Toon posts:

Alles
1+

mommafuck.exe/gmx.exe/test.exe worm of hack?

Pagina: 1

Acties:

194 views sinds 30-01-2008
Reageer

donderdag 17 maart 2005 00:20

Acties:

Verwijderd

Topicstarter

op verzoek van pasta even op nieuw gestart,zie ook
[rml]imhoteb in "[ win2k]Rare praktijken, ben ik gehackt ?"[/rml]
heb eerst een ghost teruggezet en hoopte dat het klaar was.
niet dus!!!!
ook daar stonden de .exe bestanden nu dus weer.
(conclusie = dat ik toen dus al iets had maar het niet wist)
heb sindsdien handmatig de .exe bestanden verwijdert.
verscheidene pogingen gedaan norton te updaten.
gelukkig was eea nog niet actief om mn update te verstoren
eea is eindelijk gelukt.daarna in veilige modus enkele malen gescant
en verschillende virusjes/adware-gevallen verwijdert.
er bleven 2 over die norton niet kon verwijderen of in quarentaine kon plaatsen.
nml. NDNuninstall 20.exe en NDNuninstall 48.exe,die heb ik gewoon via de verkenner
verwijdert(ook uit de prullenbak)
alles lijkt nu oke,maar ik vindt wel een wuytc.exe in meervoud terug in mn processen
en in mn opstart (via ms config).

weet iemand wat voor bestand het is??

donderdag 17 maart 2005 00:25

Acties:

Verwijderd

http://www.google.com/sea...a&num=0&ie=utf-8&oe=utf-8

Zo te zien is het een virus o.i.d.. Ik zou het verwijderen. !

$_/-\o_$ $_/-\o_$

donderdag 17 maart 2005 00:37

Acties:

Ondertitel

Begin sowieso eens met dat bestand (wuytc.exe) te scannen op Jotti's online malware scan. Dit zou sowieso al duidelijk moeten maken wat voor virus het is. Vervolgens zou ik even zoeken op de naam van het virus. Misschien dat een bepaalde AV-vendor er een write-up over geschreven heeft, en weet hoe je het moet verwijderen (al dan niet handmatig).

Probeer anders eens een scan met een andere virusscanner, zoals Kaspersky Personal AV (met extended bases). Wellicht dat die nog zaken vindt die je zelf over het hoofd had gezien.

Signature

donderdag 17 maart 2005 12:18

Acties:

Zelfde virus gehad.. opnieuw installen maakt niet uit.

Maakt verbinding met internet: www...... asianfuck.htm of iets dergelijks en haalt dan de virussen naar binnen.

Mommafuck.exe
test.exe
(komen na verwijderen weer terug)
WuyTC.exe
sp00lsv.exe
mediapass.exe
mediapassk.exe

enzovoort.

Heb maar fdisk gedaan.
Kreeg het trouwens opnieuw na het installen van SP2

trouwens na een tijdje online zijn gooit hij je iexplore eruit en verwijderd je verbinding in de netwerkverbindingen. De modem is dan echter nog wel actief... blijkbaar een route eromheen.

Ik snap er niets van maar is het meest hardnekkige wat ik tot nu toe ben tegengekomen.

Pestpatrol, Mcafee, norton, onlinescans, niets ziet de files... alleen af en toe een backdoor die gezien wordt maar niet de exe files die ik hier noemde.

[ Voor 38% gewijzigd door 3d0zer op 17-03-2005 12:21 ]

donderdag 17 maart 2005 12:44

Acties:

Verwijderd

Probeer Hitman Pro 2 eens?Als je de vorige thread had doorgelezen, dan had je kunnen lezen dat hij dat al gedaan had.

[ Voor 43% gewijzigd door pasta op 17-03-2005 15:55 ]

donderdag 17 maart 2005 13:34

Acties:

Verwijderd

Topicstarter

voor ik wuytc.exe kan scannen met jotti moet ik m eerst wel lokalliseren.
en dat wil dus niet want ik kan m niet vinden,terwijl ie wel in mn processen staat(wel 3 keer)
en in mn opstart (bij msconfig) ook meerdere keren.
dus....??vreemd!!!!

heb mn hitman omgeruild met mirosoft antispyware(moet ook goed zijn)
http://www.microsoft.com/...are/software/default.mspx

3dozer, hoe is het bij jouw afgelopen??

donderdag 17 maart 2005 15:41

Acties:

nieuwe install.. fdisk en helemaal leeg gegooid.... OS op aparte schijf rest op andere schijf....

was niet te repareren....

