Zucht, het is weer eens zover. Net toevallig als je even je scanner uit hebt staan en per abuis op een linkje klikt heb je weer iets te pakken. Deze is echter behoorlijk hardnekkig en ik kan enig hulp goed gebruiken.
OS:
Windows XP prof (hardware lijkt me n.v.t.)
Mijn verhaal:
Na het klikken van een link werd de pc ineens heel erg sloom en mijn mcafee v-scan startte niet meer op. Ik zag meteen de bui al hangen, dus snel naar de housecall - site gesurft en online viruscanner uitgevoerd. Hij kwam met deze trojan:
http://hr.trendmicro-euro...hp?VName=BKDR_BEASTDOOR.H
Tevreden zag ik dat er een oplossing voor was om deze weg te halen. Het gaat schijnbaar in ieder geval om 2 bestanden (bij deze variant) eentje in de \windows\system32 (mslbkw.com)en een in de windows\msagent (mscvnk.com) -dir. (zie ook de hijack log, regel 39)
Ook maakt hij nog wat leuke aanpassingen in het register. Je kunt hem herkennen in je tasklist als iexplore.exe. Echter wanneer je deze probeert af te sluiten wordt deze prompt weer opgestart. (je ziet dan ook HEEL even die .com file in de task verschijnen) Maar om het virus weg te krijgen (en de zooi in het register) MOET hij eerst uit mijn tasklist anders past hij net zo hard het register weer aan nadat je het opgeschoond hebt.
Het probleem is nu hoe krijg ik hem afgesloten, of nog beter hoe krijg ik hem eraf? Ik heb al geprobeerd in veilige modus (draait de task nog steeds) te verwijderen, komt net zo hard weer terug. De desbetreffende files te verwijderen, lukt niet zijn altijd in gebruik.
Ik heb de files ook even door jotti (http://virusscan.jotti.dhs.org/) gehaald en deze kwam met de volgende uitslagen.
Ook post ik hierbij mn Hijack This! log:
Laatste gedeelte van de log is verwijderd omdat deze de layout overhoop gooide. Volledige log is hier (http://www.xs4all.nl/~plentjes/temp/hijackthis.log) te vinden.
Ik hoop dat dit voldoende informatie is, en dat er iemand is die een oplossing weet, anders zie ik zelf jammer genoeg geen andere oplossing dan te formateren...
OS:
Windows XP prof (hardware lijkt me n.v.t.)
Mijn verhaal:
Na het klikken van een link werd de pc ineens heel erg sloom en mijn mcafee v-scan startte niet meer op. Ik zag meteen de bui al hangen, dus snel naar de housecall - site gesurft en online viruscanner uitgevoerd. Hij kwam met deze trojan:
http://hr.trendmicro-euro...hp?VName=BKDR_BEASTDOOR.H
Tevreden zag ik dat er een oplossing voor was om deze weg te halen. Het gaat schijnbaar in ieder geval om 2 bestanden (bij deze variant) eentje in de \windows\system32 (mslbkw.com)en een in de windows\msagent (mscvnk.com) -dir. (zie ook de hijack log, regel 39)
Ook maakt hij nog wat leuke aanpassingen in het register. Je kunt hem herkennen in je tasklist als iexplore.exe. Echter wanneer je deze probeert af te sluiten wordt deze prompt weer opgestart. (je ziet dan ook HEEL even die .com file in de task verschijnen) Maar om het virus weg te krijgen (en de zooi in het register) MOET hij eerst uit mijn tasklist anders past hij net zo hard het register weer aan nadat je het opgeschoond hebt.
Het probleem is nu hoe krijg ik hem afgesloten, of nog beter hoe krijg ik hem eraf? Ik heb al geprobeerd in veilige modus (draait de task nog steeds) te verwijderen, komt net zo hard weer terug. De desbetreffende files te verwijderen, lukt niet zijn altijd in gebruik.
Ik heb de files ook even door jotti (http://virusscan.jotti.dhs.org/) gehaald en deze kwam met de volgende uitslagen.
code:
1
2
3
4
5
6
7
| AntiVir BDS/Beastdoor.201 (1.14 seconds taken) BitDefender Backdoor.Beast.2.0.1 (3.69 seconds taken) ClamAV No viruses found (4.49 seconds taken) F-Prot Antivirus W32/Beastdoor.G (0.33 seconds taken) F-Secure Anti-Virus Backdoor.BeastDoor.201.a (4.40 seconds taken) Kaspersky Anti-Virus Backdoor.BeastDoor.201.a (4.43 seconds taken) McAfee VirusScan BackDoor-AMQ (2.10 seconds taken) |
Ook post ik hierbij mn Hijack This! log:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
| Logfile of HijackThis v1.97.7 Scan saved at 5:01:08, on 4-7-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\regedit.exe C:\Program Files\Mozilla\mozilla.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Upload\Shared\hijack this!.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [SysComp] C:\WINDOWS\System32\mslbkw.com O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] " C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O12 - Plugin for .wav: C:\Program Files\Internet Explorer\ PLUGINS\npqtplugin.dll |
Laatste gedeelte van de log is verwijderd omdat deze de layout overhoop gooide. Volledige log is hier (http://www.xs4all.nl/~plentjes/temp/hijackthis.log) te vinden.
Ik hoop dat dit voldoende informatie is, en dat er iemand is die een oplossing weet, anders zie ik zelf jammer genoeg geen andere oplossing dan te formateren...