Waarschijnlijk een virus, maar onvindbaar.

Een klasgenoot had mij een tijd terug kaarten voor TOMTOM op een usb stick gegeven.
Zodra ik hem in mijn laptop stak kreeg in een F-secure melding dat er een trojan dropper op zat.
Wat als iemand van thuis nou een Word document of een .exe heeft meegenomen in het bedrijf.
Virusscanner pikt het niet op.
Nestelt zich in de pc.
Zodra die aanlogt op het domein wordt de DC besmet.
Zodra andere pc’s zich aanloggen op het domain worden hun besmet omdat de DC besmet is.
Zou in theorie zomaar kunnen.

In theorie wel, maar een corporate omgeving is idealiter (en in de praktijk) een stuk beter beveiligd als je thuissystemen.
Overigens valt of staat de beveiliging met zowel de courantheid van de virusscanner (en definities) en met de mogelijkheden die de virusscanner biedt om nieuwe bedreigingen als zodanig te identificeren. Maar dat natuurlijk geheel terzijde.

TS: is er al nieuws van de virusscannerboer(en) omtrent nieuwe definities en/of verwijdermethodieken van de rommel?

Swaptor schreef op vrijdag 18 april 2008 @ 10:21:
In theorie wel, maar een corporate omgeving is idealiter (en in de praktijk) een stuk beter beveiligd als je thuissystemen.
Overigens valt of staat de beveiliging met zowel de courantheid van de virusscanner (en definities) en met de mogelijkheden die de virusscanner biedt om nieuwe bedreigingen als zodanig te identificeren. Maar dat natuurlijk geheel terzijde.

TS: is er al nieuws van de virusscannerboer(en) omtrent nieuwe definities en/of verwijdermethodieken van de rommel?

Maar zoals het in dit topic staat heeft de beveiliging niks opgepakt van de virussen en hun hebben de samples naar de ontwikkelaars gestuurd.

Dus dan zou zoiets best makkelijk kunnen.
Het is immers ontdenkt omdat de Ts een hoge load had.

ik volg dit topic ook al een tijdje in spanning, ben zelf een stagelopende 16 jarige. wij hebben hier ook een server met windows 2003 staan, en die hou ik ook goed in de gaten. mcafee staat erop, up to date nu (de systeembeheerder had m niet op automatisch updaten ingesteld, omg.) en ik draai voor de zekerheid even een scan.

misschien hebben jullie iets aan deze antirootkit tool van Avira:

http://free-av.com/en/tools/4/avira_antirootkit_tool.html

voor de rest, succes heren.

Ik heb hier een Malware Cleaner laten maken die (als het goed is) de infecties moet verwijderen en uit het register kan halen. Je kan hem downloaden via de volgende link

ftp://ftp.norman.nl/Fixes/virus fixes/_Cleaner_.exe

Norman Supportmedewerker

[ Voor 12% gewijzigd door Verwijderd op 18-04-2008 12:21 ]

Verwijderd schreef op vrijdag 18 april 2008 @ 12:07:
Ik heb hier een Malware Cleaner laten maken die (als het goed is) de infecties moet verwijderen en uit het register kan halen. Je kan hem downloaden via de volgende link

ftp://ftp.norman.nl/Fixes...orman_Malware_Cleaner.exe

Norman Supportmedewerker

Hier even op inhakend, wij hebben ergens vorig jaar een vergelijkbare infectie gehad, die toen door Norman werd herkend als Pinfi.A. Is dit een vergelijkbaar beestje?

Verwijderd schreef op vrijdag 18 april 2008 @ 12:07:
Ik heb hier een Malware Cleaner laten maken die (als het goed is) de infecties moet verwijderen en uit het register kan halen. Je kan hem downloaden via de volgende link

ftp://ftp.norman.nl/Fixes...orman_Malware_Cleaner.exe

Norman Supportmedewerker

Wij hebben deze tool idd gekregen van jullie.
Maar helaas gaat ook hiermee niet het complete virus weg.

Verwijderd schreef op vrijdag 18 april 2008 @ 12:14:
[...]


