(opgelost) MSN virus met WKSSVC32.exe

[anoniem]

Beste mensen, 1 van mijn kinderen heeft een virus naar binnen gehaald met heel de zelfde verschijnselen als beschreven op dit forum. Daar ga ik nog mee aan de slag. Ik had Norton AV 2004 up to date, maar is ook geblokkeerd. Panda kennelijk niet, die geeft nu telkens bij opstatren weer opnieuw hits van het Gaobot.gxj virus aan. Die variant kom ik verder nergens tegen, dus ook geen verwijderfix van Symantec o.i.d. Is dit een neiuwe variant ofzo?

[anoniem]

Open een klablokbestand. Kopieer onderstaande code in dit kladblokbestand. Ga naar Bestand - Opslaan als. Bij "Opslaan in" kies je: Bureaublad Bij "Bestandsnaam" zet je: sys.bat Bij "Opslaan als type" selecteer je: Alle bestanden (*.*). Klik op de knop Opslaan. [code:1:d27cc60624]regedit /e sys.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore" notepad sys.txt[/code:1:d27cc60624] Dubbelklik op de sys.bat. Er opent een kladblokbestandje. Post de inhoud.

[anoniem]

Beste Marc, hierbij de tekst van sys.bat. Ik heb geen idee wat er staat, hopelijk geeft het je meer inzichten: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR"=dword:00000000 "CreateFirstRunRp"=dword:00000001 "DSMin"=dword:000000c8 "DSMax"=dword:00000190 "RPSessionInterval"=dword:00000000 "RPGlobalInterval"=dword:00015180 "RPLifeInterval"=dword:0076a700 "CompressionBurst"=dword:0000003c "TimerInterval"=dword:00000078 "DiskPercent"=dword:0000000c "ThawInterval"=dword:00000384 "RestoreDiskSpaceError"=dword:00000000 "RestoreStatus"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\Cfg] "DiskPercent"=dword:0000000c "MachineGuid"="{4252F9A0-FD2C-4B9A-8ABF-648726791F43}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\SnapshotCallbacks] @=""

[anoniem]

Open een klablokbestand. Kopieer onderstaande code in dit kladblokbestand. Ga naar Bestand - Opslaan als. Bij "Opslaan in" kies je: Bureaublad Bij "Bestandsnaam" zet je: sys2.bat Bij "Opslaan als type" selecteer je: Alle bestanden (*.*). Klik op de knop Opslaan. [code:1:7ad8b2ad58]regedit /e sys2.txt "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice" notepad sys2.txt [/code:1:7ad8b2ad58] Dubbelklik op de sys2.bat En post de inhoud van het bestand dat opent.

[anoniem]

Hier is de uitslag van sys2.bat!!! Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="System Restore-service" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Hiermee worden herstelfuncties voor het apparaat uitgevoerd. Als u de service wilt stoppen, kunt u Systeemherstel uitschakelen in het tabblad Systeemherstel in Deze computer->Eigenschappen" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\Parameters] "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,72,00,\ 73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\Enum] "0"="Root\\LEGACY_SRSERVICE\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001

[anoniem]

Ik weet het even niet meer... Misschien dat iemand anders een oplossing weet?

[anoniem]

Kwa verwijderprog: [url=http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2005033108162039?Open&src=&docid=2004020909040706&nsf=tsgeninfo.nsf&view=docid&dtype=&prod=&ver=&osv=&osv_lvl=]hier[/url] staat systemworks wel bij.

[anoniem]

Probeer het volgend nog: http://windowsxp.mvps.org/IEFIX.htm Kwaad kan het niet. Het registreert opnieuw een aantal dll's EDIT: Info komt uit [url=http://66.102.9.104/search?q=cache:xaFIq0Qe7D8J:www.softcity.nl/windows/topic/6745-1.html+iefix+leeg+scherm&hl=nl]deze[/url] link. (de cache van google geeft de pagina sneller) Ook die gebruiker had het MSN virus op zijn PC gehad en beschrijft het volgende: [quote:1589f9ec87]Als ik windows-update opstart krijg ik ook een leeg scherm. Volgens mij is er iets geblokkeerd. Bij het zoeken wordt het wel geopend, net als bij systeemherstel, maar het boxje is leeg.[/quote:1589f9ec87] Probleem was daarna opgelost. Sjaak

[anoniem]

Misschien is het mogelijk om system restore te deïnstalleren en daarna opnieuw te installeren met behulp van de WindowsXP installatie CD. Ik vond deze link, misschien geeft deze wat inspiratie: http://bertk.mvps.org/html/tips.html

[anoniem]

Ik had op mijn Test partitie ook het virus geinstalleerd en gemerkt dat Syteemherstel niet meer fijn werkte. Kon nog wel eerder gemaakte herstelpunten terugplaatsen maar ik had de optie voor het maken van een nieuw herstelpunt niet meer. De IEfix.exe erop los gelaten en deze registreert een aantal dll files opnieuw waaronder shell32.d en mshtml.dll Na deze installatie waarbij de CD van XP vereist is was het scherm van systeemherstel weer als vanouds. :wink: Ik heb er vertrouwen in. Sjaak

[anoniem]

