[Virus] Avast! zegt Win32:Vitro in elke exe.

Hang de schijf eens aan een andere computer en scan vanaf daar.

Formatteren zou ik me niet zoveel zorgen over maken, dan is alles in principe wel weg van het oogpunt van een virus uit (bootsector-virussen daargelaten). Maar weet je zeker dat de backups die je terugzet na herinstallatie wel virusvrij zijn? Anders schiet je er natuurlijk nog niks mee op en blijft het ongedierte terugkomen

afgaand op een post daar:

The Virut family of viruses uses polymorphism to hide from all anti-virus protection, it infects executable files. File infection makes it very hard to repair a system that has been infected. W32/Vitro injects code in running processes and hooks the following functions in ntdll.dll which transfers control to the virus every time any of these function calls are made.

* NtCreateFile
* NtCreateProcess
* NtCreateProcessEx
* NtOpenFile
* NtQueryInformationProcess

Hij koppelt zichzelf aan een belangrijk systeembestand dat overal voor nodig is, en krijgt op die manier dus vrij spel, omdat nagenoeg ieder programma van die systeem-APIs gebruikmaakt.

[ Voor 47% gewijzigd door spone op 18-02-2009 01:19 ]

>>> BV dus

spone schreef op woensdag 18 februari 2009 @ 01:16:
Hang de schijf eens aan een andere computer en scan vanaf daar.

Lijkt me niet heel slim met een exe injector.
Mocht er ergens een autorun file oid staan of iets anders waarmee hij het besmet is hij verder van huis, pak dan liever een PE CD.
Desnoods via het netwerk.

Hij inject alleen wanneer hij daadwerkelijk actief is he En tenzij dat virus gebruik maakt van een exploit in het scangedeelte van een virusscanner zal deze zichzelf echt niet zelfstandig kunnen uitvoeren op een niet-geïnfecteerde computer.

Harde schijven autorunnen niet, alleen cdroms en usb-sticks die doen alsof ze een cdrom zijn doen dat. Via het netwerk scannen heb je er nog niet heel veel aan, want dan draait ie nog steeds vanaf de geinfecteerde basis waar het virus dus zijn grip op heeft.

Een PE CD met de meest recente virusdefinities is inderdaad ook wel handig.

Upload anders eens geïnfecteerd bestand naar http://virusscan.jotti.org/ en kijk wat die te melden heeft

spone schreef op woensdag 18 februari 2009 @ 14:46:
Hij inject alleen wanneer hij daadwerkelijk actief is he En tenzij dat virus gebruik maakt van een exploit in het scangedeelte van een virusscanner zal deze zichzelf echt niet zelfstandig kunnen uitvoeren op een niet-geïnfecteerde computer.

Harde schijven autorunnen niet, alleen cdroms en usb-sticks die doen alsof ze een cdrom zijn doen dat. Via het netwerk scannen heb je er nog niet heel veel aan, want dan draait ie nog steeds vanaf de geinfecteerde basis waar het virus dus zijn grip op heeft.

Een PE CD met de meest recente virusdefinities is inderdaad ook wel handig.

Upload anders eens geïnfecteerd bestand naar http://virusscan.jotti.org/ en kijk wat die te melden heeft

True , maar er zijn ook gevallen bekend van een autorun op een netwerkschijf.
Als je windows dan die schijf gaat initialiseren, kan je al besmet raken.

PE cd lijkt mij het veiligst.

Meer over Virut.

Hallo, het is erg jammer te weten dat je geinfecteerd bent met het Virut virus.
Virut besmet .exe en .scr bestanden en daarmee legitieme programma's. Dus ook je Windows.
Werkelijk elk bestandje met exe en scr wordt besmet. Helaas laat Virut zich niet van je pc verwijderen, juist omdat 'bijna' alles geinfecteerd wordt. Enige optie blijft over formateren en opnieuw je Windows installeren. Dit is zowel de makkelijkste als de veiligste manier. Alleen dan zal je van het virus af raken.

Succes

Groetjes Eveline.

spone schreef op woensdag 18 februari 2009 @ 14:46:

Harde schijven autorunnen niet, alleen cdroms en usb-sticks die doen alsof ze een cdrom zijn doen dat.

Mwhoa, door een drive te benaderen via explorer wordt er tot en met XP geautorund. Dus het gaat niet volautomatisch maar het scheelt niet superveel.

Anyway, de nieuwe Virut variant wordt nu door een enkele AV scanner gedesinfecteerd. Dus je kan desinfectie proberen of een format. Nadeel bij desinfectie is dat er corrupte executables overblijven omdat Virut buggy is en nadeel van format is dat het een stuk langer duurt. Your choice.

