[virus] Blijft terugkomen ondanks virusscanner* - Privacy en beveiliging

zaterdag 27 maart 2004 07:56

Acties:

Verwijderd

Topicstarter

Ik had een tijdje terug mijn comp. geformateerd omdat ie vol met virussen zat...
En heb ik na de format 'Kaspersky Anti-virus' erop gezet.

Dingen die ik gedaan heb:

PC geformatteerd
Het virus kwam terug als de naam 'winampA' - dit virus sloot mijn virusscanner iedere keer af - ik heb het in veilige modus handmatig verwijderd en Kaspersky opnieuw geinstalleerd en gescand en werden weer duizend virussen gevonden...

En nu zit hetzelfde virus weer in mijn computer onder een andere naam wmsplay.exe, waar het veel CPU gebruikt, mijn virusscanner krijg ik niet meer gestart, en de PC blijft willekeurig herstarten.

Zelfs simpel mailen lukt niet - ik krijg dan de foutmelding 'Niet genoeg memory'.

Mijn hijackthis log file net na formatteren was als volgt:

code:

[quote][b][message=20359620,noline]Mike Jarod schreef op 27 maart 2004 @ 08:08[/message]:[/b]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\cvcd.exe
E:\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Configuration Loader] cvcd.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\RunServices: [Configuration Loader] cvcd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

[ Voor 93% gewijzigd door elevator op 27-03-2004 12:52 ]

zaterdag 27 maart 2004 08:08

Acties:

Mike Jarod

winampA

Klinkt als de Winamp Agent

Maar dat zal 'm wel niet zijn dan. Die wmsplay geeft geen hits op google.

Zoek even op Google naar het programma HijackThis, start het -> scan -> save log, en plak die logfile hier tussen [code] tags.

zaterdag 27 maart 2004 12:11

Acties:

BoGhi

Verwijderd schreef op 27 maart 2004 @ 07:56:
Waar de fuck kan dat virus meer zitten dan het terug komt

In het algemeen:
- op een andere computer dat in je lokale netwerk hangt
- in je bootsector
- in je BIOS
- op een flop of CD die je tijdens je install gebruikt
...

Programmers don't die. They GOSUB without RETURN

zaterdag 27 maart 2004 12:31

Acties:

elevator

Officieel moto fan :)

sj0erd666 -

Even een paar dingen:

Ga nou eerst eens even een duidelijk volgbaar waarin je duidelijk aangeeft wat je gedaan hebt opschrijven, en duidelijk aangeeft wat je problemen zijn. Geef hier alle relevante informatie.
Geef antwoord op de vragen die je gesteld worden.
Als je zelf de laatste reactie geplaatst hebt - bewerk dan je bericht

Als je hier niet aan kan voldoen, ga ik je topic sluiten - op deze manier gaat het helemaal nergens over namelijk

zaterdag 27 maart 2004 12:34

Acties:

Verwijderd

Topicstarter

elevator schreef op 27 maart 2004 @ 12:31:
sj0erd666 -

Even een paar dingen:
Ga nou eerst eens even een duidelijk volgbaar waarin je duidelijk aangeeft wat je gedaan hebt opschrijven, en duidelijk aangeeft wat je problemen zijn. Geef hier alle relevante informatie.
Geef antwoord op de vragen die je gesteld worden.
Als je zelf de laatste reactie geplaatst hebt - bewerk dan je bericht
Als je hier niet aan kan voldoen, ga ik je topic sluiten - op deze manier gaat het helemaal nergens over namelijk

das mijn probleem....

ik kan niks doen, ik kan geen virusscanner openen want die wordt dichtgesmeten door dat virus....
Soms wilt mijn comp. shutdownen...
wat moet ik meer zeggen, ik kan niet meer zeggen...
Ik krijg het niet weg, zelfs na formateren niet....
hoe komt het in mijn computer en hoe kan ik het voorkomen dat het er in komt en hoe haal ik het eruit...
sorry, maar ik wordt hier helemaal gek....

Ik kon voor de formatatie ook niet netwerken meer, want hij legde mijn netwerkaarten ook lam...
Spellen spelen minder soepel...

ik weet niet meer..
sorry

EDIT: sommige internet pagina's doen ook gaar, zoals menuutjes niet showen etc.

EDIT: ik kan ook niet copy paste, zoals bestanden verplaatsen of links paste

EDIT: Winampa5 is er weer tussen gekomen -.-

EDIT: tis geen blasterworm
en nog iets, het zet allemaal back ups overal van 1kb!!!

ik weet het niet meer.......

