[XP + KAV] Backdoor.Agobot.gen infectie * - Privacy en beveiliging

woensdag 19 mei 2004 16:59

Acties:

Topicstarter

Hi, heb een virus volgens kaspersky...

backdoor.agobot.gen

Nou wil ik daar vanaf en heb het volgende bekeken:

- register:
in hklm/software/microsoft/windows/currentversion/run staat niets behalve kaspersky en msn messenger plus

in hklm/software/microsoft/windows/currentversion/runonce staat niets

in hklm/software/microsoft/windows/currentversion/runexec staat ook niets

- in de hostsfile staat alleen 127.0.0.1 localhost

Hier heb ik niets aan veranderd

- nu zet hij iedere keer op een willekeurige drive bijvoorbeeld e:\
de file svchostt.exe (281kb) en testfile (0kb)

Die krijg ik wel weg maar komt automatisch daar terug...
Kaspersky krijgt hem niet weg...

Windows system restore krijgt hem vaak wel weg maar dan komt hij later weer terug......

Lijkt via irc te komen....

Alles wat ik via google vond zou in hosts file moeten staan en in register... iemand enig advies?

ja ja... niet iedereen heeft dezelfde kennis... wees daarom ook eens gewillig en geef een antwoord op een vraag ;)

woensdag 19 mei 2004 17:13

Acties:

Lord_T

Topicstarter

Imagenaam Proces Services
========================= ====== =============================================
System Idle Process 0 n.v.t.
System 4 n.v.t.
SMSS.EXE 620 n.v.t.
CSRSS.EXE 688 n.v.t.
WINLOGON.EXE 712 n.v.t.
SERVICES.EXE 756 Eventlog, PlugPlay
LSASS.EXE 768 PolicyAgent, ProtectedStorage, SamSs
SVCHOST.EXE 936 RpcSs
SVCHOST.EXE 1016 6to4, AudioSrv, Browser, CryptSvc, Dhcp,
dmserver, ERSvc, EventSystem,
FastUserSwitchingCompatibility, helpsvc,
Ip6FwHlp, Iprip, lanmanserver,
lanmanworkstation, Messenger, Netman, Nla,
RasAuto, RasMan, Schedule, seclogon, SENS,
SharedAccess, ShellHWDetection, srservice,
TapiSrv, TermService, Themes, TrkWks,
uploadmgr, W32Time, winmgmt, wuauserv, WZCSVC
SVCHOST.EXE 1160 Dnscache
SVCHOST.EXE 1192 LmHosts, RemoteRegistry, SSDPSRV, upnphost,
WebClient
SPOOLSV.EXE 1392 Spooler
ALG.EXE 1512 ALG
R_SERVER.EXE 1636 r_server
TCPSVCS.EXE 1700 SimpTcp
SVCHOST.EXE 1724 stisvc
EXPLORER.EXE 252 n.v.t.
MsgPlus.exe 508 n.v.t.
CTHELPER.EXE 544 n.v.t.
CTFMON.EXE 1880 n.v.t.
ServUTray.exe 592 n.v.t.
BTTray.exe 656 n.v.t.
SPEEDFAN.EXE 664 n.v.t.
BTSTAC~1.EXE 984 n.v.t.
MSNMSGR.EXE 820 n.v.t.
WINAMP.EXE 2248 n.v.t.
OPERA.EXE 1432 n.v.t.
ServUDaemon.exe 1996 n.v.t.
MIRC.EXE 3880 n.v.t.
STUNNELW.EXE 3708 n.v.t.
iexplore.exe 1152 n.v.t.
cmd.exe 1024 n.v.t.
iexplore.exe 1348 n.v.t.
AVPCC.EXE 2352 n.v.t.
AVPCC.EXE 1632 AVPCC
AvpM.exe 3668 KAVMonitorService
cmd.exe 1892 n.v.t.
tasklist.exe 3620 n.v.t.
wmiprvse.exe 1864 n.v.t.