Echt super hardnekkig geen enkel programma pakt ze... is gewoon een onbekend virus/backdoor/trojan/ hack... weet ook niet.

donderdag 17 maart 2005 15:58

Acties:

Ondertitel

3d0zer schreef op donderdag 17 maart 2005 @ 15:41:
nieuwe install.. fdisk en helemaal leeg gegooid.... OS op aparte schijf rest op andere schijf....

was niet te repareren....

Echt super hardnekkig geen enkel programma pakt ze... is gewoon een onbekend virus/backdoor/trojan/ hack... weet ook niet.

Nou, dat geloof ik niet zo zeer. Dat je normale virusscanner het niet herkent wilt niet zeggen dat een andere virusscanner het ook niet herkent.

@TS: Je hebt wel verborgen bestanden en mappen weergeven aangezet, zowel als Beveiligde systeembestanden verbergen uitgezet?

Signature

donderdag 17 maart 2005 17:02

Acties:

Hmm .. ok ..

Uitgeprobeerd:
Norton
McAfee
Bitdefender (online)
PCcillin

Pestpatrol
Adaware
spybot

Niet genoeg?

Ow ja ook nog Hijack this....

Dus zoals je kan zien heb ik aardig wat dingen uitgeprobeerd.
BTW ook een Image van de instal van 2 jaar geleden (toen had ik het echt nog niet) gaf na de re-install weer een virus... mommafuck.exe en test.exe met daaraan weer allerlei andere virusbestanden

Geloof me dit is echt wel hardnekkig...

ow ja en natuurlijk verborgen bestanden aangezet... ik wil die namelijk altijd kunnen zien.

[ Voor 10% gewijzigd door 3d0zer op 17-03-2005 17:04 ]

donderdag 17 maart 2005 17:13

Acties:

http://www.superadblocker.com/W/WUYTC.EXE-4180.html

zij zeggen er iets over, misschien kan je er iets mee

Summary :
Unclassified.Unknown Origin.Process

Company :
Unknown

Description :
Randomly named application process. Contains deceptive, incomplete, or missing version or company information and is installed in the Temp, Windows, System, System32, or Application Data directories. May also be found under randomly named sub-directories under these folders or Program Files.

Spyware applications are responsible for any number of potential privacy violations. Adware applications are responsible for serving various types of advertising.

This application may exhibit the features of adware, spyware, or both.

