Toon posts:

[Virus] Proxy-Agent.dldr

Pagina: 1
Acties:

maandag 1 maart 2004 14:38

Acties:
  • midget
  • Registratie: Maart 2001
  • Laatst online: 01-12 08:34

midget

Topicstarter
Afbeeldingslocatie: http://home.zonnet.nl/p_zwet/virus.JPG

Sinds vanochtend dit virus.
Kan echter metbovenstaande melding niks en ik wordt gek van de popups die hij naar voren brengt met de tekst dwn / done

[ Voor 2% gewijzigd door elevator op 01-03-2004 19:01 ]

maandag 1 maart 2004 14:44

Acties:

Verwijderd

Nu ben ik niet helemaal uptodate met de benamingen van NAI, maar die file lijkt dus een downloader te zijn, die een TrojanProxy.Agent variant wil downloaden.

De vraag is dus nu: is dat ook daadwerkelijk gebeurd?
Op nasty site geweest? Omdat hij via browser(IE)lijkt te zijn gedownload.

Als je weet over welke site het gaat, mag je de url mailen naar me, ben er wel benieuwd naar.

maandag 1 maart 2004 14:59

Acties:
  • midget
  • Registratie: Maart 2001
  • Laatst online: 01-12 08:34

midget

Topicstarter
Jep juist niks raars gedaan vandaag.
Enkele fok, tweakers en got daarom vond ik het zo raar.

maandag 1 maart 2004 15:05

Acties:

Verwijderd

Vandaag ge-update?
Het kan zijn dat het ding er al langer stond maar dat er pas vandaag een update uitkwam waarmee de file wordt gedetecteerd.
Iirc is er vannacht een weekly uitgebracht, dus dat klinkt het meest waarschijnlijk.

Probeer het process eens te killen via taskmanager.
Dan zou het wel moeten lukken.
Ik verwacht eigenlijk wel dat de TrojanProxy gedownload is. :X
Daarom zou een copy van die downloader wel handig zijn eigenlijk, dan kan ik kijken waar de downloader de TP neergooit. :)
(Zie sig voor mail)

maandag 1 maart 2004 16:14

Acties:
  • midget
  • Registratie: Maart 2001
  • Laatst online: 01-12 08:34

midget

Topicstarter
Ik heb net adaware gedraait en die vond de volgende dingen:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

ArchiveData(auto-quarantine- 01-03-2004 15-01-18.bckp)
======================================================

IELOADER
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[0]=Folder : c:\program files\IESearchbar
obj[3]=File : c:\windows\system32\aaa.exe
obj[5]=File : c:\windows\system32\mslink32.dat
obj[6]=File : c:\windows\system32\mslib.dat
obj[7]=File : c:\windows\system32\mspr.dat
obj[8]=File : c:\windows\system32\mstbl.ocx

NETPAL
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[1]=RegKey : SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NPO
obj[4]=File : c:\windows\system32\n3tpa1.dll

TRACKING COOKIE
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[2]=File : c:\documents and settings\peter\cookies\peter@as1.falkag[2].txt


Heb je hier wat aan.
Heb vandaag ook een update gedownload van de dat file.

maandag 1 maart 2004 16:23

Acties:

Verwijderd

Hmm, niet veel eigenlijk. :P
Lees mijn vorige post nog eens door aub en volg die 'instructies' eens op. :P

maandag 1 maart 2004 16:34

Acties:
  • midget
  • Registratie: Maart 2001
  • Laatst online: 01-12 08:34

midget

Topicstarter
Kan niet echt wat vinden in de lijst van de taskmanager.
Na draaien van adaware is de melding wel ineens weg?

Dese onderdelen staan in me taskmanager.

Afbeeldingslocatie: http://home.zonnet.nl/p_zwet/virus2.JPG

maandag 1 maart 2004 16:39

Acties:
  • midget
  • Registratie: Maart 2001
  • Laatst online: 01-12 08:34

midget

Topicstarter
Twee bestanden gesubmit

maandag 1 maart 2004 16:47

Acties:

Verwijderd

Een file was 0 bytes en de andere file is corrupt.
Ipv. een pic van je taskmanager kun je beter je HijackThis log posten, dat is wat handiger, want dat geeft direct ook wat andere info.

