[Malware] McAfee waarschuwt voor verzending mail * - Privacy en beveiliging

woensdag 28 april 2004 23:54

Acties:

Topicstarter

bij het intypen van hawk in de search kwam ik niet verder dan een topic die niets te maken heeft met mijn probleem. nou ja... niets...

het volgende is er aan de hand

ik krijg om de paar minuten een waarschuwing van McAffee:

Afbeeldingslocatie: http://home.planet.nl/~klopp270/hawk.JPG

Afbeeldingslocatie: http://home.planet.nl/~klopp270/hawk.JPG

hij stuurt dus naar dat mail adres money@... gegevens met wat ik allemaal heb draaien. OOK zend hij al mijn msn berichten mee. dus alles wat ik en de anderen hebben getypt.

McAffee virus updates allemaal gedaan en er wordt geen virus gevonden.

weet iemand meer of een oplossing / stap in de goede richting?

                           

woensdag 28 april 2004 23:56

Acties:

Verwijderd

adaware installeren / 'hijack this' log hier posten
eventueel Online virusscan doen.. misschien dat Mcaffee iets mist?

donderdag 29 april 2004 00:00

Acties:

Verwijderd

Post eens een HijackThis log aub, tussen [code] tags.
Zie ook Beveiliging en Virussen - Nieuw topic starten

Klinkt als een trojan.

Titel wat aangepast.

donderdag 29 april 2004 00:18

Acties:

Aetje

Troubleshooting met HAMERRR

Hmm... Klinkt alsof een of ander trojantje je legit mails scant op woorden die die spammer kan gebruiken om bayan filters te omzeilen.

Forget your fears...
...and want to know more...

donderdag 29 april 2004 00:24

Acties:

jeehaa

Topicstarter

adaware heb ik en vind niets. ik installeer dat hijackthis wel ff en dan report ik hier. Trojan zou goed kunnen

edit:

log:

http://home.planet.nl/~klopp270/log

en hier:

code:

Logfile of HijackThis v1.97.7
Scan saved at 0:33:43, on 29-4-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\config\services.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Jan Herman.JH\Application Data\ianr.exe
C:\WINDOWS\System32\wintsvsu.exe
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Program Files\Sony Ericsson\Mobile\audevicemgr.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
C:\Program Files\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
D:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CapMan.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\ElogErr.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\BROADC~1.EXE
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\SCRFS.exe
C:\PROGRA~1\SONYER~1\Mobile\MOBILE~1\EPMWOR~1.EXE
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\WINDOWS\System32\dplaysvr.exe
C:\WINDOWS\System32\dpnsvr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Pinnacle\Pinnacle PCTV\Vision\Vision.exe
D:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
D:\PROGRA~1\Pinnacle\SHARED~1\Filter\VBI_SE~1.EXE
C:\Program Files\McAfee\McAfee VirusScan\VsMain.exe
C:\Program Files\McAfee\McAfee VirusScan\AlogServ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jan Herman.JH\Bureaublad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F1 - win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] D:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] D:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [PowerProf] PowerProf.exe
O4 - HKCU\..\Run: [Wtha] C:\Documents and Settings\Jan Herman.JH\Application Data\ianr.exe
O4 - HKCU\..\Run: [WCPS] C:\WINDOWS\System32\wintsvsu.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Phone Connection Monitor.lnk = ?
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {018A066F-584A-422F-AC4C-0B1F5FE5C040} (VacPro.olanda_ver3) - http://www.advnt01.com/dialer/olanda_ver3.CAB
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://petite-virgins.biz/dl/fox/x.chm::/load.exe
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http://download.macromedia.com/pub/shockwave/cabs/authorware/awswax.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/051989edd95fa643c906/netzip/RdxIE601.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice.com/jars/customerxsigned40.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.cargodatasystems.com:9000/activex/AxisCamControl.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37992.2179050926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

met mijn excuses voor de vreemde layout

[ Voor 98% gewijzigd door jeehaa op 29-04-2004 00:39 ]

                           

donderdag 29 april 2004 04:28

Acties:

TWBMS

code:

1 2	C:\WINDOWS\System32\wintsvsu.exe C:\Documents and Settings\Jan Herman.JH\Application Data\ianr.exe

Als je wintsvsu.exe als google search opdracht gebruikt wordt het of als een Download.trojan aan geduidt of als spyware.

Daarnaast hebben ianr.exe naam zegt me niks en draait op een vreemde plek bovendien.
Als ik het goed heb is Applicatie Data voornamelijk voor het opslaan van settings en niet voor draaien van programma's.

Probeer ze eens te killen en kijk of je mailjes stoppen.

Saru mo ki kara ochiru | Even monkees fall from trees

donderdag 29 april 2004 07:42

Acties:

wildhagen

Blablabla

Naast de items die TWBMS al noemde hoort ook deze daar niet thuis:

code:

1	O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe

Zou je die drie files (die 2 van TWBMS en die ene hierboven eens naar mij willen mailen (mailadres in profile)?

Verder mogen deze drie denk ik ook wel weg:

code:

1
2
3

O16 - DPF: {018A066F-584A-422F-AC4C-0B1F5FE5C040} (VacPro.olanda_ver3) - http://www.advnt01.com/dialer/olanda_ver3.CAB
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://petite-virgins.biz/dl/fox/x.chm::/load.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/051989edd95fa643c906/netzip/RdxIE601.cab

[ Voor 11% gewijzigd door wildhagen op 29-04-2004 08:04 ]

Virussen? Scan ze hier!

donderdag 29 april 2004 09:02

Acties:

jeehaa

Topicstarter

ik kon ze zonder problemen verplaatsen, dus ze werden niet op dat moment gebruikt. ik heb de 3 bestanden in een zip gegooid en naar je gemaild, wildhagen.

ik hoop dat je er iets mee kan.

                           

donderdag 29 april 2004 09:10

Acties:

Verwijderd

code:

C:\WINDOWS\system32\config\services.exe
C:\WINDOWS\System32\wintsvsu.exe
F1 - win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe
O4 - HKCU\..\Run: [Wtha] C:\Documents and Settings\Jan Herman.JH\Application Data\ianr.exe
O4 - HKCU\..\Run: [PowerProf] PowerProf.exe

Die files zou ik graag willen zien, zie sig voor mail.
Liefste passwordprotecten en dan naar tweakers adres sturen, omdat het nogal wat files zijn en yahoo nogal crappy is.

donderdag 29 april 2004 10:00

Acties:

jeehaa

Topicstarter

Verwijderd schreef op 29 april 2004 @ 09:10:
code:
1
2
3
4
5
C:\WINDOWS\system32\config\services.exe
C:\WINDOWS\System32\wintsvsu.exe
F1 - win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe
O4 - HKCU\..\Run: [Wtha] C:\Documents and Settings\Jan Herman.JH\Application Data\ianr.exe
O4 - HKCU\..\Run: [PowerProf] PowerProf.exe
Die files zou ik graag willen zien, zie sig voor mail.
Liefste passwordprotecten en dan naar tweakers adres sturen, omdat het nogal wat files zijn en yahoo nogal crappy is.

hee die van windowsmediaplayer, die error krijg ik steeds bij t opstarten (sinds zo'n laatste spam attack. dattie wmplayer.exe niet kan vinden en dat hij uit t register gehaald moet worden.

als ik vanmiddag weer thuis ben (nu op faculteit) dan zal ik ze je sturen. why password protect?

                           

donderdag 29 april 2004 10:02

Acties:

Verwijderd

jeehaa schreef op 29 april 2004 @ 10:00:
[...]

hee die van windowsmediaplayer, die error krijg ik steeds bij t opstarten (sinds zo'n laatste spam attack. dattie wmplayer.exe niet kan vinden en dat hij uit t register gehaald moet worden.

als ik vanmiddag weer thuis ben (nu op faculteit) dan zal ik ze je sturen. why password protect?

Omdat op elke mail minstens één virusscanner zit.

donderdag 29 april 2004 10:11

Acties:

jeehaa

Topicstarter

Verwijderd schreef op 29 april 2004 @ 10:02:
[...]

