[virus] W32.Swen.A hoe te fixen *

Op Bitdefender staat een removal tool

WOS --> SA

Probeer regedit.exe te kopieren of hernoemen naar regedit.com en probeer dan nog eens de exefile regkey aan te passen (zie de SA FAQ). Van ellende kan je altijd ook nog de HDD er uit trekken of vanaf het netwerk scannen & cleanen.

[ Voor 31% gewijzigd door F_J_K op 19-09-2003 11:22 ]

EDIT: Dom!Nator had niet goed gelezen...

[ Voor 83% gewijzigd door domi235 op 19-09-2003 11:22 ]

beschuitfluiter schreef op 19 September 2003 @ 11:22:
als ik regedit rename en probeer te openen dan zegt hij dat hij het bestand yzzfvfbtl.exe nodig heeft... dat is het bestand wat in dat batchfiletje staat die het virus aangemaakt heeft, maar die executable staat niet meer op de pc.

Psies, zie m'n edit, ik keek de eerste keer niet goed naar de eigenschapppen van het virus

Remote het register inlezen lijkt me het handigst als geen enkele executable meer wil werken.

Achteraf:
Heb je trouwens al lopen cleanen? Dat is dan wellicht de reden dat niets meer start -> alles liep via het virus en nu het virus weg is, kan dus niets meer starten. Eerst de regkeys aanpassen en dan pas op bestandsniveau cleanen werkt beter (een goede virusscanner zou dat ook moeten doen IMHO )

beschuitfluiter schreef op 19 September 2003 @ 11:29:
das denk ik het probleem met die baas van mij; hij weet te veel van computers om te lopen kloten, maar te weinig om het te fixen.

is remote cleanen niet riskant voor de andere pc dan?

Als ik zo naar de virusinfo kijk: nee hoor, zeker niet als je niets op die machine dubbelklikt en zelf goed uptodate bent. Maar dat is eigenlijk altijd zo natuurlijk.

De remote registry service moet wel aan staan trouwens, anders lukt het niet. Maar als dat het geval is kan je ook nog via regedt32: [rml][ 2k]register terugzetten[/rml]

zou een nieuwe besmetting dan niet helpen om de regedit enzo weer te laten werken?

Als die executable wel op starten misschien wel, maar dan kan je net zo goed meteen regedit.exe starten ipv virus.exe

Registry Shell Spawning

The following registry entries are also modified to enable the worm to run every time a file with EXE, REG, SCR, COM, BAT or PIF extension is executed:

HKEY_CLASSES_ROOT\exefile\shell\open\command
@ ""%1" %*" "<random filename>.exe "%1" %*"

HKEY_CLASSES_ROOT\regfile\shell\open\command
@ "regedit.exe "%1"" "<random filename>.exe showerror"

HKEY_CLASSES_ROOT\scrfile\shell\open\command
@ ""%1" /S" "<random filename>.exe "%1" /S"

HKEY_CLASSES_ROOT\scrfile\shell\config\command
@ ""%1"" "<random filename>.exe "%1""

HKEY_CLASSES_ROOT\comfile\shell\open\command
@ ""%1" %*" "<random filename>.exe "%1" %*"

HKEY_CLASSES_ROOT\batfile\shell\open\command
@ ""%1" %*" "<random filename>.exe "%1" %*"

HKEY_CLASSES_ROOT\piffile\shell\open\command
@ ""%1" %*" "<random filename>.exe "%1" %*"

Dropped Files

The following files are also dropped by the worm in the Windows directory:

<computer name>.bat
<random name>.<random extension>
GERMS0.DBV
GERMS1D.DBV
SWEN1.DAT
The file <computer name>.bat is used by the worm to launch the dropped worm file. It contains the following strings:

@ECHO OFF
IF NOT "%1"=="" .exe %1

The file <random name>.<random extension> contains file names, including <computer name>.bat, and other data that are used by the worm for its malicious routines.

The files GERMS0.DBV and GERMS1D.DBV are used by the worm to store the email addresses it has gathered from the infected system. These email addresses are used by the worm for its mass-mailing purposes.

The file SWEN1.DAT contains server names used by the worm during its SMTP–Newsgroup propagation.

The worm then locates the Winzip or Winrar application and uses this to compress a copy of the worm and save this compressed copy in the %Windows% folder as a <random name>.zip, using combined strings in the worm body as <random name>.

