[Win XP]Nieuwe Blaster Variant? - Privacy en beveiliging

vrijdag 19 maart 2004 00:53

Acties:

Topicstarter

Tot mijn verbazing (patch en dergelijke geinstalleerd) krijg ik na lekker Farcry te hebben gespeeld een RPC melding.
De pc moet worden afgesloten nouja bekende, alleen nu met een iets andere melding.
Ik ben helaas vergeten een screen te maken mijn excuses.
Ik had norton anti-virus er flink op los gelaten en norman anti-virus beiden vonden geen virus op mijn computer.
Nu heb ik er dus een format op na gehouden en weer alle patches geinstalleerd, en tot nog toe geen last meer gehad.
Ook waren er volgens mijn zoverre kennis wat rare bestanden aanwezig in de windows/system map namelijk: winaii.exe en cvccd.exe
Het verwijderen was hiervan niet mogelijk.
Ook kom ik deze melding nu niet voor de eerste keer meer tegen maar ook had laatst een klant bij mij in de winkel de vreemde melding en ook hier werd geen Blaster aangetroffen.
Iemand ook hiervan last of misschien meer weet hiervan?

(ook het openen van vensters is bijna niet mogelijk als je de melding krijgt of shutdown /a hebt gebruikt, ook na rebooten worden alle schermen auto gesloten na een paar seconden.)
PPS. als je daarna nog een patch probeert te installen krijg je de melding dat de Cryptographic service waarschijnlijk is uitgeschakeld (staat ingeschakeld).

[ Voor 17% gewijzigd door GeeMoney op 19-03-2004 00:55 ]

vrijdag 19 maart 2004 00:59

Acties:

momania

iPhone 30! Bam!

Windows Operated Systems >> Beveiliging & Virussen

_{Ik kan dus geen RPC en blaster meer zien hè in WOS}

Neem je whisky mee, is het te weinig... *zucht*

vrijdag 19 maart 2004 01:02

Acties:

gwystyl

Beugeltje dan maar?

Ik heb geen van beide bestanden in mijn windows dir, en ook de online symantec virus encyclopedy kent ze niet, evenals google.
Ik kan je dus niet verder helpen, heb de FarCry Demo niet meer op mijn compu staan....

vrijdag 19 maart 2004 01:02

Acties:

Miki

Klein vraagje vooraf, in hoeverre was jou verkregen versie of patch legaal? Gewoon een vraag om zo het één en ander uit te sluiten waar het virus mogelijk vandaan kwam.

*mini update
Alle zoeksites zoals google enzo vinden helemaal niks aan info.

[ Voor 20% gewijzigd door Miki op 19-03-2004 01:08 ]

vrijdag 19 maart 2004 01:07

Acties:

GeeMoney

Topicstarter

Miki schreef op 19 maart 2004 @ 01:02:
Klein vraagje vooraf, in hoeverre was jou verkregen versie of patch legaal? Gewoon een vraag om zo het één en ander uit te sluiten waar het virus mogelijk vandaan kwam.

Ik heb het hier over de Farcry Demo.
Windows XP Pro beschik ik over legaal.

@Momania mijn excuses dat ik je avond heb verknald

Ik heb zo mijn vermoeden dat het dus om een nieuwe variant van het bekende Blaster is, ik krijg er ook in mijn omgeving weer last van dat mensen dus zon RPC melding krijgen terwijl ze dus de patch/firewall aan hebben.
Ook google/symantec had ik al raad gepleegd.
En oja als er over iets gepraat word wat nog niet uit is wil niet zeggen dat het gelijk illegaal is, er bestaan ook nog demo's

[ Voor 42% gewijzigd door GeeMoney op 19-03-2004 01:20 ]

vrijdag 19 maart 2004 01:29

Acties:

Miki

The_Dart schreef op 19 maart 2004 @ 01:07:
[...]

Ik heb het hier over de Farcry Demo.
Windows XP Pro beschik ik over legaal.