Threat Level (1-10) :
10

Processes :
(varies)
(FUWWWAL.EXE)
(KKVYBM.EXE)
(CRTD.EXE)
(NETUI32.EXE)
(AAQW.EXE)
(SDKGC32.EXE)
(9URA.EXE)
(MMFNCV9K.EXE)
(93KWIF.EXE)
(XLWLODVM.EXE)
(PJLUESNM.EXE)
(OWUJSLR.EXE)
(YLCHBBF.EXE)
(VAXBDNGH.EXE)
(DGRLNZ.EXE)
(2NU0BQF6.EXE)
(BGYHE.EXE)
(FJLFYMT.EXE)
(JPMSK.EXE)
(SONX.EXE)
(XWMGTMW.EXE)
(GGIP.EXE)
(NPPWL.EXE)
(GS0H6CWF.EXE)
(GS0H6CWF1.EXE)
(YTQZATYKZINB.EXE)
(MZRZM.EXE)
(OYRCKBIU.EXE)
(RGFXXDE.EXE)
(LWIRJUC.EXE)
(ZIWZM.EXE)
(ZIWZL.EXE)
(NTBGR1.EXE)
(NEWRT.EXE)
(AEIAR.EXE)
(RRWKWO.EXE)
(YFWC.EXE)
(GMGLI.EXE)
(GCBT9.EXE)
(YSVUW.EXE)
(WUFGZTU.EXE)
(LSWXC.EXE)
(YLHPY.EXE)
(THRUL.EXE)
(SNWLITSU.EXE)
(RFBJ.EXE)
(OOQF.EXE)
(MOEU.EXE)
(LXYKI.EXE)
(LNKL.EXE)
(KWITBXVA.EXE)
(JBTYB.EXE)
(EFNH.EXE)
(YHJEHNQX.EXE)
(SDKJO32.EXE)
(JAVAAS32.EXE)
(ATLUK32.EXE)
(ATLHZ.EXE)
(IPOK.EXE)
(IEXY.EXE)
(X1002142005.EXE)
(Z0E46JR4.EXE)
(WJAJW.EXE)
(FWMTW4MO.EXE)
(OOC.EXE)
(TII.EXE)
(125777.EXE)
(MTE1NDM6ODOXMG.EXE)
(XCCU7APIK.EXE)
(T1UL.EXE)
(R47Y.EXE)
(PCRHOJY.EXE)
(NTRAWS.EXE)
(BQDXUED.EXE)
(ADDJRBVY2.EXE)
(MTE1MZC6ODOXMG.EXE)
(2.EXE)
(J.EXE)
(GCOCZZU.EXE)
(WUCXT.EXE)
(ESAT.EXE)
(MOIQRPBY.EXE)
(NJFPU.EXE)
(SSRZJV.EXE)
(DMHP.EXE)
(RRUP.EXE)
(K5.EXE)
(VZZJY.EXE)
(APP160.TMP)
(PBQAVK.EXE)
(CV0N6U.EXE)
(GTLTHT.EXE)
(DBRLC1.EXE)
(QI7IF2.EXE)
(VOVPOU.EXE)
(WNVDK.EXE)
(GWWAN.EXE)
(BU3CGTV.EXE)
(HHNLZXL.EXE)
(IBHJPDUN.EXE)
(VGGJDJ.EXE)
(3B74F42F.EXE)
(PALDBB.EXE)
(IHEE.EXE)
(2.EXE)
(LKEQAMY.EXE)
(HBQG.EXE)
(SRAR.EXE)
(QTBT.EXE)
(ZVERVF.EXE)
(WINPRXE32.EXE)
(QXKSVUOGF.EXE)
(LJJOOW.EXE)
(IIJYXZWS.EXE)
(RPYGPIJV.EXE)
(NYILVC.EXE)
(RURQA.EXE)
(SF.EXE)
(KWROA.EXE)
(YSHR.EXE)
(YBDCIBXA.EXE)
(MXOLRY.EXE)
(JVJQKW.EXE)
(AEHFBJVR.EXE)
(YSSCNV.EXE)
(XJUTJJ.EXE)
(XCVUNPK.EXE)
(VWNAFYIU.EXE)
(TXFA.EXE)
(POACJ.EXE)
(NYIDP.EXE)
(MSONPPLS.EXE)
(KRWCIV.EXE)
(KMFRM.EXE)
(ITEDIB.EXE)
(HOTXR.EXE)
(HHPSJANK.EXE)
(FTAPFOOV.EXE)
(DNIU.EXE)
(DLNGR.EXE)
(DAJS.EXE)
(BEUHOU.EXE)
(BCLGA.EXE)
(ATOVR.EXE)
(AMMFJIY.EXE)
(CUOAC.EXE)
(GJMCIVR.EXE)
(RKSLFSD.EXE)
(2AK641B6.EXE)
(1DWPCG.EXE)
(1PA8ZXU.EXE)
(4UDFSP.EXE)
(5ZBQSL.EXE)
(ATZRVRW.EXE)
(XATUX.EXE)
(OEUE.EXE)
(PUBDLG48.EXE)
(IEUI32.EXE)
(WUYTC.EXE)
(CVQARVOJK.EXE)
(SQXGDZ.EXE)
(239454.EXE)
(EWIARY.EXE)
(MTE1NTA6ODOXMG.EXE)
(AUAAPX.EXE)
(ASPI.EXE)
(CHLP.EXE)
(PKSDTLGK.EXE)
(COLBACT1.EXE)
(CNBJMON0.EXE)
(CCFGNT75.EXE)
(ZPPK.EXE)
(OOCNVOS.EXE)
(MTE1NJE6ODOXMG.EXE)
(FFUQIRPPAK.EXE)
(IMISYSI6.EXE)
(PMOC.EXE)
(PJMGG.EXE)
(TBONRGEZJ.EXE)
(XAAV.EXE)
(FUKRMU.EXE)
(WCPIDCTL.EXE)
(WIFCKBOX.EXE)
(XSHNQSPC.EXE)
(RULRDCQ.EXE)
(ILOI.EXE)
(AEIT.EXE)
(EBGINP32.EXE)
(D3SL.EXE)
(APIWE32.EXE)
(MSLTUS40.EXE)
(JAVAMK.EXE)
(APPPH.EXE)
(NTJD.EXE)
(UECPCXBMVF.EXE)
(ULGCOXVTB.EXE)
(FTQYWCQI.EXE)
(TDXREGWR.EXE)
(SDXREGOS.EXE)
(HARJTEY.EXE)
(XTZRIVW.EXE)
(ADPTIF.EXE)
(ADPTIF44.EXE)
(OREN.EXE)
(RIRR.EXE)
(OIDDNAHA.EXE)
(LGFX.EXE)
(ODKSBM.EXE)
(GB3.EXE)
(QRKU.EXE)
(ZYIITFA.EXE)
(BJLBZZ.EXE)

donderdag 17 maart 2005 19:42

Acties:

