Toon posts:

Mogelijk besmet met bkdr_deloder ?

Pagina: 1
Acties:

dinsdag 1 februari 2005 01:26

Acties:
  • Raymond
  • Registratie: Maart 2000
  • Laatst online: 29-01 00:12

Raymond

Topicstarter
Vandaag verscheen er op mijn pc zomaar een aantal bestanden in de winnt\addins dir.

Ze heetten smrs.exe, Admdll.dll, inst.exe (en nog een paar, die ik vergeten ben)

Ik heb ze gedelete (moest wel wat truukjes daarvoor uithalen), maar ze verschenen even later weer vanzelf. Ik heb dat smrs.exe gegoogled (die wilde namelijk ook naar buiten toe connecten en mijn firewall ving dat af) en vond wat pagina's over bkdr_deloder. De dingen die daarin genoemd werden (dameware en Admdll.dll bijvoorbeeld) kwamen me erg bekend voor.

Ik heb gescand met een virusscanner (van trendmicro) en ik heb adaware erop losgelaten, maar beide vonden niets.
Ik heb ook deze instructies gevolgd, maar ik ben er niet 100% zeker van dat het nu ook over is.

Iemand een idee hoe ik kan uitvogelen of ik er nu echt vanaf ben?

dinsdag 1 februari 2005 01:31

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01-2025

pasta

Ondertitel

Je zou 1 van die files even door Jotti's online malware scan kunnen halen, om er zeker van te zijn dat het ook daadwerkelijk die infectie was. Mits je ze niet verwijderd hebt natuurlijk. ;) Verder zou ik aanraden om nog even een volledige scan uit te voeren met een virusscanner zoals Kaspersky. :) Heb je sowieso een virusscanner geïnstalleerd? Zo ja, welke is dit? Is je Windows installatie ook helemaal up-to-date? (Service Pack 2 geïnstalleerd voor Windows XP bijv.?) :)

Signature

dinsdag 1 februari 2005 01:39

Acties:
  • Raymond
  • Registratie: Maart 2000
  • Laatst online: 29-01 00:12

Raymond

Topicstarter
Ik heb ze idd verwijderd. De dir heb ik standaard in een explorer mapje open staan, om te zien of ze weer opduiken :)
Ik zal idd even een virusscanner downloaden en draaien. Ik draai niet standaard een virusscanner. Ik heb maar 1x een "echt" virus gehad en dat was het michelangelo virus in 1996 (geloof ik). Verder heb ik alleen last van wat spyware op zijn tijd (maar aangezien ik regelmatig adaware draai, staat dat nooit lang op mijn pc). Slecht, ik weet het :o
Dat trendmicro trok zich overigens niets van die bestanden aan (ze stonden nog op mijn pc toen ik op virussen scande), terwijl de trendmicro website wel info over deze trojan/virus heeft.

Mijn windowsinstallatie is helemaal ge-windowsupdate (win2k btw).
En ik draai dus ook een firewall, die redelijk streng staat ingesteld (ik krijg van alle nieuwe software een melding en ik heb alleen hele specifieke hosts en ip-ranges ingesteld)

woensdag 2 februari 2005 00:21

Acties:
  • Raymond
  • Registratie: Maart 2000
  • Laatst online: 29-01 00:12

Raymond

Topicstarter
M'n firewall geeft net weer de melding dat smrs.exe het internet op wil. En in die addins directory staan de bestanden weer terug.