Lol ik had toevallig gister dit probleem maar dan met Virut.
Wat een pokke virus is dat zeg. Gelukkig had ik net een format gedaan dus ik zal wel een of andere duistere crack hebben gedownload die het virus bevatte
Maarja toch weer een dag voor niks verspild..

NOD32 kon hem iig niet verwijderen. Alle exe's op de hdd waren geinfecteerd notepad.exe cmd.exe etc..

Hallo allemaal, ik heb gisteren ook melding gekregen dat de comp. met virut.nbk besmet was. Alle .exe files waren besmet. Ook die paar op mijn externe harddisk. Sommige .exe op mijn comp. konden opgeschoond worden (of met nod32 of met F-secure), andere helaas niet, waaronder enkele belangrijke in o.a. windows/system32.

Mijn externe harddisk is na opschonen volgens zowel NOD32 als F-secure clean (ook op andere niet besmette comp getest). Kan ik er nu dan ook vanuit gaan dat de externe harddisk echt clean is. Anders ben ik straks weer terug bij af.

Ik weet alleen niet hoe ik het nu moet oplossen voor de comp zelf. Vortext zegt dat formateren niet heeft geholpen en EvelyneGirl zegt dat dat wel de enige goede manier is. Verder vind ik op internet dat er ook speciale freewareprogrammaatjes zijn die dit virus verwijderen (http://www.softpedia.com/...Win32-Virut-Remover.shtml ). Ik ben alleen bang dat dit allemaal ook niet gaat helpen. Heeft iemand een eenduidige en veilige manier om het virus voorgoed te laten verdwijnen. In principe heb ik geen bestanden die ik ga missen (van alles backup).

Ik ben bij dit soort Serieuze virussen better safe then sorry, je hebt backups dus formateren en alles up to date patchen.

Iemand al enig idee hoe jullie besmet zijn geraakt?
Driveby/msn/torrent/site/mail ?

With Lucky.

Formateren en schoon installeren . <-- Punt.

Qli-max schreef op donderdag 19 februari 2009 @ 15:15:
[...]


Daar staat overigens dat de laatste versie (virut.n, die ik dus ook heb) ook htm files etc. infecteert. Op mijn ext hd staan wel webpagina's opgeslagen, maar niet om die op het web te gaan zetten. Zijn deze files dan nog steeds schadelijk?

Zolang je ze niet gebruikt zijn ze niet schadelijk. Maar als je ze opent met een browser zul je onderworpen worden aan een drive-by download. Niet verstandig dus. Als het goed is kan je AV de geinfecteerde script files desinfecteren.

Mensen ik ben al vanaf zaterdag bezig met formats.. installs en weet ik het..

en vandaag heb ik een oplossing gevonden eindelijk..

ik had backup op mijn D schijf staan en daarop stonden dus wat geinfecteerde exe's

maar goed.. voor allen hier:

http://www.hm2k.com/posts/win32-virtob-virut-removal

Dr Web Scanner is op dit moment bezig en heeft zeker al 26 geinfecteerde bestanden op D: GEREPAREERD

keep us posted

Maar hoe hebben de andere personen dit virus opgelopen ?

ook allemaal via die ene keygen

Ben er inmiddels weer vanaf. Heb alleen c partitie geformateerd en windows opnieuw geinstalleerd. Vooralsnog geen problemen. Vraag me wel af of er misschien data van de comp gehaald is omdat het virus een poort opent en ik nog wel even verbonden ben geweest met internet toen de problemen begonnen. Heb er nog niks van gemerkt i.i.g.

De bron van dit virus zijn vaak geinfecteerde internetsites, illegale software met natuurlijk de 'werkende' cracks, keygens en patches, gedownloade films, muziek etc via het P2P net.

Beste en veiligste optie blijft gewoon formateren en alles opnieuw installeren. Als je eventuele backups gemaakt zou hebben die exe bestanden en andere geinfecteerde bestanden bevatten heb je grote kans dat je geinfecteerd blijft. Echter sommige beweren dat Avira antivirus een hoop kan opschonen/desinfecteren met daarbij nog meer van die scan/opschoon programma's. Zoals Malwarebytes AntiMalware, combofix, en Dr web cure it en het laten analyseren van HJT logs. Het is alleen zeer lastig te bestrijden, en er gaat heel veel tijd in zitten, en door de infectie kan je Windows corrupt raken. Ook als je inmiddels voor elkaar hebt om het wel te kunnen verwijderen. Velen hebben dit geprobeert maar zonder succes en was er alsnog een format nodig. De keuze ligt bij jezelf.

Veel succes.