3d0zer schreef op donderdag 17 maart 2005 @ 17:02:
BTW ook een Image van de instal van 2 jaar geleden (toen had ik het echt nog niet) gaf na de re-install weer een virus... mommafuck.exe en test.exe met daaraan weer allerlei andere virusbestanden

Er moet een besmettingsbron zijn, 't is geen magie. Dus dit kan nog:
- verbinding met een netwerk (LAN of Internet)
- CMOS (komt niet vaak voor, maar kan. Resetten)
- software/drivers die je bij de install hebt gebruikt

Programmers don't die. They GOSUB without RETURN

donderdag 17 maart 2005 19:54

Acties:

Verwijderd

Topicstarter

oke...de super adblocker geinst. daarbij zit de funktie dat je de actieve processen kan scannen.
die wist ik eigenlijk wel. nu werdt wuytc.exe ook gevonden in mn sytem32 en als onbekend bestempeld.
via ctrl-c ctrl-v geplakt naar jotti en geupload.zie hier het resultaat;
=====================================================
Service load: 0% 100%

File: wuytc.exe
Status: INFECTED/MALWARE
Packers detected: FSG, PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT

AntiVir No viruses found (0.42 seconds taken)
Avast No viruses found (1.51 seconds taken)
AVG Antivirus No viruses found (0.75 seconds taken)
BitDefender Backdoor.RBot.2C0CB2C3 (0.58 seconds taken)
ClamAV No viruses found (0.65 seconds taken)
Dr.Web Win32.HLLW.MyBot.based (1.02 seconds taken)
F-Prot Antivirus No viruses found (0.94 seconds taken)
Fortinet No viruses found (0.46 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.SdBot.gen (2.04 seconds taken)
mks_vir Trojan.Rbot.Gen (0.43 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (1.41 seconds taken)
Norman Virus Control Sandbox: W32/Malware; [ General information ]

* File might be compressed.
* File length: 83968 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\wuytc.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates value "*Microsoft Update"="wuytc.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "*Microsoft Update"="wuytc.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "*Microsoft Update"="wuytc.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run".
* Creates value "*Microsoft Update"="wuytc.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates key "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run".
* Sets value "*Microsoft Update"="wuytc.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run".
* Creates key "HKLM\System\CurrentControlSet\Services\*Microsoft Update".
* Sets value "ImagePath"="C:\WINDOWS\SYSTEM\wuytc.exe" in key "HKLM\System\CurrentControlSet\Services\*Microsoft Update".
* Sets value "DisplayName"="*Microsoft Update" in key "HKLM\System\CurrentControlSet\Services\*Microsoft Update".
* Sets value "restrictanonymous"="" in key "HKLM\System\CurrentControlSet\Control\Lsa".

[ Network services ]
* Looks for an Internet connection.
* Connects to "999d38e693b9e6293b450.0existence.com" on port 51345 (TCP).
* Connects to IRC Server.
* Attempts to delete share named "IPC$" on local system.
* Attempts to delete share named "ADMIN$" on local system.
* Attempts to delete share named "C$" on local system.
* Attempts to delete share named "D$" on local system.

[ Process/window information ]
* Creates a mutex wuytc.exe.
* Will automatically restart after boot (I'll be back...). (20.80 seconds taken)

Statistics
Last piece of malware found was Worm/Sdbot.39936.B in sdbot05b.exe, detected by:

Scanner Malware name Time taken
AntiVir Worm/Sdbot.39936.B 0.39 seconds
Avast X 1.53 seconds
AVG Antivirus X 0.59 seconds
BitDefender Backdoor.SDBot.E0E172BF 0.53 seconds
ClamAV Trojan.Sdbot 0.59 seconds
Dr.Web BackDoor.IRC.Vegas 0.90 seconds
F-Prot Antivirus X 0.11 seconds
Fortinet X 0.47 seconds
Kaspersky Anti-Virus Backdoor.Win32.SdBot.gen 1.00 seconds
mks_vir X 0.73 seconds
NOD32 X 0.49 seconds
Norman Virus Control Sandbox: W32/Backdoor 1.01 seconds

Service statistics:

785 files (679 of those unique) have been uploaded & scanned since 17/03/2005, the day of the last database purge.
162 of those 679 files contained a virus or any other form of malware.
This page has been visited 1479 times in this time period.
This service managed to spot 15 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 443 suspicious files without any help from scanner results.
However, 0 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 100.00% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.

