Toon posts:

[Malware] Krijg Optix + Prorat niet verwijderd *

Pagina: 1
Acties:

zaterdag 20 maart 2004 19:03

Acties:

Verwijderd

Topicstarter
De titel veraad veel over het virus helaas weet ik niet welke het is heb wel de bron bestanden.
Ik ben door de bestanden die hier in staan besmet geraakt
http://hierstondeenurl.weg tis zwaar irritant en met norton 2003 niet weg tehalen pakt er wel een paar van.
Ook symantec coperate laat me in de steek vind ook een paar bestanden.
C:\windows\services.exe is een van die betsnanden weghalen heb geen nut
Weet iemand een opsllosing
Dit graf virus kilt je firewall en je virus scanner mc afee en norton.
Ik heb me rot gegoogelt en weet niets meer wie kan mij helpen

Edit: Link naar malware weggehaald.
Let in het vervolg ook op je taalgebruik svp...

[ Voor 15% gewijzigd door Verwijderd op 20-03-2004 19:41 ]

zaterdag 20 maart 2004 19:06

Acties:
  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online

Mike Jarod

Backdoor.Optrix.Pro.131 zegt Kaspersky :)

edit: Backdoor.Prorat.16 ook

[ Voor 31% gewijzigd door Mike Jarod op 20-03-2004 19:06 ]

zaterdag 20 maart 2004 19:07

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

McAfee flagged hem als PHP/Backdoor-ACH, en meer info over dat ding is te vinden @ http://vil.nai.com/vil/content/v_99567.htm

[ Voor 50% gewijzigd door wildhagen op 20-03-2004 19:08 ]

Virussen? Scan ze hier!

zaterdag 20 maart 2004 19:08

Acties:
  • marccom
  • Registratie: Februari 2003
  • Laatst online: 11:39

marccom

Nou nou nou... problemen kunnen vast opgelost worden hoor :D

http://www.downloadcomputersoftware.com/virus-scan.html

Zoek hier is wat uit, zit vast wat tussen en met de naam van het virus die net genoemd is kan je vast wel ergens een removal tool halen...

Als je Norton hem niet verwijderd, is die wel up-to-date?

Whoop!

zaterdag 20 maart 2004 19:10

Acties:
  • 0xDEADBEEF
  • Registratie: December 2003
  • Niet online

0xDEADBEEF

Mike Jarod schreef op 20 maart 2004 @ 19:06:
Backdoor.Optrix.Pro.131 zegt Kaspersky :)

edit: Backdoor.Prorat.16 ook
F-Secure ook zelfde sigs :?
Dit gr&f virus killed je firewall en je virusscanner.
offtopic:
RIP Juliana


/me Zou je daarom die link weg willen editten voordat er hier mensen ongewild besmet raken ! :)

@ marccom : NAV Herkent m niet

[ Voor 24% gewijzigd door 0xDEADBEEF op 20-03-2004 19:13 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

zaterdag 20 maart 2004 19:12

Acties:
  • Fludizz
  • Registratie: Mei 2002
  • Niet online

Fludizz

McAffee herkent hem nog voor ik et zipje kan openen... Je moet gewoon een goeie up-to-date virusscanner hebben.

Removal tools staan vast wel op de sites van onder andere Norton en McAffee.

zaterdag 20 maart 2004 19:16

Acties:
  • WimB
  • Registratie: Juli 2001
  • Laatst online: 30-03-2024

WimB

Als ik de ZIP laat controleren door Norton Antivirus dan vindt die hetvolgende virus: http://securityresponse.s...data/backdoor.prorat.html

zaterdag 20 maart 2004 19:16

Acties:
  • marccom
  • Registratie: Februari 2003
  • Laatst online: 11:39

marccom

OMFG :(

McAfee nokt ermee!!!!

Met laatste virusdefinitions :/

MENSEN OPEN DEZE LINK OF HET BESTAND NIET!!!!

