Zeus besmetting - Privacy en beveiliging

vrijdag 17 augustus 2012 12:07

Acties:

Topicstarter

Kennis van mij heeft een brief van Ziggo gekregen, waarin beweert wordt dat 1 van zijn pc's besmet is met het Zeus virus. Vervolgens ben ik gevraagd om er naar te kijken.

Probleem: geen enkele tool vind iets.

AVG die automatisch update, heeft niks gevonden.
AVG Zeus removal tool kan niks vinden
Malwarebyte anti-malware vind niks
superantispyware vind niks

http://www.malwarehelp.or...-banking-trojan-2009.html

via deze site heb ik elke register value bekeken.

De enige die in de buurt komt (als in, het enige bestand dat daadwerkelijk op de pc staat) is:

Variant 3

C:\WINDOWS\system32\twext.exe
C:\WINDOWS\system32\twain_32\local.ds
C:\WINDOWS\system32\twain_32\user.ds

Local.ds en user.ds bestaan niet (ja verborgen bestanden worden weergegeven)

Mijn vraag is nu, Wat ziet Ziggo precies? en welke scanner vangt deze mogelijke Zeus variant wel? Ik heb 1 van de pc's inmiddels geformatteerd via de HP recovery partitie (fabrieksinstellingen terugzetten), maar vraag me af af ZEUS zich daar niet in heeft kunnen nestelen.

vrijdag 17 augustus 2012 12:09

Acties:

MAX3400

XBL: OctagonQontrol

Wat ziet Ziggo precies?

Ziggo al gebeld? Want als zij iets zien, is het handig om te weten inderdaad wat ze zien, hoe het eventuele inkomende/uitkomende verkeer te detecteren is en in hoeverre je je eigen netwerk/router/modem in ieder geval kan inperken om dat verkeer te accepteren.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 17 augustus 2012 12:18

Acties:

Dalyxia

Topicstarter

ik hou niet zo van klantenservices bellen

vrijdag 17 augustus 2012 12:23

Acties:

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Kan het niet een laptop van een vriend/familielid zijn die tijdelijk op het netwerk van je kennis aanwezig is geweest?

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

vrijdag 17 augustus 2012 12:23

Acties:

MAX3400

XBL: OctagonQontrol

Dalyxia schreef op vrijdag 17 augustus 2012 @ 12:18:
ik hou niet zo van klantenservices bellen

Dus dan val je je mede-Tweakers maar lastig zodat ze kunnen "raden" wat Ziggo heeft geconstateerd...

Ik mis dus even de link tussen "wat is er exact geconstateerd" en "hoe kan een GoT'er hiermee helpen"...

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 17 augustus 2012 12:26

Acties:

Noob_Saibot

Azerbaijan 🔥

Kaspersky al geprobeerd?

Land van het eeuwige vuur

vrijdag 17 augustus 2012 12:27

Acties:

Dalyxia

Topicstarter

MAX3400 schreef op vrijdag 17 augustus 2012 @ 12:23:
[...]

Dus dan val je je mede-Tweakers maar lastig zodat ze kunnen "raden" wat Ziggo heeft geconstateerd...

Ik mis dus even de link tussen "wat is er exact geconstateerd" en "hoe kan een GoT'er hiermee helpen"...

Ik zoek iemand die meer expertise hierin heeft

en "lastig vallen" zo kan je elke post op tweakers wel benoemen want "ze hadden ook iemand in kunnen huren voor dit probleem"

Een tweaker gaat niet direct slechte klantenservices bellen, die zoekt eerst zelf toch?

vrijdag 17 augustus 2012 12:28

Acties:

Dalyxia

Topicstarter

nusupport schreef op vrijdag 17 augustus 2012 @ 12:26:
Kaspersky al geprobeerd?

ik heb http://virusscan.jotti.org/nl gedaan en die geeft bij alles "passed"

Orion84 schreef op vrijdag 17 augustus 2012 @ 12:23:
Kan het niet een laptop van een vriend/familielid zijn die tijdelijk op het netwerk van je kennis aanwezig is geweest?

Voor zover ik weet is er geen ander apparaat op het internet daar aangesloten geweest.

[ Voor 42% gewijzigd door Dalyxia op 17-08-2012 12:30 ]

vrijdag 17 augustus 2012 12:32

Acties:

marquis

Kijk hier maar eens. Op zoek naar twext.exe levert me een hoop hits op. Misschien wat meer Googelen?

Adem in...... adem uit. Poeh, weer gered :-)

vrijdag 17 augustus 2012 12:33

Acties:

MAX3400

XBL: OctagonQontrol

Dalyxia schreef op vrijdag 17 augustus 2012 @ 12:27:
[...]