Omdat op elke mail minstens één virusscanner zit.

doh

niet aan gedacht

foutje

                           

donderdag 29 april 2004 11:32

Acties:

wildhagen

Blablabla

Dit detecteerd McAfee 7.5 Beta, engine 4.3.20, DAT 4354:

F:\Got\ianr.exe\0001d400.EXE Adware-BuddyLinks (Adware)
F:\Got\wintsvsu.exe Adware-PurityScan (Adware)

Services.exe word niet geflagged, die ga ik submitten.

Zou je me die powerprof.exe en wmplayer.exe waar Schouw om vroeg ook eens willen mailen? Thanks bij voorbaat!

Meer info:

- BuddyLinks: http://vil.nai.com/vil/content/v_101007.htm
- PurityScan: http://vil.nai.com/vil/content/v_100828.htm

[ Voor 17% gewijzigd door wildhagen op 29-04-2004 11:40 ]

Virussen? Scan ze hier!

donderdag 29 april 2004 11:41

Acties:

jeehaa

Topicstarter

damn hee wat doen jullie met al die files dat jullie ze zo graag willen hebben

tis toch alleen maar verrot als je zo'n file op je pc hebt...

                           

donderdag 29 april 2004 11:47

Acties:

wildhagen

Blablabla

jeehaa schreef op 29 april 2004 @ 11:41:
damn hee wat doen jullie met al die files dat jullie ze zo graag willen hebben tis toch alleen maar verrot als je zo'n file op je pc hebt...

O, ik spaar virussen (en nee, niet om ze te verspreiden, dat is lame)

En als er eentje staat waarvan weliswaar de AV zegt dat hij clean is, maar de omstandigheden verdacht, dan submit ik hem naar de AV-maker (in mijn geval McAfee/NAI).

Virussen? Scan ze hier!

donderdag 29 april 2004 12:47

Acties:

jeehaa

Topicstarter

oki. nou ik stuur jullie vanmiddag alle gevraagde bestanden, gezipped en gelockd met password.

                           

donderdag 29 april 2004 15:32

Acties:

jeehaa

Topicstarter

wmplayer.exe kan ik niet vinden op die locatie. zit niet in het mapje. de rest ga ik jullie nu mailen

edit:

en inmiddels weigert mijn virusscanner dienst dus na de mail reset ik de pc...

[ Voor 32% gewijzigd door jeehaa op 29-04-2004 15:36 ]

                           

donderdag 29 april 2004 15:46

Acties:

wildhagen

Blablabla

Powerprof.exe word door McAfee niet geflagged, heb hem gesubmit.

Kaspersky Online geeft dit: Powerprof.exe = TrojanSpy.Win32.Lorex.b

[ Voor 17% gewijzigd door wildhagen op 29-04-2004 15:46 ]

Virussen? Scan ze hier!

donderdag 29 april 2004 16:00

Acties:

jeehaa

Topicstarter

wat moet ik nu doen dan? die files verwijderen of met hijack iets doen?

edit en vooral. welke moet ik nou verwijderen?

[ Voor 27% gewijzigd door jeehaa op 29-04-2004 16:02 ]

                           

donderdag 29 april 2004 16:06

Acties:

wildhagen

Blablabla

Alle files die Schouw meldde in zijn reply mogen weg, en die drie onderste in mijn eerste reply mogen ook weg.

Daarna zou ik overigens nog wel even een full system scan met je uptodate virusscanner doen, voor alle zekerheid...

Virussen? Scan ze hier!

donderdag 29 april 2004 16:15

Acties:

jeehaa

Topicstarter

joe mee bezig. wat doe ik met dat wmplayer.exe want ik krijg bij het opstarten direct 2 foutmeldingen:

Afbeeldingslocatie: http://home.planet.nl/~klopp270/wmplayer1.JPG

Afbeeldingslocatie: http://home.planet.nl/~klopp270/wmplayer1.JPG

en dees er na

Afbeeldingslocatie: http://home.planet.nl/~klopp270/wmplayer2.JPG

wat doe ik met dat ini ding waar wmplayer.exe in staat?

                           

donderdag 29 april 2004 16:26

Acties:

Verwijderd

Ik vraag me af of het niet beter is om de bak te wipen..
/me gaat maar eens een FLINKE abusemail maken.