En ik heb nog steeds geen virus. . .

woensdag 2 februari 2005 00:28

Acties:
  • Raymond
  • Registratie: Maart 2000
  • Laatst online: 29-01 00:12

Raymond

Topicstarter
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75

Logfile of HijackThis v1.99.0
Scan saved at 0:24:58, on 2-2-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\crypserv.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINNT\system32\hphmon05.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
E:\INSTALL\PowerMenu\PowerMenu.exe
C:\WINNT\system32\HPZipm12.exe
C:\WINNT\addins\smrs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\Documents and Settings\van Weeghel\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [FORUM=9]Audio, Video & HiFi[/FORUM]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [FORUM=9]Audio, Video & HiFi[/FORUM]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINNT\system32\hphmon05.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: PowerMenu.exe.lnk = E:\INSTALL\PowerMenu\PowerMenu.exe
O4 - Startup: ut-vpn.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - https://edu3.web.wur.nl/qp2.cab
O16 - DPF: {106E49CF-797A-11D2-81A2-00E02C015623} (AlternaTIFF ActiveX) - http://www.alternatiff.com/install/00/alttiff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/ps/en/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{B72F1C82-BB91-4FB2-AEF8-6D416A011C05}: NameServer = 130.89.1.2 130.89.1.3
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: Adobe LM Service - Unknown - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: Universal Serial Bus Control Protocol - Unknown - C:\WINNT\addins\smrs.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe

woensdag 2 februari 2005 00:36

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01-2025

pasta

Ondertitel

Raymond schreef op woensdag 02 februari 2005 @ 00:21:
M'n firewall geeft net weer de melding dat smrs.exe het internet op wil. En in die addins directory staan de bestanden weer terug.

En ik heb nog steeds geen virus. . .
Heb je ondertussen al 1 van die files even door Jotti's online malware scan gehaald? Misschien dat dit enige uitleg kan geven. :) Je zou ondertussen ook een volledige scan kunnen uitvoeren met een virusscanner zoals Kaspersky. :)

Signature

woensdag 2 februari 2005 00:55

Acties:
  • Raymond
  • Registratie: Maart 2000
  • Laatst online: 29-01 00:12

Raymond

Topicstarter
Heb ik gedaan: Die files vormen samen een remote admin dingetje.

Kaspersky draait nu, maar vindt nog niks (behalve iemand met een 80.nogwattes ip die me wil infecteren met het lovesan virus)

woensdag 2 februari 2005 01:00

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01-2025

pasta

Ondertitel

Probeer ook eens met de extended bases van Kaspersky te scannen. :) Deze vindt ook nog dingen die niet noodzakerlijkerwijs een virus hoeft te zijn, maar wel een risico voor je pc kan vormen. :)
Raymond schreef op woensdag 02 februari 2005 @ 00:55:
Heb ik gedaan: Die files vormen samen een remote admin dingetje.

Kaspersky draait nu, maar vindt nog niks (behalve iemand met een 80.nogwattes ip die me wil infecteren met het lovesan virus)
De detectie van de remote admin is bijv. gedaan met de extended bases. :)

[ Voor 50% gewijzigd door pasta op 02-02-2005 01:03 ]

Signature

woensdag 2 februari 2005 01:06

Acties:
  • Raymond
  • Registratie: Maart 2000
  • Laatst online: 29-01 00:12

Raymond

Topicstarter
Hij is al een half uur bezig met het downloaden van de databases.
(en dat terwijl mijn ADSL al van 2240 naar 3200 is gegaan :P )

Edit: Update compleet. Ik laat hem wel scannen en de pc uitzetten. Morgenavond post ik wel de resultaten (dat scannen duurt me veel te lang, ik ga lekker pitten :P )

[ Voor 40% gewijzigd door Raymond op 02-02-2005 01:10 ]

woensdag 2 februari 2005 19:07

Acties:
  • Raymond
  • Registratie: Maart 2000
  • Laatst online: 29-01 00:12

Raymond

Topicstarter
Nou, hij is nog steeds aan het scannen 8)7

De slimmeriken bij kaspersky laten hun programma gewoon doodleuk een dag wachten op iemand die op de <ok> knopt drukt.
Lekker nuttig als je de optie "turn pc off when scan is done" functie hebt aangeklikt. Want dan zit ik natuurlijk achter de pc klaar om op alle domme vragen van dat prog te antwoorden :+

Magoed, hij heeft een extra component van die trojan (?) gevonden, die in de winnt\system dir stond.

Hopelijk ben ik nu van het geneuzel af :)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq