[XP] NAV wordt afgesloten door virus, hoe verwijderen - Privacy en beveiliging

zaterdag 10 april 2004 19:27

Acties:

0 Henk 'm!

Topicstarter

Ik heb gisteren mn pc geformatteerd en ik zat vanmiddag te internetten en opeens ging alles traag enzo. Ik drukte even op ctrl alt delete om te kijken welke processen er zaten te vervelen en toen zag ik dat er een proces was genaamd iexpl0re.exe wat constant 50% CPU verbruikte. Ongeveer 1 minuut nadat de vertragingen begonnen waren, begon de lay out van windows steeds verder te veranderen. Lettertype werd verkleinde, balken werden naar classic (win98) style gezet.
Ik heb nu norton antivirus erop gezet en hij heeft hem eerst voor de installatie gescanned (die scan om virussen te vinden die de installatie misschien tegenwerken) . Daarin vond hij 1 virus genaamd syshost.exe. Hij had het over het bloodhound.packed virus. Helaas kon hij het niet repareren of verwijderen. Daarna probeerde ik een full scan te doen, maar norton antivirus werd telkens na 1 seconde afgesloten... waarschijnlijk door het virus. Toen ben ik als een gek allerlei processen gaan afsluiten met als gevolg dat ik een RPC error kreeg (die van het blaster virus waarbij je computer binnen 1 minuut word uitgeschakeld)

Ik heb met Hijackthis even een log gemaakt van de geinfecteerde pc

Logfile of HijackThis v1.97.7
Scan saved at 18:22:56, on 10-4-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\iexpl0re.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sysbcp32.exe
C:\WINDOWS\System32\carpserv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Applications\video software\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\taskmgr.exe
E:\bla.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Service] C:\WINDOWS\system32\syshost.exe
O4 - HKLM\..\Run: [Microsoft IDCN] C:\WINDOWS\system32\mshe1p.exe
O4 - HKLM\..\Run: [System Backup] sysbcp32.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Video Process] iexpl0re.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [System Backup] sysbcp32.exe
O4 - HKLM\..\RunServices: [Video Process] iexpl0re.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Applications\video software\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...iuctl.CAB?38086.219212963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab

Hiervan vertrouw ik de volgende processen niet

C:\WINDOWS\system32\lsass.exe (schijnt een normaal proces te zijn hoewel het door veel wormen wordt misbruikt)
C:\WINDOWS\System32\iexpl0re.exe(Backdoor.Sdbot)
C:\WINDOWS\System32\sysbcp32.exe
O4 - HKLM\..\Run: [Microsoft Service] C:\WINDOWS\system32\syshost.exe (W32.Sober@mm,W32.Francette.Worm)
O4 - HKLM\..\Run: [Microsoft IDCN] C:\WINDOWS\system32\mshe1p.exe

De bestanden iexpl0re.exe, syshost.exe en mshe1p.exe heb ik gerarred
[weg]

De opstelling is nu als volgt:
-1 geinfecteerde laptop zonder internet met norton antivirus die niet werkt
-1 schone pc, wel op internet (waar ik nu achterzit)
(data overdracht door middel van usb stick mogelijk)

Wie kan mij helpen, ik heb sysmantecs website al afgezocht naar alle processen enzo maar elke keer komt ie aanzetten met een ander virus en elke keer zegt ie dat ik gewoon een full scan moet doen. Ook een zoektocht op tweakers.net leverde niet veel op.

(ik kan helaas pas morgen weer reageren denk ik, aangezien mn zus een werkstuk moet typen op deze pc vanavond

)

link weggehaald..

[ Voor 4% gewijzigd door Verwijderd op 10-04-2004 19:33 ]

zaterdag 10 april 2004 19:42

Acties:

0 Henk 'm!

Verwijderd

code:

Report:
\iexpl0re.rar   archive  RAR     19:30:34
\iexpl0re.rar\iexpl0re.exe  packed  Exe32Pack    19:30:34
\iexpl0re.rar\iexpl0re.exe  is a modification of a backdoor Backdoor.Agobot.fn   19:30:34
\iexpl0re.rar\iexpl0re.exe       19:30:46
\iexpl0re.rar        19:30:46
\mshe1p.rar archive  RAR     19:30:54
\mshe1p.rar\mshe1p.exe  packed  UPX  19:30:54
\mshe1p.rar\mshe1p.exe  is infected with a virus TrojanSpy.Win32.Delf.bc     19:30:54
\mshe1p.rar\mshe1p.exe       19:30:56
\mshe1p.rar      19:30:56
\syshost.rar    archive  RAR     19:30:56
\syshost.rar\syshost.exe    packed  UPX  19:30:56
\syshost.rar\syshost.exe    is a network worm Worm.Win32.Francette.h     19:30:56
\syshost.rar\syshost.exe         19:30:57
\syshost.rar         19:30:58

[quote]O4 - HKLM\..\RunServices: [Video: http://iexpl0re.exe]
Die zou ik ook nog wel eens graag willen zien als dat mogelijk is, liefste via mail.