De tasklist.... ziet iemand iets vreemds?
Hij draait en moet dus wel hier ergens tussen staan....

ja ja... niet iedereen heeft dezelfde kennis... wees daarom ook eens gewillig en geef een antwoord op een vraag ;)

woensdag 19 mei 2004 17:16

Acties:

Verwijderd

Beveiliging en Virussen - Nieuw topic starten
Post eens je HT log(tussen [code] tags)..

Windows system restore krijgt hem vaak wel weg maar dan komt hij later weer terug......

Wat bedoel je daarmee? Gebruik je SR om van de Ago af te komen? Dat gaat niet echt werken..

Heb je meerdere pc's in je(lokale)netwerk?
Zijn die zuiver? Is je bak up to date?
Als je bak openstaat dan ben je niets meer aan het doen dan dweilen met de kraan open..

Titel wat aangepast.

woensdag 19 mei 2004 17:18

Acties:

Lord_T

Topicstarter

omdat hij hem typisch alleen zet in de root van een partitie is het makkelijk om te zien of je ervan af bent....

Als je dus in safe mode boot... hem delete (werkt dan) dan kan je vervolgens met System restore ervoor zorgen dat je register en je services enzo goed zouden moeten zijn....

Netwerk zal wel meevallen...

Heb een pc met linux maar die hangt apart op internet en een laptopje die niet aangesloten is momenteel........

ja ja... niet iedereen heeft dezelfde kennis... wees daarom ook eens gewillig en geef een antwoord op een vraag ;)

woensdag 19 mei 2004 17:26

Acties:

Verwijderd

Lord_T schreef op 19 mei 2004 @ 17:18:
omdat hij hem typisch alleen zet in de root van een partitie is het makkelijk om te zien of je ervan af bent....

Dat zegt natuurlijk lang niet alles, daarnaast zie ik het punt niet echt van deze opmerking?

Als je dus in safe mode boot... hem delete (werkt dan) dan kan je vervolgens met System restore ervoor zorgen dat je register en je services enzo goed zouden moeten zijn....

Ik betwijfel het nut daarvan.

Heb een pc met linux maar die hangt apart op internet en een laptopje die niet aangesloten is momenteel........

En hoe zit het met de rest van mijn vragen?

En waarom denk je dat de infectie via IRC plaatsvindt?

Ik wil je tevens wijzen op de edit-knop, die zou je inmiddels wel moeten kunnen vinden lijkt me zo.

woensdag 19 mei 2004 17:35

Acties:

Lord_T

Topicstarter

Verwijderd schreef op 19 mei 2004 @ 17:26:
[...]

Dat zegt natuurlijk lang niet alles, daarnaast zie ik het punt niet echt van deze opmerking?

[...]

Ik betwijfel het nut daarvan.

[...]

En hoe zit het met de rest van mijn vragen?

En waarom denk je dat de infectie via IRC plaatsvindt?

Ik wil je tevens wijzen op de edit-knop, die zou je inmiddels wel moeten kunnen vinden lijkt me zo.

omdat je kan zoeken op svchostt.exe en hem dan alleen in de roots vind kan je zien je ze makkelijk verwijderen... de testfiles van 0kb doen niks en zijn altijd te verwijderen.
Bak is up to dat dat wil zeggen geen kritieke updates gevonden...
En de bak hangt aan internet... zit momenteel geen firewall op omdat mijn provider een aantal dingen niet ondersteunt... had ZA en toen viel mijn verbinding iedere keer weg

Heb winroute gehad maar kreeg ftp niet up
Heb altijd Kaspersky aan
Download niks waar ik niet zeker van ben....

Kortom dacht altijd dat ik redelijk safe bezig was...

Waarom denk ik dat die via irc komt, is omdat ik tot nu toe iedere keer op irc zat als kaspersky hem vond....

En heb hem dus al 3x gevonden en verwijderd... dan is die een paar dagen weg en heb je hem ineens weer....