Wij hebben deze tool idd gekregen van jullie.
Maar helaas gaat ook hiermee niet het complete virus weg.

Deze malware cleaner die ik net op de ftp heb geplaats is aangepast aan dit type virus (ik heb hem ook in de tussentijd hernoemd omdat alles wat met de naam Norman begint word afgekapt).
Ik weet zelf namelijk nog niet zeker of deze cleaner de complete infectie verwijderd, maar wel in ieder geval de virussen die in deze topic zijn genoemd.

Mochten een van jullie bestanden hebben gevonden die eventueel met de infectie te maken hebben laat met dit dan even weten, want ik kan namelijk on the fly de malware cleaner aanpassen zodat deze ook de andere bestanden verwijderd. Ik heb dan alleen de mogelijke geinfecteerd bestanden nodig.

Verwijderd schreef op vrijdag 18 april 2008 @ 12:44:
[...]

Deze malware cleaner die ik net op de ftp heb geplaats is aangepast aan dit type virus (ik heb hem ook in de tussentijd hernoemd omdat alles wat met de naam Norman begint word afgekapt).
Ik weet zelf namelijk nog niet zeker of deze cleaner de complete infectie verwijderd, maar wel in ieder geval de virussen die in deze topic zijn genoemd.

Mochten een van jullie bestanden hebben gevonden die eventueel met de infectie te maken hebben laat met dit dan even weten, want ik kan namelijk on the fly de malware cleaner aanpassen zodat deze ook de andere bestanden verwijderd. Ik heb dan alleen de mogelijke geinfecteerd bestanden nodig.

Ok we zullen de tool eens gaan testen

ik hou het topic nauwlettend in de gaten, laat iets weten wanneer mcafee de infectie heeft gevonden, ik denk dat ik de netwerkdiesnt van m'n school maar eens ga waarschuwen, het zeiet er een zeer hardnekkig beestje uit

pm1 schreef op zaterdag 19 april 2008 @ 11:48:
ik hou het topic nauwlettend in de gaten, laat iets weten wanneer mcafee de infectie heeft gevonden, ik denk dat ik de netwerkdiesnt van m'n school maar eens ga waarschuwen, het zeiet er een zeer hardnekkig beestje uit

Ook Mcafee vind hem. Maar kan er tot op heden dus ook nog niks mee.

MADG0BLIN schreef op zaterdag 19 april 2008 @ 12:38:
[...]


Jullie hadden toch ook de hele omgeving opnieuw geinstalleerd?
Is hij later niet teruggekomen? Of een idee waar vandaan?

En hebben jullie nog extra maatregelen getroffen ter voorkoming?

Wij zijn ongeveer weer halverwege de herinrichting.

Ja de complete omgeving is opnieuw opgebouwd.
Tot op heden is het virus nog niet terug gekomen.
Als extra hebben we 2 sonicwall's erbij gezet. 1 extra firewall en 1 email security
Tevens ook geen vpn verkeer op moment

En de bron zullen we waarschijnlijk nooit weten
Tevens geen gebruik van cd/dvd door users en usb sticks zijn op moment ook verboden

[ Voor 5% gewijzigd door Verwijderd op 19-04-2008 12:49 ]

nvm


ik ga in ieder geval vandaag nog een mailtje sturen naar onze netwerkdienst

[ Voor 89% gewijzigd door pm1 op 19-04-2008 18:29 ]

MADG0BLIN schreef op zaterdag 19 april 2008 @ 20:21:
[...]


Wel grappig om te lezen.
Wij hebben ook gekozen voor nog een extra laag security. Wij zetten een Watchguard er tussen en cd's en usb sticks mogen ook niet meer gebruikt worden.
Daarnaast wordt ook het internet gebruik strenger gereguleerd.

Is jullie omgeving nu al compleet geherinstalleerd?
Nog Nieuwe gevallen van uitbraak ontdekt ?
En hoe doen jullie die security toepassen?
Halen jullie de Kabels eruit van de cd-rom drives?