No I am not sitting still! A new, better version of this service is being developed.
If you have suggestions and/or comments, please send me them!
Most popular malware:

Rank Malware name Uploaded Last known filename
1 worm/sdbot.39936.b 12 times sdbot05b.exe
2 trojan.dropper.joiner.aj 6 times Speedhack.33pub.rar
3 tr/install.exploitw 5 times netapi32.dll
4 bds/ciadoor.13.1.b 4 times SVKP.SYS
5 worm/agobot.46.ar 4 times MSbvn32.exe
6 tr/dialer.fk 4 times PWebRecomendada.rar
7 trojan.spy.agent.y 4 times jump.rar
8 bds/optix.pro.13.a 4 times 2xLies mich!.exe
9 tr/madtol.a.10 3 times hProtect.exe
10 backdoor.rbot.2c0cb2c3 3 times wuytc.zip
11 modification of win32.benny.6382 3 times dj.exe.txt
12 tr/startpage.uo 3 times golc.dll
13 trojan.arun 3 times arun.exe
14 tr/drop.small.ty.2 3 times wldr.dll
15 worm/procil.a.1 3 times MapleProPrivate033.exe
===========================================================
wat doen we nu?? het is zo te zien(voor zover ik er verstand van heb)
niet echt fris ...toch?

donderdag 17 maart 2005 20:57

Acties:

Nou je ziet iig welke virusscanners het kunnen detecteren.
Ik denk dat je toch beter even deze raad van pasta op kunt volgen:

pasta schreef op donderdag 17 maart 2005 @ 00:37:
Begin sowieso eens met dat bestand (wuytc.exe) te scannen op Jotti's online malware scan. Dit zou sowieso al duidelijk moeten maken wat voor virus het is. Vervolgens zou ik even zoeken op de naam van het virus. Misschien dat een bepaalde AV-vendor er een write-up over geschreven heeft, en weet hoe je het moet verwijderen (al dan niet handmatig).

Probeer anders eens een scan met een andere virusscanner, zoals Kaspersky Personal AV (met extended bases). Wellicht dat die nog zaken vindt die je zelf over het hoofd had gezien.

Je weet nu iig wat voor virus het is (Backdoor.Win32.SdBot.gen), dus je zou op infomatie om het te verwijderen kunnen zoeken of je zou een scan met Kaspersky met extended bases kunnen proberen..

[ Voor 11% gewijzigd door Sassie op 17-03-2005 20:59 ]

zondag 20 maart 2005 23:21

Acties:

Verwijderd

Topicstarter

heb kasper gedownload met trial- key. ff getest op mn werk.
heb daar verder ook nog norton op staan.
kan het een conflikt geven??
mn pc draait daar nu als dikke stront zo traag.
ik moet steeds wachten na het geven van een opdracht.

heb nu handmatig de wuytc.exe(die op "c'stond )verwijdert.
en alles in't register weggegooit.
hij staat nog wel in mn opstart van mn msconfig maar niet meer in mn
processen,dus het is er nu mischien nog wel maar niet meer actief.
ik wordt ook niet meer doorgelinked naar die ***site.

vrijdag 25 maart 2005 01:26

Acties:

Ik zocht op "arun.exe" hier op got en kwam in deze topic. Zelf heb ik al ca. half jaar lang last van iets raars. Het begon op een andere pc in thuisnetwerkje van 3 pc's en daarna is het vermoedelijk op mijn eigen pc gekomen.

Eerst verscheen telkens in c: een autorun.inf die telkens of een install.exe of een update.exe/update32.exe liet opstarten, gelukkig detecteerde kaspersky dit gelijk en blokkeerde install.exe update.exe etc. Het startte een of andere trojan. De autorun.inf kwam echter telkens terug, kaspersky kon install.exe etc. wel telkens verwijderen en toegang/werking blokkeren.

Nu zie ik het niet meer op me C:....maar keert wel regelmatig terug op:

C:\Documents and Settings\All Users\Documents

In de autorun.inf staat open=arun.exe en verder staat in Documents map nog een install.exe. Niks helpt en deze dingen komen altijd terug, full scan met "zwaarste" settings van kaspersky helpen niet, heb ook een tijdje nod32 gedraaid (alles geupdated natuurlijk).

Wat volgens mij wel helpt is gewoon de autorun.inf editten en onzin erin typen en saven. De arun.exe en install.exe laat ik gewoon staan en ze worden ook niet meer gestart.

donderdag 7 april 2005 17:19

Acties:

mn..Ik heb nu ook de hele tijd last van die gebeuren.. De Dir`s die ik geshared heb komen "autorun.inf" en "Install.exe" in te staan.. k`kan ze wel verwijderen maar dan komen ze gewoon weer terug na een tijdje..

k`heb ook AVG draaien maar die detecteerd niks..

donderdag 7 april 2005 19:52

Acties:

Share je die dirs over een netwerk en zo ja is het dan een eigen thuisnetwerk of niet?
En heb je ook schrijfrechten aan anderen gegeven in die dirs?
Het zou natuurlijk ook van buitenaf (een andere pc) kunnen komen (zou mij niet verbazen als het alleen om die dirs gaat).