Had hetzelfde laatst op een pc van een klant, 4-5 verschillende scanners geprobeerd, ze herkenden hem maar maar konden alleen maar deleten of in quarantaine gooien.
Behalve Mcafee, die gaf de optie om te cleanen, na alle files gedesinfecteerd te hebben de schijf met alle andere scanners nog eens doorlopen (op een schone pc) en niks meer gevonden..

Viel me weer reuze mee van Mcafee en had ik eerlijk gezegd niet verwacht.

LuckyY schreef op vrijdag 20 februari 2009 @ 09:26:
keep us posted

Maar hoe hebben de andere personen dit virus opgelopen ?

ook allemaal via die ene keygen

Jep, waarschijnlijk een keygen voor winrar. Althans de scanner gaf aan dat het daar in zat.
Maar of hij nou geinfecteerd was, of echt de bron van de besmetting was is mij nog niet duidelijk.

Ik kan hem wel uploaden als iemand daar wat aan heeft? Zodat die het kan onderzoeken

Saven schreef op woensdag 11 maart 2009 @ 11:53:
[...]

Jep, waarschijnlijk een keygen voor winrar. Althans de scanner gaf aan dat het daar in zat.
Maar of hij nou geinfecteerd was, of echt de bron van de besmetting was is mij nog niet duidelijk.

Ik kan hem wel uploaden als iemand daar wat aan heeft? Zodat die het kan onderzoeken

Submit 'm es bij http://www.virustotal.com/nl/ en paste de report

Noxious schreef op woensdag 11 maart 2009 @ 17:09:
[...]

Submit 'm es bij http://www.virustotal.com/nl/ en paste de report

Ik durf niet met zekerheid te zeggen of deze keygen inderdaad het virut virus bezorgde. Maar volgensmij was het hem wel .

winrar_keygen.exe

http://virusscan.jotti.org/


http://www.virustotal.com/nl/

Wederom false alarms.

Verwijderd schreef op woensdag 11 maart 2009 @ 18:25:
Wederom false alarms.

Hehe nice
Props voor jou

misschien is nod32 zo slecht nog niet

Kan ik hier uit opmaken, dat als ik met Virut besmet ben, ik *AL* mijn installers die op mijn computer staan kwijt ben? Dat zou wel heel zuur zijn...

Op de besmette computer draait nu een Virut removal tool van AVG, maar ik begrijp dat er een kleine kans is dat die de boel echt schoon achter laat?
Ik ben wel bereid om te formatteren, maar zou daar normaal gesproken mijn installers niet in meenemen...

[ Voor 61% gewijzigd door Mr_Kite op 13-03-2009 10:45 ]

Waarschijnlijk zijn inderdaad alle .exe's besmet.

Weet iemand toevallig of Virut ook naar je externe hdd gaat als je die aan zet? Want die heb ik wel heel even aan gehad toen ik geinfecteerd was met virut (niet slim, maargoed).
Vervolgens PC geformateerd en een full scan gedaan over mijn externe hdd. daar vond hij 2x het virus. Maar die hadden beide een anderere rare naam het was iets als "winrar_keygen.exe" maar dan met nog iets erachter weet niet meer precies

Het ging mij er niet om of al mijn exes besmet zijn (daar bestaat inmiddels geen twijfel meer over), het gaat mij eerder om de vraag hoe schoon je het nog kunt krijgen. Het lijkt erop dat er al een aantal windows programma's beschadigd zijn door het foutief schrijven van de virus code, dus zit er niets anders op dan dat ik de hele boel formatteer... Maar ik heb dus niet zoveel zin om mijn software collectie weg te gooien... (nog los van de vraag of die nog wel in tact is na zo'n onzorgvuldig replicerend virus)\

overigens was ook bij mijn m'n externe schijf vrij snel besmet

[ Voor 6% gewijzigd door Mr_Kite op 13-03-2009 15:14 ]

Even een schopje van dit topic.

Ik heb op het moment een pc (de geïnstalleerde virusscanner is Symantec Antivirus) van een klant hier staan waar ook het virut-virus op terecht was gekomen (waarschijnlijk door gebruik van een of andere keygen). Ook hier heb ik de removal tool van AVG laten lopen en die heeft 1325 bestanden gecleaned.
Hierna heb ik Dr. Web CureIt laten scannen en die vond maar een enkel geïnfecteerd bestandje meer en dat waren dan ook nog eens bestanden van keygens/cracks.

Op het moment loopt Malwarebytes Antimalware nog eens en daarna ben ik van plan om de harddisk even aan een test-pc van mij aan te sluiten waar Kaspersky op geïnstalleerd is om die vervolgens ook nog eens te laten scannen (eventueel nog eens gevolgd door een paar online virusscanners ).