Beste mensen, ik denk dat het weer allemaal goed is!!! :D :D Om te beginnen heb ik de link gebruikt voor het verwijderprog voor Norton SystemWorks 2004: dat werkte meteen, hartelijk dank FlvanSon! Daarna heb ik wel even uitgeprobeerd of SystemWorks geinstalleerd kon worden, inderdaad! Niet gedaan, want na uitvoerig surfen op het internet, ga ik nu NOD32 uitproberen, samen met ZoneAlarm. Hoe de rest exact ging weet ik niet meer, maar volgens mij als volgt. Eerst heb ik geprobeerd de IEfix te gebruiken, maar daarop kwam meteen een foutmelding, iets met ActiveX. Dat was in Firefox (wel Active X o.i.d. toegestaan). Toen in IE Explorer hetzelfde probleem (werd volgens mij ook niet geblokkeerd door de beveiliging). Vervolgens geprobeerd Systeemherstel te verwijderen volgens de laatste suggestie van Smeenk, maar dat ging niet, sr.inf installeren werd meteen gestopt. Tussendoor nog herstart, je weet maar nooit. Daarna weer IEfix geprobeerd, maar toen via 'deze' link uit de tekst van Steggel. En toen kwam wel het venstertje om verder te kunnen. Tijdens de uitvoering was er nog wel een foutmelding, maar nadat SFC zijn werk nog had gedaan, kwam de melding dat de IEfix was uitgevoerd. En voila, Zoeken, Help en Systeemherstel functioneren weer!!! Nu hopen dat het zo blijft!! Heren (denk ik), echt hartelijke dank voor de geboden hulp, fantastisch zo'n bereidwilligheid!

[anoniem]

Eind goed al goed. Waarschijnlijk is het verwijderen van Norton de oorzaak geweest van je probleem. Er zijn meer gevallen bekend dat na deïnstallatie van een Norton produkt systeemherstel het begeven heeft. :-? Om verdere restanten van de infectie op te ruimen kan je fix.bat nog runnen: http://users.telenet.be/marcvn/tools/fix.zip Unzippen en dan op fix.bat klikken. Dit herstelt/verwijdert nog andere registerwaarden die door de infectie gewijzigd of toegevoegd zijn. Mochten er toch problemen ontstaan na het runnen van de batfile dan open je de map c:\_backups. Daarin vind je 4 regfiles. Door op deze regfiles te dubbelklikken worden de wijzigingen gemaakt door fix.bat weer ongedaan gemaakt.

[anoniem]

OK, ga ik nog doen, eerst vanavond even genieten van het idee dat het nu (wellicht) OK is!!! Je hoort nog wel hoe het verder is gegaan. iig bedankt!

[anoniem]

Bij mij zijn ook alle problemen weer goedgekomen. Panda had ook de melding gegeven dat ie virussen had geneutraliseerd en daarna werkte hij niet meer toen heb ik panda verwijderd en opnieuw gedownloud en geinstalleerd en toen waren alle problemen opgelost gr HDL

[anoniem]

Fix uitgevoerd, alles blijft het ogenschijnlijk goed doen, ook na herstart. MAAR: ikwilde nog even op Windows Update kijken naar updates:gaat niet!!! :cry: Eerste keer tot en met download venster, maar dat blijft geen voortgang tonen. Na het drukken op Annuleren zat dat venster vast. Via Taakbeheer gekeken naar activiteit, niets opvallends, dus programma beeindigd. Nog eens IE Expl gestart, nu was hele pagina niet meer te bereiken!! IE EXPL via Taakbeheer moeten sluiten. Afsluiten van XP duurde daarna lang, maar toch herstart. Tweede keer zelfde verhaal. Nog een restantje ellende??? Wat nu??

[anoniem]

Copieer de volgende code in notepad: [code:1:cb64df3734] net.exe stop wuauserv regsvr32 /s wuapi.dll regsvr32 /s wups.dll regsvr32 /s wuaueng.dll regsvr32 /s wuaueng1.dll regsvr32 /s wucltui.dll regsvr32 /s wuweb.dll regsvr32 /s jscript.dll regsvr32 /s atl.dll regsvr32 /s softpub.dll regsvr32 /s msxml3.dll net.exe start wuauserv [/code:1:cb64df3734] Sla dit op als fix.bat Opslaan als type: alle bestanden Dubbelklik op het bestand fix.bat. Sjaak

[anoniem]

Helaas, deze fix heeft het probleem niet opgelost, scan lukt gewoon wel, 8 updates vastgesteld, venster 'Updates installeren' blijft vervolgens zonder enige actie mbt downloaden of instelleren. Programma is niet vastgelopen volgens taakbeheer, alleen helemaal geen actie! Wat nu? :(

[anoniem]

Maak je temp map en de map met tijdelijke internetbestanden eens een keer leeg. Herstart de computer en probeer opnieuw.

[anoniem]

Beide mappen geleegd, niet geheel gelukt: in Temp kunnen 3 DF...tmp bestanden niet verwijderd worden, in Temp Inet 5 'ASP' bestanden (bv. wa&u={BC.....} en 2 HTM bestanden (Get message....). Na herstart bleef probleem zoals het is: Windowsupdate lukt TOT het downloaden (ook via het benaderen van de site). Lijkt een blokkade, maar hoe/ wat?

[anoniem]

Bovenstaande was naar aanleiding van een foutmelding in het Windows Update.log die mij via PB was toegestuurd. 2005-06-16 08:41:37+0200 1144 b8 CheckIfDirExists returned error 0x80070002 Sjaak

[anoniem]

Maak deze map eens leeg: C:\Windows\System32\catroot2. Herstarten en probeer Windows Update opnieuw.