Sinds enige tijd heb ik op onze NT4 pc's en server een hardnekkig virus,
malware of spyware zitten. Het begon met het starten van een bestand
dirx9.exe genaamd door een sleutel in de registry
HKLM\software\Microsoft\Windows\Currentversion\Run . Deze sleutel opent
dirx9.exe . Ik heb de sleutel verwijderd, het bestand verwijderd opnieuw
opgestart. Twee dagen geen problem gehad, derde dag stond hetzelfde bestandje
dirx9.exe weer bij de opgestarte processen en werd cmd.exe weer volop
gebruikt. Ditmaal liet het proces zich niet stoppen en kon ook het bestand
niet verwijderd worden. De sleutel was echter niet in de registry meer te
zien. Het bestand toch verwijderd in safe mode maar nu is er geen proces meer
te zien, geen bestand te verwijderen en toch wordt cmd.exe weer voor bijna
100 procent weer gebruikt. De enige oplossing die enigzins werkt is cmd.exe
te hernoemen maar dat kan niet op de server omdat daar enkele taken lopen die
cmd.exe nodig hebben.
Als iemand een oplossing weet graag doorgeven. Bedankt.