[ Voor 17% gewijzigd door Verwijderd op 27-03-2004 12:54 ]

zaterdag 27 maart 2004 12:47

Acties:

Verwijderd

Je zegt "soms wil mijn computer shut downen" krijg je dan zo'n schermpje die zegt dat je computer binnen één minuut gaat afsluiten?? Indien ja heb je hoogst waarschijnlijk de befaamde blasterworm en die kun je weghalen met fixblast! Wel comp updaten daarna want je moet m ook ff patchen dan! Indien nee, geen idee succes met je verdere zoektocht dan

zaterdag 27 maart 2004 12:55

Acties:

elevator

Officieel moto fan :)

sjoerd - ik heb je topicstart volledig herschreven aangezien je hier zelf schijnbaar niet aan toe komt. Ik heb ook een boel posts van je verwijderd.

Ik ga nu het volgende van je eisen - anders gaat je topic onherroepelijk dicht:

Spreek in volzinnen en gebruik een beetje normale spelling - je verhaal is echt onbegrijpbaar door je slechte spelling en je telegraaf stijl.
Ben duidelijk en geef voldoende informatie. Een melding als: "Geeft niet voldoende memory" zal jouw PC nooit en te nimmer geven - geef ons dan ook de volledige foutmelding en niet jouw interpretatie.

Verder - je geeft een heel vaag verhaal van symptomen. Je PC herstart willekeurig vertel je - maar je vertelt niet wat er dan precies gebeurt. Krijg je een venster waarmee hij 60 seconden aftelt, of wordt je PC spontaan herstart.

Staat er nu wel Kaspersky op en krijg je die niet open, of krijg je hem er juist niet op? Allemaal vraag tekens die je topic zeer onduidelijk maken

[ Voor 25% gewijzigd door elevator op 27-03-2004 12:56 ]

zaterdag 27 maart 2004 13:23

Acties:

Metalium-220

Forza Utreg!

Kijk eens hier

W32/Agobot-DH is an IRC backdoor Trojan and network worm.

W32/Agobot-DH is capable of spreading to computers on the local network protected by weak passwords.

When first run, W32/Agobot-DH copies itself to the Windows system folder as cvcd.exe and creates the following registry entries to run itself automatically on startup:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\Configuration Loader = cvcd.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices\Configuration Loader = cvcd.exe

On NT-based versions of Windows the worm creates a new service named "Configuration Loader" with the startup property set to automatic, so that the service starts automatically each time Windows is started.

Each time W32/Agobot-DH is run it attempts to connect to a remote IRC server and join a specific channel.

W32/Agobot-DH then runs continuously in the background, allowing a remote intruder to access and control the computer via IRC channels.

W32/Agobot-DH attempts to terminate various anti-virus and security-related programs.

Heb je trouwens na het formatteren meteen je internet verbinding ingesteld? Mogelijk komt hij via internet weer je pc op. Of heb je misschien extra schijven of partities waar hij op kan staan?

Probeer eens het volgende:

Trek al je netwerkkabels eruit
Formatteren en windows installeren.
Even op een andere pc (virusvrije!) virusscanner+updates downloaden
virusscanner installeren
Dan internetverbinding weer instellen en windows updates downloaden

Mocht het virus dan toch weer binnenkomen dan zou je virusscanner het tegen moeten houden.

Shit, ik heb mezelf gequote ipv een edit. Laatste post mag verwijderd worden

[ Voor 22% gewijzigd door Metalium-220 op 27-03-2004 13:34 ]

zaterdag 27 maart 2004 13:36

Acties:

Verwijderd

Done.

Je vergeet trouwens de firewall, die imho toch wel even belangrijk is als de virusscanner.

zaterdag 27 maart 2004 15:17

Acties:

Verwijderd

Topicstarter

Ik heb zojuist de sophos anti-virus gedraaid, maar er zit ook een agobot-fam in mijn WINDOWS/system32/system.exe dus...

edit: ik ben op dit moment alle criticall updates van windows xp aan het installen ik had dit nog gevonden: http://www.sophos.com/virusinfo/analyses/w32agobotfam.html dat is hem volgens mij.

code:

Logfile of HijackThis v1.97.7
Scan saved at 3:31:13 PM, on 3/27/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\cvcd.exe
C:\WINDOWS\System32\winampa5.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Program Files\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Program Files\Internet Explorer\iexplore.exe
E:\HijackThis.exe
E:\WUTemp\com_microsoft.824105_WXPRTM_SP2_WinSE_48088_Consumer\WindowsXP-KB824105-x86-ENU.exe
e:\c6074927fde84b8bd0b4d528235a64\xpsp1hfm.exe
e:\c6074927fde84b8bd0b4d528235a64\sp1\update\update.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [System Scanner] system.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programs\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [LimeShop] javaw -cp "C:\Program Files\LimeShop\System\Code" Main lp: "C:\Program Files\LimeShop"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\RunServices: [System Scanner] system.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - Global Startup: LimeWire 3.9.2.lnk = C:\Program Files\LimeWire\LimeWire 3.9.2\LimeWire.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Program Files\Sophos SWEEP for NT\ICMON.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38073.0619791667

[ Voor 129% gewijzigd door Verwijderd op 27-03-2004 15:32 ]

zaterdag 27 maart 2004 15:23

Acties:

Verwijderd

Verwijderd schreef op 27 maart 2004 @ 15:17:
Ik heb zojuist de sophos anti-virus gedraaid, maar er zit ook een agobot-fam in mijn WINDOWS/system32/system.exe dus...