Post je log aub. tussen [code] tags.
Download hier

maandag 1 maart 2004 17:26

Acties:
  • midget
  • Registratie: Maart 2001
  • Laatst online: 01-12 08:34

midget

Topicstarter
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84

Logfile of HijackThis v1.97.7
Scan saved at 17:26:44, on 1-3-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ISS\BlackICE\blackd.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\RVS\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\RealVNC\WinVNC\WinVNC.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\ISS\BlackICE\blackice.exe
C:\Program Files\LeechFTP\Leechftp.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Peter\Local Settings\Temporary Internet Files\Content.IE5\ATTIVU1C\bla[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tweakers.net/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=runonce&pver=6.0&plcid=0x0413
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\Adobe\Acrobat Reader 5\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2A9EB5BE-5511-CCF2-FDD4-EE5B4C0FED88} - C:\WINDOWS\system32\nuezvpuv.dll
O2 - BHO: (no name) - {38E7CFE7-6610-149C-14D4-8BCB4A6FAC43} - C:\WINDOWS\system32\cpafelxm.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {CD35DB7E-F9DD-CFC7-CEE7-7F8CEBE2F254} - C:\WINDOWS\system32\igwwqtxu.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Program Files\ISS\BlackICE\blackice.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ontvang alles met FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Ontvang met FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Create Mobile Favorite (HKLM)
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 - Extra button: Onderzoek (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37602.4488657407
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

maandag 1 maart 2004 17:39

Acties:

Verwijderd

code:
1
2
3

O2 - BHO: (no name) - {CD35DB7E-F9DD-CFC7-CEE7-7F8CEBE2F254} - C:\WINDOWS\system32\igwwqtxu.dll
O2 - BHO: (no name) - {38E7CFE7-6610-149C-14D4-8BCB4A6FAC43} - C:\WINDOWS\system32\cpafelxm.dll
O2 - BHO: (no name) - {2A9EB5BE-5511-CCF2-FDD4-EE5B4C0FED88} - C:\WINDOWS\system32\nuezvpuv.dll

Die horen er niet te zijn.
Zou je de files willen sturen?
Het kan gewone advware zijn, maar misschien ook zo'n Trojanproxy, daarom zou ik er graag even naar willen kijken. :)

maandag 1 maart 2004 18:03

Acties:
  • midget
  • Registratie: Maart 2001
  • Laatst online: 01-12 08:34

midget

Topicstarter
bestanden gestuurd

maandag 1 maart 2004 18:10

Acties:

Verwijderd

code:
1
2
3

\igwwqtxu.dll   Infected    Trojan.Win32.Goldid
\cpafelxm.dll   Infected    Trojan.Win32.Goldid
\nuezvpuv.dll   Infected    Trojan.Win32.Goldid

NAV detecteert ze ook niet btw.
Die mogen dus weg.

Misschien ook nog wel verstandig om met een andere AV te scannen.

dinsdag 2 maart 2004 19:13

Acties:
  • midget
  • Registratie: Maart 2001
  • Laatst online: 01-12 08:34

midget

Topicstarter
Net nog even een scan gedaan en de volgende virussen werden gevonden.
Afbeeldingslocatie: http://home.zonnet.nl/p_zwet/virus3.JPG

dinsdag 2 maart 2004 19:21

Acties:

Verwijderd

Hmm, die mscache trojan wordt 100% zeker door NAI gedetecteerd, krijg nu toch het idee dat er of iets verkeerd is ingesteld, of dat er iets anders mis is.

dinsdag 2 maart 2004 20:06

Acties:
  • midget
  • Registratie: Maart 2001
  • Laatst online: 01-12 08:34

midget

Topicstarter
Zit deze week in verbouwing zal na verbouwing me pc maar een sopnieuw installen.
Bedankt voor je hulp

woensdag 3 maart 2004 16:12

Acties:
  • equinoxe
  • Registratie: Februari 2001
  • Laatst online: 07-05-2024

equinoxe

C:\Documents and Settings\Peter\Local Settings\Temporary Internet Files\Content.IE5\ATTIVU1C\bla[1].exe

die die mag je wegsmijten... is in ieder geval niet lekker..

woensdag 3 maart 2004 16:13

Acties:

Verwijderd

equinoxe schreef op 03 maart 2004 @ 16:12:
C:\Documents and Settings\Peter\Local Settings\Temporary Internet Files\Content.IE5\ATTIVU1C\bla[1].exe

die die mag je wegsmijten... is in ieder geval niet lekker..
Dat is gewoon de tempfile van de file die hij van mij moest gebruiken/downen, die ik bla.exe heb gedoopt.

edit:
:w :)

[ Voor 3% gewijzigd door Verwijderd op 03-03-2004 16:15 ]

woensdag 3 maart 2004 16:14

Acties:
  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online

Mike Jarod

Hier stond hetzelfde als hierboven :)

:w

[ Voor 89% gewijzigd door Mike Jarod op 03-03-2004 16:15 ]

woensdag 3 maart 2004 16:14

Acties:
  • equinoxe
  • Registratie: Februari 2001
  • Laatst online: 07-05-2024

equinoxe

ow..

ok!
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq