[XP] Trojan.Win32.KillFiles.hq *

BartPE downloaden en dan buiten windows om dat ding verwijderen

BartPE kan ook ntfs schrijven namelijk... erg handig

Wout schreef op donderdag 17 maart 2005 @ 22:22:
[...]

Ik heb nu nog even eerst een andere online virusscanner draaien *crosses fingers*

In deze PC zit geen brander, dus dat BartPE wordt moeilijk. Als uiterste oplossing kan ik altijd nog de geinfecteerde HDD in deze PC hangen en dan scannen, maar 't liefst heb ik natuurlijk een makkelijkere oplossing

Als ik zo de beschrijving lees, dan denk ik dat de geïnfecteerde HDD in een andere PC hangen de makkelijkste oplossing.

Daarbij, als je niet een virusscanner kunt uitvoeren, hoe weet je dan dat het dat virus is? Norton zou toch dan actief moeten zijn geweest, en je had dan ook een volledige scan uit kunnen voeren.

Wout schreef op donderdag 17 maart 2005 @ 23:29:
[...]
Die exe die je vindt is infected

Altijd eerst scannen (met een bijgewerkte virus database) voordat je een onbekende .exe opent.

Oeps, even over het hoofd gezien dat het betreffende virus (nog) vrij onbekend is.

[ Voor 15% gewijzigd door Freee!! op 17-03-2005 23:35 ]

Onbekend virus? Check de datum van de malware waar je naar linkt, 2003...

Omdat ik de symptomen opgezocht heb online

En hoe weet je nu dat het niet om bijv. Win32.HLLP.Xenon of Win32.HLLP.Riaz gaat?

Zorg er trouwens voor dat je een AV hebt die de files disinfecteert ipv. verwijderd.

[ Voor 6% gewijzigd door Verwijderd op 17-03-2005 23:39 ]

Scan de file anders eens hier om uitsluitsel te krijgen over de malware waar we mee te maken hebben.

Heb je de system restore uitgezet?
Heb je een virus removal tool van symantec al geprobeerd, wel in veilige modus opstarten.

Wout schreef op vrijdag 18 maart 2005 @ 01:24:
[...]

hmmm, lukt niet, hij timed de hele tijd out als ie naar av.phtml gaat

Anyway, schijf gescanned en Norton vond een 'trojan' in de gedownloade file. Allemaal leuk en aardig, maar het systeem zelf is ook geinfecteerd en daar vond Norton niks. Heb net de schijf teruggehangen, en het virus zit er idd nog steeds op

Als alternatief kan je naar Jotti's online malware scan gaan.

Wout schreef op vrijdag 18 maart 2005 @ 01:29:
[...]

System restore staat uit. Ik heb de schijf in een andere pc gehangen en daar een volledige scan met Norton Antivirus 2005 gedaan.

Meestal kun je op de site van symantec bij de beschrijving van het virus ook aanwijzingen vinden hoe je handmatig je systeem kunt schonen en meestal hebben ze een klein progje gemaakt die dat voor je doet, staat geheel los van je virusscanner.Het is meestal een .exe bestand, maar een handig trucje om het toch te starten is om het even te hernoemen naar .com

Misschien kun je die mp3's met een progje als getdataback of easyrecovery nog terug halen

-Als ik een .exe run wordt deze geinfecteerd en meteen afgesloten

en

Hier op gegoogled -->http://www.sophos.com/virusinfo/analyses/trojronevea.html
Het was dus Troj/Roneve-A

Dat gaat niet samen, een Trojan infecteert geen files.
Maw: De diagnose blijkt ergens niet te kloppen.

Dus nogmaals, scan die file(s) op de genoemde site om uitsluitsel te krijgen.
Filenames betekenen niets.

Wout schreef op vrijdag 18 maart 2005 @ 02:11:
[...]

Dat zou ik graag doen, maar die scanner van kaspersky werkt nu ff niet.

Die scanner doet het prima.
Je kan niet naar de site navigeren? Check je hosts file dan.

Edit: Je kan eventueel dit ook eens proberen: http://81.176.69.79/scanforvirus.html

[ Voor 14% gewijzigd door Verwijderd op 18-03-2005 02:19 ]

Trojan.Win32.KillFiles.hq is erg nieuwe malware, op het moment zijn er maar een paar AVs die het detecteren. Ik heb in de tussentijd trouwens al wat meer ItW reports geconstateerd.

Ik heb het beestje even bekeken en mbv. regsettings worden registry tools, taskmanager en het control panel uitgeschakeld.

De sample wordt als \Program Files\xerox.nt\smssdriver.exe gedropt.

Verder wordt de exe associatie veranderd, daardoor wordt elke keer als je een exefile wil uitvoeren de Trojan uitgevoerd.

Mocht het nog nodig zijn dan kun je deze tool gebruiken om de associatie te herstellen.

Even een titelfix