avg wist bestand in xp

Status
Niet open voor verdere reacties.
Ivan

Ivan

Oprichter
Forumleiding
Admin
Een recente update van AVG Antivirus zorgt ervoor dat het Windows systeembestand user32.dll ten onrechte als virus het virus Trojan Horse PSW banker4 wordt aangezien. Het gevolg hiervan is dat Windows niet meer op kan starten en de gebruiker de keuze krijgt om op te starten in veilige modi, of gewoon op te starten. Al deze opties functioneren niet en Windows kan niet meer gestart worden.

Volg de volgende methode om weer toegang te krijgen tot Windows:

Indien je toegang hebt tot veilige modus volg de volgende stappen. Indien je helemaal niet meer in Windows kunt komen lees je iets verder.
1. Klik op START --> Klik op UITVOEREN. Typ hier "CMD", druk op < enter >
2. In het volgende zwarte scherm staat een knipperend streepje. Hier moeten de volgende commando's getypt worden. Let erop dat je de commando's -exact- overneemt, inclusief spaties en leestekens.
1. ren c:\windows\system32\user32.dll user32.old < enter >
2. copy c:\windows\servicepackfiles\i386\user32.dll c:\windows\system32\user32.dll < enter>

3. Start de computer opnieuw op.

Volg onderstaande stappen als je geen toegang meer hebt tot Windows:
1. Zorg ervoor dat je een Windows installatie-CD hebt. Je mag er ook een lenen van de buren mocht je zelf niet over zo'n CD beschikken. Je hebt deze CD nodig om de Windows-installatie op te starten.
2. In het blauwe installatiescherm kies druk je op de R om de repair console te starten.

3. De Windows herstelconsole wordt gestart en gevraagd wordt bij welke Windows installatie aangemeld moet worden. Kies hier de eerste C:\Windows installatie. Typ dus een 1 (typ eerst de 1 en druk daarna pas op enter!)
4. Vervolgens wordt gevraagd om het administrator wachtwoord op te geven. Bij de meeste personen is dit leeg en kan er direct op enter gedrukt worden.
5. In het volgende scherm staat C:\Windows met een knipperend streepje. Hier moeten de volgende commando's getypt worden. Let erop dat je de commando's -exact- overneemt, inclusief spaties en leestekens.
1. ren c:\windows\system32\user32.dll user32.old < enter >
2. copy c:\windows\servicepackfiles\i386\user32.dll c:\windows\system32\user32.dll < enter>

6. Typ exit en druk op < enter>. De computer wordt nu herstart.

Windows zou nu weer opnieuw moeten kunnen starten. Om te voorkomen dat AVG het bestand weer verwijdert doe het volgende:
• Open het AVG hoofdvenster en kies achtereenvolgens voor: Tools -> Advanced Settings -> Resident Shield -> Exceptions -> Add Path
• Voeg de \Windows\System32 map als Exception toe.
• Herstart hierna de pc.
Zodra een AVG-update is geïnstalleerd die user32.dll niet meer als trojan ziet, dan kan deze exception weer verwijderd worden.

Bron: Zita Forums - Enkele bericht bekijken - Trojan horse PSW.Banker4.APSA

En daarvoor vragen ze 50€ in de winkel voor :p wat je ook zelf kan ;)
 
REACTIE VAN AVG Technical Support

Unfortunately, the previous virus database might have detected the
mentioned virus on legitimate files. We can confirm that it was a
false alarm. We have immediately released a new virus update
(270.9.0/1778) that removes the false positive detection on this file.
Please update your AVG and check your files again.

The system can be restored by following the steps in one of the
comments on forum (using safe mode or recovery console and copying
c:\windows\system32\dllcache\user32.dll into the right location)

If you need to restore deleted files from AVG Virus Vault you can do
it this way:
- Open AVG user interface.
- Choose "Virus Vault" option from the "History" menu.
- Locate the file that was incorrectly removed and select it (one
click).
- Click on the "Restore" button.

We are sorry for the inconvenience and thank you for your help.