[ Voor 31% gewijzigd door marccom op 20-03-2004 19:18 ]

Whoop!

zaterdag 20 maart 2004 19:19

Acties:
  • 0xDEADBEEF
  • Registratie: December 2003
  • Niet online

0xDEADBEEF

marccom schreef op 20 maart 2004 @ 19:16:
OMFG :(

McAfee nokt ermee!!!!

Met laatste virusdefinitions :/

MENSEN OPEN DEZE LINK OF HET BESTAND NIET!!!!
Als je mn post had gelezen :X

Modje wordt al geschopt :)

[ Voor 66% gewijzigd door 0xDEADBEEF op 20-03-2004 19:20 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

zaterdag 20 maart 2004 19:19

Acties:
  • vacuumcleaner
  • Registratie: September 2001
  • Laatst online: 01-12 11:32

vacuumcleaner

Housecall van trendmicro gebruiken nu je AV er mee nokt?

http://housecall.trendmicro.com/housecall/start_corp.asp

[Helpdesk]"While you're waiting, read the free novel which came with the product. Its a spanish story about a guy called "MANUAL."

zaterdag 20 maart 2004 19:21

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

marccom schreef op 20 maart 2004 @ 19:16:
OMFG :(

McAfee nokt ermee!!!!

Met laatste virusdefinitions :/

MENSEN OPEN DEZE LINK OF HET BESTAND NIET!!!!
Wie is er dan ook zo gek om zo'n file te openen? Scan hem dan alleen... dan kan je ook niet besmet raken.. Niet écht handig natuurlijk, zeker aangezein de TS al meld dat het een virus is...

Overigens, McAfee flagged hem bij mij wel (zie mijn 1e reply). Staan je settings wel goed?

Virussen? Scan ze hier!

zaterdag 20 maart 2004 19:22

Acties:
  • D2k
  • Registratie: Januari 2001
  • Laatst online: 18-11 16:53

D2k

http://www.trendmicro.com...sp?VName=BKDR_OPTXPRO.131 volgens Trend

Doet iets met Cloud (MS/IBM)

zaterdag 20 maart 2004 19:22

Acties:
  • marccom
  • Registratie: Februari 2003
  • Laatst online: 11:39

marccom

Als het goed is wel, hij is helemaal up-to-date, maar ik denk ik open m, kijken of mcafee wat doet... :X

Hmmm zie iig dat de service niet draait. Wie heeft de removal tool...

Whoop!

zaterdag 20 maart 2004 19:23

Acties:

Verwijderd

Ook een manier om virussen te verspreiden..... :X

zaterdag 20 maart 2004 19:24

Acties:
  • D2k
  • Registratie: Januari 2001
  • Laatst online: 18-11 16:53

D2k

hmmz dit is al een oud virus zie ik net. :X

als ie door NAV niet getrapt wordt is dat niet best

Doet iets met Cloud (MS/IBM)

zaterdag 20 maart 2004 19:24

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 09:42

TrailBlazer

Karnemelk FTW

mcafee vindt er 3 in dat filetje bij mij. Dus lijkt mij eigen schuld dikke bult (og hebik nu ook een backdoor

zaterdag 20 maart 2004 19:45

Acties:

Verwijderd

En weer terug..
Titel + post-edit.

zaterdag 20 maart 2004 23:47

Acties:

Verwijderd

Topicstarter
Hij werd wel gepakt tijdens het uitpakken maar als nog is mijn pc besmet.
Dat vernijnige ding killt je virus scanner (ook instalatie, MC afee, norton 2003, symantec corperaded en sophos).
dat virusje zet bij mij de volgende bestanden neer.
C:\windows\services.exe
C:\windows\system32\winkey.dll

Volgens WIN32/RAV prorat.1_4

[ Voor 6% gewijzigd door Verwijderd op 21-03-2004 00:12 ]

zaterdag 20 maart 2004 23:53

Acties:

Verwijderd

Topicstarter
vacuumcleaner schreef op 20 maart 2004 @ 19:19:
Housecall van trendmicro gebruiken nu je AV er mee nokt?