Other Registry Entries

The worm also disables REGEDIT.EXE by adding this registry entry:

HKEY_CURRENT_USER\Software\Microsoft\Windows
CurrentVersion\Policies\System
DisableRegistryTools = dword:00000001

When accessing the registry, the following message box is then displayed:


The worm also adds the following registry subkey, wherein it stores the data that the worm uses for its malicious routines:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
CurrentVersion\explorer\<random key>

The following values are added under this created subkey:

Install Item = "<random string>"
Unfile = "<random name>.wgt "
CacheBox Outfit = "yes"
ZipName= "<random string>"
Mirc Install Folder = "<directory where MIRC is installed>"
Installed = "... by Begbie"
Kazaa Infect = “yes”
Email Propagation

Er is toch ook een consoleversie van regedit? Die noemt 'reg' geloof ik en kan je vanaf de dospromt oproepen. Dan het je heel dat regedit of regedit32 misschien niet nodig.

De truuk is:

Maak in notepad een tekst file met de register wijzigingen, noem het whatever.reg oid en laat het toevoegen aan het register door te dubbelklikken.

Dus, hetvolgende kopieren en plakken in notepad, save as 'any file' (anders zet windows er nog steeds .txt achter) onder de naam 'repair.reg' ofzo.



Het virus ontzegt de gebruiker toegang tot het register door "DisableRegistryTools"=dword:00000001 <-- Deze waarde wordt door het scriptje hierboven weer op '0' gezet, en dan kan je je register als het goed is weer in.

Details staan hier, het verhaal over het maken van repair.reg staat ergens onderaan:

http://securityresponse.s...c/data/w32.swen.a@mm.html

[ Voor 18% gewijzigd door JumpStart op 22-09-2003 15:15 . Reden: layout + typos ]

regedit32.exe naar regedit32.scr copieren, en vervolgens regedit als screensaver kiezen heeft mij wel eens geholpen

recovery console van XP zou je ook kunnen gebruiken natuurlijk

JumpStart schreef op 22 September 2003 @ 15:14:
De truuk is:

Maak in notepad een tekst file met de register wijzigingen, noem het whatever.reg oid en laat het toevoegen aan het register door te dubbelklikken.

Dus, hetvolgende kopieren en plakken in notepad, save as 'any file' (anders zet windows er nog steeds .txt achter) onder de naam 'repair.reg' ofzo.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000 [HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @="\"%1\" %*" [HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @="\"%1\" %*" [HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @="\"%1\" %*" [HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @="\"%1\" %*" [HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command] @="\"%1\" %*"

Het virus ontzegt de gebruiker toegang tot het register door "DisableRegistryTools"=dword:00000001 <-- Deze waarde wordt door het scriptje hierboven weer op '0' gezet, en dan kan je je register als het goed is weer in.

Details staan hier, het verhaal over het maken van repair.reg staat ergens onderaan:

http://securityresponse.s...c/data/w32.swen.a@mm.html

Deze tekst heb ik letterlijk gecopieerd, dit is dezelfde tekst als undo reg van mcafee en de tekst van symantec, maar als ik deze opsla als repair.reg (ook met opslaan als overige) krijg ik de melding: Het bewerken van het register is uitgeschakeld door de systeembeheerder....

Opgelost, kon via veilige modus met dos prompt regedit in en zou het undo bestand importeren.

Verwijderd schreef op 23 September 2003 @ 01:42:
Opgelost, kon via veilige modus met dos prompt regedit in en zou het undo bestand importeren.

Mag ik dan vragen hoe dat ineens wel werkt? Ik had namelijk ook dezelfde foutmelding die jij had: Het bewerken van het register is uitgeschakeld door de systeembeheerder....

Zou top zijn als je het kan vertellen!

Edit: ik ben dus ook gewoon ingelogd als Administrator in de veilige modus met command prompt! Ik kan dus dan nog steeds geen .exe openen...

[ Voor 16% gewijzigd door Verwijderd op 23-09-2003 20:39 ]

IK HEB HET OPGELOST!!!!!!!!!!!!!!


Lees en respecteer mij

Ik ben er een tijdje mee bezig geweest totdat ik de volgende oplossing had.


Ik heb de juiste reg keys naar een reg file geexporteerd van een schone machine.
Deze reg file kon ik uiteraard niet importeren.

Ik heb vervolgens in DOS mode de fhkznam.exe (ofzo) verwijderd en weer in windows regedit.exe hernoemd naar fhkznam.exe (ik kon daarmee evengoed niet regedit starten).

Vervolgens heb ik de .reg file hernoemd naar .bla en ge-dubbelklikt. Vervolgens vraagt Windows waarmee ik het wil openen en ik koos voor fhkznam.exe en dat werkte wel!

--> register opgeschoond en voila!