FAQ

De Gumblar-infectie verspreidt zich via PDF- en Flash-bestanden (.pdf en .swf) die in de meeste gevallen zijn gedownload van geïnfecteerde FTP-servers waar de malware kopieën van de genoemde bestanden maakt.

Gebruikers die geen patches hebben geïnstalleerd voor de zwakke plekken in de toepassingen Adobe Acrobat Reader of Adobe Flash Player kunnen mogelijk worden geïnfecteerd via exploits in de .pdf- en .swf-bestanden. De beveiliging van de FTP-server is gecompromitteerd omdat het virus zoekt naar opgeslagen verbindingen met de FTP-servers. Voorgesteld wordt om de wachtwoorden te wijzigen nadat de infectie is verwijderd.

Deze malware-infectie, die bekendstaat onder de naam Gumblar, wordt door AVG gedetecteerd onder de volgende benamingen: Trojaans paard Agent2.HYG, Defiler, varianten van Trojaans paard Exploit of Exploit.PDF.

JS/Psyme of JS/Downloader kan in de map 'Tijdelijke internetbestanden' worden gevonden als u een geïnfecteerde webpagina hebt bezocht. Het is niet mogelijk deze infectie te herstellen, omdat de infectie een oorspronkelijk gedeelte van die webpagina is.

De eenvoudigste manier om deze infectie te verwijderen, is door de tijdelijke bestanden van de browser Internet Explorer te wissen. U kunt dit als volgt doen:

• start Internet Explorer
• klik op het menu 'Extra'
• selecteer het item 'Internetopties...'
• klik op de knop 'Bestanden wissen...'
• vink de optie 'Alle offline inhoud wissen' aan
• bevestig dit door op de knop 'OK' te klikken
• voer de Volledige test vervolgens nogmaals uit om er zeker van te zijn dat de infectie niet opnieuw door AVG wordt gedetecteerd

De locatie en namen zouden enigszins kunnen verschillen, afhankelijk van de versie van Internet Explorer.

Het is mogelijk dat de infectie herhaaldelijk door AVG wordt gedetecteerd als u de geïnfecteerde webpagina opnieuw bezoekt.

Als er tijdens een AVG-test een virus wordt gevonden en de status is Geïnfecteerd, Ingesloten, dan betekent dit dat het virusbestand deel uitmaakt van een archiefbestand (ZIP, RAR, CAB, enz.) of van een zelfextractorarchief (EXE). AVG detecteert dit bestand uiteraard, maar kan dit bestand vanwege de gegevensbeveiliging niet automatisch uit een archiefbestand verwijderen en dit archiefbestand opnieuw zonder het geïnfecteerde bestand comprimeren of het bestand automatisch naar de Quarantaine verplaatsen.

We hebben in dit geval van virusverwijdering voor de gebruikersinteractiemethode gekozen.

Volg deze stappen om dit soort virusbestanden te verwijderen:

1. Verplaats het naar de Quarantaine– als de grootte van het archief minder is dan 5 MB.

Kies Testresultaten (voer AVG uit ->kies menu Historie ->klik op het item Testresultaten). Markeer in het Testresultaat de regel met de infectie (klik op de regel met het rode uitroeptekenpictogram) -> kies de knop Naar quarantaine verplaatsen.

2. Wis het archief– als de omvang van het archief groter is dan 5 MB, dan is het niet mogelijk om het archief naar Quarantaine te verplaatsen. Zorg ervoor dat dit archief geen belangrijke gegevens bevat alvorens het te verwijderen.

Kies Testresultaten (voer AVG uit -> kies menu Historie -> klik op het item Testresultaten). Markeer in het Testresultaat de regel met de infectie (klik op de regel met het grijze uitroeptekenpictogram) -> kies de knop Ga naar bestand. U wordt automatisch naar het archiefbestand gebracht. U kunt het archiefbestand wissen door met de rechtermuisknop op de naam van het bestand te klikken en in het menu met de linkermuisknop op de optie "Wissen" te klikken.

Als u het archiefbestand hebt gewist, dan moet u ook de prullenbak leegmaken waar het gewiste archiefbestand naartoe is verplaatst:

• Dubbelklik op het pictogram Prullenbak op het bureaublad van de computer
• Kies menu Bestand en de optie Prullenbak legen

Windows NT/2000/XP/2003/XP Pro x64/2003 Server x64:

We raden u in dit geval aan gebruik te maken van het AVG Rescue CD-product (voor meer informatie over dit product klikt u hier). De AVG Rescue CD is in feite een draagbare variant van AVG, die gebaseerd is op het Windows PE-platform. De AVG Rescue CD wordt als opstartbare cd geleverd en is bedoeld voor herstel van het besturingssysteem wanneer het systeem niet op de normale manier geladen kan worden, bijvoorbeeld bij een wijdverspreide virusinfectie. De AVG Rescue CD laadt eerst het tijdelijke besturingssysteem Windows PE-editie en start daarna AVG. Vervolgens kunt u met AVG virussen en spyware op de gebruikelijke wijze detecteren en verwijderen.