Modbreak:

We gaan hier niet om live samples vragen.

[ Voor 98% gewijzigd door pasta op 20-04-2008 15:21 ]

Modbreak:

En dat geldt ook voor jou

[ Voor 95% gewijzigd door pasta op 20-04-2008 15:21 ]

Waar het om gaat is wat sommige AVendors Sality noemen.
Dat is een polymorphic file infector die nog wat extra componenten in zich meedraagt.(Spambot)

Detectie zou bij AVs met een wat geavanceerdere emulator geen problemen moeten opleveren.
Disinfectie... tja, dat is meer werk.

MADG0BLIN schreef op zondag 20 april 2008 @ 08:37:
[...]


Wel vreemd dan. We hebben hem door een heel aantal scanners heen gehaald. Geen enkel die Sality herkende.

Voor de mensen die hem nog willen hebben wordt lastig. De virusscanner verwijdert ze continu namelijk.

Blijkbaar toch wel één, dan, want anders was die naam nooit opgedoken in dit forum

En als de VS hem continu verwijdert, komt hij dus ook continu terug, wat wil zeggen dat je perfect een image kunt maken

En dan is dit ook overbodig geworden.

[ Voor 91% gewijzigd door pasta op 20-04-2008 15:22 ]

De vs haalt 2 .exe bestanden weg. Maar ik het het idee dat het dan al te laat is.
Het plaatst zich in verschillende reg key's en maakt diverse .exe aan in de user/temp
Tevens worden er files aangepast in de system32 dir. Want als ik met Prevx ging scannen was het de ene keer 10 infecties en de andere keer 6. (mogelijkheid is er natuurlijk dat er nog andere malware aanwezig was)

Prevx CSI scant niet het hele systeem. Met Prevx 2.0 kun je wel het hele systeem scannen.
Denk dat deze malware zich nog ergens verstopt waar Prevx CSI niet controleert?

MADG0BLIN schreef op zondag 20 april 2008 @ 08:37:
[...]


Wel vreemd dan. We hebben hem door een heel aantal scanners heen gehaald. Geen enkel die Sality herkende.

Ik werk voor een anti-virus vendor en heb zodoende toegang tot (gemiste) samples van Jotti en VirusTotal.

Verwijderd schreef op zondag 20 april 2008 @ 11:30:
De vs haalt 2 .exe bestanden weg. Maar ik het het idee dat het dan al te laat is.

Yes. Die twee bestanden worden gecreeerd door een bestand dat geinfecteerd is met Sality.

Verwijderd schreef op zondag 20 april 2008 @ 16:39:
[...]

Ik werk voor een anti-virus vendor en heb zodoende toegang tot (gemiste) samples van Jotti en VirusTotal.

[...]

Yes. Die twee bestanden worden gecreeerd door een bestand dat geinfecteerd is met Sality.

Ok duidelijk. Is er op dit moment al enig zicht op een complete oplossing ?

Is er nog nieuws op het gebied van oplossingen voor dit vervelend hardnekkige virus.

Komt het zover dat we alles opnieuw moeten gaan installeren

Heeft er iemand nieuws

Nog steeds geen woord van Symantec, ondanks een pislink mailtje van onze AV coordinator, maar het virusje wordt nu wel herkend en verwijderd door Symantec.

Verwijderd schreef op maandag 21 april 2008 @ 10:21:
Nog steeds geen woord van Symantec, ondanks een pislink mailtje van onze AV coordinator, maar het virusje wordt nu wel herkend en verwijderd door Symantec.

Volledig verwijderd ?
Herkennen en die 2 bestandjes verwijderen is natuurlijk niet voldoende

Hoe noemt Symantec het virus? Ik kan maar weinig over het virus vinden, wellicht omdat andere virusscanners het anders dan sality.nao noemen.... Overigens heb ik op een netwerk van 80 pc's, 4 pc's waarvan alle systeembestanden geinfecteerd zijn. de overigen waren met een systeemherstel(!) te fixen. Zelfs de virusscanners deden het weer hierna.