Heb ook geen intensieve processen lopen want cpu usage is gewoon normaal... Dus ook daar geen duidelijke kenmerken... Meeste virusscanners vinden die file helemaal niet schadelijk en doen er niks mee.... Kaspersky op mijn systeem vindt het dus een virus: agobot.gen maar de online scanner van Kaspersky vindt het een normale file

Trend Micro doet er niks mee
Norton doet er niks mee
Panda doet er niks mee...

Kortom ik weet niet goed waar het lek zit en of gewoon Kaspersky hier vaag doet of dat het echt een virus is en ik er iets aan meot doen....

ja ja... niet iedereen heeft dezelfde kennis... wees daarom ook eens gewillig en geef een antwoord op een vraag ;)

woensdag 19 mei 2004 17:46

Acties:

Verwijderd

omdat je kan zoeken op svchostt.exe en hem dan alleen in de roots vind kan je zien je ze makkelijk verwijderen... de testfiles van 0kb doen niks en zijn altijd te verwijderen.

Ja dus? Waarom zou Ago alleen die filename hebben?

En de bak hangt aan internet... zit momenteel geen firewall op

We have(at least)one winner...

Heb altijd Kaspersky aan

Die generic Agosig is inmiddels een paar weken oud...Heb je toevallig speciaal gepackte sample?
Zie reportviewer settings.
Zo niet dan klopt dat 'altijd aan' niet helemaal.

Meeste virusscanners vinden die file helemaal niet schadelijk en doen er niks mee....

KAV heeft(een van)de allerbeste generic Agobot signature..

Kaspersky op mijn systeem vindt het dus een virus: agobot.gen maar de online scanner van Kaspersky vindt het een normale file

Hmm.. zeker dat je de juiste file scant, zonder I/O locks enzo?

Kortom ik weet niet goed waar het lek zit en of gewoon Kaspersky hier vaag doet of dat het echt een virus is en ik er iets aan meot doen....

File met zo'n filename en zulk gedrag kan nooit veel goeds betekenen, ben zelf ook nog geen Ago-FP tegengekomen.

Waarom denk ik dat die via irc komt, is omdat ik tot nu toe iedere keer op irc zat als kaspersky hem vond....

Check je IRC-scripts eens, hou je verbinding eens in de gaten met een sniffer, zit er eventueel in dat die file gedownload wordt via (m)IRC-script wat geïnstalleerd is..

woensdag 19 mei 2004 18:09

Acties:

Lord_T

Topicstarter

Verwijderd schreef op 19 mei 2004 @ 17:46:
[...]

Ja dus? Waarom zou Ago alleen die filename hebben?

[...]

We have(at least)one winner...

[...]

Die generic Agosig is inmiddels een paar weken oud...Heb je toevallig speciaal gepackte sample?
Zie reportviewer settings.
Zo niet dan klopt dat 'altijd aan' niet helemaal.

[...]

KAV heeft(een van)de allerbeste generic Agobot signature..

[...]

Hmm.. zeker dat je de juiste file scant, zonder I/O locks enzo?

[...]

File met zo'n filename en zulk gedrag kan nooit veel goeds betekenen, ben zelf ook nog geen Ago-FP tegengekomen.

[...]

Check je IRC-scripts eens, hou je verbinding eens in de gaten met een sniffer, zit er eventueel in dat die file gedownload wordt via (m)IRC-script wat geïnstalleerd is..

Ik geef toe dat die file meerdere namen zou kunnen hebben maar dan zou Kaspersky er ook meerdere moeten vinden lijkt me....

Zie reportviewer settings. -> ik weet niet waar en wat je precies bedoelt om eerlijk te zijn.... heb gewoon die monitor running en die updater op dagelijks staan en die full system scanner op wekelijks...

Over die i/o fouten heb je waarschijnlijk gelijk...
De online scanner zal wel hem niet kunnen scannen omdat ik hem ook zo niet kan deleten... moet in veilige modus...

de scripts zou kunnen maar dan moet ik wel zeggen dat ik 15 scripts ofzo heb draaien waarvan ik er 10 zelf heb gemaakt (niet veel meer dan highlight en splay enzo) en de rest zijn standaard scriptjes....

tenminste die in remote... de andere dingen zoals aliassen / popups etc die zijn vrijwel leeg....

Sniffer zou wel kunnen... enig advies welke?

ja ja... niet iedereen heeft dezelfde kennis... wees daarom ook eens gewillig en geef een antwoord op een vraag ;)

woensdag 19 mei 2004 18:37

Acties:

Verwijderd

En je hebt gecheckt of die scripts niet zijn aangepast e.d.?

Sniffer zou wel kunnen... enig advies welke?

www.google.com

Zie reportviewer settings. -> ik weet niet waar en wat je precies bedoelt om eerlijk te zijn.

Stel in dat je info krijgt te zien mbt. packers.
Check dan zo waarmee de betreffende Ago gepacked is.
Maar dat is eigenlijk niet zo heel relevant.

woensdag 19 mei 2004 18:40

Acties:

Lord_T

Topicstarter

lol ik zet al die scripts wel uit....

die 10 bestaan dus uit 3 regels per script....

en die andere zorgen voor de weergave ne stats en away script enzo...

maar die boeien niet

Ik ben nu weer full system scan aan het doen met Kaspersky en ik weet dat die file dus nu op h:\svchostt.exe staat... wat doe ik als die hem nu niet zou herkennen en alleen dus hem herkent bij dat deepscannen zeg maar??? (dat trage achtergrond scannen)

ja ja... niet iedereen heeft dezelfde kennis... wees daarom ook eens gewillig en geef een antwoord op een vraag ;)

woensdag 19 mei 2004 18:56

Acties:

Verwijderd

Ik ben nu weer full system scan aan het doen met Kaspersky en ik weet dat die file dus nu op h:\svchostt.exe staat... wat doe ik als die hem nu niet zou herkennen en alleen dus hem herkent bij dat deepscannen zeg maar??? (dat trage achtergrond scannen)

Hmmm...
Ik zou toch wel eens een HT log willen zien(zoals ik al twee keer eerder heb gevraagd....)

woensdag 19 mei 2004 19:57

Acties:

Lord_T

Topicstarter

Verwijderd schreef op 19 mei 2004 @ 18:56:
[...]

Hmmm...
Ik zou toch wel eens een HT log willen zien(zoals ik al twee keer eerder heb gevraagd....)

sorry hier is die:

code:

Logfile of HijackThis v1.97.7
Scan saved at 19:53:28, on 19-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Serv-U\ServUTray.exe
C:\Program Files\MICROSTAR\Bluetooth Software\BTTray.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\PROGRA~1\MIA49C~1\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Serv-U\ServUDaemon.exe
C:\Program Files\MIRC\MIRC.EXE
C:\Program Files\Internet\LINKNET\STUNNELW.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\Avp32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Lord T\Bureaublad\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ServUTrayIcon] C:\Program Files\Serv-U\ServUTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Research (HKLM)
O15 - Trusted Zone: a.swirve.com
O15 - Trusted Zone: b.swirve.com
O15 - Trusted Zone: http://games.swirve.com
O15 - Trusted Zone: u1.swirve.com
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.ortec.us/rwc/msrdp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

alleen moet wel zeggen dat ik er een paar dingen al uit had laten verwijderen voordat ik op save log had gedrukt

Maar dat was over IEsearchbar en die wilde ik niet natuurlijk... en een 2 gekke waarachter stond (missing file) en die heb ik gefixed, tenminste ik ragde veel te snel op die fix knop natuurlijk....

ja ja... niet iedereen heeft dezelfde kennis... wees daarom ook eens gewillig en geef een antwoord op een vraag ;)

donderdag 20 mei 2004 01:06

Acties:

BoGhi

Is het bewust dat je een FTP server draait (ServUTray)?