Zou het zo zijn dat de removal tool van AVG het nu wel voor elkaar krijgt om de geïnfecteerde exe-bestanden te cleanen zonder ze verder te beschadigen en even goed het virus te verwijderen? Nero gaf in ieder geval wel een melding dat het bestand gewijzigd was en niet meer werkte, na herinstallatie van Nero werkte ie wel weer gewoon. Een aantal andere door AVG opgeschoonde bestanden heb ik ook even geprobeerd en die werkten wel nog (natuurlijk kan het zijn dat er alsnog een of ander programma niet zal werken, maar om ze allemaal uit te proberen is me iets te gek ).

Ik ben dus vooral benieuwd of er ondertussen nog mensen zijn die een door dit virus geïnfecteerde pc weer hebben kunnen herstellen door gebruik van de AVG removal tool en of die daarna nog rare dingen hebben ondervonden..

FlipFluitketel schreef op dinsdag 16 juni 2009 @ 18:49:
Op het moment loopt Malwarebytes Antimalware nog eens

MBAM kan in principe geen virussen detecteren, maar een extra scan zal geen kwaad kunnen.

Nero gaf in ieder geval wel een melding dat het bestand gewijzigd was en niet meer werkte, na herinstallatie van Nero werkte ie wel weer gewoon.

Zolang Virut de bestanden niet corrupt maakt, kunnen ze gerepareerd worden. Corruptie is echter niet zeldzaam bij Virut.
Anyway, repareren != bit identical aan het origineel. De Nero exe werkt dus nog wel, maar detecteert dat er een modificatie heeft plaatsgevonden en exit daarom. Heb je meer programma's met dit soort integrity-check functionaliteit kom je die dus ook opnieuw aan het installeren.

Verwijderd schreef op dinsdag 16 juni 2009 @ 19:33:
[...]

MBAM kan in principe geen virussen detecteren, maar een extra scan zal geen kwaad kunnen.

Nee, okay. Maar toen ik net met die pc begon heb ik als eerste even Mbam laten scannen en die vond al een hoop meuk (incl. bestanden van virut). Daarom laat ik die nu ook nog voor de zekerheid even controleren.

[...]

Zolang Virut de bestanden niet corrupt maakt, kunnen ze gerepareerd worden. Corruptie is echter niet zeldzaam bij Virut.
Anyway, repareren != bit identical aan het origineel. De Nero exe werkt dus nog wel, maar detecteert dat er een modificatie heeft plaatsgevonden en exit daarom. Heb je meer programma's met dit soort integrity-check functionaliteit kom je die dus ook opnieuw aan het installeren.

Dus sommige programma's zijn iets minder kieskeurig als de executable niet 100% meer is zoals ie hoort .

[edit]
Vanmiddag had ik die harddisk ook al even in mijn test-pc (met Kaspersky dus) gehangen en toen werden de geïnfecteerde bestanden als "Virus HEUR:Virus.Win32.Generic" herkend. Pas nadat ik zo'n bestandje via virustotal.com had gecontroleerd kwam ik achter de naam van het virus. Dit houdt dus ook in dat KAV het (nog) niet kan repareren

[ Voor 15% gewijzigd door FlipFluitketel op 16-06-2009 20:20 ]

Vraagje (en is echt niet lullig bedoeld); Waarom geen clean install als er naast Virut ook andere meuk wordt gevonden die erg lastig te verwijderen valt?
Qua tijdsduur ben je met een clean install sneller klaar, toch? Of wil de klant dat absoluut niet?

Betreffende KAV, zou de naam "..Win32.Generic" niet een verzamelnaam kunnen zijn voor voor (de) varianten van Virut en dat daarom KAV de boel niet kan repareren?

Baserk schreef op dinsdag 16 juni 2009 @ 22:31:
Vraagje (en is echt niet lullig bedoeld); Waarom geen clean install als er naast Virut ook andere meuk wordt gevonden die erg lastig te verwijderen valt?
Qua tijdsduur ben je met een clean install sneller klaar, toch? Of wil de klant dat absoluut niet?

Betreffende KAV, zou de naam "..Win32.Generic" niet een verzamelnaam kunnen zijn voor voor (de) varianten van Virut en dat daarom KAV de boel niet kan repareren?

Eigenlijk is er geen andere lastig te verwijderen meuk.. Het was 99% virut en de andere dingetjes kwamen door keygens en dergelijke.

Nieuwe installatie kan natuurlijk ook maar ik vind het altijd leuk om te proberen of het überhaupt mogelijk is om de pc weer schoon te krijgen . Als dat lukt is het voor de klant alleen maar gunstig omdat ie dan ook al zijn programma's/spellen niet opnieuw hoeft te installeren.
Ja, ik weet dat het veiliger is om de pc opnieuw te installeren na zo'n infectie maar proberen kan altijd he.