Het leek wel of met name pc's zonder een aantal security update's van microsoft veel vatbaarder waren, kan iemand bevestigen of bepaalde updates lokale besmetting verijdelen? Sommige pc's hadden wel het virus actief, en dus ook de 2 files in de temp-map en actief in de taskmanager, maar verder weinig of geen bestanden besmet. (alleen exe's op shares op het netwerk werden actief besmet)
Andere PC's hadden bijna alle exe-bestanden besmet, en ik vroeg me af wat het verschil kon zijn tussen de pc's. Jeweetwel, waarom de een wel, en de ander niet.
Bizar genoeg, zijn de shares op de servers wel besmet, maar het besturingssysteem op de servers niet. Geen files in temp, geen rare bestanden in taskmanager. Wat ik helemaal niet begrijp, is dat een server NADAT nod32 geupdate was, en dus het virus herkende, opnieuw besmet is door een besmette pc die door een gebruiker weer aangezet is. Hoe dit om de virusscanner heen gekomen is , is mij echt een raadsel.

Modbreak:

We hebben het forum om gegevens uit te wisselen, elk ander contact dat je wilt hebben zoek je maar via andere wegen dan dit topic.

[ Voor 95% gewijzigd door pasta op 21-04-2008 15:10 ]

Gelukkig. nu hopen dat het definitief kan worden uitgeroeid.

exterminate the bug

hopelijk blijft het probleem nu definitief opgelost

Verwijderd schreef op zondag 20 april 2008 @ 20:55:
[...]


Ok duidelijk. Is er op dit moment al enig zicht op een complete oplossing ?

Zoals het er nu naar uitziet hebben we morgen of overmorgen disinfectie beschikbaar.

MADG0BLIN schreef op maandag 21 april 2008 @ 19:55:
Jammer genoeg net te laat. Hier is bijna alles weer klaar.
Nu nog ff bij slapen..

En hoe ga je dit voorkomen in de toekomst

• Autorun disablen op removable devices? (kan met een GPO)
• Automatische anti virusscan van removable devices en verwijder elke virus?
• Iedere vorm van USB / CD verbieden? Maar hoe te controleren ? Kan ook met een GPO maar wie controleert de audit logs
• Email nog strenger afknijpen / scannen zodat elk bestand doorgelicht word/gescreend word.

Gewoon een leerzame les/tips voor andere beheerders?

En welterusten, je zal het wel nodig hebben

plaats iets wanneer de cleaner tool er is dan kunnen we eens kijken hoe lang het duurt eer een virus is: ontdekt, opgespoord, gemeld aan virusscannerproducenten, en een removal tool er is
lijkt me een mooi voorbeeld van de responstijd van de huidige producenten

Eindelijk dan. Voor ons komt het te laat maar voor de rest die hier last van gaat krijgen zou het mooi zijn als er een oplossing is. Scheelt een hoop werk

MADG0BLIN schreef op maandag 21 april 2008 @ 21:33:
[...]


We hebben een aantal extra maatregelen genomen.

Autorun stond al uit.
Removable devices zoals sticks zijn momenteel verboden. Als ze echt nodig zijn gaat het via ons.

Hoe wil je dit controleren

CD/DVD's ook niet meer. Als die er niet in zit kan je hem ook niet gebruiken.

Je hebt de cd/dvd speler fysiek uitgeschakeld?

Sites die niet nodig zijn worden geblokkeerd.

Deny op alle websites
Muzv GoT

Hello,

Sorry to use english but i'm not aware of Dutch
We are a french company and we ran into the same problem with the same virus.
It seems that Kaspersky and NOD32 can now fix it.
We're sharing information via this forum. If you want to contact one of our members, please do so out of this topic.
Thanks
Best regards

Alain TRISTAN
Chrono Flex - France

[ Voor 17% gewijzigd door pasta op 22-04-2008 15:21 ]

Even nog een update:
Nadat ik dacht dat alles opgeschoont was, tijdens het afinstalleren van een werkplek, bleek dat ik een share over het hoofd had gezien, en was een installer van een applicatie nog besmet.
Ik heb dus een besmetting live meegemaakt, en kan jullie het volgende melden:
- Ondanks dat de virusscanner het virus herkend, en ook bestanden kan opschonen, nadat de installer aangeklikt is, laad zich het virus in het geheugen van de pc, en probeert allerlei bestanden op de pc te besmetten. De besmettingen worden opgemerkt, en ik kan ze ook weer opschonen met de on-access scanner van NOD32.

