[WINXP][Trojan/Virus]Backdoor.Beast.2.0.1

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

Anoniem: 34506

Topicstarter
Zucht, het is weer eens zover. Net toevallig als je even je scanner uit hebt staan en per abuis op een linkje klikt heb je weer iets te pakken. Deze is echter behoorlijk hardnekkig en ik kan enig hulp goed gebruiken.

OS:
Windows XP prof (hardware lijkt me n.v.t.)

Mijn verhaal:
Na het klikken van een link werd de pc ineens heel erg sloom en mijn mcafee v-scan startte niet meer op. Ik zag meteen de bui al hangen, dus snel naar de housecall - site gesurft en online viruscanner uitgevoerd. Hij kwam met deze trojan:

http://hr.trendmicro-euro...hp?VName=BKDR_BEASTDOOR.H

Tevreden zag ik dat er een oplossing voor was om deze weg te halen. Het gaat schijnbaar in ieder geval om 2 bestanden (bij deze variant) eentje in de \windows\system32 (mslbkw.com)en een in de windows\msagent (mscvnk.com) -dir. (zie ook de hijack log, regel 39)

Ook maakt hij nog wat leuke aanpassingen in het register. Je kunt hem herkennen in je tasklist als iexplore.exe. Echter wanneer je deze probeert af te sluiten wordt deze prompt weer opgestart. (je ziet dan ook HEEL even die .com file in de task verschijnen) Maar om het virus weg te krijgen (en de zooi in het register) MOET hij eerst uit mijn tasklist anders past hij net zo hard het register weer aan nadat je het opgeschoond hebt.

Het probleem is nu hoe krijg ik hem afgesloten, of nog beter hoe krijg ik hem eraf? Ik heb al geprobeerd in veilige modus (draait de task nog steeds) te verwijderen, komt net zo hard weer terug. De desbetreffende files te verwijderen, lukt niet zijn altijd in gebruik.

Ik heb de files ook even door jotti (http://virusscan.jotti.dhs.org/) gehaald en deze kwam met de volgende uitslagen.
code:
1
2
3
4
5
6
7
AntiVir     BDS/Beastdoor.201 (1.14 seconds taken)
BitDefender     Backdoor.Beast.2.0.1 (3.69 seconds taken)
ClamAV  No viruses found (4.49 seconds taken)
F-Prot Antivirus    W32/Beastdoor.G (0.33 seconds taken)
F-Secure Anti-Virus     Backdoor.BeastDoor.201.a (4.40 seconds taken)
Kaspersky Anti-Virus Backdoor.BeastDoor.201.a (4.43 seconds taken)
McAfee VirusScan    BackDoor-AMQ (2.10 seconds taken)


Ook post ik hierbij mn Hijack This! log:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
Logfile of HijackThis v1.97.7
Scan saved at 5:01:08, on 4-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\regedit.exe
C:\Program Files\Mozilla\mozilla.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Upload\Shared\hijack this!.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - 
C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} 
- C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467}
 - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" 
-atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SysComp] C:\WINDOWS\System32\mslbkw.com
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - 
C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\
PLUGINS\npqtplugin.dll


Laatste gedeelte van de log is verwijderd omdat deze de layout overhoop gooide. Volledige log is hier (http://www.xs4all.nl/~plentjes/temp/hijackthis.log) te vinden.

Ik hoop dat dit voldoende informatie is, en dat er iemand is die een oplossing weet, anders zie ik zelf jammer genoeg geen andere oplossing dan te formateren...

Acties:
  • 0 Henk 'm!

Anoniem: 34506

Topicstarter
Grappig dat als je ten einde raad bent en je msg gepost hebt je zelf een oplossing hebt gevonden :). Om de mensen te helpen die evt. ook dit probleem hebben hier de oplossing:

NB: het kan zijn dat je geen .exe files mag opstarten (door de trojan) hernoem je files naar .com en je kan verder.

Download trojanhunter (http://www.misec.net/). Deze kan de trojan inactive maken en unregistered de dll's waarin de boosdoener zicht heeft verscholen.

Vervolgens verwijder je alle links naar de trojan uit je register (volgens de uitleg op de housecall site, link in mn vorige post)

Al laatste download, install en run je Antivir (http://www.free-av.com/) om de laatste restjes te verwijderen.

Ik ben zelf nog bezig de laatste kleine dingen weg te halen, maar zoals alles er nu op lijkt is hij weg.

Acties:
  • 0 Henk 'm!

  • WimB
  • Registratie: Juli 2001
  • Laatst online: 30-03-2024
Controleer eens of volgende regels correct zijn:
code:
1
2
3
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SysComp] C:\WINDOWS\System32\mslbkw.com

Acties:
  • 0 Henk 'm!

Anoniem: 34506

Topicstarter
Ben nu een dag verder en het virus is inderdaad weg :). Om even terug te komen op de reply van WimB:
code:
1
2
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

Zijn beide onderdelen die thuishoren in windowsXP. De eerste zorgt voor een evt. error report, als er probs met je pc zijn. De 2e is het standaard msconfig tooltje, dat ook in windowsXP op die plaats hoort te staan. Hier was/is dus gelukkig niets mis mee :).
code:
1
O4 - HKLM\..\Run: [SysComp] C:\WINDOWS\System32\mslbkw.com

Dat was dus het virus, (zie ook mijn 1e post), en hierdoor kan je herkennen dat je met deze boosdoener te maken hebt.

Hopelijk heeft een evt. volgende slachtoffer wat aan deze thread.