-
mattnl
30 december 2007 13:52
-
stijnb
en als je op het ander account gaat op de pc?
30 december 2007 13:54
-
keitaro
Er schijnt ergens een file te staan die continu command prompt opent en het shutdown commando geeft. Ik heb niet gehoord laatste tijd van een virus die dat doet. Waarschijnlijk dat het of een compleet nieuwe is, of al redelijk oud maar dan zou AVG het toch wel moeten vinden. Probeer te achterhalen door wat steeds die command wordt opgegeven. Kijk ook is in je taakbeheer wat voor process er draait. Het start op als je je pc net geboot hebt zei je. Kijk ook is bij msconfig of die in de boot staat, of bij start -> alle programma's -> opstarten. Daar start ook programma's automatisch in op.
30 december 2007 13:57
-
Account verwijderd
Lijkt me niet echt een virus, meer een flauwe grap van iemand gemaakt met msdos.. Idd zoals Keitaro zegt zorgen dat er niets opstart samen met windows ;) Dan moet je er als het goed is gewoon vanaf zijn ;)
30 december 2007 13:58
-
mattnl
Nee ik heb bij alles niks gevonden, maar ik download nu even HitMan PRO en ik zal zien hoever ik daarmee kom.
Systeemherstel werkt ook niet overigens.
30 december 2007 14:00
-
keitaro
Systeemherstel werkt nooit... Systeemherstel is puur om verkeerde instellingen terug te plaatsen. Systeemherstel laat bestanden gewoon staan en draaien... Dus je eventuele virus blijft gewoon staan...
30 december 2007 14:03
-
kazmi
Mij lijkt het het slimste om met een programma alle mee startende bestanden te checken. Alles wat niet super noodzakelijk is(Audiodrivers, programma's, antivirus) uitschakelen. Vervolgens zou ik gaan zoeken naar een .bat of een .exe(zijn er vast veel) kijken welke wel vertrouwd zijn, en die niet vertrouwd zijn weg gooien, of verplaatsen.
Het is zeker geen virus, maar gewoon een zielige poging van een vriend/kennis om jou te iriteren lijk mij.
Zelf ook een keer gedaan :P gebruik het command zelf om mijn PC na een bepaalde tijd af te sluiten. Bijvoorbeeld als de DL nog 20 min moet, dan zet ik de -t op 1800. Sluit hij dus alles af na 30 min.
30 december 2007 14:14
-
louwrens
die command gebruik ik ook op school:P
je kan zo zien waar het bestandje staat, je ziet het al in het dos venster staan xD
kun je wel met veilige modus opstarten?
30 december 2007 14:19
-
unknown
deze had ik vandeweek ook op mijn pc staan, ik heb gewoon in veilige modus alle bestandjes en services etc, die dat virus gebruikt verwijderd. hij stond ook in het register bij automatisch opstarten,
30 december 2007 14:20
-
jaspervh
je moet gewoon even windows xp opnieuw instaleren. windows niet herstellen maar de hardeschijf formatteren.
30 december 2007 14:25
-
blacksorcerer
hahahah altijd leuk die geweldige ""oplossingen"" van "doe een fomattatie en alles is weer goed!" ^o)
Laten we eerst een wachten totdat de TS weet of hij in veilige modus kan opstarten, wss is het niet eens zo moeilijk te verwijderen.
30 december 2007 14:35
-
kazmi
HDD formateren is een beetje overdreven.
@Louwrens, Het lijk mij sterk dat je CMD.exe moet verwijderen. Dat is super dom. Zeker aangezien deze in WINDOWS\System32\ staat
30 december 2007 14:36
-
easyboarder
WTF? her-install? No way.. dit is een simpel .BAT bestandje dat je easy kunt verwijderen. Het wordt niet gezien door AVG omdat het GEEN virus is. het schakelt inderdaad je computer uit, waardoor je die melding krijgt dat het werkstation wordt afgesloten als je iets wil starten.
Start de PC in veilige modus, of simpelweg op een ander account (dacht dat dat ook ging). En verwijder het bestandje op de locatie:
"C:\Documents and settings\Matt"
De naam ervan is niet te zeggen. Het is in elk geval een .BAT bestandje. Gewoon verwijderen en probleem opgelost!
Niks her-install.
30 december 2007 14:38
-
blacksorcerer
In veilige modus kan hij eens beginnen met shutwdown.exe (kan ook .bat of .com eindigen) te verwijderen die in "C:\Documents & Settings\Matt" staat.
De CMD.exe moet je inderdaad laten staan :p
Edit: en met uitvoeren > msconfig of HijackThis (klein, gratis prog) kan je ook snel zien of er wat niet klopt/bijhoort en verwijderen/uitzetten.
30 december 2007 14:41
-
keitaro
Ja maar easyboarder...
[sarcasme]
systeem herstel of formatatie wordt hier altijd al door leden aangeraden :P
[/sarcasme]
Gewoon kijken wat er auto opstart. na checken, deleten. Weg problem... zo moeilijk is het niet.