@Momania mijn excuses dat ik je avond heb verknald

Ik heb zo mijn vermoeden dat het dus om een nieuwe variant van het bekende Blaster is, ik krijg er ook in mijn omgeving weer last van dat mensen dus zon RPC melding krijgen terwijl ze dus de patch/firewall aan hebben.
Ook google/symantec had ik al raad gepleegd.
En oja als er over iets gepraat word wat nog niet uit is wil niet zeggen dat het gelijk illegaal is, er bestaan ook nog demo's

Das waar, maar één van de grootste virusspreiders zijn p2p netwerken en omdat je post niet volledig was... kan er een vermoeden zijn. Daarom vroeg ik het ook om dat probleem dus uit te sluiten. Heb je zelf al aan een firewall gedacht?
Als je zonealarm free installeerd kun je zien welke services contact zoeken met het internet. Daarnaast zou je windows in veilige modus kunnen starten om deze bestanden misschien wel weg te halen. Tijdens booten F8, voor als je het niet weet.

[ Voor 8% gewijzigd door Miki op 19-03-2004 01:30 ]

vrijdag 19 maart 2004 09:21

Acties:

GeeMoney

Topicstarter

Ook onder veilige modes werkte het niet, ik kreeg de melding dat de files in gebruik waren terwijl er geen processes op leken.
Ik heb nu de windows firewall voorlopig aan, en weer alle patches geinstalleerd.
Zodra ik de melding weer krijg bij een klant of bij mijzelf thuis stuur ik gelijk een screen op.

vrijdag 19 maart 2004 11:04

Acties:

GeeMoney

Topicstarter

Update, Computer van een klant die het virus bevat:
Alleen heb ik de melding zelf nog niet gehad, ik open me eigen de gekte om dat scherm te krijgen

Houd mijn servertje heel aub en sorry van IP adres, kreeg hem ff niet weg.

[img src=http://nummer/Uploaded%20files/Screen%201.jpg[/img]
[img src=http://nummer/Uploaded%20files/Screen%202.jpg[/img]
[img src=http://nummer/Uploaded%20files/Screen%203.jpg[/img]

[ Voor 7% gewijzigd door GeeMoney op 20-03-2004 00:17 ]

vrijdag 19 maart 2004 11:17

Acties:

wildhagen

Blablabla

Die cvcd.exe van de laatste screenshot geeft als 1e link in Google: http://www.sophos.com/virusinfo/analyses/w32agobotdr.html

Aan de tweede screenshot zie ik niets vreemds (alleen een hoop code-sets van Windows), en de eerste kan natuurlijk van alles zijn...

Zou je die cvcd*.* files trouwens gezipt naar mij willen mailen (zie profile voor adres)?

[ Voor 21% gewijzigd door wildhagen op 19-03-2004 11:21 ]

Virussen? Scan ze hier!

vrijdag 19 maart 2004 11:22

Acties:

GeeMoney

Topicstarter

wildhagen schreef op 19 maart 2004 @ 11:17:
Die cvcd.exe van de laatste screenshot geeft als 1e link in Google: http://www.sophos.com/virusinfo/analyses/w32agobotdr.html

Aan de tweede screenshot zie ik niets vreemds (alleen een hoop code-sets van Windows), en de eerste kan natuurlijk van alles zijn...

Het vreemde is dat ik dan nog winaii als bestand overhoud die ook niet in windows thuis hoort.
En ik lees nergens over een RPC melding met de link die je me gaf, terwijl ik dat dus ook heb.
Norton/Norman hebben trouwens nog steeds niets gedetecteerd.

vrijdag 19 maart 2004 12:42

Acties:

Verwijderd

Stuur me de files eens aub, dan zal ik ze eens bekijken.
Zie sig voor mail.

vrijdag 19 maart 2004 15:40

Acties:

GeeMoney

Topicstarter

Verwijderd schreef op 19 maart 2004 @ 12:42:
Stuur me de files eens aub, dan zal ik ze eens bekijken.
Zie sig voor mail.

Zou je wildhagen daarover willen contacten, die heeft ze namelijk en ik heb ze hier net verwijderd

vrijdag 19 maart 2004 15:46

Acties:

wildhagen

Blablabla

The_Dart schreef op 19 maart 2004 @ 15:40:
[...]

