Windows XP Herstel

[anoniem]

Hallo Forum bezoekers, Sinds een tijdje ben ik de bezitter van het Sinowal virus. Ik wil het zo snel mogelijk weg hebben van mijn PC. N.a.v. ervaringen van andere mensen die ook dit virus hebben (gehad) heb ik o.a. met Hitman Pro en AVG het virus geprobeerd te verwijderen. Helaas lukte dit niet. Meestal wordt het ook niet gevonden door de virusscanners. Een andere effectievere oplossing om het virus te verwijderen is om windows XP opnieuw op mijn PC te zetten d.m.v. de Windows recovery console. Deze staat in een aparte partitie op mijn harde schijf. Dit heb ik al een paar keer eerder gedaan in het verleden. Ik weet hoe het werkt en wat het doet. Maar nu blijkt dit niet meer te werken. Waarschijnlijk ook aangetast door het virus. Heeft iemand hier ervaringen mee? Zijn er CD's/DVD's te downloaden met het recovery programma van WindowsXP? Ik heb gekeken op de website van Packard Bell (het merk van mijn computer) maar daar kan ik niets vinden. Anderzijds ben ik ook blij met tips om het Sinowal virus te verwijderen. Misschien dat dat de weg weer vrij maakt naar de recovery partitie op mijn computer. Groet Dennis

[anoniem]

Klik hier eens op Dennis= [url=http://www.computeridee.nl/nieuws/nunl-malware-gratis-te-verwijderen] Sinowal virus verwijderen[/url]

[anoniem]

[quote:1c7742b733="Passer"]Klik hier eens op Dennis= [url=http://www.computeridee.nl/nieuws/nunl-malware-gratis-te-verwijderen] Sinowal virus verwijderen[/url][/quote:1c7742b733] Daar staat geschreven dat HitmanPro het virus kan verwijderen. Maar zoals ik al vertelde, dat werkt dus niet. Ik heb een stuk of 5 keer gescand met HitmanPro, maar geen enkel effect. Hij vind het virus zelfs niet.

[anoniem]

lastige hoor...! diverse oplossingen mogelijk zoals https://support.kaspersky.com/viruses/solutions?qid=208280748

[anoniem]

Hoe heb je het geprobeerd via hitmanpro ? , want het moet wel lukken daarmee.

[anoniem]

Laten we eens kijken, want behalve Sinowal zal er nog wel meer mis zijn. Download [url=http://support.kaspersky.com/downloads/utils/tdsskiller.exe][b:325275064f][color=#FF0000:325275064f]TDSSKiller[/color:325275064f][/b:325275064f][/url] en plaats het op je bureaublad. [list:325275064f] [*:325275064f] Voordat je TDSSKiller uitvoert is het raadzaam om de onderstaande handleiding van TDSSKiller te raadplegen. [list:325275064f] [*:325275064f] [b:325275064f][url=http://antimalwaresoftware.nl/handleidingen/handleiding-tdsskiller/][color=#0000FF:325275064f]Klik hier voor de handleiding van Kaspersky TDSSKiller[/color:325275064f][/url][/b:325275064f][/list:u:325275064f] [*:325275064f] Dubbelklik op [b:325275064f]TDSSKiller.exe[/b:325275064f] om de tool te starten. ([i:325275064f]Indien je TDSSKiller als ZIP bestand hebt gedownload dien je deze eerst uit te pakken[/i:325275064f]). [*:325275064f] [i:325275064f]Als er door TDSSkiller een update wordt gevonden klikt u op de knop "[b:325275064f]Load update[/b:325275064f]"[/i:325275064f] [img:325275064f]http://www.imgdumper.nl/uploads6/506422ecca8b3/506422ecc81a0-TDSSkiller%28update%29.jpg[/img:325275064f] [*:325275064f] [i:325275064f]Een nieuwe versie van TDSSkiller zal nu gedownload worden en sla deze op het bureaublad op.[/i:325275064f] [*:325275064f] [i:325275064f]Start nu TDSSkiller opnieuw.[/i:325275064f] [*:325275064f] Klik op "[b:325275064f]Change parameters[/b:325275064f]" en zorg dat de onderstaande opties allemaal aangevinkt zijn. [img:325275064f]http://www.imgdumper.nl/uploads6/5064230056569/506423005368c-TDSSkiller%28opties%29.jpg[/img:325275064f] [*:325275064f] Klik op de knop "[b:325275064f]Start Scan[/b:325275064f]" en volg de instructies. [list:325275064f] [*:325275064f] Gebruik [color=#FF0000:325275064f]nooit[/color:325275064f] de "[b:325275064f]Delete[/b:325275064f]" optie bij een "[b:325275064f]Fail signature[/b:325275064f]" melding.[/list:u:325275064f] [*:325275064f] Wanneer de scan klaar is klik je op de knop "[b:325275064f]Report[/b:325275064f]". [*:325275064f] Selecteer de inhoud (log) en plaats deze in uw volgende bericht. [*:325275064f] Na de herstart van de computer zal u in de meeste gevallen een leeg bureaublad met een commandprompt-venster en een beveiligingswaarschuwing te zien krijgen met de vraag om een bestand uit te voeren zoals u kunt zien op de onderstaande afbeelding. Sta dit altijd toe door het bestand van Kaspersky te laten uitvoeren, [b:325275064f][color=#FF0000:325275064f]annuleer dit nooit[/color:325275064f][/b:325275064f] aangezien TDSSKiller dan niet volledig zijn werk kan doen. [img:325275064f]http://www.imgdumper.nl/uploads6/506423d393b7c/506423d38e588-TDSSkiller%28reboot%29.jpg[/img:325275064f][/list:u:325275064f] [list:325275064f] [*:325275064f] Wanneer er een herstart nodig was, vind je de logfile in C:\TDSSKiller.[Version]_[Date]_[Time]_log.txt[/list:u:325275064f] [list:325275064f][*:325275064f][b:325275064f][color=#008000:325275064f]Notabene: de [/color:325275064f][color=#0000FF:325275064f]unsigned files[/color:325275064f][color=#008000:325275064f] skip je, dat zijn bestanden die door TDSSKiller opgevoerd worden omdat deze geen digitale handtekening bevatten![/color:325275064f][/b:325275064f][/list:u:325275064f]

[anoniem]

[quote:de1e7c08d9="pdexie"]Hoe heb je het geprobeerd via hitmanpro ? , want het moet wel lukken daarmee.[/quote:de1e7c08d9] Ik heb HitmanPro 3.7 gedownload via deze website: http://www.surfright.nl/nl/ Dus niet de Kickstart, maar die eronder staat. Hieronder even een beschrijving hoe ik de scan uitvoer. Als er iets niet klopt dan hoor ik het graag. 1. HitmanPro openen 2. Klik op volgende om de scan te starten 3. Na 12 min is scan klaar. "Er is geen schadelijke software gevonden". Geïdentificeerde bedreigingen: 0 (Sporen: 28 ) 4. Klik op Volgende om de sporen te verwijderen 5. Klik op volgende om weer op het beginscherm te komen.

[anoniem]