- Wat NOD echter niet ziet, is wat er in het geheugen geladen is. Met taakbeheer zie ik ook geen verdacht proces. Alleen windows standaard processen. Dus: of het is dan al in een besturingssysteem-bestand geinjecteerd (maar waarom zegt NOD dan niet "bestand huppeldepup is geinfecteerd met...") of er zit nog iets in het geheugen, maar je ziet het niet.(rootkit?)
In ieder geval is het al raar dat je toch besmet wordt, en dat de toegang tot een besmet bestand niet geblokkeerd wordt. Nog niet bekende exploid misschien?
- Na de besmetting loop je continue achter de feiten aan: allerlei bestanden worden besmet, nod schoont ze vervolgens weer op. Er word een random.sys bestand in system32\drivers geplaatst, nod ruimt dit weer op. Nod blokkeert blijkbaar wel het creeeren van bestanden in de temp, want hier zie ik niets meer verschijnen.

Blijft de vraag, wat is dat onbekende, niet zichtbare, en door NOD niet gevonden proces?

- Het probleem is op te lossen door een systeemherstel naar een punt voor de besmetting. De pc werkt dan gelijk weer goed! Geen meldingen meer!
Op een server heb je geen systeemherstel, en dus een probleem... waarschijnlijk reinstall, of uitzoeken of en welke rootkit op het systeem zit. Als je die kunt uitschakelen, is het daarna een kwestie van full scan met opschonen.
Hopelijk hebben jullie er wat aan...

ok virus ontdekt op 16 april 2008 om 16:00 u
antivirus tool was er op 22 april om 9:00 u

zodus dat komt er op neer dat het 37 uur eer er een antivirus is

Verwijderd schreef op dinsdag 22 april 2008 @ 15:05:
- Het probleem is op te lossen door een systeemherstel naar een punt voor de besmetting. De pc werkt dan gelijk weer goed! Geen meldingen meer!
Op een server heb je geen systeemherstel, en dus een probleem... waarschijnlijk reinstall, of uitzoeken of en welke rootkit op het systeem zit. Als je die kunt uitschakelen, is het daarna een kwestie van full scan met opschonen.
Hopelijk hebben jullie er wat aan...

Misschien moet de vraag andersom stellen, wat wordt er precies terug gezet bij een system restore.. die er voor zorgt dat het virus daarna niet meer aanwezig is.

pm1 schreef op dinsdag 22 april 2008 @ 15:07:
ok virus ontdekt op 16 april 2008 om 16:00 u
antivirus tool was er op 22 april om 9:00 u

zodus dat komt er op neer dat het 37 uur eer er een antivirus is

89 uur sprak de betweter

owja effe editten typfoutje srr

Falcon schreef op dinsdag 22 april 2008 @ 15:12:
[...]


Misschien moet de vraag andersom stellen, wat wordt er precies terug gezet bij een system restore.. die er voor zorgt dat het virus daarna niet meer aanwezig is.

Je registry ?
Dus het hele virus proces word opgestart vanuit de registry ? Na een system restore is deze opstart weg. De bestanden (rootkit ?) is zijn nog wel op je HD aanwezig.

Force schreef op dinsdag 22 april 2008 @ 21:05:
[...]


Je registry ?
Dus het hele virus proces word opgestart vanuit de registry ? Na een system restore is deze opstart weg. De bestanden (rootkit ?) is zijn nog wel op je HD aanwezig.

