Configuratiescherm-uitbreiding Beeldscherm-panning"
    -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
    "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal-pictogramuitbreiding"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
    "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
    "{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
    "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
    "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
    "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32
    vshell.dll" ["NVIDIA Corporation"]
    "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32
    vcpl.dll" ["NVIDIA Corporation"]
    "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32
    vcpl.dll" ["NVIDIA Corporation"]
    "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32
    vshell.dll" ["NVIDIA Corporation"]
    "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32
    vshell.dll" ["NVIDIA Corporation"]
    "{8e9d6600-f84a-11ce-8daa-00aa004a5691}" = "Shell extensions for NetWare"
    -> {CLSID}\InProcServer32\(Default) = "nwprovau.dll" [MS]
    "{e3f2bac0-099f-11cf-8daa-00aa004a5691}" = "Shell extensions for NetWare"
    -> {CLSID}\InProcServer32\(Default) = "nwprovau.dll" [MS]
    "{52c68510-09a0-11cf-8daa-00aa004a5691}" = "Shell extensions for NetWare"
    -> {CLSID}\InProcServer32\(Default) = "nwprovau.dll" [MS]

    HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
    avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

    HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
    avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
    NetWareUNCMenu\(Default) = "{e3f2bac0-099f-11cf-8daa-00aa004a5691}"
    -> {CLSID}\InProcServer32\(Default) = "nwprovau.dll" [MS]


    Active Desktop and Wallpaper:
    —————————–

    Active Desktop is disabled at this entry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

    HKCU\Control Panel\Desktop\
    "Wallpaper" = "C:\WINDOWS\web\wallpaper\Ierland.bmp"


    Enabled Screen Saver:
    ———————

    HKCU\Control Panel\Desktop\
    "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


    Enabled Scheduled Tasks:
    ————————

    "FRU Task #Hewlett-Packard#hp psc 1100 series#1100023328" -> launches: "C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1100 series#1100023328"" [empty string]


    Winsock2 Service Provider DLLs:
    ——————————-

    Namespace Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
    000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
    000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
    000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
    000000000004\LibraryPath = "%SystemRoot%\System32
    wprovau.dll" [MS]

    Transport Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
    0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
    %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 28
    %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


    Toolbars, Explorer Bars, Extensions:
    ————————————

    Explorer Bars

    HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
    {FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]

    Extensions (Tools menu items, main toolbar menu buttons)

    HKLM\Software\Microsoft\Internet Explorer\Extensions\
    {CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
    "ButtonText" = "Real.com"


    Miscellaneous IE Hijack Points
    ——————————

    C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

    Added lines (compared with English-language version):
    [Strings]: START_PAGE_URL=http://start.home.nl/

    Missing lines (compared with English-language version):
    [Strings]: 1 line


    Running Services (Display Name, Service Name, Path {Service DLL}):
    ——————————————————————

    avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
    avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
    avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
    avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
    Clientservice voor NetWare, NWCWorkstation, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32
    wwks.dll" [MS]}
    ewido security suite control, ewido security suite control, "C:\Program Files\ewido\security suite\ewidoctrl.exe" ["ewido networks"]
    NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32
    vsvc32.exe" ["NVIDIA Corporation"]
    Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


    Print Monitors:
    —————

    HKLM\System\CurrentControlSet\Control\Print\Monitors\
    hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]
    Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


    ———-
    + This report excludes default entries except where indicated.
    + To see *everywhere* the script checks and *everything* it finds,
    launch it from a command prompt or a shortcut with the -all parameter.
    + The search for DESKTOP.INI DLL launch points on all local fixed drives
    took 16 seconds.
    + The search for all Registry CLSIDs containing dormant Explorer Bars
    took 30 seconds.
    ———- (total run time: 90 seconds)


    [b:159f337db9]Ik heb ook een log gemaakt onder een andere account (piet). Dit log ziet er iets anders uit. Ook dat log heet: Startup Programs (CC793232-B). En ik heb een log gemaakt in veilige modus onder account administrator. Ook daarvan een log onder dezelfde naam. Lijkt me een beetje veel en niet erg zinvol om deze ook te plaatsen?!


