[Malware] MS04-011 Backdoor/Bot - Privacy en beveiliging

zondag 2 mei 2004 21:04

Acties:

Verwijderd

Hoi mensen, ik hoop dat jullie me kunnen helpen.
Ik heb ook last van de Lsass virus/worm. Ik heb de patch gedownd van de ftp van microsoft en geinstalleerd.
Nou krijg ik als ik reboot deze schermpje:

http://picserver.org/view_image.php/1G2T3Z858BGG

[ Voor 3% gewijzigd door Verwijderd op 03-05-2004 00:32 ]

zondag 2 mei 2004 22:15

Acties:

alt-92

ye olde farte

SCVHOST < sniegoe!

(alsof dat al niet af te leiden is uit de crap in die console)

normale bestandsnaam is svchost.exe namelijk.

Ik zie daar sowieso al een ftp servercomponentje en een mailer lopen.

[ Voor 28% gewijzigd door alt-92 op 02-05-2004 22:17 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 2 mei 2004 22:20

Acties:

wildhagen

Blablabla

leezer: zoals BackSlash32 al zegt: die file hoort daar niet.... zou je me die file (scvhost.exe) eens willen mailen? Adres is in sig en profile te vinden...

Ik zou met HijackThis ook even kijken of er niet meer gekke processen draaien (logs niet in dit topic posten, maak er desnoods een eigen topic voor aan).

Virussen? Scan ze hier!

zondag 2 mei 2004 22:24

Acties:

pasta

Ondertitel

Waarom is wildhagen mij altijd net voor?

Maar evengoed, leezer: zou je mij ook die file willen sturen (password protected aub). Voor email adres zie sig.

Volgens [u]google[/] is scvhost.exe een Agobot.

[ Voor 121% gewijzigd door pasta op 02-05-2004 22:32 ]

Signature

zondag 2 mei 2004 22:34

Acties:

Verwijderd

Topicstarter

Scan scvhost.exe hier eens: http://www.kaspersky.com/scanforvirus.html
scvhost.exe is erg voorkomende naam, zit er dik in dat het een Ago is maar kan ook gerust wat anders zijn.

zondag 2 mei 2004 23:08

Acties:

Verwijderd

hoi, sorry dat ik zo laat pas reageer, maar ik kan scvhost nergens vinden.
Dit heb ik pas NA de installatie van de windows beveilegingslek patch van 16 april.
Eerst had ik dit niet.

Bedankt voor post

zondag 2 mei 2004 23:14

Acties:

wildhagen

Blablabla

Verwijderd schreef op 02 mei 2004 @ 23:08:
hoi, sorry dat ik zo laat pas reageer, maar ik kan scvhost nergens vinden.

Volgens die screenshot zou hij in D:\Windows\System32 moeten staan, zie de titelbalk van dat window

Virussen? Scan ze hier!

zondag 2 mei 2004 23:20

Acties:

Verwijderd

Het spijt me maar ik kan het egt nergens vinden, er staat in de win32 file egt geen svchost.exe.

Maar zit ik nu in de diepe sjit?
Ik heb normaal bitdefender 7.2 pro en heb de firewall en shield altijd aanstaan. Pas eergisteren had ik ff uitgezet voor een paar uur en toen kreeg ik de lsass fout en dat mijn PC gereboot moest worden in 60 sec.

Nou heb ik uit de tweakers frontpage gezien dat ik die virus/trojan/worm probleem kan fiksen door die beveiligingslek patch te installen. Zo gezegd zo gedaan. Na het opnieuw opstarten van de Pc kreeg ik dus deze probleem.
Hoe kan ik dus dit prob oplossen??

Ik zal ff verderzoeken of ik het kan vinden. Ik stuur je het wel op je xs4all mail als ik het kan vinden.

jullie horen nog van mij.

Alvast bedankt

update:
Uhmm, ik heb wel een file genaamd svchost.exe gevonden, maar ik vind het toch raar dat in me screenie staat:scvhost.exe.

Ik mail dit wel nu fftjes naar Wildhagen

[ Voor 11% gewijzigd door Verwijderd op 02-05-2004 23:25 ]

zondag 2 mei 2004 23:25

Acties:

pasta

Ondertitel

Zoals ik al eerder zei, kan je em ook ff naar mij mailen? (password protected zip of rar aub) Zie sig voor emailadres.

[ Voor 82% gewijzigd door pasta op 02-05-2004 23:26 ]

Signature

zondag 2 mei 2004 23:29

Acties:

wildhagen

Blablabla

Uhmm, ik heb wel een file genaamd svchost.exe gevonden, maar ik vind het toch raar dat in me screenie staat:scvhost.exe.

Mjah, die svchost.exe is gewoon die van Windows, die hoort namelijk in die directory. Inhoud ziet er OK uit.

