Vraag & Antwoord

OS Windows

Computer gevangen in een opstartloop

Anoniem
None
9 antwoorden
  • Deze info is afkomstig van virushelp.nl. Handmatige verwijder-manier staat er ook bij.

    ———————————-
    W32.Netsky.B@mm


    Eigenschappen:

    Netsky.B verspreidt zich via e-mail, maar de mail op zich is
    moeilijk te herkennen omdat er allerlei combinaties mogelijk
    zijn in het onderwerp en dergelijke. Ook bij deze variant moet
    je er op letten dat degene die als afzender genoemd wordt niet
    de echte afzender is.
    Een eventuele besmetting is te herkennen aan de aanwezigheid
    van het bestand 'services.exe' in de standaard Windows map.
    Dit zal de map c:\windows of c:\winnt zijn. Een andere manier
    om het virus te herkennen is dat het heel veel kopieën van
    zichzelf op het systeem zet. Een lijst met de daarvoor
    gebruikte bestandsnamen kun je eventueel vinden op de info
    pagina van Symantec.




    Verwijder instructies:

    Je kunt deze variant verwijderen met een removal tool of door het handmatig te doen, maar omdat de manier met de removal
    tool in de meeste gevallen het makkelijkste is adviseren wij
    om deze manier eerst te volgen.

    1 - Download hier de removal tool van Bitdefender en sla hem
    op een voor jou bekende plaats op.

    2 - Deze stap is alleen voor gebruikers van Windows Me en
    Windows XP: Zet de optie Systeem Herstellen (tijdelijk) uit.
    Hoe je dat precies kunt doen kun je hier lezen.

    3 - Ga naar de plaats waar je de removal tool hebt opgeslagen,
    en open het bestand door er dubbel op te klikken met de
    rechter muisknop.

    4 - De removal tool zal nu zijn werk gaan doen, maar mocht hij
    niet automatisch starten dan moet je op de knop 'scan'
    klikken. Mochten er foutmeldingen komen tijdens het gebruik
    van de removal tool of dat het programma bepaalde bestanden
    niet kan verwijderen, start de pc dan op in de veilige modus
    en start dan nogmaals de removal tool.

    5 - Start na het gebruik van de removal tool de pc opnieuw op
    en herhaal stap 4 om er zeker van te zijn dat het virus ook
    daadwerkelijk is verwijderd.

    6 - Pas het register aan door op 'start' te klikken en daarna
    op 'uitvoeren'. Type dan in de balk het woord 'regedit'
    (zonder de ' tekens) en druk dan op 'enter'. De register
    editor zal dan openen. Let op: Maak geen fouten bij het werken
    in het register. Dit is (om het zo maar te zeggen) het hart
    van je pc en als daar dingen verkeerd in gedaan worden is het
    mogelijk dat de pc niet (goed) meer werkt. Je moet op zoek
    naar de sleutel

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    en door de sleutel aan te klikken met de rechter muisknop kun
    je aan de rechter kant van het scherm de waarden zien die in
    de sleutel zitten. Verwijder daar de waarde die verwijst naar
    het bestand 'services.exe'. Dit kun je doen door de
    betreffende waarde aan te klikken met de rechter muisknop en
    daarna te klikken op 'verwijderen'.

    7 - Gebruikers van Windows Me en XP kunnen de optie Systeem
    Herstellen eventueel weer aan zetten. Je moet dan de eerder
    genoemde stappen nogmaals volgen, maar dan het vinkje weer weg
    halen wat je eerder geplaatst hebt. Meer info kun je weer hier
    vinden.

    8 - Zorg er voor dat je virusscanner up to date is en zo staat
    ingesteld dat hij in alle bestanden zoekt, en draai dan een
    volledige systeemscan om te controleren of je pc daadwerkelijk
    virusvrij is.

    Mocht het verwijderen van het virus op de bovenstaande manier
    niet lukken, dan kun je het eventueel nog als volgt proberen:

    1 - Zorg er voor dat je virusscanner up to date is en zo staat
    ingesteld dat hij in alle bestanden zoekt.

    2 - Start de pc op in de veilige modus.

    3A - Draai een volledige systeemscan en verwijder de
    geïnfecteerde bestanden die gevonden worden.
    B - In het geval van Windows Me of Windows XP is het
    mogelijk dat het virus wordt aangetroffen in de zogenaamde
    'restore map'. Als dat het geval is kun je hier klikken voor
    de verwijderings instructies.
    C - Mocht je geen virusscanner hebben dan kun je een gratis
    online virusscan uitvoeren bij Symantec of Trend Micro.
    Schrijf in dat geval de namen op van de geïnfecteerde
    bestanden en verwijder ze handmatig door ze op te zoeken met
    behulp van de Windows Verkenner. Klik een bestand daar voor
    aan met de rechter muisknop en klik dan op 'verwijderen'.
    Daarna moet je niet vergeten om de prullenbak leeg te maken!!
    Uiteraard dien je de online virusscan uit te voeren voor dat
    je de pc opstart in de veilige modus.