Voor meer informatie over het maken van een AVG Rescue CD, raadpleegt u FAQ 491.

• Raadpleeg de webpagina Virusencyclopedie en zoek op de exacte naam van het virus, zoals vermeld in het testresultaat.
• Als u niets vindt, neem dan contact op met onze technische ondersteuning en stuur een export van het meest recente testresultaat mee:
  

Voer het AVG-programma uit (basis- of geavanceerde interface) en kies Testresultaten in het menu Historie. Nu ziet u een lijst van voltooide tests. Dubbelklik op de laatste (op datum) en u krijgt de volledige lijst van gevonden virussen te zien (voor zover er virussen zijn gevonden), inclusief het pad, de naam en de status van het geïnfecteerde object. Wanneer het overzicht geopend is, klikt u op de optie "Overzicht exporteren naar bestand...". Stuur ons dit bestand voor nadere analyse.

VCLEANER.EXE kan gebruikt worden om bepaalde virussen en varianten daarvan te verwijderen. Bezoek de onderstaande webpagina voor meer informatie.

Gebruik:

Download vcleaner.exe en voer het bestand op de geïnfecteerde computer uit.

Opmerking: Sommige virussen kunnen het verwijderproces afbreken. Wijzig in dat geval de naam van vcleaner.exe (bijvoorbeeld in watdanook.exe). Start de computer opnieuw op in de Veilige modus (aanbevolen) en voer het verwijderprogramma uit op de geïnfecteerde computer.

Op de vermelde webpagina vindt u ook andere verwijderprogramma's.

Probeer uw AVG -systeem bij te werken en voer de volledige computerscan nogmaals uit. Als het bestand niet wordt gedetecteerd en u nog steeds twijfels hebt, dan plaatst u het bestand in een archief met wachtwoordbeveiliging (WinZip, WinRar, PowerArchiver, enz.), voegt u dit archief aan een e-mail toe en verstuurt u alles naar virus@avg.com. Beschrijf waarom u het bestand verstuurt en vermeld het wachtwoord voor het archief in uw e-mail. Verstuur vervolgens de e-mail.

In het geval dat AVG een bestand op uw pc detecteerde als geïnfecteerd en dit bestand verplaatste naar de AVG Quarantaine, terwijl u zeker weet dat het bestand correct en veilig is, is het mogelijk dat het detecteren hiervan een vals alarm is geweest.
Indien het geval is, zullen we de correctie zo snel mogelijk voorbereiden.
Helaas komt een vals alarm van tijd tot tijd voor in elke Anti-Virussoftware.

Om het probleem op te lossen, stuurt u ons dit bestand rechtstreeks vanuit hetAVG -programma voor analyse:

• Open AVG-gebruikersinterface.
• Kies de optie 'Quarantaine' in het menu 'Geschiedenis'.
• Klik met de rechtermuisknop op het vals gemelde bestand en kies in het snelmenu "Verzenden voor analyse".
• Vul uw e-mailadres in
• Bevestig het dialoogvenster

Op deze manier wordt het bestand voor analyse verzonden naar onze specialisten, waarna u door ons zult worden geïnformeerd over de resultaten.

In dit artikel wordt rootkitinfectie met TDSSserv.sys/MSQPD*.sys beschreven, die gewoonlijk samenhangt met een Antivirus 2009 infectie.
De infectie gaat gepaard met de volgende symptomen:

• Valse pop-up infectiewaarschuwingen die de gebruiker adviseren een namaak-antivirustoepassing aan te schaffen waarmee de zogenaamde infectie zou kunnen worden verholpen (bijv. Antivrus 2009, Antivirus XP).
• De achtergrond van het bureaublad wordt vervangen door een waarschuwend bericht dat niet meer kan worden verwijderd.
• De toegang tot Taakbeheer en de registereditor is geblokkeerd.
• Webpagina's worden omgeleid naar de verkeerde pagina's in de internetbrowser.
• U kunt Windows niet meer bijwerken (de pagina www.windowsupdate.com is niet meer bereikbaar).
• U kunt AVG niet meer bijwerken.
• AVG detecteert de infectie met behulp van de Anti-Rootkitscan als verborgen stuurprogramma's of bestanden in systeemmappen. Namen van de gedetecteerde bestanden beginnen met ‘TDSS’/‘MSQPD’, bijv. TDSSserv.sys, tdsslog.dll, TDSSl.dll, msqpdxserv.sys.

