"Windows Repair" valse anti-virus

AgentVortex · 30 maa 2011, 21:20

Allen,

Ik heb een probleem op een PC van een gerelateerd iemand

Stom probleem, ik weet wat het is, het is een nasty beestje, namelijk een valse antivirus "Windows Repair" dat heel de PC grondig blockt.
Het Internet staat vol met valse removal tools en jaddiejaddiejaddie, dus dat is geen optie.

Mijn vooropgestelde oplossing is gewoon een herinstallatie van zijn Windows Vista, alle updates en een goede gratis AV-scanner eropzetten en een image van trekken (voor als hij nog is in de nesten komt) maar de persoon in kwestie is hier nogal weigerachtig over.

Kunnen reguliere antivirusscanners hierin soelaas brengen, of boot & nuke ik het machientje maar en doe ik zoals hierboven beschreven ?

Alvast bedankt voor jullie input

Groetjes,

Agent Vortex

Ken · 30 maa 2011, 21:24

Indien de schijf niet encrypted is kan je die uit de pc halen en aansluiten op een andere pc en scannen met Clamwin of andere AV & andere Spyware removal tools...
Als dat virus ver genesteld is en systeembestanden serieus heeft toegetakeld zal het backup en fresh install moeten zijn vrees ik...

Patje · 30 maa 2011, 22:19

Je kan proberen om het anti-virus met antispyware Microsoft Security Essentials erop te zetten en deze de PC te laten scannen op beestjes.

http://www.microsoft.com/nl-be/security ... fault.aspx

Wel eventueel de oude AV eraf doen moest er nog een andere opstaan.

Electribe · 30 maa 2011, 22:23

Je kan misschien Malwarebytes' Anti-Malware eens proberen, die krijgt dikwijls zo'n dingen weg die gewone anti-virus programma's niet verwijderd krijgen.

Een ander goed tooltje om de echt hardnekkige gevallen te verwijderen is ComboFix.

ExoduS · 30 maa 2011, 22:57

klinkt als hijack malware, ik zou eens proberen met systeemherstel, laatst gekende juiste configuratie (F8 tijdens het booten, zoals je in veilige modus zou inloggen)

Trojan · 30 maa 2011, 23:00

De enige goede antivirus is diegen die draait als windows uit staat. Zoek u ergens een bootable versie van de bekende AV en laat dat uw systeem eens opschonen.

Protip: SARDU Met deze tool kan je een bootable usb/cd maken met verschillende av's en unix/windows tools.

http://www.sarducd.it/
http://www.sarducd.it/antivirus.html

AgentVortex · 30 maa 2011, 23:30

OK guys, thanks for the update and tips

It's appreciated

Greetz,

Agent Vortex

iceke · 31 maa 2011, 12:22

In deze volgorde :
http://www.bleepingcomputer.com/forums/topic308364.html
http://www.bleepingcomputer.com/combofi ... e-combofix
http://www.malwarebytes.org/

indien niet opgelost :
http://vundofix.atribune.org/
http://www.bleepingcomputer.com/files/smitRem.php

maar vooral deze heeft me al veel uit de nood geholpen :
http://www.freedrweb.com/livecd/?lng=en

Daarna :
http://www.mvps.org/winhelp2002/hosts.htm
http://free.antivirus.com/hijackthis/

conehead · 31 maa 2011, 18:52

Ben ik deze week ook op een pc tegengekomen, was te verwijderen met malware byts (systeem herstel lukte niet meer).

Persoon in kwestie had ook nog eens op volledig scannen vd pc geklikt waardoor er wellicht nog enkele andere dingen aangepast waren ...

Resultaat: je zag de c wel maar niets op te zien, ook niet in een prompt en programma's precies verdwenen ook na het draaien van die malware bytes.

Bleek dus dat ook alle bestanden op hidden stonden ...