Best regards,

Zbynek Paulen
AVG Technical Support

Voor mensen die de Engelse taal niet machtig zijn wil ik het eventueel vertalen
 
Hallo
Ik heb niets gemerkt dat er iets aan de hand is met mijn PC hij start ook gewoon op,
maar naar aanleiding van jullie berichten en in de krant heb ik bij history gekeken,en zie hier onder scan resultaad bij Sceduler scan van 9-11-2008 een infectie in de vierus vault bij infectors de volgende melding:C:\WINDOWS\NtServicePackUnistall\user 32.dll infection Trojan horse PSW.Banker4.APSA Moved to Virus Vault.
Omdat zo te zien mijn pc normaal fuctioneert is mijn vraag wat moet ik doen?

Met Vr.Groet Anton
 
Het wordt als een virus gezien maar is het niet,
Voorlopig kun je die melding het beste negeren en dat bestand ook zeker niet laten verwijderen. Het is gewoon wachten tot AVG een nieuwe update uitbrengt.
 
Anke bedankt voor je antwoord, maar is het niet zo dat het bestandje al is verwijderdt?
en dat ik hem nog wel terug kan zetten door op restore te klikken.
Dat ik er niets van gemerkt hebt komt dat mischien omdat dit betandje in NtServicePackUnistall stond?
Daarom vraag ik mij af of het niet beter is om het bestandje terug te zetten.
Vr.Groet Anton
 
Ik heb even het juiste adres hier neer gezet ik had de twee $ tekens er niet bij staan. C:\WINDOWS\$NtServicePackUnistall$\user 32.dll

Op de Pc laten zoeken en krijg nu de volgende melding.

C:\WINDOWS\$NtServicePackUnistall$\user 32.dll verwijst naar een lokatie die niet toegankelijk is.De lokatie kan een vaste schijf op deze schijf op deze computer of in het netwerk zijn.controleer...enzovoorts

Is dus niet meer aanwezig.

Vr.Groet Anton
 

Bijlagen

  • ~$Doc1.doc
    162 bytes · Weergaven: 120
omdat de bijlage niet leesbaar was heb ik nu maar een afbeelding toegevoegt
 

Bijlagen

  • melding.jpg
    melding.jpg
    13.2 KB · Weergaven: 106
antonp zei:
Ik heb even het juiste adres hier neer gezet ik had de twee $ tekens er niet bij staan. C:\WINDOWS\$NtServicePackUnistall$\user 32.dll

Op de Pc laten zoeken en krijg nu de volgende melding.

C:\WINDOWS\$NtServicePackUnistall$\user 32.dll verwijst naar een lokatie die niet toegankelijk is.De lokatie kan een vaste schijf op deze schijf op deze computer of in het netwerk zijn.controleer...enzovoorts

Is dus niet meer aanwezig.

Vr.Groet Anton
Klik om te vergroten...
Heb je ook in de verborgen mappen zoeken aangevinkt?

Ik vermoed dat het eerder C:\WINDOWS\$NtServicePackUninstall$\ is...
Dit is een map van een update van een servicepack van XP.
Is niet zo erg denk want lees zelf dat je deze mappen eventueel weg mag doen als je toch niet van plan bent om deze servicepacks te verwijderen.
 
antonp zei:
Ik heb even het juiste adres hier neer gezet ik had de twee $ tekens er niet bij staan. C:\WINDOWS\$NtServicePackUnistall$\user 32.dll

Op de Pc laten zoeken en krijg nu de volgende melding.

C:\WINDOWS\$NtServicePackUnistall$\user 32.dll verwijst naar een lokatie die niet toegankelijk is.De lokatie kan een vaste schijf op deze schijf op deze computer of in het netwerk zijn.controleer...enzovoorts

Is dus niet meer aanwezig.

Vr.Groet Anton
Klik om te vergroten...
Heb je ook in de verborgen mappen zoeken aangevinkt?

Ik vermoed dat het eerder C:\WINDOWS\$NtServicePackUninstall$\ is...
Dit is een map van een update van een servicepack van XP.
Is niet zo erg denk want lees zelf dat je deze mappen eventueel weg mag doen als je toch niet van plan bent om deze servicepacks te verwijderen.

Houd opruiming na Installatie van SP2
pix_0099ff.gif


<table border="0" cellpadding="0" cellspacing="0" width="560"> </table> Wanneer u tot de gelukkigen behoort die ServicePack2 succesvol hebben weten te installeren en er zijn geen vreemde problemen opgetreden binnen uw XP-configuratie dan is dus de noodzaak om SP2 ooit weer te kunnen deïnstalleren in feite niet aanwezig.