http://housecall.trendmicro.com/housecall/start_corp.asp
Reeds geprobeert haalt alleen 1 bestand weg C:\windows\system32\winkey.dll (en dat ding staat dr zo weer :( )
EDIT: probeer nu die van panda ziet er beter uit dat ding vind er al 2
http://www.pandasoftware..../activescan_principal.htm

[ Voor 18% gewijzigd door Verwijderd op 21-03-2004 00:32 ]

zaterdag 20 maart 2004 23:57

Acties:

Verwijderd

Topicstarter
Nu iedereen er uit is wa het is weet iemand ook hoe dr vanaf te komen de bestanden die dat ding aanmaakt heb ik vervangen door andere vanaf de windows cd-rom.
De vervangende bestanden verborgen system en read only gemaakt.
Daarna alle machtingingen weg gehaalt.
En daarna staan de oude bestanden er vorlijk weer

zondag 21 maart 2004 00:04

Acties:

Verwijderd

Zou je aub je posts willen editten? Het is niet echt nodig/de bedoeling om zoveel posts achter elkaar te maken.

De bestanden die aangemaakt worden hoef je helemaal niet te vervangen met andere files.
services.exe staat in %systemdir% en niet in %windowsdir%.

Wat heb je nu precies gedaan? Alleen die editor.exe geopend?
Of ook wat met die Prorat gedaan?

zondag 21 maart 2004 00:15

Acties:

Verwijderd

Topicstarter
Alleen die editor geopend dat was genoeg om nu nog steeds dat virus niet niet verwijdert te krijgen.
Door de met de met het virus besmette bestanden te vervangeren door lege files zonder lees en schrijf rechten hoopte ik dat na windows opnieuw laden het virus was gedactiveert

De oplossing die hier staat:
http://securityresponse.s...data/backdoor.prorat.html
Click Start, and then click Run. (The Run dialog box appears.)
Type regedit

Then click OK. (The Registry Editor opens.)


Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


In the right pane, delete the value:

MSNMESENGER


Exit the Registry Editor.
Werkt niet waarde heb ik niet gevonden
De oplossing die hier staat:
http://www.trendmicro.com...sp?VName=BKDR_OPTXPRO.131
Removing Autostart Entries from the Registry

Removing autostart entries from the registry prevents the malware from executing during startup.

Open Registry Editor. To do this, click Start>Run, type Regedit, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry or entries:
GLSetlT32 = %System%\server optix pro 131.exe
Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 95, 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP.

Close Registry Editor.
Werkt ook niet
Wie heeft er rmctrl gevonden schijnt bij power dvd te horen maar staat in C:\windows\system32\rmctrl.exe heeft iemand die bestmet is dat bestand ook

EDIT:Panda had dr 4 gevonden en zegt ze weg te halen als het werk koop ik het direct
EDIT2:Zeer belangerijk weet iemand hoe je een proces kan killen zelfs als het niet lukt met de taksmanager ik heb windows xp

[ Voor 98% gewijzigd door Verwijderd op 21-03-2004 00:45 ]

zondag 21 maart 2004 00:45

Acties:

Verwijderd

Ik verwacht dat niet alle files gedetecteerd worden bij je..
code:
1
2
3
4
5

C:\WINNT\services.exe
C:\WINNT\system\sservice.exe
C:\WINNT\system32\fservice.exe
C:\WINNT\system32\wininv.dll
C:\WINNT\system32\winkey.dll

Die worden allemaal aangemaakt..
Specifieke detectie:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13