Je bent bepaald NIET de enige die hiermee besmet lijkt te zijn.

En dan heb ik tot nu toe alleen services.exe bekeken.
Het is extreem belangrijk dat je je passwords e.d. wijzigt.

Dit wordt een urgent update.

[ Voor 9% gewijzigd door Verwijderd op 29-04-2004 16:27 ]

donderdag 29 april 2004 16:53

Acties:

jeehaa

Topicstarter

uh? ehm... dit is lastig

zo goed in virus slang ben ik niet

wat bedoel je nou pcies?

                           

donderdag 29 april 2004 16:59

Acties:

ParaNoiMia

jeehaa schreef op 29 april 2004 @ 16:53:
uh? ehm... dit is lastig zo goed in virus slang ben ik niet

wat bedoel je nou pcies?

Ik gok dat Schouw bedoeld dat het misschien beter is je Windows opnieuw te installeren, gezien het feit dat je last hebt van een net ontdekt virus/trojan, wat vrij vervelende dingen doet, zoals passwords jatten...

[ Voor 8% gewijzigd door ParaNoiMia op 29-04-2004 17:01 . Reden: Valt niet mee, zorgvuldig typen 8) ]

donderdag 29 april 2004 17:47

Acties:

wildhagen

Blablabla

Verwijderd schreef op 29 april 2004 @ 16:26:

/me gaat maar eens een FLINKE abusemail maken.

Je bent bepaald NIET de enige die hiermee besmet lijkt te zijn.
En dan heb ik tot nu toe alleen services.exe bekeken.

Mag ik vragen wat je hiermee bedoeld? Dit omdat ik nog niks van McAfee gehoord heb, en ik maak uit jouw reactie op dat het iets is wat op dit moment heel erg hard gaat?

[ Voor 8% gewijzigd door wildhagen op 29-04-2004 17:48 ]

Virussen? Scan ze hier!

donderdag 29 april 2004 17:57

Acties:

Verwijderd

wildhagen schreef op 29 april 2004 @ 17:47:
[...]

Mag ik vragen wat je hiermee bedoeld? Dit omdat ik nog niks van McAfee gehoord heb, en ik maak uit jouw reactie op dat het iets is wat op dit moment heel erg hard gaat?

Nou, ik kwam op een 'database' uit van gelogde info van victims leek het.
Überhard gaat het niet, maar er stonden minstens 100 entries, meer dan genoeg voor een urgent update imo.
Maar urgent laat lang op zich wachten.

donderdag 29 april 2004 18:20

Acties:

Miki

Klein vraagje: "waarom is kaspersky zo goed in detectie van dit soort malware?" Het lijkt net of de andere vendors stil zitten en wachten totdat kav weer wat vindt.

donderdag 29 april 2004 18:24

Acties:

wildhagen

Blablabla

Miki schreef op 29 april 2004 @ 18:20:
Klein vraagje: "waarom is kaspersky zo goed in detectie van dit soort malware?" Het lijkt net of de andere vendors stil zitten en wachten totdat kav weer wat vindt.

KAV mist ook weleens dingen die andere AV's wel vinden, en omgekeerd hoor. En de rest wacht écht niet tot KAV iets vind, net zomin als KAV wacht tot de rest iets vind.

Dat is nou eenmaal zo, denk niet dat er ook maar één AV is die álles detecteerd.

Virussen? Scan ze hier!

donderdag 29 april 2004 18:29

Acties:

Miki

wildhagen schreef op 29 april 2004 @ 18:24:
[...]

KAV mist ook weleens dingen die andere AV's wel vinden, en omgekeerd hoor. En de rest wacht écht niet tot KAV iets vind, net zomin als KAV wacht tot de rest iets vind.

Dat is nou eenmaal zo, denk niet dat er ook maar één AV is die álles detecteerd.

Zo bedoel het ook niet hoor, maar wat me opvalt is dat de laatste tijd ik in iedergeval de indruk krijg dat KAV vaker dit soort dingen onderschept dan de andere vendors. Ook ben ik het met je eens dat er geen enkele av alles herkend, was dat maar waar...

