[xp home nl] trojan te pakken: download.trojan - Privacy en beveiliging

zondag 9 mei 2004 20:29

Acties:

Topicstarter

mensen,

ik ziet hier bij een vriend en norton 2k4 kwam er mee dat er een trojan gedetecteerd.... genaamd: download.trojan

ik gelijk uit gegooid, op andere pc naar symantec support gegaan check *dit*...

ik heb die instructies gevolgd,

system restore uit, safe mode, scannen, vinden en toen:

Setup.exe, wil ik verwijderen, kan niet verwijderen......

verder op de symantec site zeggen ze geen alternatieven.....

iemand ervaring?

btw, de bedoelingen vant virus:

Download.Trojan does the following:

Goes to a specific Web or FTP site that its author created and attempts to download new Trojans, viruses, worms, or their components.
After the Trojan downloads the files, it executes them.

specs:
AMD athlon xp 2800+
norton 2k4 up2date
windows xp home nl up2date
512 mb ram
verder een snelle bak....

al in de startup gekeken staat ook niet echt wat zeg maar...

iemand ervaring ofzo?

graag! $_/-\o_$

Gasloos! 3100Wp Z, 2150Wp W, Panasonic 5J monoblock, Panasonic 150L WPB

zondag 9 mei 2004 20:32

Acties:

Verwijderd

"kan niet verwijderen"

Sorry, maar je moet echt wat duidelijker zijn met wat er precies niet lukt.

zondag 9 mei 2004 20:53

Acties:

Verwijderd

Kwam de monitor er _direct_ mee dat er een trojan gedetecteerd was?
Of is deze met een on-demand scan gedetecteerd?

Gezien het feit dat je hem niet kan verwijderen zal de malware wel niet direct gedetecteerd zijn.
Naast de download.trojan moet dus ook de 'echte' trojan nog worden gevonden...

zondag 9 mei 2004 21:08

Acties:

stevenP

Topicstarter

nou met kan niet verwijderen bedoel ik het volgende:

1 je scanned met norton
2 hij is klaar 1 file 'geinfecteerd' [pieeeeeeep nederlands

]
3 volgende stap: verwijderen, ik zeg verwijder, ja ik weet t zeker

4 error, verwijderen mislukt, bestand kan niet worden verwijderd!

en dat is alles wat norton zei en op de symantec support ook erg wijnig...

Verwijderd schreef op 09 mei 2004 @ 20:53:
Kwam de monitor er _direct_ mee dat er een trojan gedetecteerd was?
Of is deze met een on-demand scan gedetecteerd?

Gezien het feit dat je hem niet kan verwijderen zal de malware wel niet direct gedetecteerd zijn.
Naast de download.trojan moet dus ook de 'echte' trojan nog worden gevonden...

nee na een minuutje ofzo....

maar ze hadden die ochtend al gescanned en toen dat ding handmatig maar weggegooid (ze hadden iets van een cd geplukt waar ook setup.exe bij stond

dus zei dachten van mwa makkelijker kan niet

)

[ Voor 48% gewijzigd door stevenP op 09-05-2004 21:40 ]

Gasloos! 3100Wp Z, 2150Wp W, Panasonic 5J monoblock, Panasonic 150L WPB

zondag 9 mei 2004 22:26

Acties:

Verwijderd

Aangezien hij niet verwijderd kan worden, is hij heel waarschijnlijk actief. Kill je vreemde processen eens.

maandag 10 mei 2004 16:13

Acties:

stevenP

Topicstarter

Verwijderd schreef op 09 mei 2004 @ 22:26:
Aangezien hij niet verwijderd kan worden, is hij heel waarschijnlijk actief. Kill je vreemde processen eens.

hmm... volgens mij liep er niks raars maar ik ga vanaaf denk ff naar hem toe om dan nog eens te proberen en kijken of er dus nog vreemde processen zijn...

Gasloos! 3100Wp Z, 2150Wp W, Panasonic 5J monoblock, Panasonic 150L WPB

maandag 10 mei 2004 16:18

Acties:

Verwijderd

Toevallig afgelopen weekend dit zelfde geval bij mijn vader verwijderd.

Ik maak uit je verhaal op dat je norton antivirus hebt/gebruikt, heb ik ook gebruikt hiervoor, dus ik weet dat het werkt, gewoon even booten van je antivirus cd, laten scannen, zodra hij het vind laten verwijderen en klaar ben. (nu werkt het wel)

Hoef je ook niet te gaan zoeken naar vreemde processen ofzo, snel en simpel.

maandag 10 mei 2004 16:18

Acties:

Verwijderd

Probeer 'ns in safemode, zonder scannen zelf die file opzoeken en verwijderen.

Ik had 'm ook op 't werk, vorige week. Na de instructies van Symantec was ie weg.

maandag 10 mei 2004 16:41

Acties:

stevenP

Topicstarter

Verwijderd schreef op 10 mei 2004 @ 16:18:
Probeer 'ns in safemode, zonder scannen zelf die file opzoeken en verwijderen.

Ik had 'm ook op 't werk, vorige week. Na de instructies van Symantec was ie weg.

nou de instructie van symantec was dus safe mode scan en dan zou die weg moeten zijn maar niet dus....

mwa onwijs bedankt alvast, ik ga zeker proberen wat gabe newell en dejopie zeggen en dan zal ik wel updaten!

bedankt voor de hulp alvast!! $_/-\o_$

stevenp

Gasloos! 3100Wp Z, 2150Wp W, Panasonic 5J monoblock, Panasonic 150L WPB

maandag 10 mei 2004 17:24

Acties:

Verwijderd

Verwijderd schreef op 10 mei 2004 @ 16:18:
Toevallig afgelopen weekend dit zelfde geval bij mijn vader verwijderd.

Ik maak uit je verhaal op dat je norton antivirus hebt/gebruikt, heb ik ook gebruikt hiervoor, dus ik weet dat het werkt, gewoon even booten van je antivirus cd, laten scannen, zodra hij het vind laten verwijderen en klaar ben. (nu werkt het wel)

Hoef je ook niet te gaan zoeken naar vreemde processen ofzo, snel en simpel.

What about de echte trojan?
Die staat nu dus zeer waarschijnlijk vrolijk door te draaien...

maandag 10 mei 2004 19:20

Acties:

Verwijderd

Format erover, zolang een trojan niet bekend is bij een anti-virii bedrijf kan je niets beginnen. Wordt helaas steeds simpeler om een trojan 'onzichtbaar' te maken dus kans is groot dat je dit ding er niet afkrijgt zonder een format te gebruiken. Ook al lijken alle processen goed, dan nog kan er een DLL gehookt zijn op bv. explorer.exe waardoor die trojan rustig verder gaat. Mijn advies is bij je volgende format heel goed op te letten met wat je binnenhaalt en zonealarm pro (op dll niveau, waardoor elke dll die internet wilt gebruiken toestemming moet hebben -> DLL hooking is dan stuk moeilijker). Wat je nu nog evt. kan proberen is een je computer te booten en vervolgens http://www.sysinternals.com/ntw2k/source/tcpview.shtml te draaien, maak eff een print screen en post die hier ff. Je kan namelijk precies zien welke processen een verbinding naar buiten leggen en (belangrijkste) waarnaar toe. :-)

maandag 10 mei 2004 19:36

Acties:

Verwijderd

Verwijderd schreef op 10 mei 2004 @ 17:24:
[...]

What about de echte trojan?
Die staat nu dus zeer waarschijnlijk vrolijk door te draaien...

Zo dom ben ik nou ook weer niet, die had ik daarvoor al verwijderd zonder al te veel moeite, dit geval was wat lastiger omdat ie zich niet liet verwijderen.

maandag 10 mei 2004 20:58

Acties:

stevenP

Topicstarter

*update*

ik belde hem drstraks, maar nee hoor... kan vanavond niet, morgen heb ik training dus dan kan ik niet dus dan wordt dat woensdag en anders vrijdag dat ik daar heen ga....

ja ik zou idd ook formatten maar dat willen zei natuurlijk weer niet...

ik ga zeker eens die prog draaien dan (al zit zn netwerk stekker er niet in, heb ik eruit getrokken)

maargoed...

TODO:
*booten en scannen vanaf cd
*taskmanager alles eruit flikkeren
*TCPview draaien

hmm... misschien nog wel hoop

alvast bedankt allen!

Gasloos! 3100Wp Z, 2150Wp W, Panasonic 5J monoblock, Panasonic 150L WPB

dinsdag 11 mei 2004 11:14

Acties:

Verwijderd

stevenP schreef op 10 mei 2004 @ 20:58:

TODO:
*booten en scannen vanaf cd
*taskmanager alles eruit flikkeren
*TCPview draaien

hmm... misschien nog wel hoop alvast bedankt allen!

Maak er ff van
TODO:
*booten en scannen vanaf cd
*TCPview draaien (met internet erin, al is het voor 30 sec, dan kan je idg zien waar naar buiten er een verbinding gaat door welk proces -> wel screenshot maken

)
*taskmanager alles eruit flikkeren

woensdag 12 mei 2004 17:47

Acties:

stevenP

Topicstarter

Verwijderd schreef op 11 mei 2004 @ 11:14:
[...]