With Baserk..

Een besmette pc is niet meer te vertrouwen imho
Maar goed, het is altijd leuk om te kijken hoever je het zou kunnen opschonen. Garantie geven tot aan de deur...

Tip, na alle scans, tests, enz en je denkt dat 'ie schoon is, voer dan eens:

sfc /scannow

uit. Dit zorgt er voor dat windows alle systeembestanden gaan checken en waar nodig herstellen vanaf de originele installatiecd.

FlipFluitketel schreef op dinsdag 16 juni 2009 @ 20:17:

[...]

Dus sommige programma's zijn iets minder kieskeurig als de executable niet 100% meer is zoals ie hoort .

Yup. Bij veel programma's is het een anti-crack/tamper maatregel. Maar integrity checks zouden in elk programma moeten zitten.

Vanmiddag had ik die harddisk ook al even in mijn test-pc (met Kaspersky dus) gehangen en toen werden de geïnfecteerde bestanden als "Virus HEUR:Virus.Win32.Generic" herkend.

Dat is een heuristieke detectie. Houdt idd in dat we het nog niet kunnen desinfecteren.
Zeker dat de databases uptodate zijn?

Verwijderd schreef op woensdag 17 juni 2009 @ 12:49:
[...]

Dat is een heuristieke detectie. Houdt idd in dat we het nog niet kunnen desinfecteren.
Zeker dat de databases uptodate zijn?

100% zeker. PC staat ook gewoon dagelijks aan en heeft ook gewoon internetverbinding en update zich ook automatisch (tijdens het installeren van Kaspersky heb ik ook geen instellingen aangepast en dus update ie zich ook meerdere malen per dag/uur).

PC is ondertussen toch nog opnieuw geinstalleerd. Ondanks dat Kaspersky geen enkel geïnfecteerd bestand meer had gevonden toch maar besloten (in overleg) om de pc opnieuw te installeren. In ieder geval werkt die AVG removal tool blijkbaar nu vrij goed (maar of het virus ook daadwerkelijk dusdanig verwijderd is dat het niks meer kan is maar de vraag)..

Wat een ellende, ik post nu maar ff vanaf mijn telefoon...

Ik ben ook getroffen door dit virus, heb al een format gedaan van mijn c schijf, nieuwe install van windows, maar het is weer terug gekomen...

Nu mijn vraag, het virus infecteerd bestanden, maar kan dat alleen als een bestand geopend wordt? Of besmet het ook bestanden die niet geopend zijn?

Ik heb een tweede schijf in mijn pc met een heleboel meuk wat alleen als opslag dient, ik weet zeker dat ik na besmetting ook niks meer met die schijf gedaan heb.

Of lopen de ongeopende exe files daar ook risico?

In de pc waar ik het probleem had zat ook nog een 2e harddisk maar voor zover ik gezien heb stonden daar geen exe-bestanden op. Volgens mij was zelfs de 2e partitie van de geïnfecteerde harddisk met rust gelaten door het virus, ik herinner me in ieder geval geen geïnfecteerde bestanden daarop toen ik met Kaspersky liet scannen.
Je zou natuurlijk gewoon eens die tool van AVG kunnen laten scannen om zeker te zijn dat er geen (virut-)virus op die 2e harddisk staat.

Wat een ongelooflijk @!# virus is dat W32/Virut.CF.

Ik heb echt veel stingers/virut removers geprobeerd, maar niet één werkt voldoende. Symantec's virut remover die je in safe moet moet draaien zegt dat'ie alles gecleaned heeft maar na een reboot is Virut gewoon weer terug. Hij heeft ook al mijn netwerkdevices disabled, althans overal zo'n geel uitroeptekentje bij dat het device niet goed werkt. Toen ik een 54Mbit wifi stickje wilde installeren met de juiste driver werkte deze 'spontaan' na installatie ook niet meer.

Dubieuze processen, dubieuze hidden exe files en een, naar het lijkt, geinfecteerde on-acces scanner, dus met een full system scan van je pc maak je het probleem alleen maar erger.

rmvirut.exe van AVG scant / cleant alles vóórdat windows gestart is. Ten eerste duurt dit een uurtje of 4 per HDD en na een hele nacht scannen en cleanen haalt helaas ook deze cleaner virut niet weg.

Ik lees hier dat herinstallatie de enige oplossing is dus sta nu toch maar op het punt om van alles te backuppen en opnieuw te installeren.