G:\Upload\Viruses\Upload\fservice.exe   packed  UPX 21-Mar-2004 0:38:34
G:\Upload\Viruses\Upload\fservice.exe   is a backdoor Backdoor.Prorat.16    21-Mar-2004 0:38:34
G:\Upload\Viruses\Upload\fservice.exe   object could not be disinfected, execution interrupted by user  21-Mar-2004 0:38:36
G:\Upload\Viruses\Upload\services.exe   packed  UPX 21-Mar-2004 0:38:36
G:\Upload\Viruses\Upload\services.exe   is a backdoor Backdoor.Prorat.16    21-Mar-2004 0:38:37
G:\Upload\Viruses\Upload\services.exe   object could not be disinfected, execution interrupted by user  21-Mar-2004 0:38:38
G:\Upload\Viruses\Upload\sservice.exe   packed  UPX 21-Mar-2004 0:38:39
G:\Upload\Viruses\Upload\sservice.exe   is a backdoor Backdoor.Prorat.16    21-Mar-2004 0:38:39
G:\Upload\Viruses\Upload\sservice.exe   object could not be disinfected, execution interrupted by user  21-Mar-2004 0:38:41
G:\Upload\Viruses\Upload\wininv.dll is a backdoor Backdoor.Prorat.11.a  21-Mar-2004 0:38:41
G:\Upload\Viruses\Upload\wininv.dll object could not be disinfected, execution interrupted by user  21-Mar-2004 0:38:41
G:\Upload\Viruses\Upload\winkey.dll is a backdoor Backdoor.Prorat.13    21-Mar-2004 0:38:41
G:\Upload\Viruses\Upload\winkey.dll object could not be disinfected, execution interrupted by user  21-Mar-2004 0:38:42

Kijk dus eens naar die files, aangezien ik daar nog niets over heb gehoord.

zondag 21 maart 2004 00:52

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 21 maart 2004 @ 00:45:
Ik verwacht dat niet alle files gedetecteerd worden bij je..
code:
1
2
3
4
5

C:\WINNT\services.exe
C:\WINNT\system\sservice.exe
C:\WINNT\system32\fservice.exe
C:\WINNT\system32\wininv.dll
C:\WINNT\system32\winkey.dll

Die worden allemaal aangemaakt..
Specifieke detectie:
...
...
...
.

Kijk dus eens naar die files, aangezien ik daar nog niets over heb gehoord.
Rav pakt alleen winkey.dll op de rest ga ik nu op zoeken er is ook nog een bestandn dat zich willekeurig ergens neerzet bij mij wat dat er 1 tussen een map met strip tekeningen.
Panda lijkt het virus onschadelijk te hebben gemaakt met die scanner op het internet ik kan mijn virus scanner weer draaien.
Alleen C:\WINNT\services.exe draait nog en werd niet op gepakt door RAV HOUSECALL en PANDA.

zondag 21 maart 2004 01:01

Acties:

Verwijderd

http://www.sysinternals.com/files/procexpnt.zip
Kill daarmee de juiste services.exe :)
That should do the trick.

zondag 21 maart 2004 01:10

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 21 maart 2004 @ 01:01:
http://www.sysinternals.com/files/procexpnt.zip
Kill daarmee de juiste services.exe :)
That should do the trick.
Tnx ik heb panda geinstaleert ik moet zeggen voor deze infectie zou ik me nooit aan een onbenkende virus scanner wagen zoals deze ik zweerde eerst Norton en MC Afee AV maar panda vind deze infecties wel.
Strange
Word nog gekker meschien koop ik deze nog legaal ook ;)
EDIT: ow shit panda heeft het virus netjes verwijdert maar de rest van die virus scanners gaan u ook mij draaien dikke vastloper
:P
In iedereen geval geen virus meer _/-\o_

[ Voor 23% gewijzigd door Verwijderd op 21-03-2004 01:13 ]

zondag 21 maart 2004 01:15

Acties:

Verwijderd

Ik verwacht eigenlijk dat er iets niet klopt met je McAfee install.
McAfee is normaal gesproken een van de beste met backdoors, terwijl dat bij Panda niet het geval is.

Er is idd meer dan NAI/NAV, maar ik zou op basis van 1 sample niet direct een bepaald product gaan kopen. Als je gaat trialen kun je ook al weer een jaar vooruit qua 'licenties'. :P

zondag 21 maart 2004 01:23

Acties:

Verwijderd

Topicstarter
Woohoe opgelost mij gidsje om dit virus te verwijderen.
Haal je oude virus scanner weg
Download Panda AV
Instaleer panda AV
FF laten draaien en hoppa je bent van dit virus af

zondag 21 maart 2004 01:26

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 21 maart 2004 @ 01:15:
Ik verwacht eigenlijk dat er iets niet klopt met je McAfee install.
McAfee is normaal gesproken een van de beste met backdoors, terwijl dat bij Panda niet het geval is.