Zou je wildhagen daarover willen contacten, die heeft ze namelijk en ik heb ze hier net verwijderd

Ik heb alleen de .PF file gekregen, jammer dat je, zoals je zelf al zei net die cleaner gedraaid had.

Ik heb die .PF file door zowel de scanners van NAI, Kaspersky als die van Symantec gehaald, en geen van drie-en gaven ze een kick, ze gaven allen de status Ok/Clean.

Virussen? Scan ze hier!

vrijdag 19 maart 2004 15:48

Acties:

D2k

wildhagen schreef op 19 maart 2004 @ 15:46:
[...]

Ik heb alleen de .PF file gekregen, jammer dat je, zoals je zelf al zei net die cleaner gedraaid had.

Ik heb die .PF file door zowel de scanners van NAI, Kaspersky als die van Symantec gehaald, en geen van drie-en gaven ze een kick, ze gaven allen de status Ok/Clean.

en trend

benieuwd is * d2k appestaartje xs4all *

Doet iets met Cloud (MS/IBM)

vrijdag 19 maart 2004 15:50

Acties:

Verwijderd

.pf file zal wel prefetch file zijn, die kun je dus zien als corrupt.
Helaas..

vrijdag 19 maart 2004 15:54

Acties:

D2k

Clean idd. Ook bij Trend Officescan / Scanmail for Notes

tnx wildhagen

Doet iets met Cloud (MS/IBM)

vrijdag 19 maart 2004 16:42

Acties:

GeeMoney

Topicstarter

Erg vreemd, geen van allen word dus gedetecteerd, terwijl het dus wel degelijk rommel is.
Het opnieuw opstarten/langzaam was ook niet verholpen na de fix.
Ik heb wederom een format moeten doen.
Ik zal proberen de eerstvolgende keer het winaii.exe bestand als het cvcd.exe bestand in te pakken en te mailen.

dinsdag 23 maart 2004 22:52

Acties:

Verwijderd

ik heb geen farcry demo, maar ook last van een winaii.exe die veel processor snelheid in beslag neemt. Op een gegeven moment krijg ik een melding net als bij die blasterworm. Al oplossingen?

dinsdag 23 maart 2004 22:55

Acties:

Verwijderd

Zou je die winaii.exe file eens kunnen sturen?
Zie sig voor mail.

dinsdag 23 maart 2004 23:06

Acties:

Verwijderd

Verwijderd schreef op 23 maart 2004 @ 22:55:
Zou je die winaii.exe file eens kunnen sturen?
Zie sig voor mail.

ik upload hem op -hier stond een url- ik hem niet toevoegen als bijlage, omdat hotmail het vreemdgenoeg wel een virus vindt.

edit:
path: c:/windows/system32/winaii.exe

Edit: url weggehaald

[ Voor 21% gewijzigd door Verwijderd op 23-03-2004 23:09 ]

dinsdag 23 maart 2004 23:12

Acties:

Verwijderd

Het is een nieuwe Agobot variant...

code:

Report:
E:\Documents and Settings\Schouw\Desktop\winaii.exe packed  Exe32Pack   
E:\Documents and Settings\Schouw\Desktop\winaii.exe is a backdoor Backdoor.Agobot.hx    
E:\Documents and Settings\Schouw\Desktop\winaii.exe object could not be disinfected,

Ik heb de link naar de malware weggehaald, omdat het blijkt dat mensen, ook al wordt er voor gewaarschuwd, toch de files runnen.

Dit verklaart de 'lovesan-like' eigenschappen, Agobots proberen ook via de rpc/dcom exploit binnen te dringen.

Edit:
Vergeet ik de 'oplossing' helemaal..
Imho is de enige juiste remedie tegen een Agobot een format.
Er is grote kans hierbij dat er nog wat achtergebleven is op het systeem wat bijna niet te traceren valt.

Hoe zorg je ervoor dat het niet meer gebeurt:
-Geen IE gebruiken(alleen op max settings eventueel)
-Geen OE/WMP gebruiken
-Windows up to date houden
-Firewall installen en up to date houden
-Virusscanner installen en up to date houden
-Niet blind op de voorgaande twee oplossingen vertrouwen, vooral de laatste niet.
Tegenwoordig spreek je niet meer van snelle AVs, maar van minst langzame.