Programmers don't die. They GOSUB without RETURN

donderdag 20 mei 2004 10:00

Acties:

Lord_T

Topicstarter

jep....

die is bewust!

ja ja... niet iedereen heeft dezelfde kennis... wees daarom ook eens gewillig en geef een antwoord op een vraag ;)

donderdag 20 mei 2004 19:46

Acties:

Lord_T

Topicstarter

*bump*

niemand?

ja ja... niet iedereen heeft dezelfde kennis... wees daarom ook eens gewillig en geef een antwoord op een vraag ;)

donderdag 20 mei 2004 20:14

Acties:

Verwijderd

Niet binnen 24 uur kicken, je zit inmiddels toch wel lang genoeg op het forum om dat door te hebben.
Wat heb je zelf nog geprobeerd? Je zal toch ook zelf wat moeten doen.
Lees eventueel het topic nog eens door..

donderdag 20 mei 2004 23:16

Acties:

Lord_T

Topicstarter

ik heb een progje geinstalleerd dat heet netlimiter.. daarmee kan ik zien welk progje gebruik maakt van het internet...

1 ding die me op viel:
- 127.0.0.1 explorer.exe process id 252 > explorer.exe

en het andere wat ik heb gedaan is ff gezocht op alle files van 281 kb in win xp

die vond die maar daar vond ik geen gekke dingen tussen.......

ik hoop alleen dat jullie me iets meer kunnen zeggen over die services die draaien en dat ik daar verder mee kom. Ik heb het register wel redelijk doorgespit en daar zit het niet in......

Verder ff tijdelijk win xp firewall aan omdat ik dit opgelost wil hebben en op zoek naar een echte firewall die makkelijker is dan winroute en toch niet problemen geeft bij mijn provider!

Virus was weer een dag weg volgens mij maar Kaspersky begon vanavond weer te krijsen dat die een virus had... en ja natuurlijk was dat weer dezelfde...

edit:
check dit: Dit komt van Sygate... ja een firewall

Afbeeldingslocatie: http://www.vd-berg.com/GoT/firewall1.JPG

Afbeeldingslocatie: http://www.vd-berg.com/GoT/firewall2.JPG

Hier zie je duidelijk dat iemand van het unimaas netwerk (waar ik ook op zit (universiteit maastricht als provider 137.120.*.*) een port scan doet en onder andere een critical intrusion oplevert
Daar heb ik eens een back trace opgedaan en dan kom je bij foto 2

Die naam staat me niet aan...

Nou hebben we allemaal een variabel ip... how the f*ck kan hij me dan toch vinden....

[ Voor 28% gewijzigd door Lord_T op 21-05-2004 01:29 ]

ja ja... niet iedereen heeft dezelfde kennis... wees daarom ook eens gewillig en geef een antwoord op een vraag ;)

vrijdag 28 mei 2004 06:18

Acties:

Verwijderd

Precies hetzelfde probleem heb ik ook. Op de vreemdste momenten worden testfile. en svchostt.exe in mijn mcafee scanner opgevangen. De files worden in de root van mijn gedeelde mappen gezet (althans een poging daartoe), waarna ik ze kan deleten via mcafee. Opnieuw opstarten, alles runnen (hijackthis, adaware, spybot, trojan remover, online norton virus scan en security scan, continue zonealarm en continu mcafee) en niks kunnen vinden. Toch om de zoveel tijd komen de files weer in beide pc´s van mijn netwerk.

Typisch ik zit ook op unimaas.nl.

Hans

vrijdag 28 mei 2004 09:32

Acties:

Verwijderd

Welkom op GoT.

Verwijderd schreef op 28 mei 2004 @ 06:18:
De files worden in de root van mijn gedeelde mappen gezet (althans een poging daartoe), waarna ik ze kan deleten via mcafee.

Met andere woorden: Je shares staan wagenwijd open...

Lees HOWTO: Beveilig je (Windows) pc eens door.

Met alleen een virusscanner draaien ben je niet veilig - wat hier ook uit blijkt..

Je hoeft trouwens niet te groeten, zie Algemene regels hoe je op het forum te gedragen (Netiquette)