[Virus] Antivir waarschuwt voor dx-pod32.exe - Windows clients

woensdag 29 oktober 2003 22:44

Acties:

Topicstarter

Als ik AntiVir XP start, krijg ik de volgende melding:

====
With the safety check of the Registry a remarkable entry HKEY_CLASSES\exefile\shell\open\command was found. This entry information refers to the file F:\WINDOWS\DX-PROT32.EXE. Please check the executability of your system and transmit at any problems the announced file with the AVWin.Log file to virus@free-av.de.
====

Af en toe hoor ik de hd rommelen terwijl ik niets bijzonders doe of heb ingesteld. Soms is de processor activiteit dan ook 100% (meet ik met een statbar utility).

Als ik genoemde file wis, start mijn bureaublad wel, maar leidt elke start v/e programma tot een "kan niet" melding. Idem voor veilige modus.

Ik heb dit bestand weer teruggeplaatst via de verkenner die ik met de xp install disk kon opstarten.

Ik draai XP met alle updates. AntiVirXP detecteert geen viri.

Is dit een virus of een onnozele, onnodige zorg?
Wat kan ik het beste doen?
Misschien WinXP over mijn huidige installatie heen installeren? (moet ik in dat geval daarna alle updates weer van internet halen en installeren?).

Mvg., Eric apestaart InternetId puntje nl

woensdag 29 oktober 2003 22:45

Acties:

Verwijderd

Stuur de file eens.
Lijkt op een virus..

woensdag 29 oktober 2003 23:16

Acties:

Verwijderd

Wat staat er in je register dan, Ik heb even een export van de key gedaan.
Als je onderstaande in een bestandje met extensie reg zet bijv "exe.reg"
en daarna dubbel klikken is je key weer juist,
er moet dus duidelijk niet iets staan met DX-PROT32.EXE want dan heb je duidelijk een virus

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

woensdag 29 oktober 2003 23:33

Acties:

ERKB514

Topicstarter

Hi Domst,

In mijn register staat inderdaad die dx-pot32.exe file.

Als ik het door jou opgegeven regeltje in exe.reg (via kladblok) opsla en probeer te improteren, krijg ik melding dat reg-edit alleen binaire bestanden kan importeren. Wat doe ik verkeerd?

Mvg., Eric apestaart InternetId puntje nl

woensdag 29 oktober 2003 23:35

Acties:

Verwijderd

F_J_K heeft hier een heel mooie SA FAQ voor

Het zou erg fijn zijn als je de file zou opsturen, dan kan ik zien of dit iets nieuws is of dat het al bekend is.
Verwijderen zonder analyse is _niet_ aan te raden namelijk.

woensdag 29 oktober 2003 23:40

Acties:

ERKB514

Topicstarter

Hi Schouw, de file + screendump van de warning heb ik naar het adres in je signature gestuurd.

Bedankt voor je snelle replies!

Mvg., Eric apestaart InternetId puntje nl

donderdag 30 oktober 2003 00:00

Acties:

Verwijderd

Dik kwartier gewacht, nog steeds niets aangekomen..
Zeker dat de mail verstuurd is?

donderdag 30 oktober 2003 19:04

Acties:

ERKB514

Topicstarter

Hoi Schouw,

Heb je de file al kunnen bekijken? Ik vind het wel een verontrustend probleem dat helaas nog zonder oplossing zit. Ik heb 'm ook voorgelegd aan de mensen van AntivirXP maar nog geen reactie. Zal ik anders een schone WinXP eroverheen jassen en zou dat afdoende zijn?

Mvg., Eric apestaart InternetId puntje nl

donderdag 30 oktober 2003 19:09

Acties:

DiedX

ik weet dat er een NOS mod was die een website had gemaakt.

Ben even aan het zoeken!

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

donderdag 30 oktober 2003 19:12

Acties:

Verwijderd

Ik heb de exe file nog steeds niet ontvangen..
Stuur hem anders ook nog eens naar kav@home.nl
De exe-file kun je ook nog naar iemand van AntiVir sturen die ik ken. heuristik@antivir.de als ik me niet vergis, zeg maar dat je van Schouw de file moest mailen, dan kijkt hij er zeker naar

Maar aan een plaatje met een melding heb ik/iemand anders niets/niet veel.

donderdag 30 oktober 2003 19:18

Acties:

Mike Jarod

krijg ik melding dat reg-edit alleen binaire bestanden kan importeren. Wat doe ik verkeerd?

Start>Uitvoeren>Regedit
Ga naar HKEY_CLASSES_ROOT>exefile>shell>open>command
Hierin staat een waarde (standaard)
Deze zou de volgende waarde moeten hebben: "%1" %*
Als deze anders is dan even wijzigen.

donderdag 30 oktober 2003 19:22

Acties:

ERKB514

Topicstarter

OK, zojuist naar opgegeven adressen gemaild en een check cc naar mijn Hotmail. Moet lukkeh he! Ik denk dat jouw Yahoo mail de attach als onbetrouwbaar ziet en deze naar de eeuwige bittenvelden verwijst. Ik krijg in elk geval een waarschuwing in Outlook. Mocht je'm nu nog niet hebben, dan zip ik 'm en mail ik 'm nochmal.

Overigens, mag ik even lastig zijn met nog iets vreemds? Ik zit lekker te kijken in dit forum op Tweakers en opeens klapt mijn window dicht... Dat gebeurde gisteren ook een paar keer. Tevens verdwijnt dit forumtopic ook steeds uit mijn Bookmarks. Is dit een bekend Tweakers prob (sorry, ben nog niet in de faq's gedoken hierover) of is er een geest bezig over mijn schouder en onder de motorkap van mijn PC?

Mvg., Eric apestaart InternetId puntje nl

donderdag 30 oktober 2003 19:33

Acties:

Verwijderd

Kun je de file anders even gezipped online zetten?
Want nog steeds niet op zowel m'n @home als yahoo mail.

Yahoo ontvangt normaal gesproken alle e-mail, je krijgt alleen een melding als je het virus wil downloaden.

donderdag 30 oktober 2003 19:37

Acties:

elevator

Officieel moto fan :)

En terug open op verzoek

[ Voor 95% gewijzigd door elevator op 30-10-2003 20:45 ]

donderdag 30 oktober 2003 22:39

Acties:

ERKB514

Topicstarter

Wat gebeurde er? Waarom ging dit op slot??

Anyway, het verhaal gaat verder.
Net nadat ik het vorige bericht had geplaatst, zag ik in mijn verkenner dat alle bestanden uit de root van mijn boot- en datadrive waren verdwenen. Ik had wel de hierboven voorgestelde sleutel in het register gezet in plaats van waar die file dx-pot32.exe stod.

Netwerkkabel eruit getrokken en uitgezet. Booten gaat niet meer, er stond NTLD missing ofzo.

Ik probeer het nu met een bootable cd. Tjonge, wat een gedoe net nu ik het druk heb! Ik hoop niet dat het echt een fucking virus is. En ik hoop dat m'n data er nog zijn. Ik was niet zo'n hele trouwe backupper... was...

Heeft iemand nog goede raad?

Oh ja, ik heb de virusfile geprobeerd te mailen, zowel in exe als in zip. Deze mail kwam niet aan! (alle andere mail wel). Het leek wel of iemand mijn systeem overnam. Dit is geen geintje, ik weet echt niet wat er gebeurt.

Mvg., Eric apestaart InternetId puntje nl

vrijdag 31 oktober 2003 00:58

Acties:

Jimbolino

troep.com

ja het is wel een ECHT virus

het virus start elke keer op als jij een .exe bestand opstart, als je het virus verwijderd kun je dus geen .exe files meer starten (via explorer)

Mijn advies is: windows opnieuw instaleren.
Al je documenten en instellingen blijven dan gewoon bestaan enzo

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

vrijdag 31 oktober 2003 01:21

Acties:

tweakerbee

dus..?

registersleutel = HKLM\CLASSES\exefile\shell\open\command
regedit.exe = c:\windows\regedit.exe

Met de windows CD opstarten.

fixboot
bootcfg /rebuild

in de RECOVERY CONSOLE gebruiken.
Dan regedit.exe naar regedit.com hernoemen. Dan regedit.exe renamen naar regedit.com. Dan het virale bestand verwijderen. Dan opnieuw opstarten (je krijgt een hoop foutmeldingen). Dan regedit.com starten. Dan de registersleutel opnieuw

"%1" %*

als waarde geven (MET DE AANHALINGSTEKENS).

Je computer moet dan weer redelijk in orde zijn.

You can't have everything. Where would you put it?

vrijdag 31 oktober 2003 04:45

Acties:

ERKB514

Topicstarter

Allereerst: bedankt voor jullie support en aandacht!

Dan hoe het verder ging.
Na veel gedoe een nieuwe XP geinstalleerd (in andere dir.).
Alles loopt weer, maar er is van verschillende schijven 150 gieg aan data gewist. Directories bestaan wel, maar zijn veelal leeg. De gewraakte virusfile DX-pot32.exe staat er nog op en zodra ik het netwerk weer op die PC heb durven aansluiten zal ik deze naar Schouw en zijn Antivir friend mailen.

Je wordt wel schizo van zoiets zeg. Voor ik meer ga overschrijven wil ik eerst kijken of ik in elk geval mijn Outlook mailfile nog kan recoveren. Weet iemand daar een goede util voor?

Bedankt voor je mail Schouw; ik kom er nog op terug zodra ik het kreng goed te pakken heb. Ontdek ik nog iets engs, dan doe ik hier wel verslagje.

Mvg., Eric apestaart InternetId puntje nl

vrijdag 31 oktober 2003 04:54

Acties:

hufkes

nee, daar staat niet hufter!

ERKB schreef op 31 oktober 2003 @ 04:45:
Allereerst: bedankt voor jullie support en aandacht!

Dan hoe het verder ging.
Na veel gedoe een nieuwe XP geinstalleerd (in andere dir.).
Alles loopt weer, maar er is van verschillende schijven 150 gieg aan data gewist. Directories bestaan wel, maar zijn veelal leeg. De gewraakte virusfile DX-pot32.exe staat er nog op en zodra ik het netwerk weer op die PC heb durven aansluiten zal ik deze naar Schouw en zijn Antivir friend mailen.

Je wordt wel schizo van zoiets zeg. Voor ik meer ga overschrijven wil ik eerst kijken of ik in elk geval mijn Outlook mailfile nog kan recoveren. Weet iemand daar een goede util voor?

Bedankt voor je mail Schouw; ik kom er nog op terug zodra ik het kreng goed te pakken heb. Ontdek ik nog iets engs, dan doe ik hier wel verslagje.

ten eerste: waarom heb je de boel herinstalled in een andere dir? Nu zullen de meeste progs het niet meer doen, je kunt zelfs beter de boel nog een keer opnieuw installeren over de oude dir heen dan nu verder te klooien met een dubbele install. Zeker aangezien XP ivm de veiligheid een hoop folders ed aanpast bij een nieuwe install. Waarschijnlijk staan alle files er nog wel, maar mag/kan je ze niet zien.

Outlook kun je nu waarschijnlijk ook niet bij omdat je een andere user-dir hebt gekregen, maar als je weer onder de originel win-install starten kunt, kun je weer gewoon in je mail. Dan kies je direct export to pst file om te zorgen dat je een recente back-up hebt.

Verder is de hierboven beschreven manier met renamen naar regedit.com en zo de beste en was zeker ook de snelste oplossing geweest. Ben beng dat je nu beter kunt concentreren op alle data verzamelen en op cd fikken en dan alles leeg en volledig schone install doen, want twee win-directories met oude programmatuur wordt een complete chaos waardoor de problemen alleen maar toe zullen nemen.

Onderstaande signature is al >20jr oud ***hoe dan***
---
Het internet is een veelbelovend medium
....dat maar heel weinig van zijn beloftes nakomt.
Wat weg is... raak je nooit meer kwijt :P

vrijdag 31 oktober 2003 09:27

Acties:

Verwijderd

Verder is de hierboven beschreven manier met renamen naar regedit.com en zo de beste en was zeker ook de snelste oplossing geweest

Dat weet je dus niet..
Er zijn genoeg trojans die je kunt instellen dat ze elke seconde moeten kijken of die associatie er nog is.

Daarnaast kun je bewerkstelligen dat als je de associatie removed en het virus 'ziet' dat, dat je dan bijvoorbeeld files gaat wissen..

vrijdag 31 oktober 2003 14:33

Acties:

Verwijderd

Valid double-post imo.

Update:
We zijn erachter met welk virus we te maken hebben: I-Worm.Roron.50.b
Write-up: Symantec

Van write-up:

# May attempt to delete all the files from the infected computer, if the worm determines that some of the files that it previously copied to the computer, or if the registry values it added, are missing.

Dat wat ik vreesde is dus werkelijkheid..

Zal eens kijken hoe dit precies in de FAQ staat, om dat eventueel aan te laten passen zodat dit niet nog eens gebeurt.