Vraag & Antwoord

Beveiliging & privacy

(opgelost) MSN virus met WKSSVC32.exe

Anoniem
H.Meinders
54 antwoorden
  • Wat systeemherstel betreft, probeer je dit:

    Open een klablokbestand.
    Kopieer onderstaande code in dit kladblokbestand.
    Ga naar Bestand - Opslaan als.
    Bij "Opslaan in" kies je: Bureaublad
    Bij "Bestandsnaam" zet je: fix.reg
    Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
    Klik op de knop Opslaan.
    [code:1:b32aee49ed]Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
    "DisableConfig"=dword:00000000
    "DisableSR"=dword:00000000

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoSaveSettings"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr]
    "Type"=dword:00000002
    "Start"=dword:00000000
    "ErrorControl"=dword:00000001
    "Tag"=dword:00000004
    "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
    52,00,49,00,56,00,45,00,52,00,53,00,5c,00,73,00,72,00,2e,00,73,00,79,00,73,\
    00,00,00
    "DisplayName"="System Restore Filter Driver"
    "Group"="FSFilter System Recovery"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters]
    "FirstRun"=dword:00000000
    "DontBackup"=dword:00000000
    "MachineGuid"="{EAAFAEEC-4AFE-42BE-83D9-C12FDD4942A6}"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Security]
    "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
    00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
    00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
    05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
    20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
    00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
    00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Enum]
    "0"="Root\\LEGACY_SR\\0000"
    "Count"=dword:00000001
    "NextInstance"=dword:00000001

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore]
    "DisableSR"=dword:00000000

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore]
    "DisableConfig"=dword:00000000

    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore]
    [/code:1:b32aee49ed]
    Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen.

    Wat zoeken betreft: Probeer dit eens.

    Wat Norton betreft: Er zijn uninstall progjes. Staan ergens op de site van symantec.
  • Voorstellen opgevolgd, geen enkel resultaat, ook niet na herstart. :cry: Ik hoop dat er nog wel een manier is, maar het zwaard van Damocles komt akelig dichtbij… Heb je nog suggesties?

    Verwijderprogs van Symantec gaan gek genoeg juist niet over Systemworks 2004, dus ook daarmee kom ik nu niet verder. Misschien bij het installeren van versie 2005 meer succes?
  • Beste Marc, hierbij de tekst van sys.bat. Ik heb geen idee wat er staat, hopelijk geeft het je meer inzichten:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
    "DisableSR"=dword:00000000
    "CreateFirstRunRp"=dword:00000001
    "DSMin"=dword:000000c8
    "DSMax"=dword:00000190
    "RPSessionInterval"=dword:00000000
    "RPGlobalInterval"=dword:00015180
    "RPLifeInterval"=dword:0076a700
    "CompressionBurst"=dword:0000003c
    "TimerInterval"=dword:00000078
    "DiskPercent"=dword:0000000c
    "ThawInterval"=dword:00000384
    "RestoreDiskSpaceError"=dword:00000000
    "RestoreStatus"=dword:00000000

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\Cfg]
    "DiskPercent"=dword:0000000c
    "MachineGuid"="{4252F9A0-FD2C-4B9A-8ABF-648726791F43}"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\SnapshotCallbacks]
    @=""
  • Open een klablokbestand.
    Kopieer onderstaande code in dit kladblokbestand.
    Ga naar Bestand - Opslaan als.
    Bij "Opslaan in" kies je: Bureaublad
    Bij "Bestandsnaam" zet je: sys2.bat
    Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
    Klik op de knop Opslaan.
    [code:1:7ad8b2ad58]regedit /e sys2.txt "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice"
    notepad sys2.txt

    [/code:1:7ad8b2ad58]
    Dubbelklik op de sys2.bat En post de inhoud van het bestand dat opent.
  • Hier is de uitslag van sys2.bat!!!

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice]
    "Type"=dword:00000020
    "Start"=dword:00000002
    "ErrorControl"=dword:00000001
    "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
    74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
    00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
    6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
    "DisplayName"="System Restore-service"
    "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
    "DependOnGroup"=hex(7):00,00
    "ObjectName"="LocalSystem"
    "Description"="Hiermee worden herstelfuncties voor het apparaat uitgevoerd. Als u de service wilt stoppen, kunt u Systeemherstel uitschakelen in het tabblad Systeemherstel in Deze computer->Eigenschappen"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\Parameters]
    "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\
    00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,72,00,\
    73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\Security]
    "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
    00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
    00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
    05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
    20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
    00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
    00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\Enum]
    "0"="Root\\LEGACY_SRSERVICE\\0000"
    "Count"=dword:00000001
    "NextInstance"=dword:00000001
  • Ik weet het even niet meer…
    Misschien dat iemand anders een oplossing weet?
  • Kwa verwijderprog: hier staat systemworks wel bij.
  • Helaas, deze fix heeft het probleem niet opgelost, scan lukt gewoon wel, 8 updates vastgesteld, venster 'Updates installeren' blijft vervolgens zonder enige actie mbt downloaden of instelleren. Programma is niet vastgelopen volgens taakbeheer, alleen helemaal geen actie! Wat nu? :(
  • Probeer het volgend nog: http://windowsxp.mvps.org/IEFIX.htm

    Kwaad kan het niet. Het registreert opnieuw een aantal dll's

    EDIT: Info komt uit deze link. (de cache van google geeft de pagina sneller)

    Ook die gebruiker had het MSN virus op zijn PC gehad en beschrijft het volgende:
    [quote:1589f9ec87]Als ik windows-update opstart krijg ik ook een leeg scherm. Volgens mij is er iets geblokkeerd.

    Bij het zoeken wordt het wel geopend, net als bij systeemherstel, maar het boxje is leeg.[/quote:1589f9ec87]
    Probleem was daarna opgelost.

    Sjaak
  • Misschien is het mogelijk om system restore te deïnstalleren en daarna opnieuw te installeren met behulp van de WindowsXP installatie CD.

    Ik vond deze link, misschien geeft deze wat inspiratie: http://bertk.mvps.org/html/tips.html
  • Ik had op mijn Test partitie ook het virus geinstalleerd en gemerkt dat Syteemherstel niet meer fijn werkte.
    Kon nog wel eerder gemaakte herstelpunten terugplaatsen maar ik had de optie voor het maken van een nieuw herstelpunt niet meer.

    De IEfix.exe erop los gelaten en deze registreert een aantal dll files opnieuw waaronder shell32.d en mshtml.dll

    Na deze installatie waarbij de CD van XP vereist is was het scherm van systeemherstel weer als vanouds. :wink:

    Ik heb er vertrouwen in.

    Sjaak
  • Beste mensen, ik denk dat het weer allemaal goed is!!! :D :D

    Om te beginnen heb ik de link gebruikt voor het verwijderprog voor Norton SystemWorks 2004: dat werkte meteen, hartelijk dank FlvanSon! Daarna heb ik wel even uitgeprobeerd of SystemWorks geinstalleerd kon worden, inderdaad! Niet gedaan, want na uitvoerig surfen op het internet, ga ik nu NOD32 uitproberen, samen met ZoneAlarm.

    Hoe de rest exact ging weet ik niet meer, maar volgens mij als volgt.
    Eerst heb ik geprobeerd de IEfix te gebruiken, maar daarop kwam meteen een foutmelding, iets met ActiveX. Dat was in Firefox (wel Active X o.i.d. toegestaan). Toen in IE Explorer hetzelfde probleem (werd volgens mij ook niet geblokkeerd door de beveiliging). Vervolgens geprobeerd Systeemherstel te verwijderen volgens de laatste suggestie van Smeenk, maar dat ging niet, sr.inf installeren werd meteen gestopt. Tussendoor nog herstart, je weet maar nooit. Daarna weer IEfix geprobeerd, maar toen via 'deze' link uit de tekst van Steggel. En toen kwam wel het venstertje om verder te kunnen. Tijdens de uitvoering was er nog wel een foutmelding, maar nadat SFC zijn werk nog had gedaan, kwam de melding dat de IEfix was uitgevoerd. En voila, Zoeken, Help en Systeemherstel functioneren weer!!! Nu hopen dat het zo blijft!!