Ben daarnaast blij dat mensen zoals jij en schouw veel nieuwe zooi submitten zodat er snel aandacht aan wordt besteed.

[ Voor 10% gewijzigd door Miki op 29-04-2004 18:31 ]

donderdag 29 april 2004 21:46

Acties:

Verwijderd

Gedetecteerd nu als TrojanSpy.Banker.j door KAV.

Mja, waarom KAV beter is mbt backdoors/trojans?
Relatief gezien zit een groot gedeelte van de mensen die into malware zijn, 'bij' KAV, mensen die dus zut submitten.
Daarnaast hebben trojans/backdoors een minstens net zo hoge prioriteit bij KAV als gewone virussen, wat bij sommige vendors anders is, Norman is een bekend voorbeeld van het tegenovergestelde.

Mja, het is jammer dat het, als ik het vertel, snel geïnterpreteerd wordt als een(sort of) verkooppraatje...
/me zit hier nog steeds uit interesse/enthousiasme.

vrijdag 30 april 2004 22:25

Acties:

jeehaa

Topicstarter

ik kreeg een foutmelding in windows:

Okecbfbj.exe

in Okecbfbj.exe is een fout opgetreden en moet worden afgesloten.

wat voor file is dit? hij zit in windows\system32\Okecbfbj.exe

                           

vrijdag 30 april 2004 22:27

Acties:

Verwijderd

Je hebt niet geformatteerd zoals eerder aangeraden?

Filename is verdacht, zou je de file eens kunnen submitten?

vrijdag 30 april 2004 22:28

Acties:

wildhagen

Blablabla

Ja, klinkt niet fris, mail maar ff, als je wilt

Virussen? Scan ze hier!

vrijdag 30 april 2004 22:56

Acties:

BoGhi

Eigenlijk wel droevig dat je je schijven moet formatten omdat er een virus niet lekker verwijderd kan worden. Je zou toch zeggen dat er genoeg software is die een schoonmaakaktie zou moeten kunnen uitvoeren, tenzij er (systeem)files bewust beschadigd zijn.

Programmers don't die. They GOSUB without RETURN

vrijdag 30 april 2004 23:00

Acties:

Verwijderd

Mja, droevig....je wil het zekere voor het onzekere nemen.
Met een HT log zie je ook _lang_ niet alles, wat nu(kennelijk)weer eens blijkt.

En de grote meerderheid van mensen die besmet raken kun je niet vertrouwen dat zij een complete systemcheck nog kunnen doen e.d..

Het ligt ook maar net aan het type malware dat gevonden is geworden..

vrijdag 30 april 2004 23:01

Acties:

jeehaa

Topicstarter

nee format betekend een dood voor mijn archieven, external storage is niet mogelijk.

jullie hebben m via de mail gekregen

                           

vrijdag 30 april 2004 23:02

Acties:

wildhagen

Blablabla

Thanks, McAfee flagged hem idd niet, heb hem ff via WebImmune naar ze gesubmit

Kaspersky Online flagged hem ook niet, Symantec ook niet...

[ Voor 28% gewijzigd door wildhagen op 30-04-2004 23:02 ]

Virussen? Scan ze hier!

vrijdag 30 april 2004 23:05

Acties:

Verwijderd

jeehaa schreef op 30 april 2004 @ 23:01:
nee format betekend een dood voor mijn archieven, external storage is niet mogelijk.

jullie hebben m via de mail gekregen

Klinkt goed zeg...
Wat als dit een destructive trojan was geweest?
Wat als je hdd crasht? We leven niet echt meer in een tijd waarin zoiets bijzonder is nml...

Ik zou snel gaan zoeken naar back-up media.

vrijdag 30 april 2004 23:10

Acties:

jeehaa

Topicstarter

heb je zeker gelijk in. ik verdiep mij ook pas sinds kort in beveiliging van het systeem. het gaat nl ook om een patienten bestand. maar wat ik ook gek vind is dat mijn firewall die heeft doorgelaten. zowel in de router als de softwarematige...