[ Voor 37% gewijzigd door Verwijderd op 23-03-2004 23:21 ]

dinsdag 23 maart 2004 23:19

Acties:

Verwijderd

Verwijderd schreef op 23 maart 2004 @ 23:12:
Het is een nieuwe Agobot variant...
code:
1
2
3
4
Report:
E:\Documents and Settings\Schouw\Desktop\winaii.exe packed  Exe32Pack   
E:\Documents and Settings\Schouw\Desktop\winaii.exe is a backdoor Backdoor.Agobot.hx    
E:\Documents and Settings\Schouw\Desktop\winaii.exe object could not be disinfected,
Ik heb de link naar de malware weggehaald, omdat het blijkt dat mensen, ook al wordt er voor gewaarschuwd, toch de files runnen.

Dit verklaart de 'lovesan-like' eigenschappen, Agobots proberen ook via de rpc/dcom exploit binnen te dringen.

verwijder manier? ik ben een beetje een newb hierin. Veilige modus runnen en dan deleten ofzo? of in DOS?

dinsdag 23 maart 2004 23:21

Acties:

Verwijderd

Nouja, halve copypost dan maar.(Je reply stond er nog niet toen ik met m'n edit begon)

Imho is de enige juiste remedie tegen een Agobot een format.
Er is grote kans hierbij dat er nog wat achtergebleven is op het systeem wat bijna niet te traceren valt.

Hoe zorg je ervoor dat het niet meer gebeurt:
-Geen IE gebruiken(alleen op max settings eventueel)
-Geen OE/WMP gebruiken
-Windows up to date houden
-Firewall installen en up to date houden
-Virusscanner installen en up to date houden
-Niet blind op de voorgaande twee oplossingen vertrouwen, vooral de laatste niet.
Tegenwoordig spreek je niet meer van snelle AVs, maar van minst langzame.

dinsdag 23 maart 2004 23:44

Acties:

Verwijderd

Geen IE gebruiken? Ik begrijp dat het niet super veilig is om een meest gebruikte applicatie te gebruiken, aangezien de meeste eikels proberen om fouten in deze programma's te misbruiken, maar om dan gelijk een programma niet te gebruiken? Gaat dat niet een beetje ver? Het kan zijn dat ik als gebruiker niet dicht genoeg bij het vuur zit om de gevaren te zien, maar kan het ook niet zo zijn dat jij te dicht bij het vuur zit?

woensdag 24 maart 2004 07:15

Acties:

Jordi

#1#1

Verwijderd schreef op 23 maart 2004 @ 23:44:
Gaat dat niet een beetje ver?

Dat gaat vrij ver inderdaad. Het vervelende is dat virus/worm/rommeltroep schrijvende kiddo's ook vrij ver gaan. Ik zou in elk geval ongeveer hetzelfde aanraden. Ik kan alleen maar zeggen dat het jammer is dat het zover heeft moeten komen.

Het zal wel niet, maar het zou maar wel.

woensdag 24 maart 2004 18:29

Acties:

ErikRo

Verkijk je niet op Mozilla ipv IE. ik dacht ook het zal wel niets zijn. Maar ik merk eigenlijk geen verschil met IE. Sterker nog ik denk elke dag waarom zat dit niet in IE.
EN mail virususen doen me niets meer

"I don't have any solution but I certainly admire the problem." -- Ashleigh Brilliant

woensdag 24 maart 2004 18:40

Acties:

Miki

Over welke agobot variant hebben we het? Op het forum van dslreports wordt over de SA type gesproken.

woensdag 24 maart 2004 18:51

Acties:

Verwijderd

Miki schreef op 24 maart 2004 @ 18:40:
Over welke agobot variant hebben we het? Op het forum van dslreports wordt over de SA type gesproken.

Dit is een andere, zie ook mijn post.
Iirc detecteert PAV hem ook als hx.

Pagina: 1

Reageer