Hallo filo,
als je wat thuis bent in de herstelconsole, dan kan via deze weg mogelijk een remedie vinden:
Start de PC op met een (eender welke) WindowsXP-installatieCD in de lade en ga in
Herstelconsole en kies voor Windows herstellen (druk op R) om in het venster met C:\Windows\> te komen.
Typ nu:
copy D:\i386\ntoskrnl.exe C:\Windows\System32\ntoskrnl.exe (waar D:\ staat voor de letter van je CD-station: aanpassen indien nodig)
Daarna gaan we door het virus aangemaakte bestanden verwijderen (voorlopig maken we ze ongeldig door de extentie te veranderen met de opdracht
ren van Rename):
ren 1.a3d 1.a3d.bad en druk op Enter (let op de spaties!)
Doe hetzelfde met volgende bestanden. Als er een bestand niet gevonden wordt, kontroleer dan of je geen foute opdracht hebt geschreven, zo niet, ga verder met de volgende opdrachten:
ren cm.dll cm.dll.bad
ren cz.dll cz.dll.bad
ren draw32.dll draw32.dll.bad
ren drct16.dll drct16.dll.bad
ren dt163.dt dt163.dt.bad
ren fltr.a3d fltr.a3d.bad
ren hm.sys hm.sys.bad
ren hz.dll hz.dll.bad
ren hz.sys hz.sys.bad
ren i.a3d i.a3d.bad
ren in.a3d in.a3d.bad
ren klo5.sys klo5.sys.bad
ren klogini.dll klogini.dll.bad
ren memlow.sys memlow.sys.bad
ren mszx23.exe mszx23.exe.bad
ren p2.ini p2.ini.bad
ren ps.a3d ps.a3d.bad
ren redir.a3d redir.a3d.bad
ren tnfl.a3d tnfl.a3d.bad
ren vdmt16.sys vdmt16.sys.bad
ren vdnt32.sys vdnt32.sys.bad
ren w32tm.exe w32tm.exe.bad
ren WD.SYS WD.SYS.bad
ren winlow.sys winlow.sys.bad
ren wmx.a3d wmx.a3d.bad
ren wz.dll wz.dll.bad
ren wz.sys wz.sys.bad
chkdsk /p/r
Indien je hier het maximum aantal bestanden hebt kunnen verwijderen haal je de Windows XP-installatie-cd uit het station en typ exit om de computer opnieuw op te starten.
Wanneer de computer opnieuw is opgestart (als hij niet opstart in Windows horen we dat wel
), klik je op Start en Uitvoeren. Typ regedit en klik op OK.
Zoek en verwijder de volgende registersubsleutels en alle eventuele items die onder elke subsleutel aanwezig zijn. Als bepaalde registersubsleutels uit deze lijst niet aanwezig zijn, gaat u naar de volgende subsleutel in de lijst.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdnt32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdmt16
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdnt32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlow
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\memlow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDMT16
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDNT32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_WINLOW
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_MEMLOW
Zoek en verwijder alle vermeldingen met de bestandsnaam Mszx23.exe onder de volgende registersubsleutels:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Sluit de Register-editor af.
Controleer of uw antivirus- en antispywareprogramma's zijn bijgewerkt met de nieuwste definitiebestanden en voer een volledige systeemscan uit.
Voer daarna HijackThis en MBAM uit.
SoftAid