                           

vrijdag 30 april 2004 23:15

Acties:

Verwijderd

jeehaa schreef op 30 april 2004 @ 23:10:
heb je zeker gelijk in. ik verdiep mij ook pas sinds kort in beveiliging van het systeem. het gaat nl ook om een patienten bestand. maar wat ik ook gek vind is dat mijn firewall die heeft doorgelaten. zowel in de router als de softwarematige...

Waarom? Als het bv. binnengekomen is met een gewoon mailtje, is er geen enkele reden waarom je firewall het zou blocken..

vrijdag 30 april 2004 23:22

Acties:

jeehaa

Topicstarter

ik gebruik alleen hotmail. en voor die mailtjes naar jullie heb ik even snel mijn account bij xs4all gebruikt die niet bestond voor die tijd.

                           

vrijdag 30 april 2004 23:30

Acties:

Verwijderd

jeehaa schreef op 30 april 2004 @ 22:25:
Okecbfbj.exe

File is een trojandropper.
Analyse is een beetje rottig omdat bepaald analyse-prog niet echt mee wil werken..

C:\WINNT\system32\Ikpipdqc.dll
C:\WINNT\system32\[randomly named exe] ---- dit is de dropper zelf(nog eens)

De dll zal ook wel randomly named zijn.
dll = Backdoor.Padodor.a
Er wordt ook nog een html file gedropt -> Trojan.JS.Pooter

De nasty infecties stapelen zich wel op zeg..

vrijdag 30 april 2004 23:46

Acties:

jeehaa

Topicstarter

damn... dus dat kan zowaar alles zijn?

McAffee vond net weer 40 backdoor AJX dingen ofzow, ook trojans dus. allemaal .HTM files in mijn documents & setting en dan application data/temp

edit:

en belangrijker hoe verwijder ik die file. hij is nl steeds in gebruik. als ie crasht dan zou dat kunnen maar dan moet dat wel ff gebeuren.

edit2

code:

Logfile of HijackThis v1.97.7
Scan saved at 23:54:08, on 30-4-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Sony Ericsson\Mobile\audevicemgr.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\McAfee\McAfee VirusScan\vsmain.exe
C:\Program Files\McAfee\McAfee VirusScan\AlogServ.exe
C:\Documents and Settings\Jan Herman.JH\Bureaublad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F1 - win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] D:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] D:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Phone Connection Monitor.lnk = ?
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http://download.macromedia.com/pub/shockwave/cabs/authorware/awswax.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - http://cs7b.instantservice.com/jars/customerxsigned40.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.cargodatasystems.com:9000/activex/AxisCamControl.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37992.2179050926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

en kunnen hier nog dingen weg?

[ Voor 120% gewijzigd door jeehaa op 30-04-2004 23:55 ]

                           

zaterdag 1 mei 2004 08:34

Acties:

wildhagen

Blablabla

Deze kan nog wel weg:

code:

1	F1 - win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe

Die Okecbfbj.exe word nu door McAfee geflagged als Backdoor-AXJ, ik heb een extra.dat hiervoor. Je kan hem downloaden op http://www.xs4all.nl/~jurgenjw/zooi/EXTRA.DAT

Die moet je in \Program Files\Common Files\Network Associates\Engine zetten (oude overschrijven), en dan de PC rebooten. Als je dan scanned moet hij deze zien....

Virussen? Scan ze hier!

zaterdag 1 mei 2004 10:43

Acties:

jeehaa

Topicstarter

in deze dir?

C:\Program Files\Common Files\Network Associates\VirusScan Engine\4.0.xx

daar staat nl nog geen extra.dat dus overschrijven??

                           

zaterdag 1 mei 2004 11:01

Acties:

wildhagen

Blablabla

Ja, in die directory moet je hem opslaan. Vergeet daarna niet even te herstarten (of iig McAfee herstarten), want dan pas word hij geladen.

Overschrijven bedoelde ik mee, dat als er al een stond, dat je hem mocht overschrijven.

Virussen? Scan ze hier!

zaterdag 1 mei 2004 11:37

Acties:

jeehaa

Topicstarter

ik vond er nog 1 na je update. va.exe hij is inmiddels verwijderd door mcAffee en stond in de internet explorer root.

                           