Toon posts:

[Malware] W32.Pinfi en andere problemen

Pagina: 1
Acties:

vrijdag 11 juni 2004 17:03

Acties:
  • Gulli
  • Registratie: Oktober 2001
  • Laatst online: 27-11 10:31

Gulli

100% Unwiderstehlich

Topicstarter
Ik zit hier in de winkel van mijn vader en ik ben bezig de computer alhier te repareren waar het personeel een leuke collectie (18 stuks!) virussen heeft verzameld plus wat leuke browser hijacks.

Vorige week ben ik al 6 uur bezig geweest om de computer draaiende te houden mbv Windows Update (22 updates geïnstalleerd), Hijackthis, Ad-Aware, Norton Antivirus pro 2004 en Trend Micro HouseCall. Ik ben zo een heel eind gekomen maar nu de hardnekkige restjes nog.

Norton en Ad-Aware stonden al op de computer geïnstalleerd maar die kunnen het geweld blijkbaar niet aan. In normale modus kan ik nog wel scannen met Ad-Aware, die vindt inmiddels niets meer maar Norton kan ik niet openen. Ook task manager en bijv msconfig worden meteen weer afgesloten als ik ze open. Mogelijk is dit ook onder invloed van een virus, al dan niet dat Pinfi, dat toch wel voor de meeste virusmeldingen zorgt.
In veilige modus kan ik wel scannen met Norton alleen zijn de virusdefinities nooit geüpdate hier. En in de veilige modus (met netwerkmogelijkheid) krijg ik LiveUpdate niet aan het updaten. In de online virusencyclopedie van Symantec heb ik een hoop virussen gevonden en met de hand kunnen verwijderen, maar voor Pinfi suggereren ze dat ik gewoon de LiveUpdate uitvoer en die zou het moeten oplossen. Dat is dus juist het probleem, die doet t niet. Ook na verwijderen en opnieuw installeren van Norton krijg ik het niet aan de praat.
Je kunt op de site een Update voor LiveUpdate downloaden maar die komt bij mij niet binnen. Misschien dat iemand even kan kijken of het bij hem wel werkt? Dit post ik nu in veilige modus dus aan de verbinding ligt het niet. Ik verdenk ook hier een virus dat gewoon Norton heeft gekaapt.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73

Logfile of HijackThis v1.97.7
Scan saved at 16:59:41, on 11-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton AntiVirus\Navw32.exe
C:\Program Files\Symantec\LiveUpdate\LUALL.EXE
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Program Files\Common Files\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Eric\Mijn documenten\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
 - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872}
 - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}
 - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft 16Bit Update] wuapdate16.exe
O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe
O4 - HKLM\..\Run: [Windows DLL host] "C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"
O4 - HKLM\..\Run: [Microsoft Services] lsrv.exe
O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\Run: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe
O4 - HKLM\..\Run: [skynetave.exe] C:\WINDOWS\skynetave.exe
O4 - HKLM\..\Run: [Process Session Manager] pidserv.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec

Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\RunServices: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKLM\..\RunServices: [Microsoft 16Bit Update] wuapdate16.exe
O4 - HKLM\..\RunServices: [Windows DLL host] "C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft 16Bit Update] wuapdate16.exe
O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe
O4 - HKCU\..\Run: [Windows DLL host] "C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"
O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe
O4 - HKCU\..\Run: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKCU\..\RunServices: [Windows DLL host] "C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"
O4 - Global Startup: Service Manager.lnk = C:\mssql7\Binn\sqlmangr.exe
O4 - Global Startup: SQL Server.lnk = C:\mssql7\Binn\scm.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX
 Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing)
 - http://a840.g.akamai.net/7/840/537/7b77298065d0b9/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller 
Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - 
http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38042.2402314815
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class)
 - http://www.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - 
https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - 
https://gto.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) 
- http://www.symantec.com/techsupp/activedata/ActiveData.cab


Dingen zoals lsass heb ik al 3x verwijderd maar je ziet dat het er gewoon weer tussen staat. De update van Windows is geïnstalleerd en hij geeft geen problemen meer dus ik hou het voorlopig even zo.

Mijn grote vraag is nu hoe krijg ik de boel helemaal schoon? In normale modus werkt Norton niet en in veilige modus met netwerkmogelijkheden werkt LiveUpdate niet, die ik echt nodig heb blijkt...

Ik ga nu naar huis maar ik zal het topic blijven volgen om te zien of er nog handige tips in staan.

[ Voor 3% gewijzigd door Gulli op 11-06-2004 17:07 ]

Connaisseur des femmes

vrijdag 11 juni 2004 17:13

Acties:

Verwijderd

Pinfi aka Win32.Parite is een parasitic file infector.
Daar moet je dus een tool(lees: AV) voor hebben die geïnfecteerde files kan cleanen.