Nee, niet alleen je registry, nog een heleboel andere bestanden her en der over je pc verspreid... iig. teveel voor een systeembeheerder om uit te zoeken welke van deze het virus zou kunnen bevatten. Zeker gezien het feit dat deze wel eens andere code zou kunnen bevatten (dropper iod) dan het eigenlijke virus. En dus misschien nog niet eens herkend wordt door een eventuele virusscanner.
Och, ik zou best een aantal procedures (compare enz.) kunnen verzinnen om de schuldige op te sporen, maar dat kost veel tijd, en ondertussen moeten mijn klanten weer kunnen werken.... zou ik het toch doen, is de vraag, wat kan ik er dan mee? Zo'n procedure is voor elk virus weer anders. Dus maar hopen dat iemand wiens werk dit is, er wel tijd voor heeft, en het in een virusscanner update verpakt. Best wel sneaky, zo'n soort "onbekende" op de achtergrond die ongezien aan de touwtjes trekt....

Verwijderd schreef op dinsdag 22 april 2008 @ 11:09:
[mbr]We're sharing information via this forum. If you want to contact one of our members, please do so out of this topic. :)[/]

Okay, sorry to ask, but we were tired and very upset by this virus problem.
We fixed the "Sality" virus with the free 30 days trial version of kaspersky fully updated.
Now we repair the windows installations on every workstation and every server
We expect the company to restart activity in 48hours or less.

Thank you for giving us hope and tracks

Thanks
Best regards

Alain TRISTAN
Chrono Flex - France

@TS MADG0BLIN:

Is bij jullie alles nu weer ok? Je laatste bericht is al weer 2 dagen geleden. Ik heb dit topic met zeer veel interesse gevolgd (zoals velen) en ben errug nieuwsgierig naar de uiteindelijke afloop.

[ Voor 3% gewijzigd door AvK op 23-04-2008 22:42 ]

ja daar ben ik ook benieuwd naar

Gelukkig, Pfffffff
Norman heeft een tootje ontwikkeld waarmee dit vervelende virusje voorgoed de nek wordt omgedraait.
Niet tijdelijk maar echt, ook na een herstart is het virus voorgoed verdwenen. Alle (bijna alle) programma's worden ook weer in ere hersteld en draaien dan ook weer als 'n zonnetje.
Het heeft de specialisten van norman een week gekost, maar het resultaat is geweldig.
Niet alles opnieuw installeren instellen, backups terugzetten enz. Ook dat zou bij ons verschillende dagen kosten. Wij hebben bewust gekozen voor het wachten op een oplossing, en hebben daar nu absoluut geen spijt van.

Freeware? Linkje?

Verwijderd schreef op donderdag 24 april 2008 @ 18:35:
Gelukkig, Pfffffff
Norman heeft een tootje ontwikkeld waarmee dit vervelende virusje voorgoed de nek wordt omgedraait.
Niet tijdelijk maar echt, ook na een herstart is het virus voorgoed verdwenen. Alle (bijna alle) programma's worden ook weer in ere hersteld en draaien dan ook weer als 'n zonnetje.
Het heeft de specialisten van norman een week gekost, maar het resultaat is geweldig.
Niet alles opnieuw installeren instellen, backups terugzetten enz. Ook dat zou bij ons verschillende dagen kosten. Wij hebben bewust gekozen voor het wachten op een oplossing, en hebben daar nu absoluut geen spijt van.

En daarom raad ik mijn klanten Norman aan, er werken mensen die je in het Nederlands kan toespreken, die verstand hebben van zaken, die bereikbaar zijn via een nederlands telefoonnummer ... top.

Verwijderd schreef op donderdag 24 april 2008 @ 18:35:
Gelukkig, Pfffffff
Norman heeft een tootje ontwikkeld waarmee dit vervelende virusje voorgoed de nek wordt omgedraait.
Niet tijdelijk maar echt, ook na een herstart is het virus voorgoed verdwenen. Alle (bijna alle) programma's worden ook weer in ere hersteld en draaien dan ook weer als 'n zonnetje.
Het heeft de specialisten van norman een week gekost, maar het resultaat is geweldig.
Niet alles opnieuw installeren instellen, backups terugzetten enz. Ook dat zou bij ons verschillende dagen kosten. Wij hebben bewust gekozen voor het wachten op een oplossing, en hebben daar nu absoluut geen spijt van.