Het beste is imo toch een format...gezien de Ago.
Die ago en die franchette zijn allebei(local)network oriented worms, die zich(vaak)via exploits verspreiden. Dus double-check aub of de andere bak 100% schoon is.

zaterdag 10 april 2004 19:43

Acties:

0 Henk 'm!

wildhagen

Blablabla

C:\WINDOWS\system32\lsass.exe (schijnt een normaal proces te zijn hoewel het door veel wormen wordt misbruikt)

LSASS.EXE is idd een normaal proces, namelijk het Local Security Administration Subsystem. Als je die zou killen (kan niet overigens) zou je Windows best wel op zijn plaat gaan

Die andere files zijn idd niet lekker nee, zoals je zelf al vermoedde. Zou je die RAR nog eens willen mailen naar mij (adres in profile)?

Virussen? Scan ze hier!

zondag 11 april 2004 09:21

Acties:

0 Henk 'm!

Aurelium

Topicstarter

Nou, het lijkt erop dat er niks anders op zit dan de hele bak nog eens te formatteren.
Wel ben ik even nieuwsgierig hoe het in godsnaam mogelijk is dat opeens al die virussen erop zitten. De pc was inderdaad nog niet beschermd, maar zoiets als dit heb ik nog nooit meegemaakt

Wordt het tijdens internetten gewoon op je pc gezet? Ik heb namelijks niks raars geopend ofzo.

Ik heb 6 jaar lang virus vrij met computers gewerkt en de laatste tijd wordt ik gewoon overstroomd met infecties.

(wildhagen--> Ik heb je de virussen opgestuurd)

[ Voor 5% gewijzigd door Aurelium op 11-04-2004 09:23 ]

zondag 11 april 2004 09:41

Acties:

0 Henk 'm!

wildhagen

Blablabla

Aurelium schreef op 11 april 2004 @ 09:21:
Nou, het lijkt erop dat er niks anders op zit dan de hele bak nog eens te formatteren.

Dat lijkt me bij een Gaobot/Agobot geen slecht idee nee (helaas...).

Ik heb 6 jaar lang virus vrij met computers gewerkt en de laatste tijd wordt ik gewoon overstroomd met infecties.

Je bent de enige niet... echt een crime aan het worden de laatste tijd

(wildhagen--> Ik heb je de virussen opgestuurd)

Tnx. De results:

F:\bak\Virs\iexpl0re.exe\IEXPL0RE.EXE W32/Gaobot.worm.gen.d (Virus)
F:\bak\Virs\syshost.exe\SYSHOST.EXE W32/Tumbi.worm.gen.b (Virus)

MSHE1P.EXE word door McAfee niet gedetecteerd, heb hem ff naar hen gesubmit.

[ Voor 4% gewijzigd door wildhagen op 11-04-2004 09:42 ]

Virussen? Scan ze hier!

zondag 11 april 2004 09:59

Acties:

0 Henk 'm!

Aurelium

Topicstarter

Ok

thx voor je hulp!

zondag 11 april 2004 13:25

Acties:

0 Henk 'm!

Miki

Wildhagen zou je die bestanden mij ook kunnen doormailen, zie profiel voor email adres. Ik wil ook weten of PAV deze bestanden vind en zoniet dan wil ik die submitten.

zondag 11 april 2004 13:32

Acties:

0 Henk 'm!

wildhagen

Blablabla

Tuurlijk, ik heb ze zojuist even geforward!

Virussen? Scan ze hier!

zondag 11 april 2004 13:42

Acties:

0 Henk 'm!

Miki

Oh oh! Panda herkend geen van de 3 bestanden terwijl Kaspersky viruscheck online wel alle 3 de rars herkend. Ik ga ze meteen submitten, nogmaals bedankt wildhagen!

UPDATE! Panda heeft zeer snel gereageerd (binnen een half uur dus!), alle 3 de bestanden worden opgenomen in de volgende update die vanavond gepland staat.

[ Voor 34% gewijzigd door Miki op 11-04-2004 14:24 ]

zondag 11 april 2004 23:32

Acties:

0 Henk 'm!

Aurelium

Topicstarter

Dus ik ben slachtoffer van een heel nieuw virus?
Vraag me af wat die virussen doen, behalve mn pc zo traag als een 486 maken

zondag 11 april 2004 23:39

Acties:

0 Henk 'm!

Verwijderd

Aurelium schreef op 11 april 2004 @ 23:32:
Dus ik ben slachtoffer van een heel nieuw virus?
Vraag me af wat die virussen doen, behalve mn pc zo traag als een 486 maken

Ik zie nu pas dat ik verkeerd heb gekopieerd...

sysbcp32.exe

Die file zou ik graag eens willen zien.

Er zijn genoeg write-ups te vinden over Agobot/Franchette, ik neem aan dat je www.google.com wel weet te vinden.