    Heren (denk ik), echt hartelijke dank voor de geboden hulp, fantastisch zo'n bereidwilligheid!
  • Eind goed al goed.
    Waarschijnlijk is het verwijderen van Norton de oorzaak geweest van je probleem. Er zijn meer gevallen bekend dat na deïnstallatie van een Norton produkt systeemherstel het begeven heeft. :-?


    Om verdere restanten van de infectie op te ruimen kan je fix.bat nog runnen: http://users.telenet.be/marcvn/tools/fix.zip
    Unzippen en dan op fix.bat klikken.
    Dit herstelt/verwijdert nog andere registerwaarden die door de infectie gewijzigd of toegevoegd zijn.
    Mochten er toch problemen ontstaan na het runnen van de batfile dan open je de map c:\_backups. Daarin vind je 4 regfiles. Door op deze regfiles te dubbelklikken worden de wijzigingen gemaakt door fix.bat weer ongedaan gemaakt.
  • OK, ga ik nog doen, eerst vanavond even genieten van het idee dat het nu (wellicht) OK is!!! Je hoort nog wel hoe het verder is gegaan. iig bedankt!
  • Bij mij zijn ook alle problemen weer goedgekomen. Panda had ook de melding gegeven dat ie virussen had geneutraliseerd en daarna werkte hij niet meer toen heb ik panda verwijderd en opnieuw gedownloud en geinstalleerd en toen waren alle problemen opgelost
    gr
    HDL
  • Fix uitgevoerd, alles blijft het ogenschijnlijk goed doen, ook na herstart. MAAR: ikwilde nog even op Windows Update kijken naar updates:gaat niet!!! :cry: Eerste keer tot en met download venster, maar dat blijft geen voortgang tonen. Na het drukken op Annuleren zat dat venster vast. Via Taakbeheer gekeken naar activiteit, niets opvallends, dus programma beeindigd. Nog eens IE Expl gestart, nu was hele pagina niet meer te bereiken!! IE EXPL via Taakbeheer moeten sluiten. Afsluiten van XP duurde daarna lang, maar toch herstart. Tweede keer zelfde verhaal. Nog een restantje ellende??? Wat nu??
  • Copieer de volgende code in notepad:
    [code:1:cb64df3734]
    net.exe stop wuauserv
    regsvr32 /s wuapi.dll
    regsvr32 /s wups.dll
    regsvr32 /s wuaueng.dll
    regsvr32 /s wuaueng1.dll
    regsvr32 /s wucltui.dll
    regsvr32 /s wuweb.dll
    regsvr32 /s jscript.dll
    regsvr32 /s atl.dll
    regsvr32 /s softpub.dll
    regsvr32 /s msxml3.dll
    net.exe start wuauserv
    [/code:1:cb64df3734]
    Sla dit op als fix.bat
    Opslaan als type: alle bestanden

    Dubbelklik op het bestand fix.bat.

    Sjaak
  • Maak je temp map en de map met tijdelijke internetbestanden eens een keer leeg. Herstart de computer en probeer opnieuw.
  • Beide mappen geleegd, niet geheel gelukt: in Temp kunnen 3 DF…tmp bestanden niet verwijderd worden, in Temp Inet 5 'ASP' bestanden (bv. wa&u={BC…..} en 2 HTM bestanden (Get message….). Na herstart bleef probleem zoals het is: Windowsupdate lukt TOT het downloaden (ook via het benaderen van de site). Lijkt een blokkade, maar hoe/ wat?
  • Bovenstaande was naar aanleiding van een foutmelding in het Windows Update.log die mij via PB was toegestuurd.

    2005-06-16 08:41:37+0200 1144 b8 CheckIfDirExists returned error 0x80070002

    Sjaak

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.