Ik heb precies hetzelfde popupje vandaag voor het eerst gezien toen ik in Windows Explorer naar C:\documents and settings\administrator\start menu zat en op menu opties trachtte te klikken.
Dubbel irritant want elk kind hoort te weten dat Microsoft nooit op een dergelijke opdringerige wijze om je password gaat vragen. EN ik kon dus gewoon niet bij mijn menuutjes komen. Lag wel erg duimendik er bovenop dat het malware moest zijn. Toevallig heb ik afgelopen zondag maar weer's mijn puter aan laten staan, in safe mode, hitman pro en avg antivirus full scan, meer van dat soort opruimwerkzaamheden terwijl ik lekker van de zon genoot.
s'Avonds logs gelezen, nog geen tracking cookie.
Vanochtend blaatte AVG ineens VIRUS FOUND, verwijzend naar een bestand in mijn recycle bin.
Backdoor.CIAdoor.3.AF in A0032916.sys. Het bestand zegt me niets, Google maakt me ook niks wijzer over dat bestand, wel over die CIAdoor, zie onder tearline.
Een blik in Taskmanager leerde me dat er een onbekende actief was, GARVHU.exe, waar nergens iets over te vinden is. Na deze te hebben gekild en gewist bleek ik weer bij de explorer menu's te kunnen.
GARVHU was in de registry te vinden als "rootkit detection utility".
----
Discovered: November 23, 2003
Updated: August 16, 2004 03:20:20 PM PDT
Also Known As: Backdoor.Ciadoor.12.b [Kaspersky], Backdoor-ASB [McAfee]
Type: Trojan Horse
Infection Length: 128,205 bytes
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Backdoor.Ciadoor.B is a Trojan Horse that gives unauthorized access to a compromised computer.
Protection
* Virus Definitions (LiveUpdate™ Weekly) November 26, 2003
* Virus Definitions (Intelligent Updater) November 24, 2003
Threat Assesment
Wild
* Wild Level: Low
* Number of Infections: 0 - 49
* Number of Sites: 0 - 2
* Geographical Distribution: Low
* Threat Containment: Easy
* Removal: Moderate
Damage
* Damage Level: Medium
* Payload Trigger: N/A
* Payload: N/A
* Large Scale E-mailing: N/A
* Deletes Files: N/A
* Modifies Files: N/A
* Releases Confidential Info: Allows unauthorized access to data on your computer.
* Degrades Performance: N/A
* Causes System Instability: N/A
* Compromises Security Settings: Allows unauthorized access to your computer.
Distribution
* Distribution Level: Low
* Subject of Email: N/A
* Name of Attachment: N/A
* Size of Attachment: N/A
* Ports: N/A
* Shared Drives: N/A
* Target of Infection: N/A
* Time Stamp of Attachment: N/A
Writeup By: Maryl Magee
---
Deze GARVHU zal wel een nieuwe versie zijn gebaseerd op deze oude CIAdoor, anders had hij toch niet hier binnen kunnen dringen en actief kunnen worden lijkt me. Met een ander jasje aan, ander petje op, zonder baard loopt Osama BL ook zo door de douane.
GARVHU zelf stond trouwens in mijn Temp folder.
Hoe dat daar gekomen kan zijn is me nog een raadsel, evenals hoe het actief kon zijn.
De suggestie dat het iets met Messenger te maken kan hebben gaat voor mij zeker niet op.
Ik ben wel voor het eerst sinds jaren in een chatbox geweest vorige week. die vroeg me of 'ie een stukje java mocht installeren, leek me kosjer.
Die chatbox was op
*knip*
Ga dat nou niet uitproberen tenzij je een anti-virus-researcher bent!
Ga er maar vanuit dat de meeste hier geen anti-virus-researchers zijn, en dat we ook niet naar warez-sites willen linken. 
Ik was toevallig toch al van plan om zeer binnenkort mijn enigszins versleten XP opnieuw te gaan installeren op een schoon geformatteerde schijf. Ik denk dat ik daar nu maar 's wat spoed achter ga zetten. En in de tussentijd nog even extra waakzaam zijn. Ik dacht dat ik de boel aardig dichtgetimmerd had:
Zonealarm
AVG antivirus resident en regelmatge full scan
Hitman Pro regelmatige full scan
Firefox
nooit verdachte executables openen
nooit verdachte emails openen
En nog kan er zoiets binnenkomen en actief worden!!
Ik ben bang dat het bestand waarmee het binnengekomen is en het mechanisme waarmee het geactiveerd is (registry key?) nog altijd niet herkend zijn, laat staan onschadelijk zijn gemaakt.
Het doet me denken aan de verschrikkingen van Blaster jaren terug. Maar ja, die craste de boel nog, dit is een backdoor die de zaak wagenwijd openzet. En dan nog hebben ze het grove lef om je ook nog open en bloot om je password te gaan vragen!
[
Voor 14% gewijzigd door
pasta op 13-09-2006 12:55
]
/u/28468/librarian2.png?f=community)
)/u/35935/logo.png?f=community){kind=logo}
:strip_icc():strip_exif()/u/163898/RedSpiral.jpg?f=community)
:strip_icc():strip_exif()/u/87691/avatar_alex.jpg?f=community){kind=avatar}
:strip_exif()/u/49026/compwar_17278.gif?f=community)
:strip_exif()/u/53221/jos.gif?f=community)
/u/64936/crop560fa53296a1c.png?f=community)
:strip_icc():strip_exif()/u/16763/crop566aa99d61c99_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/132443/crop62deab1dcf2c6.jpg?f=community)
/u/30687/mvzklein.JPG?f=community)
