Bericht 1 van 5NL Computer Forum ~ Computerbeveiligin g Van | : | rr4internet | Datum | : | 09-09-2005 |
Aan | : | Michel Uphoff (Sysop) | MsgID | : | 2465.1 |
Onderwerp | : | trojan in ME | Forum | : | ws-nlcomputer |
Hallo,
Mijn maat, waarvoor ik zijn PC beveiligd en up to date etc houd, heeft winME op zijn pc. nu ontdekte de virusscanner, etrust EZ AV versie 2005, 2 bestanden besmet met een trojan genaamd "win32.Instahp.B". De scanner kon deze 2 bestanden, die zich bevonden in de mapppen c:\_restore\temp resp. c:\_restore\archive, als .cpy bestanden, niet cleanen, verwijderen of in quarantaine zetten. handmatig kon ik deze bestanden, die verborgen en delete beveiligd zijn, dus ook niet verwijderen. Bovendien werd de trojan-naam "Instahp.B" op geen van de antivirus databases op internet gevonden. (althans niet onder die naam!).
Ik neem aan dat deze trojans in de systeem-herstel map zitten van winME. Kunnen ze vanuit hier kwaad doen en zo ja, hoe krijgg ik ze weg?
gr,
rr4internet.
Bericht 2 van 5NL Computer Forum ~ Computerbeveiligin g Van | : | Bert (Sysop) | Datum | : | 09-09-2005 |
Aan | : | rr4internet | MsgID | : | 2465.2 |
Onderwerp | : | trojan in ME | Forum | : | ws-nlcomputer |
Hoi,
Bestanden die in de Restore-map zitten kunnen in principe altijd weer ergens anders op de harde schijf opduiken, vooral wanneer je zelf een systeemherstel uitvoert. De truc is die Restore-map even helemaal leeg te krijgen. Dit lukt niet door handmatig die map te legen. Wat je hiervoor moet doen is de Restore-functie uitschakelen (ik dacht via de Eigenschappen van Deze Computer), de PC herstarten en daarna de Restore-functie weer inschakelen.
Bert
__________________________________________________________________
Things I have to do today: breath in, breath out (Buddhist saying)
Bericht 3 van 5NL Computer Forum ~ Computerbeveiligin g Van | : | Michel Uphoff (Sysop) | Datum | : | 09-09-2005 |
Aan | : | rr4internet | MsgID | : | 2465.3 |
Onderwerp | : | trojan in ME | Forum | : | ws-nlcomputer |
Hoi rr4internet,
>> Ik neem aan dat deze trojans in de systeem-herstel map zitten van winME. <<
Klopt.
>> Kunnen ze vanuit hier kwaad doen <<
Ja. Zodra er een herstelpunt terug gezet wordt, komen de Trojan's ook weer terug, en dan meestal direct actief.
>> en zo ja, hoe krijg ik ze weg? <<
System Restore (tijdelijk) uitschakelen, computer herstarten. Als het goed is is nu de hele restore map leeg. Vervolgens, nadat je je ervan vergewist hebt dat de pc op orde en beestjesvrij is, System restore weer aanzetten en een herstelpunt maken.
Terzijde: System Restore is
geen vervanger voor een backup. Maak altijd backup's van gebruikersbestanden, of -beter- maak een image met een programma als bijvoorbeeld Ghost.
Michel Uphoff (Sysop)Homepagina
Bericht 4 van 5NL Computer Forum ~ Computerbeveiligin g Van | : | rr4internet | Datum | : | 12-09-2005 |
Aan | : | Bert (Sysop) | MsgID | : | 2465.4 |
Onderwerp | : | trojan in ME | Forum | : | ws-nlcomputer |
Bedankt. het is gelukt! systeem restore aan/uitzetten zit wel erg goed verborgen in winME, maar ik heb het gevonden en de trojans zijn nu weg!
gr,
RR4internet.
Bericht 5 van 5NL Computer Forum ~ Computerbeveiligin g Van | : | Bert (Sysop) | Datum | : | 12-09-2005 |
Aan | : | rr4internet | MsgID | : | 2465.5 |
Onderwerp | : | trojan in ME | Forum | : | ws-nlcomputer |
Uitstekend!
Bert
__________________________________________________________________
Things I have to do today: breath in, breath out (Buddhist saying)