Tim.Bracquez · 31 maa 2011, 19:42

Als ik zo'n PC tegen kom boot ik die vaak in veilige modus en draai hitmanpro even. Is normaal alles weg.

Wil je toch een 'offline' mogelijkheid: http://www.ultimatebootcd.com/index.html
Is een handige cd die je gewoon boot met allerhande tools, ook een antivirus. Kan je ook op USB zetten met wat handigheid.

Electribe · 31 maa 2011, 19:52

Hitman Pro is de grootste rommel dat er bestaat, dat doet meer kwaad dan goed.

Tim.Bracquez · 31 maa 2011, 20:36

@Electribe: ALtijd al goede ervaring mee. Ken een technieker die hiermee al meer dan 100 pc's over de vloer heeft gehad en gebruikt naar alle tevredenheid... Welke slechte ervaring heb je hiermee zodat ik dit hem zeker kan zeggen voordat hijzelf dit probleem heeft!

Patje · 31 maa 2011, 20:54

Electribe heeft gelijk ! ik noem het zelfs Shitman pro, op andere fora staat er bol van dat het meer kwaad doet dan goed met al die verschillende programmas in één waarvan de meerdere maar trials zijn van 30 dagen, veel mensen hebben hun PC zelfs meer in de problemen gewerkt dan het ervoor was. Ik zelf gebruik dat al zeker meer dan 6 jaar niet meer omdat mijn windows toen nooit meer goed heeft gewerkt dan .... ik zou die technieker toch eens aanraden om eens meer te lezen op bepaalde fora ipv overal zijne brol erop te zetten...

Electribe · 31 maa 2011, 21:47

Waarom Geen Hitman Pro Gebruiken

Een 'technieker' die Hitman Pro gebruikt is een klungelaar die geen idee heeft waarmee hij bezig is. Gemakkelijk verdiend natuurlijk, 50 euro of meer vragen voor amper 5 minuutjes werk (Hitman Pro installeren en opstarten).

Ga op eender welk helpforum kijken waar men HijackThis logs kan plaatsen om na te zien, geen enkele officiële helper zal je aanraden om Hitman Pro te gebruiken. De gebruikelijke tools zijn Malwarebytes Anti Malware, Dr Web CureIt, ComboFix, ...

Tim.Bracquez · 31 maa 2011, 21:50

Heeft er iemand hitman pro nu eigenlijk al eens geprobeert overlaatst? Ik herinner me van vroeger dat dit zo'n probleem was. Maar dit is één programma nu, en dit is helemaal anders. Gratis te gebruiken voor 30 dagen of een one time run... Denk dat iedereen ervan weggelopen was enkele jaren geleden, maar nu niet meer probeert

Zoals je zelf linkt, al die toppics zijn van 3+ jaar geleden...

Patje · 31 maa 2011, 22:24

Is toch wel normaal zeker als je negatieve ervaring hebt gehad, dat je het bewuste programma niet meer opnieuw zal gebruiken, verwonderd mij dat het nog steeds bestaat.
Nu heb je niet veel meer nodig dan een paar programmas zoals Malware bytes antimalware op de boel op te kuisen en een deftig anti-virus met spyware om alles in goede staat te houden.

fredo66 · 01 apr 2011, 11:24

Ik gebruik Mbam ook meestal als eerste programma omdat het gebruiksvriendelijk is en de gevonden bedreigingen meestal netjes kan verwijderen. Maar dikwijls laat het programma toch veel voorbij gaan hoor.
Net een pc gehad met zo'n valse anti-virus programma besmetting. Schakelde security center en de reguliere av ondermeer uit.
Mbam vond iets en kon het verwijderen (die valse av kwam er dus niet meer op) maar bovengenoemde problemen bleven ...
Super anti-spyware vond nog wat anders en kon dat naar eigen zeggen ook verwijderen (wel eens meegemaakt dat dit programma de hele pc liet vastlopen) maar bovengenoemde problemen nog steeds van kracht.
Een boot-cd van GDATA verwijderde uiteindelijk de hopelijk laatste resten en nu draaien security center en het av (ms forefront endpoint protection) terug normaal.
Conclusie : geen enkele tool kan meestal al de bedreigingen netjes verwijderen. Als je op veilig wil spelen is er maar 1 oplossing : reformat

PumbaaH · 01 apr 2011, 14:09

Mbam is inderdaad heel goed en gratis, alleen moet je heel zelden / in sommige gevallen even de registry in om toch de laatste dingetjes te verwijderen.