Er is idd meer dan NAI/NAV, maar ik zou op basis van 1 sample niet direct een bepaald product gaan kopen. Als je gaat trialen kun je ook al weer een jaar vooruit qua 'licenties'. :P
Ook geen verkeerd idee maar mc afee pakt hem gewoon nie op stange.
Welke virus scanner raad jij trouwens aan, Ben ik vrij nenieuwd naar 8)
Nog ff wat denk werk wininv.dll word telkens verwijdert en daarna braaf terug gezet word dweilen met de kraan open zo :'(

[ Voor 19% gewijzigd door Verwijderd op 21-03-2004 01:33 ]

zondag 21 maart 2004 01:37

Acties:

Verwijderd

Verwijderd schreef op 21 maart 2004 @ 01:26:
[...]

Ook geen verkeerd idee maar mc afee pakt hem gewoon nie op stange.
Welke virus scanner raad jij trouwens aan, Ben ik vrij nenieuwd naar 8)
Even getest met laatste DATs:
Klopt, alleen dll files worden als 'program' gedetecteerd, omdat het loggers zijn.

BD detecteert ook niet alle files, zelfde geldt voor Dr. Web, RAV, CA(eTrust).
Meeste AVs detecteren alleen de dll files, sommigen ook nog 1 Prorat file.
AVG detecteert er helemaal geen.

Ik had niet zo'n slechte resultaten verwacht eigenlijk..

zondag 21 maart 2004 02:09

Acties:

Verwijderd

Topicstarter
wat is een prorat file.
En die resultaten zijn inderdaad bedroevend weinig mensen zijn dus egt beschermt.
Hier moest tog wel een antivirus bedrijf in uitblinken door alles weg te halen tis geen enekele gelukt gelukkig hem ik alle bestanden van dat virus vervangen door stomme tekst bestanden en ut werkt het virus is non actief

[ Voor 88% gewijzigd door Verwijderd op 21-03-2004 02:12 ]

zondag 21 maart 2004 04:15

Acties:
  • marccom
  • Registratie: Februari 2003
  • Laatst online: 11:39

marccom

Ben vanavond uitgeweest, kom net terug. Ik had mn pc met de trend online scanner laten scannen, deze had 6 geinfecteerde bestanden gevonden. 2 daarvan waren funny dingetjes en 4 waren afkomstig uit het zip filetje. dmv het programmatje wat iemand in voorgaande reakties aangaaf kon ik het services process killen en startte McAfee weer op. McAfee is nu druk aan het scannen en heeft net een virusje gevonden. Het bestandje heet phpnotify2k4[1].rbo. Dit bestand heb ik gelijk gedelete. Mn lap is nu nog ff aan het scannen, ben benieuwd of McAfee opstart straks wanneer ik mn lap weer aanzet. Voor nu wacht ik even af wat de scan zegt en ga ik slapen...

Whoop!

zondag 21 maart 2004 10:32

Acties:

Verwijderd

Verwijderd schreef op 21 maart 2004 @ 02:09:
wat is een prorat file.
De malware, dat zijn Prorats..
En die resultaten zijn inderdaad bedroevend weinig mensen zijn dus egt beschermt.
Geen enkele AV beschermt voor 100%.
Hier moest tog wel een antivirus bedrijf in uitblinken door alles weg te halen tis geen enekele gelukt
Je hebt lang niet alle AVs geprobeerd die er zijn hoor..
KAV detecteerde wel alle backdoorcomponenten bijvoorbeeld.
gelukkig hem ik alle bestanden van dat virus vervangen door stomme tekst bestanden en ut werkt het virus is non actief
Wat voor nut zou dat moeten hebben :?


Kijk in het vervolg je posts eens door voordat je ze post aub, dit was nogal lastig te lezen.