Heb je "Show hidden files" aan staan? Misschien dat die SCVHOST.EXE hidden is?

Virussen? Scan ze hier!

zondag 2 mei 2004 23:35

Acties:

Verwijderd

Ik heb hidden files laten zien al aanstaan

Maar tog nog steeds niet sCvhost.exe gevonden. Kunnen jullie eens zelf proberen (indien mogelijk) om dat te vinden?

Maar wat raden jullie mij nu te doen?

gewoon een clean format?
of kan dit ook opgelost worden zonder als die gekkenwerk

Alvast bedankt.

Er loopt bij mij in de achtergrond 4x svchost.exe en geen scvhost.exe.

[ Voor 12% gewijzigd door Verwijderd op 02-05-2004 23:39 ]

zondag 2 mei 2004 23:40

Acties:

pasta

Ondertitel

Post anders eens een HijackThis log, misschien dat we daar wat kunnen vinden. Tussen [code] tags svp

[ Voor 15% gewijzigd door pasta op 02-05-2004 23:41 ]

Signature

zondag 2 mei 2004 23:45

Acties:

Verwijderd

http://picserver.org/view_image.php/48EWOW4I3QQV

[ Voor 11% gewijzigd door Verwijderd op 03-05-2004 00:32 ]

zondag 2 mei 2004 23:46

Acties:

Verwijderd

Topicstarter

Dat kan stukken handiger, save log en post de output daarvan hier tussen [code] tags.

zondag 2 mei 2004 23:47

Acties:

ParaNoiMia

Ik zie hem bij RunServices wel staan anders ?

zondag 2 mei 2004 23:49

Acties:

Verwijderd

Het spijt me admin ik heb egt geen idee hoe dat anders moet.

Ik zit nu in beetje stress omdat ik deze prob asap wilt oplossen.
Ik doe nu me best maar zal de pic wel een ander keertje aanpassen zodat het niet zo onhandig meer overkomt in de forum.

nogmaals, sorry voor de grote pic

Ik heb met stinger en bitdefender geen virus/trojans kunnen vinden.

Ik kreeg dit prob niet toen ik nog geinfecteerd was. Pas na het toepassen van de patch van windows kreeg ik het pas. Misschien dat jullie hier wijzer van worden.

[ Voor 31% gewijzigd door Verwijderd op 02-05-2004 23:54 ]

zondag 2 mei 2004 23:52

Acties:

pasta

Ondertitel

ParaNoiMia schreef op 02 mei 2004 @ 23:47:
Ik zie hem bij RunServices wel staan anders ?

En ook bij de gewone Run staat ie. En bij F0 en F2

Signature

zondag 2 mei 2004 23:53

Acties:

ParaNoiMia

pastapappie.NET schreef op 02 mei 2004 @ 23:52:
[...]

En ook bij de gewone Run staat ie. En bij F0 en F2

Niet die bij F0 en F2 toch, das SVChost en niet SCVhost

Als de TS met Start->Uitvoeren->Regedit naar HKEY_LOCAL_MACHINE->SOFTWARE->MICROSOFT->WINDOWS->CURRENTVERSION->RUN gaat, zie je daar dan die SCVHOST.EXE staan en staat daar wellicht nog iets extra's bij ?

[ Voor 32% gewijzigd door ParaNoiMia op 02-05-2004 23:56 ]

zondag 2 mei 2004 23:59

Acties:

pasta

Ondertitel

ParaNoiMia schreef op 02 mei 2004 @ 23:53:
[...]

Niet die bij F0 en F2 toch, das SVChost en niet SCVhost

Als de TS met Start->Uitvoeren->Regedit naar HKLM->SOFTWARE->MICROSOFT->WINDOWS->CURRENTVERSION->RUN gaat, zie je daar dan die SCVHOST.EXE staan en staat daar wellicht nog iets extra's bij ?

Maar die horen daar niet te staan, al met al

Maar evengoed. De waardes die staan bij die regentry die jij geeft zijn ook al in HijackThis genoemd.

[ Voor 78% gewijzigd door pasta op 03-05-2004 00:01 ]

Signature

maandag 3 mei 2004 00:02

Acties:

Verwijderd

voor paranoima.

er staat alleen:
scvhost.exe REG_SZ scvhost.exe

bij al die andere staat nog een pad erachter maar niet bij scvhost. Hoop dat dit duidelijk genoeg is. Bedankt voor hulp

[ Voor 5% gewijzigd door Verwijderd op 03-05-2004 00:03 ]

maandag 3 mei 2004 00:03

Acties:

pasta

Ondertitel

Verwijderd schreef op 03 mei 2004 @ 00:02:
voor paranoima.

er staat alleen:
scvhost.exe REG_SZ scvhost.exe

bij al die andere staat nog een pad erachter maar niet bij scvhost. Hoop dat dit duidelijk genoeg is. Bedankt voor hulp

En als je eens op de complete harde schijf zoekt naar dat bestand? Misschien dat je hem dan wel ziet.