Hitman pro kan je gebruiken, maar ik sluit me aan bij de mening dat het meer kwaad dan goed doet.

Er zijn veel te veel mensen die programma's aangeraden krijgen waarmee ze eigenlijk niet kunnen werken of gewoon alles verwijderen wat het kan vinden met de nodige gevolgen, hun heil zoeken in een systeemherstel of gewoon 1 of andere pipo inschakelen die evenmin weet wat 'm doet met alle gevolgen van dien.

iceke · 01 apr 2011, 14:12

Tim.Bracquez schreef:Als ik zo'n PC tegen kom boot ik die vaak in veilige modus en draai hitmanpro even. Is normaal alles weg.

En als mailprogramma gebruik je in Incredimail zeker ? (sorry, kon het niet laten)

ogy · 01 apr 2011, 22:25

Dr.Web CureIt
http://www.freedrweb.com/cureit/?lng=en

Kaspersky Virus Removal Tool
http://www.kaspersky.com/virus-removal-tools

Indien Windows niet toegankelijk:

Kaspersky Rescue Disk
http://support.kaspersky.com/faq/?qid=208282173

Dr.Web LiveCD
http://www.freedrweb.com/livecd/?lng=en

dat zijn de beste!!!

Ken · 04 apr 2011, 20:27

Clamwin ++
Comodo Internet Security kan ook handig zijn

Maar wel veel flashy gedoe de laatste tijd...

tommydnp · 08 apr 2011, 10:05

Ik heb deze week ook malware gehad die zich nestelt in het beveilingscentrum van microsoft en microsoft-software nabootst, met als bedoeling geld te stelen door fake removal tools. Het was vxr.exe en start automatisch mee op met firefox en iexplorer. Het ergste is dat het probeert uw heel internet verbinding naar andere sites te blokkeren.

Ik vreesde het ergste ( herinstallatie windows ), maar uiteindelijk is het nog gelukt om het weg te krijgen met gratis panda-cloud antivirus deepscan en vervolgens een systeemherstel naar laatste punt ( want na de herstart werkten alle .exe's niet meer ).

MClaeys · 22 apr 2011, 21:32

Ikzelf gebruik meestal een Kaspersky Resque disk die ik aanmaak met mijn Kaspersky licentie. Als dat niet lukt dan lukt het bij zo fake virussen meestal wel om te booten in veilige modus met netwerkmogelijkheden, even het virus op google opzoeken en de nodige files handmatig deleten van je pc / register. Als je de kwaadaardige files op een andere pc kan opzoeken is zelfs gewone veilige modus voldoende. Wel even verborgen mappen en bestanden aanzetten, want ze zitten soms diep.

tonym · 24 apr 2011, 14:07

Er is ook de Microsoft Safety Scanner die een veel krachtiger tool is dan de Malware Removal Tool.
Hij is ook continu up to date (en max. 10 dagen bruikbaar)
http://www.microsoft.com/security/scann ... fault.aspx

Fireblade · 27 apr 2011, 22:20

Om nog iets toe te voegen (niet specifiek voor de TS, ook voor andere mensen), als je écht weet wat je doet, kan je eens kijken naar HiJackThis om registeringangen te checken op en vrijwaren van spyware. Nogmaals, gebruik het enkel als je weet wat je doet, want het register misbruiken kan tot (fatale) schade leiden..