Ik weet niet of er mensen zijn met ervaring hiermee, maar ik heb dus ook een [APPS] disk in het defecte systeem met jarenlang verzamelde apps, zo'n 200GB ofzo. Die disk heb ik verder niet geaccessed maar is wél gescand door alle scanners. Natuurlijk vol met .exe's en msi files. Verder nog een paar losse disks met veelal foto en video editing materiaal.

Als ik alleen de C:\ partitie formatteer zou dit dan voldoende zijn of is de kans groot dat ik alsnog Virut besmet ben?

De scanners geven namelijk alleen maar geïnfecteerde bestanden op de c:\ partitie aan namelijk.

Heb net wat ervaring opgedaan met het Vitro / Virut / Junkpoly virus/mallware/backdoor/botnet ding (afhankelijk van scanner wordt het anders genoemd). Zoals ik las in een ander forum: " it is not bad, it is terminal!". Dus. Toen mijn moederbord 1x piepte wist ik dat het goed mis was. Ik heb het verkregen door een exe te starten waar hoegennaamd een serial in verpakt zou zijn. Hoe naïef. Avast, Prevx en Comodo had ik draaien maar kon het niet voorkomen. Werden simpelweg aan de kant gezet. kon niet eens meer updaten.

Het is een polymorph virus, je bent dus nooit zeker of een virusscanner (welke dan ook) je systeem 100% kan cleanen. Ik had ook nog de fout gemaakt door na de infectie mijn spullen te backuppen zonder te booten vanaf een cd. Iedere gecopieerde exe werd geinfecteerd (let op, dll's en scr's worden ook geinfecteerd). Alle vatbare files op de C: worden random actief geïnfecteerd. Ook HTML files (bouw je sites?) worden geinfecteerd met een iframe regel waardoor je bij laden direct naar een site gaat die je opnieuw infecteerd. Zelf had ik deze op een externe schijf staan en waren niet aangeroerd. Stonden ze op de C, dan was veel werk verloren gegaan. Verder: de mate van infectie is afhankelijk van de tijd dat je de pc aan laat na infectie.

Ik ben er vanaf gekomen (hoop ik, ik ben aardig paranoïde geworden) door op mijn laptop de Hiren Boot cd te downloaden en te branden. Hier staat in principe alles op wat je moet hebben. Mini XP, Kasperski en heel veel meer. Dat ding bolt goed. BartPE schijnt hetzelfde te doen maar heb ik geen ervaring mee. Ook Combifix schijnt goed te cleanen maar werkte bij mij niet. Na veel scannen, lezen en proberen is dit wat uiteindelijk is gebeurd:
- Geboot vanaf Hiren CD en alle schijven gescand (deep) met verschillende virusscanners/mallware verwijderaars: Kasperski, Dr. Web en nog een ander spyware-ding op de cd. Allemaal vonden ze duistere zaken (!).
- Alle verdachte .exe files verwijderd op andere partitities en externe harde schijven (die waar ik van wist dat ik ze gecopieerd had of gebruikt had tijdens infectie). Ook backuppen dient dus vanaf bootcd te gebeuren.
- C: geformateerd en windows er opnieuw op gezet.
- Nieuwe firewall, antivirus spyware programma's geinstalleerd (bij de hand hebben voordat je het net op gaat met nieuwe installatie) voordat ik externe schijven heb aangeroerd.

Systeem lijkt nu 2 dagen clean. Gelukkig heb ik al mijn data kunnen behouden en heb ik vrijwel alle progs op cd/dvd. Maar het was een nachtmerrie. Het heeft me een volle week gekost (avonden). Nu heb ik standaard Avast en PC Tools (firewall & spyware doctor) lopen. Tegen dergelijke zaken bestaat maar 1 remedie: ben voorzichtig! Iedereen weet stiekum best hoe. Risico nemen betekend intrensiek dan het wel eens fout kan gaan. Les weer geleerd. Dus.

8 procent van ale infecties bestaat uit een variant van dit virus. De makers toucheren een bepaald bedrag van iedere succesvolle install van de botnet / mallware klant. Al 3 jaar lang. Gedacht wordt dat dit virus voor altijd gedurende het windows tijdperk zal blijven bestaan, ook als de makers gepakt worden.

My 5cnts, en succes voor degenen welke hiermee nu dealen!

So, uitgejankt, Groeten.
NB

Hoppatee...