Btw: Was een reinstall niet veel handiger geweest?
Er lijkt nog steeds een hoop troep op te staan nml, waaronder waarschijnlijk minstens een Agobot.
Check de bak op "hosts" files, open die en check of daar AVendorsites aan zijn toegevoegd.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

O4 - HKCU\..\Run: [Microsoft 16Bit Update] wuapdate16.exe
O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe
O4 - HKCU\..\Run: [Windows DLL host] "C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"
O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe
O4 - HKCU\..\Run: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKCU\..\RunServices: [Windows DLL host] "C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"
O4 - HKLM\..\Run: [Microsoft 16Bit Update] wuapdate16.exe
O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe
O4 - HKLM\..\Run: [Windows DLL host] "C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"
O4 - HKLM\..\Run: [Microsoft Services] lsrv.exe
O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\Run: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe
O4 - HKLM\..\Run: [skynetave.exe] C:\WINDOWS\skynetave.exe
O4 - HKLM\..\Run: [Process Session Manager] pidserv.exe

Hoop dat dat het allemaal is...
Scan de files die je hiervan kunt vinden eens @ link in mijn sig.

code:
1

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Das iig al troep - mik die eens weg.

Zodadelijk komt er nog een titelfix aan. :)

vrijdag 11 juni 2004 17:51

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Zoals Schouw al zegt: je PC is een puinhoop. Zo, zonder te checken, zie ik al 4 verschillende virussen en een hoop spyware.

O.a. heb je Sasser.D te pakken.... en ook Sasser.E heb je te pakken...

Als de link in Schouws sig niks oplevert kan je ook deze nog eens proberen: http://virusscan.jotti.dhs.org/

Die haalt hem meteen door 6 verschillen scanners....

[ Voor 41% gewijzigd door wildhagen op 11-06-2004 17:53 ]

Virussen? Scan ze hier!

vrijdag 11 juni 2004 18:53

Acties:
  • WimB
  • Registratie: Juli 2001
  • Laatst online: 30-03-2024

WimB

Scan je PC eens met Kaspersky 5 met extended bases. Extended bases kan je selecteren bij Configure updater (na selecteren wel handmatig updaten vanuit progamma natuurlijk). Hier kan je een demo voor 30 dagen downloaden, dat moet volstaan ;).

vrijdag 11 juni 2004 18:56

Acties:

Verwijderd

of doe nog eens bij een ander Antivirus bedrijf een online scan _/-\o_

zaterdag 12 juni 2004 00:09

Acties:
  • Gulli
  • Registratie: Oktober 2001
  • Laatst online: 27-11 10:31

Gulli

100% Unwiderstehlich

Topicstarter
hehe dat het een puinhoop was wist ik al :P tnx ik zal eens het een en ander proberen :)

Connaisseur des femmes

zaterdag 26 juni 2004 12:13

Acties:
  • Gulli
  • Registratie: Oktober 2001
  • Laatst online: 27-11 10:31

Gulli

100% Unwiderstehlich

Topicstarter
*kickje*

ik ben nu weer achter de computer gekropen hier en voorlopig vindt Norton Antivirus niets. Trend Micro Housecall heeft nog wel een worm.rbot.fa gevonden die er in de tussentijd blijkbaar nog in is geslopen.

Echter Live Update krijg ik nog steeds niet aan de praat! Hij schijnt maar geen verbinding te kunnen maken. Ik moet m nu toch echt aan het werk zien te krijgen want zoals je ziet blijven er nog nieuwe dingen binnen komen.

Ik heb het personeel al op het hart gedrukt zo min mogelijk te internetten en geen rare mailtjes te openen. Wellicht helpt het als ik ActiveX uitschakel, maar meer kan ik op dit moment niet doen om de schade te beperken.

BTW die "host files" hoe vind ik die en wat kan ik daar precies mee?
edit:

ondertussen nog een troj.killreg.d gevonden en in totaal 13 worms, trojans en backdoors...

[ Voor 13% gewijzigd door Gulli op 26-06-2004 12:21 ]

Connaisseur des femmes

zaterdag 26 juni 2004 15:20

Acties:
  • WimB
  • Registratie: Juli 2001
  • Laatst online: 30-03-2024

WimB

De hosts file staat normaal in de map c:\windows\system32\drivers\etc. Waarschijnlijk zal daarin een verwijzing staan naar verschillende antivirussites (inclusief die van Liveupdate). Die verwijzingen mag je allemaal verwijderen. Enkel 127.0.0.1 localhost moet blijven staan.

Probeer dan ook eens de PC te herstarten. Als na het herstarten die verwijzingen er terug staan, dan is het virus/malware nog niet verwijderd.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq