[winxp] raar virus probleem

Great..
Nog een ADS virus, just what we needed.

Zoals je aan de ':' kunt zien, is de locatie ietswat anders dan normaal.
Deze file bevindt zich in de alternative data stream.
Kijk eens op www.sysinternals.com voor een ADS tool en probeer hem zo te verwijderen.

Edit:
Kijk ook eens in dit topic voor wat tips.
[rml][ WinXP] Ongewenst Mail Srv.. ?[/rml]

[ Voor 20% gewijzigd door Verwijderd op 31-10-2003 16:48 ]

Het zou een onderdeel kunnen zijn, graag submitten, maar zijn zeker niet alle componenten.
Housecall ziet geen ADS.
Je zou trouwens McAfee kunnen proberen, die scant deze vorm van ADS wel.(Er zijn meerdere vormen en het lijkt erop dat Kaspersky de meest gebruikte niet ondersteund, op dit moment that is).

sjoerdb schreef op 31 oktober 2003 @ 17:26:
Ik heb hier thuis nogmaals gescand met housecall die vindt TROJ_BROK.A in c:\windows\system32\audio.exe is dit het virus? Of is dit iets anders? (ander virus?)

Dat zou een onschuldig virus moeten zijn (McAfee noemt hem Downloader-EH). Zie http://vil.nai.com/vil/content/v_100741.htm

Hmm, KAVnaam staat er ook bij, dus KAV zou hem moeten detecteren.
En het is nou niet bepaald zo dat Trend KAV ownt qua unpackers.

Ook ik ben getroffen door het virus:

Downloader-EH

Echter komt deze alleen voor als er door windows een geluidje
wordt afgespeelt.
McAfee pakt hem dan wel meteen op, maar kan hem niet verwijderen.

Het geinfecteerde betand zou op mijn PC Music.exe zijn.
Handmatig verwijderen lukt niet daar hij door Windows XP
in gebruik is.
Hij zit net zoals de voorganger al melden in de map Windows/system32

Nu kan ik hem natuurlijk wel na een opstart met een diskette verwijderen,
Maar ik weet niet of het bestand standaard bij Windows XP hoort.
Ik denk dit namelijk omdat hij alleen geactiveerd wordt met de eerder
genoemde windows geluidjes.

Weet iemand of dit een standaard EXE bestand is van XP.

Een zoektocht via google levert namelijk niets op - behoudens de
naamsvermelding van de trojan-naam bij McAfee

audio.exe in windows root dir, nee lijkt me sterk dat het een systeem bestand is.
Kijk anders naar de datum dat het gecreeerd is, is die anders als de datum van je windows folder, is het zoiezo iets wat later is toegevoegd, en dus waarschijnlijk blaat.

Verwijderd schreef op 10 november 2003 @ 17:12:
audio.exe in windows root dir, nee lijkt me sterk dat het een systeem bestand is.
Kijk anders naar de datum dat het gecreeerd is, is die anders als de datum van je windows folder, is het zoiezo iets wat later is toegevoegd, en dus waarschijnlijk blaat.

Nee ik vraag niet of het aannemelijk is, maar ik vroeg of de genoemde
bestanden " MUSIC.EXE of AUDIO.EXE " op elk XP systeem aanwezig is in
de Windows/system32 map

Want als dat niet het geval is, dan kan het bestand er dus gewoon vanaf worden gegooid na een koude start.

music.exe, noch audio.exe komen voor in mijn windows XP prof.

C:\>dir music.exe /s
Het volume in station C heeft geen naam.
Het volumenummer is A809-729A
Bestand niet gevonden

C:\>dir audio.exe /s
Het volume in station C heeft geen naam.
Het volumenummer is A809-729A
Bestand niet gevonden

C:\>ver

Microsoft Windows XP [versie 5.1.2600]

C:\>

Duinkonijn schreef op 10 november 2003 @ 17:23:
[...]

Oke' Konijn en Papa - zal ze dan maar even met het handje moeten poetsen.
Daar de virusscanner dit niet voor elkaar krijgt.

Had nog wel de volgende regis-key gevonden op een virussite:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "*****" = "C:\WINNT\System32\*****.exe"

Die in verband met dit virus wordt genoemd, en gecleand zou moeten worden.
Ga er wel mee aan de slag. Thanks voor zover.

Nou ik heb zowel de volgende bestanden uit het register verwijdered

Audio.exe
Audio.dll
Music.exe
Music.dll
DHooe.exe
DHooe.dll
Audio en DHooe op twee verschillende plaatsen.

Echter geen van alle komt voor in de current version\Run *****

na een restart is de infectedfile nog steeds niet uit de map

windows\system32 te verwijderen.
Ook Mcafee struikeld er nog steeds over, maar ook die krijgt hem er niet
uit. Iemand nog ideeen ???

Dit is niet echt bedoeld als een schop het modje,

Maar ik had weer een poging ondernomen om de virus te verwijderen.
Mcafee ziet hem nog steeds maar krijgt hem niet verwijderd.

Handmatig delete lukt niet - ook niet in veilige modus.
(en opstarten in DOS is er in XP niet meer bij)
Het cleanen van de REG. blijkt geen zin te daar het draaiende
programma deze key's alla minute weer terugzet in het register.
(alhoewel dan wel de naam wijzigd van het exe-bestand en DLL bestand)

Wie heeft hier nog meer ervaring mee.

Weet overigens niet hoe ik aan deze variant ben gekomen.
Dook voor het eerst op nadat ik Adobe-reader had geinstaleerd.