En waar zouden we dat kunnen downloaden ?

Hallo! Norman zag het virus niet eens tot vrijdag vorige week! En wachten op een oplossing? Zijn jullie gek of wat? Moet ik tegen meer dan 100 mensen zeggen, och we hebben een virus, maar er is nog geen snelle fix, ga maar naar huis tot er een oplossing is? Dit riekt naar "reclame", en dat hoop ik toch echt niet... Norman is naar mijn mening een matige virusscanner. (Maar zeker geen slechte.)
Maar misschien moet ik mening in de hold zetten, tot ik het tooltje gezien heb, en weet wat het doet.
Kun je misschien meer info geven?

Edit: hmm ik zie in de startpost dat norman het al herkende als horst gen33 oid. Vreemd genoeg, heb ik een besmette file door een pc met norman laten scannen, en die zag niets, en zelfs afgelopen vrijdag bij een test via virustotal zag hij het nog niet. Toch weer een andere variant bij mij? NOD zag hem als sality.nao, en de rest van de symptomen, kwamen 100% overeen met de topicstarter... strange!

edit2: Ah ik zie het al, horst.gen33 was een foutieve detectie, is echt een ander virus: andere scanners noemen dit virut!gen oid. Dit virus werd door bijna elke scanner gezien.Hoe heet Sality.nao nu volgens Norman?

[ Voor 67% gewijzigd door Verwijderd op 24-04-2008 23:30 ]

het wachten op een oplossing of niet, is afh. van hoe noodzakelijk de besmette servers/computers zijn.

dus daar kan je je niet echt over uit spreken.

Men kan net zogoed doordraaien op een niet-besmette backup server/pc, om in afwachting van een oplossing anders dan 'format and reinstall' het besmette systeem aan de kant te zetten en in 't oog te houden. (volledig apart netwerk, loggende systemen erbij, ... om er in de toekomst vrij snel op in te kunnen spelen om schade te beperken, ...)

Vandaag heeft Symantec voor het eerst'alle files in het door madgoblin aan mij gestuurde ZIP filetje ontdekt... tot nu toe waren er een paar over. Ik weet niet hoe goed Norman precies is (geen goeie ervaringen mee...) maar Symantec is ook niet super.

soulrider schreef op vrijdag 25 april 2008 @ 09:24:
het wachten op een oplossing of niet, is afh. van hoe noodzakelijk de besmette servers/computers zijn.

dus daar kan je je niet echt over uit spreken.

Men kan net zogoed doordraaien op een niet-besmette backup server/pc, om in afwachting van een oplossing anders dan 'format and reinstall' het besmette systeem aan de kant te zetten en in 't oog te houden. (volledig apart netwerk, loggende systemen erbij, ... om er in de toekomst vrij snel op in te kunnen spelen om schade te beperken, ...)

Ben ik wel met je eens, maar het leek mij of ze met besmette pc's gewoon doorwerkten, en dat kan naar mijn mening echt niet. Overigens kan ik mij niet voorstellen dat op een netwerk met meer dan 10 computers er voldoende reservepc's beschikbaar zijn...

Verwijderd schreef op vrijdag 25 april 2008 @ 11:05:
[...]


Ben ik wel met je eens, maar het leek mij of ze met besmette pc's gewoon doorwerkten, en dat kan naar mijn mening echt niet. Overigens kan ik mij niet voorstellen dat op een netwerk met meer dan 10 computers er voldoende reservepc's beschikbaar zijn...

en daar ben ik het dan ook eens mee...

met besmette systemen doorwerken kan - rekening houdend met (online) veiligheid - echt niet.
Maar ja, niet overal kan men snel alles offline zwieren/ formatteren/vervangen/...
en moet men wat roeien met de riemen die men heeft (leest de beslissingen die de baas neemt)

firewall zo goed mogelijk dicht gooien is dan wel een andere manier van 'probleem beperkt houden tot een echte oplossing bekend is'

