ik krijg na de virusscan met mcafee steeds bericht dat winhost is gevonden
na verwijderen via mcafee heb ik een uur later weer dat bericht
weet iemand wat er aan te doen is?
is het gevaarlijk?

Mocht je niemand kennen die je kan helpen:
Sla dit bericht op en haal de internet stekker even uit je computer.

Je kan als je in een sleutel wijzigingen aan wil brengen de sleutel exporteren waarin je de wijziging aanbrengt.
Let er wel op dat als windows door een wijziging van een waarde niet meer op te starten is, dat importeren dus niet meer in de windowsomgeving kan.
Dus geen dingen doen in het register waar je de uitkomst niet van weet.

winshosts.exe is geen essientieel proces waar windows niet meer door opgestart zou kunnen worden.
Start/Uitvoeren > typ REGEDIT en klik OK.

Linker venster register:
dus kan je eerst de sleutels exporteren door er rechts op te klikken > exporteren:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

Rechtergedeelte register:
en dan alleen de waarden "winshost.exe" = "%winsysdir%\winshost.exe" uit die sleutels te verwijderen.

Dan ga je naar Start/Configuratiescherm/mapoties > tabblad weergave, lees alle regels en zorg ervoor dat alle verborgen bestanden en mappen zichtbaar zijn.

Dan open je deze computer in windows, dus niet in het register, en klik je op de knop zoeken.
Daar klik je op Alle bestanden en mappen.
Dan klik je in het zoekvenster op Geavanceerd opties, zorg je dat de bovenste 3 regels aangevinkt zijn onder Type bestand.

Dan typ je winshost.exe in het zoekvenster onder De volledige of gedeeltelijke bestandsnaam.
Dan klik je op de knop zoeken.
Niet alles wat er weergegeven wordt is daar winshost.exe, maar je moet dan even in de zoekresultaten kijken of die er tussen staat.
Meld hier dan de locatie waar die staat, klik er rechts op en verwijder winshost.exe,
en verwijder die direct uit de prullenbak.
Dan sluit je alle HKEY sleutels in het linker deel van het register en selecteer je deze computer bovenin.
Dan klik je in het register menu bewerken/zoeken... (Ctrl+F)
vink alle vinkjes aan in dat zoekvenster van het register en typ winshost en klik OK.
Mocht je sleutels/waarden met die naam tegenkomen, klik dan rechts op die sleutel en klik links op Sleutelnaam Kopiëren, en meld dat hier als je dat wilt.
zet systeemherstel ook even uit.
Start/Configuratiescherm/systeem/tabblad systeemherstel.
Vink systeemherstel op alle stations uitschakelen even aan en klik ok.
Die kan je daarna weer uitvinken en op ok klikken.
Om te voorkomen dat in systeemherstel de worm is geinfecteerd verwijderd het uitschakelen van je systeemherstel ervoor dat alle oude punten verwijderd worden.


Start dan windows opnieuw op.

Dan scannen met mcafee, en als alles goed funcioneerd de geëxporteerde registersleutels weg gooien.

Nog een tip voor in Start/Configuratiescherm/mapoties > tabblad weergave,
vink daar extenties voor bekende bestandstypen verbergen uit.
Dan zie je altijd de extentie van alle bestanden, ook die je gaat downloaden.
Stel je wil een mp3 downloaden, dan zou je in geval van dat er iets anders binnen zou komen, al zien voor je het opslaat of de extentie van het bestand wat je download ook daadwerkelijk mp3 is.

Succes.

PS, ik hoop dat je systeem daarna weer in orde is, aangezien wormen zeer kwaadaardig zijn en systeembestanden van windows zelf kunnen infecteren.

Dat heeft te maken met hoe een trojan zich beweegd met verschillende bestanden en extenties.

Als windows geinstalleerd is op C:

Eerst wordt er een *.exe op je computer gezet die dus afkomstig is van die trojan.
Die exe zet dan direct *.dll bestanden in je systeem, meestal in C:\Windows\system32 en *.sys bestanden meestal in de map C:\WINDOWS\system32\drivers

De systeem map system32 van windows en de map drivers die daarin staat, daar staan bestanden die je niet mag verwijderen,
en daar staan dus de bestanden van de trojan tussen.

Nu moet je even goed opletten, dat je niet de verkeerde bestanden daar verwijderd.
*.sys bestanden van de trojan, die maken elke keer weer opnieuw die *.exe aan.
Zolang die er nog staan in de map drivers in system32, blijft de *.exe eeuwig terug komen.

Open de map C:\WINDOWS\system32\drivers

menu beeld>details kiezen...
Als je in de map system32 of drivers info wil van je bestanden, zet dan in menu beeld de weergave op Details klik dan rechts op naam direct onder de adresbalk van de geopende map. Dan zie je wat je aan details uit en aan kan vinken.
Daarmee kan je veel info te weten komen over bestanden op je computer.
Je kan in die lijst veel overbodige info uitschakelen en de info die je nodig hebt laten tonen.
Als je in dit voorbeeld de map system32 in windows geopend hebt, en je klikt rechts op naam direct onder de adresbalk van de geopende map, en klikt onder in die lijst op Meer..., dan kan je bedrijf en Beschrijving laten tonen.
je kan dan de bestanden sorteren op Bedrijf pas dat op alle mappen toe in mapopties tabblad weergave

De namen van de *.sys bestanden afkomstig van de trojan, je moet dus zeker weten dat je de goeie verwijderd, omdat in die map alle driver bestanden staan van al je drivers.

 *.sys bestanden (drivers, zijn platforms(stuurprogramma's) voor besturingselementen .dll gestart door een .exe) letters achter de punt in een bestandsnaam vormen de extentie (type)


De *.dll bestanden afkomstig van de trojan staan dan in system32, maar ook daar, je mag alleen de bestanden verwijderen als je zeker weet dat je de goeie te pakken hebt.

Omdat mcafee alleen de *.exe van de trojan verwijderd, en niet de *.sys en *.dll bestanden, komt deze steeds terug.

Doe het ff zo, en als je meerdere computers in de buurt hebt, haal internet ff van die pc af.
Je kan zoeken met google naar bestandsnamen die je in de systeemmappen system32 en drivers ziet staan en er ook nog info over vergaren.

Succes, en laat even weten wat je vindt in de drivers map, maak er anders een printscreen van en plemp hier ff een plaatje neer, dan kunnen we ff kijken welke *.sys bestanden die *.exe steeds weer aanmaakt.

Gooi geen bestanden weg als je niet 100% zeker bent dat je de trojan weg mikt, anders kan je systeem beschadigen.
de *.sys bestanden van de trojan, die zijn de boosdoener, de *.dll bestanden van de trojan, die zijn ff prioriteit 2 nu.

Met de map drivers in beeld op de toets Prnt scr of print screen drukken,
paint openen, menu bewerken/plakken en opslaan als jpg.

http://tinypic.com/

Upload hier je afbeelding en kopieer de tekst in de regel
IMG-code voor forums & berichtenforums en plak die hier in een bericht

erik
dankjewel,ik vind dit als leek doodeng.
waar woon je? ik in castricum