Een tweaker gaat niet direct slechte klantenservices bellen, die zoekt eerst zelf toch?

Ja, we hebben waarschijnlijk expertise & ideeen om te helpen maar in hoeverre komt dat overeen met iets als deze opmerking?

Als ik binnen mijn organisaties een melding krijg van "een virus" door een centrale scanner of whatever, moet ik ook even goed kijken & troubleshooten & soms contact zoeken met de AV-leverancier om tot een oplossing te komen. Daarbij hoort dan een stuk info over wat er geconstateerd is, mogeljik een stukje logging en zeker een stuk eigen initiatief.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 17 augustus 2012 12:43

Acties:

Renquin

Dalyxia schreef op vrijdag 17 augustus 2012 @ 12:07:
Kennis van mij heeft een brief van Ziggo gekregen, .

Wait what?! Hij heeft een brief (dus iets fysieks van papier) van Ziggo ontvangen?

Tot nu toe alle i-net providers waar ik mee te maken gehad heb met virussen, sloten gewoon de verbinding af en gaven een plaatje waarop stond contact met ze op te nemen omdat er een virus was geconstateerd.

Als ze een brief sturen, dan boeit het ze blijkbaar niet genoeg ofzo

Verder zou ik er bijna vanuit gaan dat het iemand is geweest die niet standaard in het netwerk aanwezig is, zoals al aangegeven is in deze thread.

Want a cookie?!

vrijdag 17 augustus 2012 12:45

Acties:

Dalyxia

Topicstarter

marquis schreef op vrijdag 17 augustus 2012 @ 12:32:
Kijk hier maar eens. Op zoek naar twext.exe levert me een hoop hits op. Misschien wat meer Googelen?

Google is your friend, ik heb deze sites allemaal al bekeken,

maar de winlogon userinit is/wordt niet verandert en de temp file bestaat niet (meer).

vrijdag 17 augustus 2012 12:49

Acties:

Dalyxia

Topicstarter

Renquin schreef op vrijdag 17 augustus 2012 @ 12:43:
[...]

Wait what?! Hij heeft een brief (dus iets fysieks van papier) van Ziggo ontvangen?

Tot nu toe alle i-net providers waar ik mee te maken gehad heb met virussen, sloten gewoon de verbinding af en gaven een plaatje waarop stond contact met ze op te nemen omdat er een virus was geconstateerd.

Als ze een brief sturen, dan boeit het ze blijkbaar niet genoeg ofzo

Verder zou ik er bijna vanuit gaan dat het iemand is geweest die niet standaard in het netwerk aanwezig is, zoals al aangegeven is in deze thread.

ja, met als datum de 14-08-2012

Brief staat alleen in dat er een zeus virus gedetecteerd is en dat het virus verwijderd moet zijn binnen 5 dagen anders sluiten ze de verbinding af.

thx voor de hulp, ik zal vanmiddag toch nog een keer vragen of het mogelijk is dat er een andere pc aangesloten is geweest.

vrijdag 17 augustus 2012 12:52

Acties:

CH4OS

It's a kind of magic

Als er maar 1 PC is binnen dat netwerk is en deze is opnieuw geïnstalleerd, dan kun je toch Ziggo contacteren en vragen of ze nogmaals willen controleren?

vrijdag 17 augustus 2012 12:57

Acties:

Dalyxia

Topicstarter

CptChaos schreef op vrijdag 17 augustus 2012 @ 12:52:
Als er maar 1 PC is binnen dat netwerk is en deze is opnieuw geïnstalleerd, dan kun je toch Ziggo contacteren en vragen of ze nogmaals willen controleren?

Dit behoort tot de mogelijkheden die ik vanavond als ik daar weer ben ga proberen.

bedankt iedereen voor nu, ik ben een stuk wijzer alweer

vrijdag 17 augustus 2012 13:17

Acties:

marquis

Ik weet niet of je dit gelezen heb, maar het bestand twext.exe is een trojan. Een spy.win32.Zbot.llp. Dus het systeem is wel degelijk besmet. De combofix die beschreven staat op de Kaperski site is een removal tool. Ik zou die dus ff laten lopen.

Adem in...... adem uit. Poeh, weer gered :-)

vrijdag 17 augustus 2012 14:24

Acties:

Noob_Saibot

Azerbaijan 🔥

marquis schreef op vrijdag 17 augustus 2012 @ 13:17:
Ik weet niet of je dit gelezen heb, maar het bestand twext.exe is een trojan. Een spy.win32.Zbot.llp. Dus het systeem is wel degelijk besmet. De combofix die beschreven staat op de Kaperski site is een removal tool. Ik zou die dus ff laten lopen.

Dit dus.

Land van het eeuwige vuur

Pagina: 1

Reageer