30 december 2007 14:41
-
lbjornl
Aangezien dit geen virus blijkt te zijn zou de titel niet aangepast moeten worden (A)
30 december 2007 14:46
-
louwrens
[quote=98956]
je kan in het dos venster zien waar het bestandje staat eppo :P
30 december 2007 14:54
-
druipsnuit
ik ken dit soort dingen heb zelf ook welles een afsluit dos bestandje gemaakt. Het zou ook goed kunnen dat het door een vbs script gerunt word wat uitzichzelf een bat file schrijft, zo bereik je dus niks met alleen het dos bestand te verwijderen
kijk als er zo'n scriptje als dit in de opstart staat kun je eeuwig het dos bestandje blijven verwijderen
Set fs = CreateObject("Scripting.FileSystemObject" )
Set a = fs.CreateTextFile("C:batch.bat", True)
a.WriteLine ("%windir%\system32\shutdown.exe -s -t 25 )
a.Close
dim shell
set shell=createobject("wscript.shell" )
shell.run "batch.bat"
set shell=nothing
Ik zou dus ook ff vbs script uitschakelen (ik weet niet hoe dat moet :$ )
miss weet hier iemand het
Probeer eens bij uitvoeren shutdown -a in te voeren miss word het dan uitgeschakeld (voor dat moment!!)
30 december 2007 15:01
-
mattnl
30 december 2007 15:08
-
Account verwijderd
Geen een lijkt me ;) Niets verwijderen zonder 100 % zeker te zijn ;)
Draai eens een keertje HijackThis, en post de log eens hier ;) Daar kan je veel aan zien ;)
30 december 2007 15:18
-
druipsnuit
De bestanden zien er normaal uit heb je vbs script al uitgeschakeld ?
in vbs kan een dos bestand zichzelf direct verwijderen als het in werking is gesteld !
30 december 2007 15:18
-
blacksorcerer
[color=blue]Titel veranderd van "Erg, heel erg virus" naar "'Virus' dat de pc afsluit"[/color]
30 december 2007 15:27
-
kazmi
Na een hoop zoeken naar het VBS geval wat druipsnuit heeft mee gedeeld, kwam ik tegen dat ongeveer 90% van de virusen worcht geactiveerd door 'Windows Scripting Host'. Niet echt interessant leek mij, maar er stond ook bij dat het om .vbs bestanden ging. Visual Basic Scripts. Uiteindelijk heb ik een manier gevonden om WSH uit te schakelen. Hierna zou het .vbs bestand zich niet meer kunnen uitvoeren, en zou de melding dus weg blijven. Vervolgens kan je dat bestand, en alles wat er bij hoort, verwijderen.
[code]
1) Klik op 'Start', open 'Instellingen' (Settings) en open vervolgens het
'Configuratiescherm' (Control Panel).
2) Kies 'Software' (Add/Remove Programs) en klik op het tabblad 'Windows setup'.
3) Dubbelklik op 'Accessories' en zoek naar 'Windows Scripting Host'.
4) Zorg ervoor dat de optie voor 'Windows Scripting Host' uitstaat en bewaar deze instellingen.
[/code]
Ook vond ik een voorbeeld van de mogelijke script.
[code]
Set OpSysSet = GetObject("winmgmts:{(Shutdown)}//./root/cimv2").ExecQuery("select * from Win32_OperatingSystem where Primary=true")
[mist wat]OpSys.ShutDown()
next
[/code]
en
[code]
[Mist wat]
Shl.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Start menu",winfolder & "je filenaam"
[/code]
De laatste is interessant omdat deze iets toevoegd aan je opstart sequentie. De reg.key zou je ook kunnen na lopen in Regedit
30 december 2007 18:46
-
mattnl
[quote=99054]Dank je wel maar ik kan niet eens Windows Scripting Host in die lijst vinden :S .
30 december 2007 18:53
-
druipsnuit
knap zoekwerk Kazmi, laat ik ook gelij ff melden dat .vbe het zelfde kan doen als .vbs dus als je windows scripting host niet uitschakeld kun je ook naar dat soort extensies zoeken
Misschien ff googlen ? (heb zlef nie zoveel tijd om te zoeken :$)
als je slim bent dan zet je bestand extensies weergeven aan onder mappopties,
dan weet je direct met wat voor bestanden je te maken hebt
30 december 2007 18:54
-
ali
Uhm..
start>run> msconfig > opstarten en services.. alles uitvinken behalve dingen waarvan je zeker weet dat het OK is?
30 december 2007 20:43
-
unknown
@ali hij kan beter services.msc gebruiken, bij msconfig kun je ook cruciale windows services onbewust uitschakelen.
30 december 2007 20:46
-
lordievader
Zeg bij Zoeken (van windows zelf) gewoon: *.vbs en daarna: *.vbe dan krijg je alle bestanden met die extensie die op jouw PC voorkomen (moet je natuurlijk de verborgen en systeem bestanden ook laten doorzoeken.)
30 december 2007 23:39
-
kazmi
Aaahrg! Stomme fout, artikel ging over Windows 98.
Maargoed. Dan doen we het anders. Windows kijk alleen naar de extentie, en bepaalt dan wat het er mee gaat doen. Door de verwijzing tussen de extentie en Windows Scripting Host te verwijderen, kan windows geen .VSE en .VSB extenties meer uitvoeren.
Gaat het dan om een Visualbasic script, dan wordt deze niet meer uitgevoerd.
[code]
XP:
1) Open 'Deze Computer'
2) Ga in het menutje boven aan, naar 'Extra'
3) Kies 'Mapopites...' in dat menu
4) Kies het tabblad 'Bestandstypen'
5) Zoek .VSE en .VSB in de lijst die gegeven wordt
6) Selecteer deze, en klik op de knop 'Verwijderen'
[/code]
En dan de rest van de vorige post volgen; het zoeken etc.
31 december 2007 12:16