Je zou evt je eigen pc nog eens op rotzooi kunnen checken mbv hitmanpro en hijackthis en evt nog een scan met een andere virusscanner doen (bijv online). Ook zou je die "autorun.inf" en "Install.exe" kunnen laten checken bij http://virusscan.jotti.org.

[ Voor 5% gewijzigd door Sassie op 07-04-2005 20:04 ]

donderdag 7 april 2005 20:12

Acties:

Verwijderd

Thesilence07 schreef op donderdag 07 april 2005 @ 17:19:
mn..Ik heb nu ook de hele tijd last van die gebeuren.. De Dir`s die ik geshared heb komen "autorun.inf" en "Install.exe" in te staan.. k`kan ze wel verwijderen maar dan komen ze gewoon weer terug na een tijdje..

Klinkt als een Worm.Win32.Dedler variant.
Scan install.exe eens met een andere AV om hierover uitsluitsel te geven.

Als dat niets oplevert kun je de file naar mailadres in mijn sig sturen en dan zal een virus analyst er naar kijken.

donderdag 7 april 2005 22:27

Acties:

Sassie schreef op donderdag 07 april 2005 @ 19:52:
Share je die dirs over een netwerk en zo ja is het dan een eigen thuisnetwerk of niet?
En heb je ook schrijfrechten aan anderen gegeven in die dirs?
Het zou natuurlijk ook van buitenaf (een andere pc) kunnen komen (zou mij niet verbazen als het alleen om die dirs gaat).

Je zou evt je eigen pc nog eens op rotzooi kunnen checken mbv hitmanpro en hijackthis en evt nog een scan met een andere virusscanner doen (bijv online). Ook zou je die "autorun.inf" en "Install.exe" kunnen laten checken bij http://virusscan.jotti.org.

Ja klopt het is een thuis netwerk en ze hebben aan alle 2 kanten schijf rechten..
De pc`s staan verders geen rotzooi op zijn helemaal clean

Maar k`heb nu Remote Desktop uitstaan.. En ze zijn tot nu toe nog niet weer terug gekomen..

Maar k`wil anders wel Remote Desktop weer gebruiken..

k`zal het morgen weer even aan zetten en dan kijken of de bestandjes weer terug komen.. Zo ja dan scan ik ze wel even met alle mogelijke tools en virus scanners. En als die allemaal niks vinden meld ik het wel weer even

zaterdag 9 april 2005 19:38

Acties:

Verwijderd

als je format daarna wel pc helemaal uitdoen misschien blijft het virus in je geheugen zitten ofzo (ooit zoiets gehoord)

zaterdag 9 april 2005 22:56

Acties:

Tweaker in Spanje

Verwijderd schreef op zaterdag 09 april 2005 @ 19:38:
als je format daarna wel pc helemaal uitdoen misschien blijft het virus in je geheugen zitten ofzo (ooit zoiets gehoord)

Dude

RAM geheugen behoudt alleen zijn waarde ( en dus ook het virus or whtever) als er stroom op staat. Dus alles wat er opstaat verdwijnt als je je pc uitzet

[ Voor 11% gewijzigd door _Erikje_ op 10-04-2005 00:18 ]

zondag 10 april 2005 03:00

Acties:

Sol Lucet Omnibus

_Erikje_ schreef op zaterdag 09 april 2005 @ 22:56:
[...]
Dude
RAM geheugen behoudt alleen zijn waarde ( en dus ook het virus or whtever) als er stroom op staat. Dus alles wat er opstaat verdwijnt als je je pc uitzet

Ik neem aan dat hij bedoelt dat een soft reboot niet alle virussen wiped.
Dat is helemaal niet zo'n vreemde opmerking van hem.Sommige virussen zetten resetvaste code in het geheugen die een soft reboot overleeft.Even je pc 30 seconden uitlaten te be sure is echt niet zo gek als je met een schone lei wilt beginnen anders kun je straks overnieuw beginnen als je pech hebt

[ Voor 7% gewijzigd door blobber op 10-04-2005 03:01 ]

To See A World In A Grain Of Sand, And A Heaven In A Wild Flower, Hold Infinity In The Palm Of Your Hand, And Eternity In An Hour

zondag 10 april 2005 22:18

Acties:

Verwijderd schreef op donderdag 07 april 2005 @ 20:12:
[...]

