Hulp nodig bij virus herkenning - Privacy en beveiliging

vrijdag 18 februari 2005 09:12

Acties:

Topicstarter

Er waar hier op het moment een virus rond, wat zich niet zo snel laat identificeren. Het manifesteert zich als volgt:
maakt gebruik van een vulnarability (ms04-11) is hier al bekend,

bij opstarten van xp/2000 komt de melding: Er is een fout in LSA shell (export version) opgetreden. Dit programma zal worden afgesloten.

Hierna volgt na een aantal minuten de melding dat NT AUTHORITY/SYSTEM de pc gaat rebooten.. En dit blijft zo doorgaan. Klinkt als een Sasser/MS Blaster variant, maar nu komt de catch, mcafee 8 met virusdefinities van 16-2 vind nada..
"Sommige" pc's geven meldingen dat het w32.korgo.aa virus gevonden is.. Maar lang niet alle, lijkt erop ofdat mcafee niet helemaal zeker is (misschien dat de signature Korgo wel benaderd. Pc's zijn allemaal up to date met dezelfde defenities). Als er op geinfecteerde pc's de mcafee stinger gedraaid wordt, of de bitdefender Korgo removal tool (die verschillende varianten detecteert) vinden deze ook helemaal niets op geinfecteerde pc's. Pc's die gepatched zijn met KB835732-x86-ENU rebooten in ieder geval niet meer, maar goed.. Deze blijven wel besmet. Ik heb zelf geen idee meer welk virus dit verder kan zin. Nieuwe variant oi.d.? Iemand enig idee?

vrijdag 18 februari 2005 09:35

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Afhankelijk van het virus kan ik best indenken dat een virus reeds de scanner onklaar heeft gemaakt. Ook kunnen er twee virussen rondwaren in het netwerk ipv. een.

Haal een besmet bestand eens door http://virusscan.jotti.org zodat je een overzicht hebt van hoe het wordt herkend door wie en kan je vervolgens per antivirusbedrijf kijken naar wat ze er als removal opties beschrijven

offtopic:
Welkom op GoT

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 18 februari 2005 10:26

Acties:

xxxneoxxx

Topicstarter

Da's het vreemde ervan, we kunnen egen bestemme bestanden vinden.. Hebben ook al NAI gecontact, deze vroeg ook al een besmet bestand op te sturen. De virusmeldingen die mcafee geeft als hij Korgo detecteert, zijn bij bestanden, die niet terug te vinden zijn..

vrijdag 18 februari 2005 10:31

Acties:

Arnaud

Doe eens een "Off-line check" op een pc. Dit doe je door via een niet besmet OS te booten (Knoppix, BartPE, AntiVirus-CD) en dan het besmette OS te scannen.

vrijdag 18 februari 2005 11:12

Acties:

tc982

Of probeer eens een ander anti virus pakket er op te installeren! ( offline natuurlijk )

Computers make very fast, very accurate mistakes.

vrijdag 18 februari 2005 14:34

Acties:

pasta

Ondertitel

Zodra je het virus weg hebt, zou ik ook aanraden om je computer eens te updaten. Die fix is toch al enige tijd uit, alsmede tal van andere patches.

Signature

vrijdag 18 februari 2005 15:48

Acties:

xxxneoxxx

Topicstarter

Hmm.. SUS heeft alle pc's al gepatched als het goed is.. Maar schijnen er toch een aantal door de mazen van het net heen geglipt te zijn.. (sus zuigt.) Anyways, zjin via SUS opnieuw "geadvertised.."

Pc's die de patch hebben, booten iig neit meer steeds opnieuw. Ben nu nog een aantal fixes van Mcafee aan het proberen. Standalone scanners hebben niet veel kunnen vinden.. Ook niet echt rare bestanden op besmette pc's gewonden. ook bijvoorbeeld in de registry gekeken, hklm\software\microsoft\windows\currentversion\run
hklm\software\microsoft\windows\currentversion\runservices
hkcu\software\microsoft\windows\currentversion\run,
win.ini en system.ini ook bekeken.. Niets kunnen vinden tot dus ver..