Als uw computer op bovenstaande manier geïnfecteerd lijkt, kunt u die infectie op de volgende manier verwijderen:

• Download het hulpprogramma AVGRTK_remover.
• Pak het gedownloade bestand uit in een nieuwe map.
• Selecteer in die map het bestand AVGRTK_remover.vbs.
• Voer het bestand uit door erop te dubbelklikken.
• Er wordt een bevestiging weergegeven.
• Start de computer opnieuw op.
• Werk AVG bij.
• Voer een volledige scan uit met AVG en verwijder alle gedetecteerde infecties.

Het hulpprogramma verhelpt ook alle neveneffecten van de infectie, bijvoorbeeld de uitgeschakelde toegang tot systeemfuncties. Als u hierna nog steeds bepaalde functies niet kunt uitvoeren, voert u het hulpprogramma op de hiervoor beschreven manier opnieuw uit.

De infectie is daarna volledig verwijderd. Mocht het probleem zich blijven voordoen, neemt u dan contact op met de klantenservice.

Het is mogelijk dat uw computer geïnfecteerd is met de namaaktoepassing voor antispyware met de naamAntivirus 360. Die toepassing presenteert zich als een doorsnee antivirustoepassing, maar is in werkelijkheid geen product van een bestaand bedrijf dat antivirusprogramma's maakt. De toepassing simuleert meldingen van bedreigingen op uw computer en probeert u over te halen het volledige product te kopen. Helaas betaalt u wel het geld, maar wordt daarvoor geen enkele werkelijke dienst verleend. De infectie kan gepaard gaan met veel andere symptomen:

• Trager worden van de computer
• Valse meldingen voor belangrijke systeembestanden
• Openen van ongewenste pop-upvensters
• Downloaden van andere virussen en trojaanse paarden naar uw computer

Het AVG-programma detecteert de meeste varianten van de genoemde toepassing en maakt die onschadelijk. Er worden echter dagelijks talloze nieuwe varianten ontwikkeld; daarom is het mogelijk dat sommige varianten niet worden gedetecteerd en verwijderd door AVG. Als u wordt geconfronteerd met problemen met betrekking tot de genoemde namaaktoepassing Antivirus 260 en u kunt het niet verwijderen met het AVG-programma, vragen we u de volgende eenvoudige stappen uit te voeren om ons alle informatie te geven voor het oplossen van het probleem en het toevoegen van de ontbrekende variant aan onze database:

• Autorun uitvoer hulpprogramma
  • Download het hulpprogramma AvgProci door op de volgende koppeling te klikken (we raden u aan het programma op uw bureaublad op te slaan):
    avgproci_en.exe
  • Voer het gedownloade bestand uit en volg de instructies op het scherm voor het genereren van de diagnostische uitvoer.
• Contact opnemen met AVG Technische ondersteuning
  • Start het bestand runner.avgdx dat zich in dezelfde map bevindt als het hulpprogramma AvgProci.
  • Voer uw (geldige) e-mailadres in het desbetreffende veld van het hulpprogramma AVG Diagnostics in.
  • Voer als omschrijving "Niet-gedetecteerd virus" of iets dergelijks in.
  • Klik vervolgens op de knop Bestand koppelenen voeg het hiervoor door avgproci gegenereerde diagnostische uitvoerbestand (result.7z) toe als bijlage.
  • Klik op de knop Diagnose uitvoeren en resultaten verzenden, zodat alle benodigde informatie zal worden verzonden naar de Technische ondersteuning van AVG.

Als door AVG een virus wordt gedetecteerd in een belangrijk systeembestand, wordt het niet automatisch verwijderd. Deze functionaliteit is toegevoegd om te voorkomen dat onopzettelijk geïnfecteerde systeembestanden worden verwijderd die het besturingssysteem uitvoeren.

Hieronder staan voorbeelden van belangrijke systeembestanden:

• "%WINDOWS%\system32\winlogon.exe"
• "%WINDOWS%\system32\user32.dll"
• "%WINDOWS%\explorer.exe"

Opmerking: de variabele %Windows% staat meestal voor de map C:\Windows.

Als er een virus wordt gedetecteerd in een systeembestand, herstel het geïnfecteerde bestand dan vanuit de systeemback-up. U vindt meer informatie over het herstellen van het besturingssysteem naar een vorige status in de knowledge base van Microsoft op: 

• Windows XP
  http://support.microsoft.com/kb/306084 
• Windows Vista
  http://windowshelp.microsoft.com/Windows/en-US/help/517d3b8e-3379-46c1-b479-05b30d6fb3f01033.mspx

Als de infectie steeds blijft terugkeren, neemt u contact op met de Technische ondersteuning van AVG met behulp van de optie Online Help in het menu AVG Help. Meer informatie over het contact opnemen met de Klantenservice van AVG kunt u vinden in FAQ 1467 – Contact opnemen met de Klantenservice.