Klinkt als een Worm.Win32.Dedler variant.
Scan install.exe eens met een andere AV om hierover uitsluitsel te geven.

Als dat niets oplevert kun je de file naar mailadres in mijn sig sturen en dan zal een virus analyst er naar kijken.

Het verschijnt weer, (die aub mijn eerdere post paar regels omhoog).

C:\Documents and Settings\All Users\Documents

Hierin staat een install.exe en een autorun.inf , ik denk dus dat het vanaf een andere pc uit de thuisnetwerkje komt.

Kaspersky AV personal pro Conslusion:

"Is a trojan Backdoor.Win32.Robobot.u"

Die install.exe en autorun.inf komen ook regelmatig op de andere pc's in de netwerk, heb ze met verschillende manier "gecleand" maar blijkbaar helpt het niet

Het blijft maar terugkomen, alles begon toen een vreemde laptop op het thuisnetwerk werd aangesloten...vanuit die laptop is het verspreid en het blijft maar terugkomen.

Dus wat ik altijd deed....de autorun.inf editten (de open=install.exe die erin staat veranderen dus), en de install.exe handmatig deleten, na een tijdje verschijnen beide weer en kaspersky geeft weer waarschuwing. Zelf gebeurt als ik de autorun edit en de install.exe gewoon laat staan.

Tja low format van de hdd zal wel helpen ja, en alles opnieuw installeren..en dat op alle pc;s in het netwerk. Maar als er een andere oplossing is dan hoor ik dat natuurlijk graag.

@Schouw : zal ik de install.exe ook naar de mailadres in je sig sturen?

zondag 10 april 2005 23:03

Acties:

Verwijderd

Sergej schreef op zondag 10 april 2005 @ 22:18:
[...]

Hierin staat een install.exe en een autorun.inf , ik denk dus dat het vanaf een andere pc uit de thuisnetwerkje komt.

Dat klinkt het meest aannemelijk.

Die install.exe en autorun.inf komen ook regelmatig op de andere pc's in de netwerk, heb ze met verschillende manier "gecleand" maar blijkbaar helpt het niet

Wat heb je precies gedaan om het te cleanen?
Alle pc's ontkoppelen en dan offline scannen en cleanen zou goed genoeg moeten zijn.

@Schouw : zal ik de install.exe ook naar de mailadres in je sig sturen?

Alleen Backdoor.Win32.Robobot.u op de systemen aanwezig?
Heb je al eens met de extended bases gescand?

Om de mogelijkheid van een 'generic' Backdoor.Win32.Robobot.u detectie uit te sluiten is het misschien het handigste. Nav. je replies op mijn vragen kan ik er dan voor kiezen om de situatie eens na te bootsen in een testlab.

maandag 11 april 2005 13:02

Acties:

Ik heb geprobeerd om kaspersky te verwijderen en dan NOD32 geinstalleerd&geupdate en daarmee gescand (offline). NOD32 detecteerde dezelfde files ook en verwijderde install.exe. De install.exe keerde weer terug.

Alleen Backdoor.Win32.Robobot.u op de systemen aanwezig.

Wat wel opvalt...ik deel mijn D:\ partitie ook volledig in de netwerk. In D:\ verschenen deze files ook regelmatig:

1) autorun.inf , met hierin open=arun.exe
2) arun.exe
3) install.exe

Na een tijdje verschenen deze files niet meer in mijn D partitie, hoewel deze nog wel volledig geshared wordt (alle schijfrechten toegestaan).

Nu komt alleen install.exe en autorun.inf in : C:\Documents and Settings\All Users\Documents (dus zonder arun.exe)

Omdat die "shared documents" map toch niet wordt gebruikt, heb sharen uitgeschakeld voor die folder op mijn pc. De laatste 2/3 dagen verschijnen de files niet meer in de Shared Documents folder.

Ik heb geprobeerd om ze van de andere pc's te verwijderen maar dit lukt dus niet. Wat ik ook geprobeerd heb is om de harde schijf van de betreffende pc uit te halen en als Slave in een andere systeem te stoppen en dan met kaspersky te scannen, ook dit helpt niet.

ik kan dat "extended bases" gebeuren niet downloaden, dus als ik in "Configure Updater" de update site naar "http://downloads1.kaspersky-labs.com/updates_ext" verander dan kan ie niet meer updaten.

[ Voor 9% gewijzigd door Sergej op 11-04-2005 14:47 ]

maandag 11 april 2005 13:26

Acties:

Verwijderd

Sergej schreef op maandag 11 april 2005 @ 13:02:
Ik heb geprobeerd om ze van de andere pc's te verwijderen maar dit lukt dus niet. Wat ik ook geprobeerd heb is om de harde schijf van de betreffende pc uit te halen en als Slave in een andere systeem te stoppen en dan met kaspersky te scannen, ook dit helpt niet.