Maak er ff van
TODO:
*booten en scannen vanaf cd
*TCPview draaien (met internet erin, al is het voor 30 sec, dan kan je idg zien waar naar buiten er een verbinding gaat door welk proces -> wel screenshot maken )
*taskmanager alles eruit flikkeren

ja dat is inderdaad wel slim ja....

ik ga er zo heen dusse!

ik zal updaten dan misschien vanaaf anders morgen

alvast bedankt! $_/-\o_$

[ Voor 5% gewijzigd door stevenP op 12-05-2004 19:05 ]

Gasloos! 3100Wp Z, 2150Wp W, Panasonic 5J monoblock, Panasonic 150L WPB

woensdag 12 mei 2004 20:41

Acties:

stevenP

Topicstarter

*update*

ok wtf, ik zit hier nu bij die vriend thuis, norton in safe mode laten scannen en nu zegt hij in 1x dat er niks is gevonden

(eerst 1 file: setup.exe ergens in de windowsmap ik geloof in windows\system32)

IEMAND?

//edit: we hebben ff live update gedraaid (jaja, heel even het net op

) en nu vist hij er in 1x 3 uit

en hij zegt dat er '1 hersteld' is.... ik volg er geen reet van

iemand?

[ Voor 51% gewijzigd door stevenP op 12-05-2004 21:04 ]

Gasloos! 3100Wp Z, 2150Wp W, Panasonic 5J monoblock, Panasonic 150L WPB

woensdag 12 mei 2004 21:37

Acties:

vliegjong

Bump!

k
http://a64.g.akamai.net/7...nglish/intel/sdat4360.exe

ga je het bestand opslaan in c:\virusscanner

in dos ga je naar die map en dan doe je commando
sdat4360.exe /e

Veilige modus opstarten
dan weer naar dos
naar die map
en dan commando
scanpm.exe /adl /all /sub /clean

Ben gek op NAI

Ik ben een Nerd, jij ook? Dan zijn er namelijk 10 toffe mensen :)

woensdag 12 mei 2004 21:56

Acties:

stevenP

Topicstarter

*update*

nou, hij heeft het dus gevonden na die update van virus definitie (jaja tis woensdag avond

) en daarna met plug erin, windows gewoon opgestart, gescanned enzo maar niks gevonden^^ conclusie: schoon!

allemaal onwijs bedankt voor jullie hulp! $_/-\o_$

vliegjong schreef op 12 mei 2004 @ 21:37:
k
http://a64.g.akamai.net/7...nglish/intel/sdat4360.exe

ga je het bestand opslaan in c:\virusscanner

in dos ga je naar die map en dan doe je commando
sdat4360.exe /e

Veilige modus opstarten
dan weer naar dos
naar die map
en dan commando
scanpm.exe /adl /all /sub /clean

Ben gek op NAI

mag ik weten wat dit precies is?

Gasloos! 3100Wp Z, 2150Wp W, Panasonic 5J monoblock, Panasonic 150L WPB

woensdag 12 mei 2004 21:59

Acties:

vliegjong

Bump!

NAI (mcafee) brengt ook AV producten uit.

de sdat is de laatste dat defenitie's in combinatie met de scangengine.
als je de sdat uitpakt (/e) zit er een extratje in. nl een dosscanner.
Scanpm is een dosscanner en die kan je met die schakelopties pakken

Ik ben een Nerd, jij ook? Dan zijn er namelijk 10 toffe mensen :)

woensdag 12 mei 2004 22:02

Acties:

stevenP

Topicstarter

ohh is nai van mcafee

ok dan, en dat werkt ook samen met norton 2k4 op die bak??

Gasloos! 3100Wp Z, 2150Wp W, Panasonic 5J monoblock, Panasonic 150L WPB

woensdag 12 mei 2004 22:39

Acties:

vliegjong

Bump!

Op zich niet.
Dit is gewoon een extra controle.

Je boot in de veilige modus dus norton wordt niet meegestart.
ScanPM is een commandline scanner. Dus moet je elke keer handmatig starten.

Ik ben een Nerd, jij ook? Dan zijn er namelijk 10 toffe mensen :)

donderdag 13 mei 2004 20:57

Acties:

Loadichus

als je zon bestand niet kan verwijderen, dit geval de trojan... moet je gewoon booten met een bootdisk (die je kunt downloaden bij www.bootdisk.com) en daarna simpel weg in ms_dos verwijderen