Signature

maandag 3 mei 2004 00:11

Acties:

Verwijderd

nope, niks.

maandag 3 mei 2004 00:16

Acties:

ParaNoiMia

Verwijderd schreef op 03 mei 2004 @ 00:11:
nope, niks.

Dan zou ik in Hijackthis die svchost en scvhost dingen uitvinken en fixen...

maandag 3 mei 2004 00:18

Acties:

pasta

Ondertitel

ParaNoiMia schreef op 03 mei 2004 @ 00:16:
[...]

Dan zou ik in Hijackthis die svchost en scvhost dingen uitvinken en fixen...

Ik zou oppassen met die F0 en F2 dan. Die kan je beter handmatig fixen, anders heeft TS dadelijk geen shellmanager meer (Aston is een shellmanager namelijk, zie ook http://www.astonshell.com

)

[ Voor 3% gewijzigd door pasta op 03-05-2004 00:19 ]

Signature

maandag 3 mei 2004 00:18

Acties:

Verwijderd

Topicstarter

We moeten je processen zien..
_Niets_ zomaar fixen.

Post nu eens een fatsoenlijk HT log, zie ook link hierin: Beveiliging en Virussen - Nieuw topic starten

maandag 3 mei 2004 00:31

Acties:

Verwijderd

ParaNoiMia schreef op 03 mei 2004 @ 00:16:
[...]

Dan zou ik in Hijackthis die svchost en scvhost dingen uitvinken en fixen...

Ik heb het gedaan.
Inderdaad, nu krijg ik geen scv problemen meer.

100 x bedankt mensen van GOT.

De volgende topic die ik start zal wel via de juiste regeltjes gaan.

Ik wens jullie nog een goede nacht.

maandag 3 mei 2004 00:45

Acties:

Verwijderd

Topicstarter

Je hebt nu de gevolgen(gedeeltelijk)opgelost.

Van de oorzaak weet je nu nog bar weinig(nouja, oorzaak wel maar iets tussen het begin en het einde niet).

Erg onverstandig om deze bak nu als schoon te beschouwen.

maandag 3 mei 2004 22:04

Acties:

dbzdragon

OM scvhost.exe te zien moet je naast "show hidden files and folders" ook "hide protected operating system files" uitvinken. Lees onderstaande hulp voor het verwijderen van het virus/backdoor.

Run Hijack This again and put a check by these. Close all windows except HijackThis and click "Fix checked"

O4 - HKLM\..\Run: [scvhost] scvhost.exe

O4 - HKLM\..\RunServices: [scvhost] scvhost.exe

O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

Restart to safe mode.

How to start your computer in safe mode

First in safe mode click on My Computer. Go to Tools > Folder Options. Click on the View tab and make sure that "Show hidden files and folders" is checked. Also uncheck "Hide protected operating system files" and "Hide extensions for known file types" . Now click "Apply to all folders"
Click "Apply" then "OK"

Now find and delete:

The C:\WINDOWS\System32\scvhost.exe file
The C:\Program Files\Common Files\GMT folder

Also in safe mode navigate to the C:\Windows\Temp folder. Open the Temp folder and go to Edit > Select All then Edit > Delete to delete the entire contents of the Temp folder.

Now navigate to the C:\Windows\System32\drivers\etc folder. Locate the HOSTS file. Open the HOSTS file in notepad by clicking on it to open it. It will ask you what program you want to use to open it. Tick "Select the program from a list" and click OK. In the menu of programs that opens find and select notepad and click OK. The HOSTS file will open in notepad. Look for a list like this:

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com

Delete all those lines leaving only this one:

127.0.0.1 localhost

Now close the file and answer Yes to confirm the changes.

Empty the Recycle Bin.

Turn off System Restore:

On the Desktop, right-click My Computer.
Click Properties.
Click the System Restore tab.
Check Turn off System Restore.
Click Apply, and then click OK.
Restart your computer.

When you are sure you are clean turn it back on and create a restore point.

Go here and do an online virus scan:

http://housecall.trendmicro.com/

Be sure and put a check in the box by "Auto Clean" before you do the scan. If it finds anything that it cannot clean have it delete it or make a note of the file location so you can delete it yourself.

IMPORTANT!: I highly recommend that you go to Windows update and install all "Critical Updates and Service Packs" ASAP!. This will patch numerous security holes in IE and Windows. This worm got on your machine by taking advantage of one of those vulnerabilities.