Waarom lukt het verwijderen niet? Geeft KAV een (specifieke) melding?
Welke versie/build van KAV gebruik je?

dinsdag 12 april 2005 18:17

Acties:

Ik heb KAV pro 5.0.20 en op de andere pc's is de standaard personal versie geinstalleerd..ook de laatste versie. Verwijderen lukt wel, ook als ik dat op alle pc's offline doe. Maar het komt net zo makkelijk weer terug op 1 pc in de netwerk.(excuses...ik had de situatie niet precies genoeg beschreven)

Op mijn pc komt het nu niet meer, nadat ik het verwijderd had en de Shared Documents map niet meer share. Maar hoe ik het ook verwijder op 1 pc, het komt weer terug in C:\ (dus niet in andere mappen, alleen direct in C:\ ...daarin verschijnt autorun/arun.exe/install.exe )

Op de betreffende pc is het me wel gelukt om met de extended bases te scannen, KAV had niks gevonden...alleen de install.exe/arun.exe/autorun (de eerder genoemde ......Robobot.u).

Verder bevat de pc voor zover ik weet ook geen adware/spyware, ik heb alleen Adaware/spybot/microsoftTool gedraaid, en KAV met extended bases die ook geen spyware vond.

Ik ga de pc waarop het steeds blijft terugkomen eens formatteren (voor de zekerheid een low format/write zeros

). Voor de duidelijkheid: op de betreffende pc blijft het ook steeds terugkomen als ie offline is! Zowel ontkopppeld van de netwerk als van het inet.

dinsdag 12 april 2005 18:28

Acties:

Stamgast @ HGGCT

Sergej schreef op zondag 10 april 2005 @ 22:18:
[...]

Het verschijnt weer, (die aub mijn eerdere post paar regels omhoog).

C:\Documents and Settings\All Users\Documents

Hierin staat een install.exe en een autorun.inf , ik denk dus dat het vanaf een andere pc uit de thuisnetwerkje komt.

Kaspersky AV personal pro Conslusion:

"Is a trojan Backdoor.Win32.Robobot.u"

Die install.exe en autorun.inf komen ook regelmatig op de andere pc's in de netwerk, heb ze met verschillende manier "gecleand" maar blijkbaar helpt het niet Het blijft maar terugkomen, alles begon toen een vreemde laptop op het thuisnetwerk werd aangesloten...vanuit die laptop is het verspreid en het blijft maar terugkomen.

Dus wat ik altijd deed....de autorun.inf editten (de open=install.exe die erin staat veranderen dus), en de install.exe handmatig deleten, na een tijdje verschijnen beide weer en kaspersky geeft weer waarschuwing. Zelf gebeurt als ik de autorun edit en de install.exe gewoon laat staan.

Tja low format van de hdd zal wel helpen ja, en alles opnieuw installeren..en dat op alle pc;s in het netwerk. Maar als er een andere oplossing is dan hoor ik dat natuurlijk graag.

@Schouw : zal ik de install.exe ook naar de mailadres in je sig sturen?

En wat als je zelf een read only fake install.exe aanmaakt dan

P4 2,53 512MB PC3200, GF4 Ti4200

dinsdag 12 april 2005 18:39

Acties:

Ik heb het ook gezien bij me grootmoeder. AVG gebruikt, die zag hem wel. NIet verwijdert, eerst al derest in orde gebracht. Nadien met Knoppix die files verwijdert, en derest uitgepluisd en via DOS nog wat gekloot denk ik. Uiteindelijk nieuw profiel gemaakt, dingen uit het oude ernaartoe gekopiëerd, en het oude verwijdert. nooit meer gezien daar.

Is wel bloedneus stelpen door hoofd af te hakken methode, maar helemaal niet zo verstrekkend als formatteren of low level format. :-)

"the fucking alpha cpp compiler seems to fuck up the goddam type "LPITEMIDLIST", so to work around the fucking peice of shit compiler we pass the last param as an void *instead of a LPITEMIDLIST"

dinsdag 12 april 2005 18:55

Acties:

Voor het onderzoek is het jammer als je gaat formatteren..
Je zou FileMon kunnen laten draaien om te kijken welke processen die bestandjes 'autorun.inf' en install.exe willen maken/edit-en/runnen.

[ Voor 5% gewijzigd door BoGhi op 12-04-2005 18:55 . Reden: typo ]

Programmers don't die. They GOSUB without RETURN

Pagina: 1

Reageer