@Abraham54 TDSS killer heb ik als eerste gebruikt. Hierdoor kwam ik erachter dat ik het Sinowal virus op mijn computer heb. Ik zie aan de afbeeldingen dat het hier om een oudere versie gaat. Ik heb een nieuwere versie. Na de scan zijn er twee bedreigingen gevonden, het Sinowal Virus en "ForgedFile.Multi.Generic(atapi)". Vervolgens klik ik op de grote knop "REBOOT" en start de computer normaal op. Dus met bureaublad zonder extra vensters zoals commandprompt. Deze heb ik bij geen enkele scan gezien. Als ik na de herstart van mijn computer TDSS killer laat scannen vind hij weer dezelfde twee. Zie report hieronder: 2013/03/23 17:50:22.0312 2904 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys 2013/03/23 17:50:22.0453 2904 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys 2013/03/23 17:50:22.0609 2904 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys 2013/03/23 17:50:22.0750 2904 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys 2013/03/23 17:50:22.0906 2904 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS 2013/03/23 17:50:23.0031 2904 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys 2013/03/23 17:50:23.0218 2904 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys 2013/03/23 17:50:23.0390 2904 viaagp (754292ce5848b3738281b4f3607eaef4) C:\WINDOWS\system32\DRIVERS\viaagp.sys 2013/03/23 17:50:23.0546 2904 viaagp1 (4b039bbd037b01f5db5a144c837f283a) C:\WINDOWS\system32\DRIVERS\viaagp1.sys 2013/03/23 17:50:23.0687 2904 viagfx (714afec22cc68ce79398b0937925f25a) C:\WINDOWS\system32\DRIVERS\vtmini.sys 2013/03/23 17:50:24.0359 2904 ViaIde (3b3efcda263b8ac14fdf9cbdd0791b2e) C:\WINDOWS\system32\DRIVERS\viaide.sys 2013/03/23 17:50:24.0515 2904 viamraid (44056e9fee477f512ee58bcfee949621) C:\WINDOWS\system32\DRIVERS\viamraid.sys 2013/03/23 17:50:24.0671 2904 VolSnap (8ab662b3c4691e6ddf61c96bb5b7d103) C:\WINDOWS\system32\drivers\VolSnap.sys 2013/03/23 17:50:24.0890 2904 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys 2013/03/23 17:50:25.0109 2904 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys 2013/03/23 17:50:25.0390 2904 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys 2013/03/23 17:50:25.0531 2904 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys 2013/03/23 17:50:25.0765 2904 MBR (0x1B8) (9ecd6a6563309c153732eb5f8ccdaae9) \Device\Harddisk0\DR0 2013/03/23 17:50:25.0765 2904 \Device\Harddisk0\DR0 - detected Backdoor.Win32.Sinowal.knf (0) 2013/03/23 17:50:25.0781 2904 Boot (0x1200) (10d65c803fab9bedf20bb7d8949e4c61) \Device\Harddisk0\DR0\Partition0 2013/03/23 17:50:25.0812 2904 Boot (0x1200) (7ce233cdb4bf500821ef551718c6e04e) \Device\Harddisk0\DR0\Partition1 2013/03/23 17:50:25.0843 2904 Boot (0x1200) (0b71f509bd840a08865118aba9aabdc8) \Device\Harddisk0\DR0\Partition2 2013/03/23 17:50:25.0859 2904 ================================================================================ 2013/03/23 17:50:25.0859 2904 Scan finished 2013/03/23 17:50:25.0859 2904 ================================================================================ 2013/03/23 17:50:25.0875 3332 Detected object count: 2 2013/03/23 17:50:25.0875 3332 Actual detected object count: 2 2013/03/23 17:51:02.0875 3332 HKLM\SYSTEM\ControlSet002\services\atapi - will be deleted after reboot 2013/03/23 17:51:02.0875 3332 HKLM\SYSTEM\ControlSet003\services\atapi - will be deleted after reboot 2013/03/23 17:51:02.0890 3332 HKLM\SYSTEM\ControlSet004\services\atapi - will be deleted after reboot 2013/03/23 17:51:02.0890 3332 C:\WINDOWS\system32\DRIVERS\atapi.sys - will be deleted after reboot 2013/03/23 17:51:02.0890 3332 ForgedFile.Multi.Generic(atapi) - User select action: Cure Restore 2013/03/23 17:51:02.0921 3332 \Device\Harddisk0\DR0 - processing error 2013/03/23 17:51:09.0468 3332 \Device\Harddisk0\DR0 - will be restored after reboot 2013/03/23 17:51:09.0468 3332 Backdoor.Win32.Sinowal.knf(\Device\Harddisk0\DR0) - User select action: Cure Restore

[anoniem]

Je hebt TDSSKiller verkeerd gebruikt. Indien je optische apparaat niet meer werkt, ligt dat aan de overige verwijderde bestanden! Start TDSSKiller nogmaals met administratorrechten en kies dan bij Sinowal voor Delete!