    En het log van f-secure-Beta Trial:[/b:159f337db9]

    11/28/05 18:50:43 [Info]: BlackLight Engine 1.0.25 initialized
    11/28/05 18:50:43 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    11/28/05 18:50:43 [Note]: 4019 4
    11/28/05 18:50:43 [Note]: 4005 0
    11/28/05 18:50:53 [Note]: 4006 0
    11/28/05 18:50:53 [Note]: 4011 2996
    11/28/05 18:50:54 [Note]: FSRAW library version 1.7.1013
    11/28/05 18:51:17 [Note]: 4007 0


    [b:159f337db9]Hopelijk kunt u hier iets mee![/b:159f337db9]







  • Helaas, ik zie niets verdachts :-?
  • Hmmmm…, nog even het volgende dan:

    Ik heb bij Logboeken gekeken. Bij toepassing zag ik bij een melding op 24-06-2005 om 16.45 uur zowel bij gebruiker als bij computer de naam CC793232-[b:3962b33cc0]A[/b:3962b33cc0] en een paar minuten later was de naam CC793232-[b:3962b33cc0]B[/b:3962b33cc0].

    Bij Logboeken Antivirus staat bij een melding op 03-01-2005 nog gewoon de computernaam PC. Op 16-01-2005 en 01-05-2005 is de computernaam CC793232-A en bij een melding op 14-07-2005 CC793232-B.

    Dus de computernaam was altijd [b:3962b33cc0]PC[/b:3962b33cc0]. Dit werd later [b:3962b33cc0]CC793232-A[/b:3962b33cc0] en nog weer later [b:3962b33cc0]CC793232-B[/b:3962b33cc0]. Dus of de computer was al heel lang besmet of de besmetting heeft al deze meldingen veranderd. Ik denk zelf het laatste, aangezien twee weken geleden ergens op werd geklikt en toen het standaard administrator account vervangen was door Administrator.CC793232-B.

    Ik vind het toch wel gek dat ik hier niets over kan vinden. Dit zal toch geen uniek geval zijn?
  • Er worden wel eens extra accounts aangemaakt voor bepaalde programma's om deze extra rechten te kunnen geven. Dit betreft meestal verborgen accounts. Dit is vaak gewoon een legitieme actie.
    Misschien is zo'n verborgen account per ongeluk wel omgedoopt tot het nieuwe administrator account.
    Of er ook malware is dat van dergelijke trucs gebruikmaakt is mij niet bekend.

    Er was trouwens een keer een topic bij OS WINDOWS over dergelijke verborgen accounts, maar ik kan hem zo gauw niet meer terug vinden(was ook wel weer enkele maanden geleden :roll: )

    Groeten smeenk.
  • Ja! Ik geloof dat het zoiets is!

    Ik heb even gegoogled en gezocht op "computernaam" en "veranderd". Ik kwam toen iets tegen dat bij @home de computernaam van belang is. Ergens anders vond ik dat de hostname van @home in de vorm is van "CPXXXXX-A". Niet helemaal hetzelfde, maar: BINGO!

    Ik kan dus de computernaam veranderen en dan ben ik van CC793232-B af! Nu moet ik nog zorgen dat het originele administrator acount terugkomt.

    Wat ik nog niet snap is waarom dit nu pas is gebeurd. Ze hebben volgens mij al een tijdje @home.:-?

    Ook gek dat door installatie van @home er zoveel fout kan gaan!:evil:

    Wordt vervolgd……
  • Het probleem is gedeeltelijk opgelost!

    Pc is nu vrij van virussen e.d. Er is een worm verwijderd, maar ik weet niet of die de oorzaak was van de problemen. Iig was CC793232-B geen virus/worm/trojan, maar de gegevens van @home! Je moet het maar weten!

    Ik moet nu nog zorgen dat het originele administrator account terugkomt, daarvoor zoek ik verder en open ik wellicht een topic in OS Windows.

    smeenk bedankt!
  • Graag gedaan hoor :)

    Ik had wel niet de oplossing voor jouw, maar zorgde waarschijnlijk wel voor een beetje licht in de duisternis :lol:

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.