Na op dit forum een aantal interessante dingen te hebben gespot zal ik m'n crap hier ook maar eens dumpen !!
Het verhaal van nanobit klinkt mij wel aardig bekent in de oren, ma een paar variaties hier en daar maakt dit vast ook wel leuk om te lezen (leedvermaak included) .. En wellicht dat ik een paar vragen weet te beantwoorden ^^

DE ERVARING..
3 weken geleden via nieuwsgroepen een, vrij onbekende, film gedownload. Of dit ook daadwerkelijk door het filmbestand is gekomen weet ik niet, maar ik vermoed dit wel aangezien deze eerst uitgepakt moest worden, en de perfecte timing qua errors natuurlijk Bij het afspelen van de film een stuk of wat foutmeldingen gehad wat niks nieuws was voor mij.. Film stond al aan dus die maar even uitgekeken Daarna het venster gesloten waarna ik een prachtig uitzicht kreeg op mijn nieuwe bureaubladachtergrond met verschillende teksten als "WARNING, your computer is infected".
Hier kon ik wel even een paar minuten om lachen, heb toen wat bestanden verwijderd in de meest voorkomende mappen e.d., hijackthis gedraait en de computer opnieuw opgestart! Geen virusscan.. I know, kinda stupid.. maar hebpakweg 8 jaar lang prima zonder gekunt.

In het begin had ik niet zoveel last van errors en dergelijke, maar na een paar dagen begonnen de volgende "foutmeldingen" zich op te stapelen! (zo even uit het hoofd)
- een tiental extra processen in taakbeheer zoals reader_ s.exe, do_not_delete.exe, 3.tmp (en variaties)
- een enkele keer is het zelfs voorgekomen dat ik 50 stuks van svchost.exe had draaien, 2 keer apache.exe, rundll32.exe en ongeveer 40 keer cmd.exe
- en een aantal keer blue screen

Ik dacht simpelweg.. ,,Even wat programma's enz backuppen en windows opnieuw installeren"
Leek allemaal prima te werken totdat ik weer een aantal programma's ging installeren! Blijkbaar waren deze al eerder geinfecteerd, maar op dat moment was ik me nog van geen kwaad bewust.
De volgende set errors vervolgens gekregen (weer even een paar uit het hoofd)
- reader_ s.exe was weer aanwezig
- een reeks van exe bestanden met de raarste combinaties van letters (bijv foaiwe.exe)
- services.exe, loginiu.exe, DEP (of iets dergelijks) hadden bij het opstarten van windows al problemen.
- avg free 8.5, malwarebytes antimalware, dr web cureit en spybot search & destroy (die ik inmiddels had geinstalleerd) konden niet meer updaten.
- enkele programma's konden niet meer opstarten.
- andere proggies kon ik niet meer installeren.
- willekeurige websites konden niet meer gevonden worden terwijl de rest van internet het verder prima deed.

Aangezien ik geen idee had waar het allemaal vandaan kwam, WEER een reinstall van windows gedaan.. tot 3x toe, totdat ik mijn externe hardeschijf (WD MyBook home edition) weer eens aansloot en getuige was van een heel akelig geluid. En ja hoor, alle bovengenoemde foutmeldingen kreeg ik weer als een stortbui over me heen.

Bijna twee weken later en flink wat research, kwam ik erachter dat AL deze "errors" waarschijnlijk te danken waren aan virut. Ik heb daarom afgelopen weekend m'n hele externe schijf ontdaan van exe, scr, asp, php, htm en html bestanden!
Windows, inmiddels voor de 6e keer , opnieuw geinstalleerd en de eerste reeks programma's inmiddels gedownload en geinstalleerd. Aangezien er nog een paar 100 GB aan bestanden, films, muziek op mijn externe hdd staan heb ik deze, als proef op de som, maar even aangesloten om te zien of de computer weer geinfecteerd werd! Tot nog toe geen problemen gehad
Drukke week voor de boeg, dus de rest van het project komt eind van de week pas aan bod!

Een leuk verhaaltje om te typen, maar een paar conclusies en feiten zullen vast ook handig zijn.

DE CONCLUSIES..
- Ik heb geen enkele virus- en/of malwarescanner kunnen vinden die alle bestanden herkent. Laat staan het hele virut van je computer verwijderen. Complete reinstall van je computer lijkt me toch het veiligst en het snelst.
- Mijn externe hardeschijf autorun-ed bij het aansluiten. Of en hoe dit is uit te zetten weet ik niet, maar dit zorgde in mijn geval dus wel dat een geinfecteerd bestand de rest van de computer opnieuw besmette. Probeer dit dus te voorkomen.
- Als je computer is besmet, kan je verdere besmetting vertragen (niet voorkomen) door je internet af te sluiten, in taakbeheer ongewenste programma's af te sluiten (als je weet wat je doet) en met hijackthis of iets dergelijks een aantal ongewenste bestanden te verwijderen! Hierdoor kunnen er geen extra bestanden door het virut worden gedownload en kunnen er nog enkele taken op de besmette computer worden uitgevoerd. Backuppen van exe, scr, php of andere besmette bestanden heeft dan natuurlijk GEEN ZIN meer.
- Backups (van niet besmette bestanden) kan je het beste op dvd's zetten omdat virut daar verder niks meer aan kan wijzigen. Zo heb ik dus wel een dvd met verschillende exe bestanden kunnen draaien tijdens en nadat mijn computer besmet was, zonder hier problemen van te ondervinden.