In dat geval kunt u een flinke opruiming verrichten van bestanden en mappen die volkomen overbodig de nodige ruimte op uw harde schijf of HD-partitie in beslag nemen.

Ten eerste zal er een flink groot 'herstelpunt' zijn gemaakt tijdens de installatie van SP2, maar de kans is groot dat er in een later stadium ook weer een normaal, regulier 'herstelpunt' is aangemaakt en anders doet u dat alsnog even.
Vervolgens ruimen we het overbodige als volgt op:
Start > Alle Programma's > Bureau-accessoires > Systeemwerkset > Schijfopruiming.
Selecteer de juiste schijf en klik op 'OK'.
Zet op het eerste tabblad alle vinkjes aan en klik dan op het tabblad 'Meer Opties' en klik op de onderste knop 'Opruimen' en bevestig de vraag of u het zeker weet met een klik op 'Ja'.
Klik dan op 'OK' en nogmaals op 'Ja'.

Als tweede actie gaan we nu de verborgen mappen en bestanden die nodig zijn voor een deïnstallatie van SP2 en eerdere updates verwijderen. Deze zijn alleen zichtbaar wanneer u in 'Deze Computer' of 'De Verkenner' in de menubalk kiest voor 'Extra' en dan voor 'MapOpties' en vervolgens klikt op het tabblad 'Weergave', selecteer hier het rondje vóór 'Verborgen bestanden en mappen weergeven' en haal ook even het vinkje weg vóór 'Extensies voor bekende bestandstypen verbergen' als dat er nog staat.
Nu kunt u in de Verkenner de map 'C:\Windows\$NtServicePackUninstall$' verwijderen (houd de shift-toets ingedrukt voordat u op 'Verwijderen' klikt, dan komt het niet eerst in de Prullenbak), maar ook alle mappen van eerdere updates. Deze heten 'C:\Windows\$NtUninstall KB8...(enz.)$'.

Deze twee acties hebben al veel diskruimte vrijgemaakt, maar om dit verhaal compleet te maken, afhankelijk van de wijze waarop u SP1 of SP2 of eerdere updates heeft geinstalleerd vanaf CD of via rechtstreekse Downloads kan ook de map 'C:\Windows\SoftwareDistribution\Download' aanwezig zijn en ook deze kunt u verwijderen.
Ook is waarschijnlijk bij u aanwezig de map 'C:\Windows\ServicePackFiles', die moet u niet verwijderen, want deze wordt gebruikt door Fileprotectie, maar wanneer uw bestandssysteem NTFS is in plaats van Fat32 dan kunt u deze map wel laten comprimeren, dat scheelt zo'n 200 Mb. Rechtsklikken op deze map, kies Eigenschappen, klik op 'Geavanceerd' en selecteer 'Comprimeren'.

Maak tenslotte de map 'C:\Windows\Temp' leeg, hierin kan hoogstens één .tmp-bestandje overblijven wanneer u ZoneAlarm gebruikt, maar er mogen géén submappen onder hangen. Zo ja, deze verwijderen.

Na deze opruimacties is het verstandig om via Bureau-accessoires/Systeemwerkset de 'Schijfdefragmentatie' te laten uitvoeren.

Succes!
Klik om te vergroten...
http://support.microsoft.com/kb/329260/nl
 
Mosquitos

Klopt inderdaad moet zijn C:\WINDOWS\$NtServicePackUninstall$\user 32.dll

Verborgen bestanden e.d had ik al aangevinkt
Ik heb nog een keer laten zoeken ook deze keer vindt hij niets

Wat is er eigenlijk op tegen om het bestandje terug te zetten?
 
Oké,
Bestandje terug gezet,Pc herstart
Even gekeken of d.m.v zoeken hij weer wordt gevonden,ja hoor feilloos!
Nu de proef op de som : Windows laten scannen door AVG,geen probleem avg laat nu het bestandje staan.:applaus:
Anke bedankt!(y)
Mosquitos bedankt!(y) ook voor de tip om de pc eens goed op te ruimen!
Wat mij betreft mag dit worden gesloten.
Vr.Groet Anton;)
 
Welkom op het Forum Lieven.
Even voor de duidelijkheid wat heb je ingevoerd
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan Onderaan