[anoniem]

@abraham54 [i:54a19e36bf]Je hebt TDSSKiller verkeerd gebruikt. Indien je optische apparaat niet meer werkt, ligt dat aan de overige verwijderde bestanden![/i:54a19e36bf] Ik heb geen enkel idee wat je hier mee bedoeld. [i:54a19e36bf]Start TDSSKiller nogmaals met administratorrechten en kies dan bij Sinowal voor Delete![/i:54a19e36bf] Bij Sinowal kan ik alleen kiezen voor: -Skip - Copy to quarantine - Cure - Restore Dus geen Delete. Delete kan ik wel kiezen bij het andere object dat wordt gevonden, maar na opnieuw opstarten en een nieuwe scan vind tdss killer het object ook weer opnieuw. Ik werk met Administrator rechten.

[anoniem]

ik zou kiezen voor 'cure'

[anoniem]

Inderdaad is CURE dan de keuze die je moet maken!

[anoniem]

@derkdejong Cure heb ik dus geprobeerd al die tijd. Maar als TDSS killer zegt om opnieuw op te starten om het proces te voltooien dan doe ik dat. Na een volgende scan met TDSS killer vind hij Sinowall en dat andere verdachte bestand weer opnieuw. En vraagt hij wederom om opnieuw op te starten. Dus hij vind het wel, maar kan het niet verwijderen. @abraham54 Waarom eindigen al je zinnen met een uitroepteken?

[anoniem]

Probeer het programma combofix maar eens. http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden is goed voor de meeste rotzooi op je pc. En daarna malwarebytes downloaden kan je onder andere via deze link doen: http://www.filehippo.com/download_malwarebytes_anti_malware/ en dan de gratis versie nemen Hitmanpro zou ik zelf liever niet gebruiken.

[anoniem]

Daar gaat iemand weer ComboFix aanbevelen. ComboFix is een dermate krachtig tool dat dit beter niet zonder begeleiding gedaan wordt. Want de kans op het om zeep helpen van Windows is aanwezig.

[anoniem]

Nooit geen problemen met Combofix en lost wel bijna alles op. Vandaar dat ik ook de handleiding link gegeven heb en niet rechtstreeks de download link. Op sites als hijackthis.nl en antivirus.pagina.nl/prikbord e.d. en nog meer van dit soort sites zie je nooit dat ze Hitman Pro aanbieden. Waarom niet juist om dat dit een waardeloos programma is en dit juist de instellingen e.d. van Windows kan aanpassen. Op deze sites zie je wel dat ze regelmatig Combofix gebruiken en op dit soort sites zitten toch echt de experts. Maar goed als dit hier niet mag prima hou ik lekker mijn mond en laat ik de leden lekker barsten. Als Combofix hier door een moderator wordt afgeraden enige tip die ik dan geef aan de topic starter is: Ga naar HTTP://WWW.HIJACKTHIS.NL en daar wordt je uitstekend geholpen door echte experts op dit gebied die niets anders doen dan dit soort problemen oplossen.

[anoniem]

Lol, http://www.hijackthis.nl/forum/memberlist.php?mode=viewprofile&u=15247

[anoniem]

Niemand kan dit zien hoor Abraham. je moet lid zijn, ik kan het ook niet zien. Ik zal Jeroen de Jager wel op de hoogte brengen van jouw acties.

[anoniem]

Klopt, je moet ingelogd zijn - en dus dit plaatje (+ lol 2 :D ) [img:58f06f4c28]http://i50.tinypic.com/2chm99f.jpg[/img:58f06f4c28]

[anoniem]

Ik ben in ieder geval de oprichter van die site geweest. Na een aantal zeer domme acties voor die website van mijn kant en meningsverschillen met andere leden die zeer goed hielpen was het voor mij onhoudbaar geworden om hiermee door te gaan en heb ik mij moeten terug trekken uit die site. Abraham is dus helper aldaar, ok weet hij er ook van. Maar goed ik trek me verder geheel terug alhier. heb Jeroen al gevraagd om mij een Ban te geven.