VERDER..
- is het mij nog niet duidelijk of images/iso-bestanden met daarin exe-bestanden geinfecteerd kunnen worden door het virut. Dit ga ik eind van de week uitproberen door een aantal images te installeren.
- vraag ik af of html, asp en php-bestanden niet opgeslagen kunnen worden in kladblok zodat deze niet meer besmet kunnen worden, zodat je je (wellicht belangrijke) html, asp, php-bestanden niet allemaal hoeft weg te gooien.

Maar even afwachten hoe mijn computer er eind van de week bijstaat en of ik daadwerkelijk van het virut af ben! Zo jah, dan wordt het toch maar eens tijd om een fatsoenlijke virusscanner aan te schaffen en al mijn bestanden 'georganiseerd' te backuppen
En hoop dat jullie hier misschien nog wat nuttige info uit kunnen halen

Groeten en suc6,
RemQ

hallo

ik had windows vista met gratis avast en bij mij gebeurde het zelfde ook die Win32:Vitro ik heb alles geprobeert maar het werd steeds erger alles wat ik bijna opende opende ging die avast tekeer.
het begon dus met een crack van google earth die opende ik en hij gaf virus aan de Win32:Vitro worm
dus ik dee gelijk stoppen dat was al te laat. dit gebeurde gisteren 2 weken geleden had ik het zelfde ook met een crack terwijl ik zeker weet dat de crack geen virussen hebben.
de eerste keer had ik alles met avast gescand verwijderd en na het opnieuw opstarten van me pc bleef alles zwart dus alles opnieuw geinstaleerd gisteren na 2 weken kreeg ik dit weer dus ik adware laten scannen
die verweiderde 66 infected files weer opnieuw opstarten en ze waren gelijk weer terug dus vandaag weer alles opnieuw op me pc gezet zonder die avast viruskiller want ik vertrouw heel die avast niet meer dus nu gelijk avg er op gezet om dat deze op windows 7 als goede virus killer werd aan gegeven. dus nu maar afwachten ik denk dat het echt in avast zit van de laatste paar weken want op me laptop staat ook avast en daar heb ik al bijna een jaar geen last van deze onzin. dus vertrouw je het niet zet er dan is avg op dat werkt echt goed volgens mijn broer en staat ook goed aangeschreven.

Ik ben ook de pineut.
Toen ik op een installatie-exe klikte sloeg Avast alarm: er werd een verdacht bestandje e4????.exe op de C-schijf geïnstalleerd en contact gelegd met een verdachte website.
Opvallend: ik kon niet meer naar antivirus-sites surfen: allemaal geblokkeerd. Daarna werd alles wat ik aanklikte besmet.

Ik kon die installatie-exe trouwens gewoon openen met 7-zip: daarin zat weer een installatie-exe én een onbekend bestand 90????.exe, en jawel: Avast herkende dat als Virut. Blijkbaar kan Avast niet in zo'n exe kijken terwijl 7-zip 'm gewoon opent?!?! (Dit is ook meteen een tip: open verdachte exen ook eens met 7-zip). Wat heb je trouwens aan virusscanners die alles verwijderen (ook false positives) i.p.v. cleanen? Okee: Avast waarschuwde voor Virut, maar stopte 'm niet.


*****
Wat ik uiteindelijk heb gedaan is:
Netwerkkabel los.
Bestanden gebackupt (maar niet de exe's e.d.)
PC herstarten met Vista reddingsCDrom.
OS teruggezet naar een ouder herstelpunt.
Zoveel mogelijk Antivirus-liveCD's gedraaid. Geen enkele vond nog een virut ...wel veel andere viri (waarschijnlijk veel false-positives).
Ik heb nu weer een werkend systeem, zonder virusmeldingen.

Helaas ben ik toch huiverig: ik surf al twee weken met m'n notebook. Ik kan niet geloven dat een eerder herstelpunt eigenlijk alles oplost.

****
Irritant: de DELL-Vista CDrom is geen normale, maar een kreupele reddings-CDrom. Ik ben een week beziggeweest met het maken van allemaal Live-reddingsCD's. Ook multi-bootCD's. Dat valt nog tegen: lastig om te doen, als het al lukt, en dan blijkt het AV-programma niet door te starten. Sardu werkt nog het makkelijkste, maar niet alles doet het. http://www.sarducd.it/