Post je HijackThis log nog eens anders, die file was er nog niet in je vorige log.
Volgens mij staat je netwerk helemaal open...

KAV wil niet installeren maar Sophos wel

Zou je die file kunnen proberen te sturen? (Zelfde geldt voor die andere file)

zaterdag 27 maart 2004 15:31

Acties:

Metalium-220

Forza Utreg!

Verwijderd schreef op 27 maart 2004 @ 15:17:

edit: ik ben op dit moment alle criticall updates van windows xp aan het installen ik had dit nog gevonden: http://www.sophos.com/virusinfo/analyses/w32agobotfam.html dat is hem volgens mij.

Zie ook mijn post

Ik zou toch nog eens een format doen en dan zonder netwerkverbinding alles weer installeren....

[ Voor 13% gewijzigd door Metalium-220 op 27-03-2004 15:32 ]

zaterdag 27 maart 2004 15:43

Acties:

Verwijderd

C:\WINDOWS\System32\cvcd.exe
C:\WINDOWS\System32\winampa5.exe
O4 - HKLM\..\Run: [System Scanner] system.exe

Volgens mij allemaal Agobots...

Na een Ago infectie is het het beste om te formatteren, aangezien dat het probleem niet oplost bij je, klopt er dus iets niet bij je security.

Het kan een andere besmette netwerkpc zijn, een niet goed werkende firewall, te weinig/geen securityfixes/patches etc etc.
Volg dus de tips van Metalium- op.

Het is alleen(imo)van belang dat iemand - ik

- kan bepalen of we hier met nieuwe varianten te maken hebben of met toch al bekende, daarom zou ik graag de bovenstaande files erg graag zien.

Maar naar mijn mening zit er niets anders op dan nogmaals te formatteren(en dan te zorgen dat je niet weer direct besmet raakt).

zaterdag 27 maart 2004 15:47

Acties:

elevator

Officieel moto fan :)

Verwijderd schreef op 27 maart 2004 @ 15:17:
O4 - HKLM\..\Run: [LimeShop] javaw -cp "C:\Program Files\LimeShop\System\Code" Main lp: "C:\Program Files\LimeShop"
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - Global Startup: LimeWire 3.9.2.lnk = C:\Program Files\LimeWire\LimeWire 3.9.2\LimeWire.exe
[/code]

Het ligt ongetwijfeld aan mij hoor - maar waarom ben je in hemelsnaam P2P programma's aan het draaien op een PC waar je alleen maar virussen op hebt?

Je weet toch dat P2P programma's naast mail een van de grootste infectiebronnen van virussen is ?

zaterdag 27 maart 2004 16:01

Acties:

Verwijderd

Topicstarter

elevator schreef op 27 maart 2004 @ 15:47:
[...]

Het ligt ongetwijfeld aan mij hoor - maar waarom ben je in hemelsnaam P2P programma's aan het draaien op een PC waar je alleen maar virussen op hebt?

Je weet toch dat P2P programma's naast mail een van de grootste infectiebronnen van virussen is ?

sophos is betaald......

die was de enige die ago bot detecteerd namelijk, andere virusscanners worden gesloten als ze gestart worden

Maar ik had al geformat, wat moet ik anders doen om het beter te krijgen??
Ik heb geen firewall, nooit nodig gevonden...

zaterdag 27 maart 2004 16:20

Acties:

elevator

Officieel moto fan :)

Wat wil je nu zeggen met je 'Sophos is betaald' - dat je die net je virusscanner hebt gewarezed omdat KAV hem niet vindt ofzo?

Naja iig - dit is een hopeloze zaak op deze manier. Je hebt een PC vol virussen waar we met veel moeite uit je hebben moeten trekken welk virus, ik heb je topicstart volledig moeten herschrijven omdat er geen informatie in staat, en nu blijkt dat je het eerste wat je op je met virus geinfecteerde PC hebt gedaan is P2P software installeren (en de nodige spyware weer), om vervolgens triomfantelijk te vertellen dat je geen firewall hebt, maar wel weer virussen.

Sorry - maar ik kan hier echt geen GoT -waardig topic meer van maken ook al probeer ik het met de beste wil van de wereld.