Verwijderd schreef op donderdag 24 april 2008 @ 23:06:
Hallo! Norman zag het virus niet eens tot vrijdag vorige week! En wachten op een oplossing? Zijn jullie gek of wat? Moet ik tegen meer dan 100 mensen zeggen, och we hebben een virus, maar er is nog geen snelle fix, ga maar naar huis tot er een oplossing is? Dit riekt naar "reclame", en dat hoop ik toch echt niet... Norman is naar mijn mening een matige virusscanner. (Maar zeker geen slechte.)
Maar misschien moet ik mening in de hold zetten, tot ik het tooltje gezien heb, en weet wat het doet.
Kun je misschien meer info geven?

Edit: hmm ik zie in de startpost dat norman het al herkende als horst gen33 oid. Vreemd genoeg, heb ik een besmette file door een pc met norman laten scannen, en die zag niets, en zelfs afgelopen vrijdag bij een test via virustotal zag hij het nog niet. Toch weer een andere variant bij mij? NOD zag hem als sality.nao, en de rest van de symptomen, kwamen 100% overeen met de topicstarter... strange!

edit2: Ah ik zie het al, horst.gen33 was een foutieve detectie, is echt een ander virus: andere scanners noemen dit virut!gen oid. Dit virus werd door bijna elke scanner gezien.Hoe heet Sality.nao nu volgens Norman?

Volgens de scanner van Norman hadden wij vorige week woensdag het virus w32/horst.gen33.
Ik geef er niks om hoe hij dat ding noemt, maar het kwaad was al geschied. Wij hebben gekozen voor het wachten op een oplossing, en ZIJ hebben die. Ik weet ook wel dat er andere scanners zijn die misschien zelfs beter scannen dan Norman dat doet.
De technici van Norman hebben in elk geval (hoe slechyt dan ook) WEL een tooltje waar je het probleem mee kunt oplossen. En dat is toch wat telt bij mij!!!!!!!
PS ik weet niet of het mag maar hier staat hij: ftp://ftp.norman.nl/Fixes/virus%20fixes
Het programma heet malware_cleaner.
Het virus herken hem als verwijderaar dus moet je hem een andere naam geven Bv _MC_.
Alle besmette processen in het geheugen moet je effe via taakbeheer stopleggen en dan opnieuw scannen. Bij ons hebben we toch al een 20 tal PC gered van een restore

Verwijderd schreef op vrijdag 25 april 2008 @ 14:04:
[...]


Volgens de scanner van Norman hadden wij vorige week woensdag het virus w32/horst.gen33.
Ik geef er niks om hoe hij dat ding noemt, maar het kwaad was al geschied. Wij hebben gekozen voor het wachten op een oplossing, en ZIJ hebben die. Ik weet ook wel dat er andere scanners zijn die misschien zelfs beter scannen dan Norman dat doet.
De technici van Norman hebben in elk geval (hoe slechyt dan ook) WEL een tooltje waar je het probleem mee kunt oplossen. En dat is toch wat telt bij mij!!!!!!!
PS ik weet niet of het mag maar hier staat hij: ftp://ftp.norman.nl/Fixes/virus%20fixes
Het programma heet malware_cleaner.
Het virus herken hem als verwijderaar dus moet je hem een andere naam geven Bv _MC_.
Alle besmette processen in het geheugen moet je effe via taakbeheer stopleggen en dan opnieuw scannen. Bij ons hebben we toch al een 20 tal PC gered van een restore

Heb je met deze versie alles volledig compleet kunnen verwijderen ?
Weet je zeker dat er niks meer overblijft ?
Heb je de geinfecteerde pc's gechecked op de poorten waar die naar buiten wil ?

Aangezien wij het dus echt kregen als "zero-day" en idd werd herkend door de virusscan van norman maar die kon er deed er verder niks mee. Of tenminste de vs plaatste het in quarantaine maar desondanks werd de boel wel verder besmet