    4 - Pas het register aan door op 'start' te klikken en daarna
    op 'uitvoeren'. Type dan in de balk het woord 'regedit'
    (zonder de ' tekens) en druk dan op 'enter'. De register
    editor zal dan openen. Let op: Maak geen fouten bij het werken
    in het register. Dit is (om het zo maar te zeggen) het hart
    van je pc en als daar dingen verkeerd in gedaan worden is het
    mogelijk dat de pc niet (goed) meer werkt. Je moet op zoek
    naar de sleutel

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    en door de sleutel aan te klikken met de rechter muisknop kun
    je aan de rechter kant van het scherm de waarden zien die in
    de sleutel zitten. Verwijder daar de waarde die verwijst naar
    het bestand 'services.exe'. Dit kun je doen door de
    betreffende waarde aan te klikken met de rechter muisknop en
    daarna te klikken op 'verwijderen'.

    5 - Sluit alle programma's af, start de pc opnieuw op en draai
    dan een volledige systeemscan om te controleren of het virus
    daadwerkelijk is verwijderd.




    Maatregelen:

    Verwijder alle mail die je niet verwacht ongelezen van het
    systeem, en zeker als die een bijlage bevat. Zorg er ook voor
    dat je virusscanner zo veel mogelijk up to date is.
  • Mijn computer start telkens opnieuw op. Het is een multibootsysteem met W98 en WinXPpro. Opstarten in W98 gaat OK.
    Als ik in het bootmenu kies voor WinXPpro ratelt de computer nog even verder, en start dan opnieuw op. Hij komt dus niet aan het bureaublad toe.
    Dit is gebeurd ná een besmetting met het Netsky virus. (ondanks bijgewerkte antivirussoftware). Dit virus plaatst winlogon.exe in je systeem (mappen Windows en Windows\system32). Ik heb winlogon.exe verwijderd via een Win98 opstartdiskette. Daarna kwam de computer in z'n opstart-loop.
    Hoe krijg ik WinXP weer netjes aan de praat?
  • maar je weet dus niet zeker of alles van het virus vcerwijderd is?

    Probeer dan eerst eens aan een verwijdertooltje te komen, misschien biedt dat perspectief?
  • Winlogon (kritisch systeembestand) verwijderd…. Dat betekent dus een nieuwe installatie. Wie heeft je dit aangeraden.
  • C:\WINDOWS\system32\winlogon.exe
    [b:736d4e5017]Laat je absoluut staan[/b:736d4e5017]

    C:\Documents and Settings\All Users\Start Menu\Programs\Startup\winlogon.exe

    B.v. O4 - Global Startup: winlogon.exe

    De bovenstaande sleutels mag inderdaad weg.
    Dus ik ben bang dat als je de eerste sleutel heb weggegooid, dat het inderdaad opnieuw installeren wordt.
  • Bedankt voor alle reakties!
    Ik had aan een collega gevraagd wat er aan de hand was, en die zei dat winlogon.exe niet in je windows directory mocht staan. Hij had het weer van de site van virusalert.nl. Daar staat inderdaad zoiets, maar dan niet voor de map windows\system32.
    Als ik winlogon nou weer terugzet (kopiëren via diskette), dan zou de computer weer gewoon op moeten starten?
    Kan ik daarna gaan "stofzuigen".
  • Dan zou ie wel weer werken lijkt me. Al vraag ik me nu wel ff af hoe je dat bestandje op je HD kan krijgen, als je niet meer in windows komt. Moet je denk ik een XP opstartdisk voor hebben, van www.bootdisk.com (een gewone dosdisk werkt niet als je schijf NTFS is)
  • De problemen worden nu wel ernstig.
    Ik heb de HD eruit gehaald en als slave in een andere computer op virussen gescand. Behalve het Netsky-virus ook nog "Adware.gator"-virus aangetroffen. Deze heb ik verwijderd.
    De computer start nog steeds niet op, als je het zwarte scherm met WindowsXP en dat bewegende balkje krijgt start de computer opnieuw op, enz.

    Omdat het probleem begon toen ik winlogon.exe weghaalde uit Windows\System32, heb ik daar een kopie van Winlogon teruggezet. Hielp niet.
    Daarna grover geschut: Alle bestanden van system32 (niet de mappen) gekopieerd, gebrand, en in de zieke copmputer gezet.
    En ja hoor, de computer start op.
    Helaas krijg je dan een licentieconflict en kan je niet op je gebruikersaccount inloggen.
    Hoe krijg ik mijn computer weer aan de praat?
  • Ehhh, heb het zelf al ontdekt.
    Ik heb de dllcache gekopieerd naar system32, en nou doet mijn computer het weer. Feest dus :D

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.