Edit: McAfee vindt niet alle componenten van deze malware.
Denk aub _niet_ dat je clean bent nadat je de door McAfee gedetecteerde bestanden hebt verwijderd.

[ Voor 10% gewijzigd door Verwijderd op 21-03-2004 10:33 ]

zondag 21 maart 2004 16:59

Acties:
  • Miki
  • Registratie: November 2001
  • Laatst online: 12:09

Miki

Verwijderd schreef op 21 maart 2004 @ 01:23:
Woohoe opgelost mij gidsje om dit virus te verwijderen.
Haal je oude virus scanner weg
Download Panda AV
Instaleer panda AV
FF laten draaien en hoppa je bent van dit virus af
@Sharky :

Ook ik ben deze week overgestapt op panda en ik ben zeer blij ermee. Bij de winkels van Paradigit kost een licentie van Panda antivirus Titanium 2004, 25 euro. Deze is geldig voor een jaar, waarbij updates van het programma zelf en de dagelijkse virus-update definities bij inzitten.

Het grote voordeel zelf is het install en forget gebeuren. Het regelt zich helemaal vanzelf. Panda ondersteunt inprincpe ook de meeste mail clients, waarbij in de duurdere versies zoals Platnium editie ook een outlook plugin zit.

zondag 21 maart 2004 19:17

Acties:
  • marccom
  • Registratie: Februari 2003
  • Laatst online: 11:39

marccom

Na 25 online scanners heb ik eindelijk de task "service" verwijderd gekregen :)

Dit met Panda Titanium AV 2k4 _/-\o_ De scan heeft ruim 2 uur geduurd maar ben nu volgens mij virus vrij :)

conclusie... NOOIT meer zomaar zipbestanden openen B)

Whoop!

zondag 21 maart 2004 19:20

Acties:

Verwijderd

marccom schreef op 21 maart 2004 @ 19:17:

conclusie... NOOIT meer zomaar zipbestanden openen B)
Je hebt er toch echt zelf de zip voor moeten downen en de exe moeten runnen.
Dat terwijl je _wist_ dat het om malware ging. :/

Zijn de regentries ook weg? Nouja, dat merk je wel na een reboot.(de 'belangrijke' dan)

zondag 21 maart 2004 19:44

Acties:
  • marccom
  • Registratie: Februari 2003
  • Laatst online: 11:39

marccom

Verwijderd schreef op 21 maart 2004 @ 19:20:
[...]

Je hebt er toch echt zelf de zip voor moeten downen en de exe moeten runnen.
Dat terwijl je _wist_ dat het om malware ging. :/

Zijn de regentries ook weg? Nouja, dat merk je wel na een reboot.(de 'belangrijke' dan)
Ik heb idd het risico genomen maar had toch eigenlijk verwacht dat McAfee hem zou stoppen wanneer ik het geinfecteerde bestand uitvoerde. Dat ben ik iig wel gewend van hem...

Volgende keer toch maar eerst scannen voordat ik wat open... Iig, na een herstart komen de registry settings gelukkig niet terug. Ik ga toch weer McAfee installeren denk ik omdat ik er in het verleden wel goede ervaringen mee heb gehad. Zowieso omdat ik voor Panda geen licentie heb...

Iig bedankt voor jullie hulp :)

btw, ik las iets over PestPatrol dat dat ook handig zou kunnen zijn in dit soort situaties, die ga ik zo maar ff installeren dan, heb AdAware laten draaien, die kon niks vinden. Ook spybot gaat er zo nog even overheen. Moet ik nog meer doen? (behalve niet blind meer doorklikken ;) )

Whoop!

zondag 21 maart 2004 19:46

Acties:

Verwijderd

Ik betwijfel of normaal gesproken PP echt meerwaarde biedt tov. NAI.
Dan kun je het beter bij wat extra freeware houden.

Maar mensen moeten afstappen van het idee dat hun AV alles detecteert, zeker tegenwoordig...
Een AV is geen vrijkaartje om stom te mogen doen.
Pagina: 1
Reageer