Toon posts:

[Trojan: keylog-mxx.dll]

Pagina: 1
Acties:

zaterdag 24 juli 2004 13:36

Acties:

Verwijderd

Topicstarter
Hoi,

Ik heb een of ander zeer hardnekkig virusje, een keylogger. Wat ik niet begrijp:

- ik weet dat het gaat om de bestanden 'adarros.dll' en 'asuigg.dll'
- ik kan ze vinden in de windows\system32
- ik kan ze niet deleten (dus zijn ze in gebruik)
- in de taskmanager zijn ze NIET terug te vinden

McAfee was wel geinstalleerd, maar die wordt ergens door afgesloten bij het opstarten (de trojan?). Als je dan McAfee met pijn en moeite aan de praat krijgt, verwijst ie dus inderdaad naar bovengenoemde dll bestanden, en zegt er bij dat het een keylog-mxx.dll trojan is. Maar die vind ik nergens terug ?!?!

Norton krijg ik niet geinstalleerd, die blijt na opstarten zeggen 'there has been tampered with the safety of Norton Antivirus' of iets dergelijks (excuse my english)

Dus nu weer terug bij McAfee...

Ervaring? Tips? Ik word er gestoord van...

[ Voor 17% gewijzigd door Verwijderd op 24-07-2004 13:37 ]

zaterdag 24 juli 2004 13:52

Acties:
  • kwiebus
  • Registratie: Oktober 2002
  • Laatst online: 05:57

kwiebus

Even zoeken bij Sophos levert deze informatie op. Dan moet je verder er zelf wel uit kunnen komen.

[ Voor 19% gewijzigd door kwiebus op 24-07-2004 13:53 ]

zaterdag 24 juli 2004 13:53

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Open deur: begin met opstarten naar de veilige modus. En ga even niet telebankieren etc B)

Aan [google=keylog-mxx.dll] -> http://vil.nai.com/vil/content/v_125958.htm heb je wel erg weinig trouwens :X

Scan het bestand even met een andere scanner door het op diskette/CD te zetten en op een andere PC (readonly ;) ) te scannen. Misschien leer je meer als je een andere naam weet. Of upload het naar http://virusscan.jotti.dhs.org, dan krijg je wellicht ook meer namen -> meer info.

edit:

:X Ik zocht niet eens zonder het .dll er achter. Zie hierboven :P

[ Voor 8% gewijzigd door F_J_K op 24-07-2004 13:54 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 24 juli 2004 16:56

Acties:

Verwijderd

Topicstarter
Dank voor de uitgebreide reactie! _/-\o_

Ik had uiteraard ook al gegoogled (want dat doet een gemiddeld internetter vaker dan een toilet bezoeken) en was er ook al achter dat info schaars is.

Het vervelendste van alles is: McAfee herkent en verhelpt het probleem inmiddels (nadat de scanner er zelf op crasht en ik de scanner opnieuw heb opgestart), maar na een nieuwe logon staan de f*kkin dll bestanden er WEER!

Hoe werkt dat? MSCONFIG heb ik al gecheckt, vind ik niks in. Kan dit ook een Registry waarde zijn? Hoe kom je daar achter?

BTW Die upload link bijt zich ook vast, ik krijg na lang wachten een timeout...

[ Voor 8% gewijzigd door Verwijderd op 24-07-2004 16:57 . Reden: laatste regel toegevoegd ]

zaterdag 24 juli 2004 17:08

Acties:

Verwijderd

Die dll heeft een 'masterfile' nodig om daar geplaatst e.d. te kunnen worden.
Loop Beveiliging en Virussen - Nieuw topic starten eens door en post daarna eventueel nog je HT log hier, tussen [code] tags svp.

Het is ook nog het overwegen waard om even een AV te installeren die wat beter is met trojans/backdoors want dat is niet Sophos' sterkste punt. :)

zondag 25 juli 2004 11:43

Acties:

Verwijderd

Topicstarter
Het lijkt opgelost te zijn (typ ik met grote vrees)

Uiteindelijk een folder in de system32 dir kunnen traceren (x0r) en die er uit gegooid, de dll bestanden laten cleanen en ook er uit gegooid.

Ik heb wel het idee dat er meer is gebeurd dan een keylogger, mijn systeem is behoorlijk traag met afsluiten, mijn find functie van IE werkt niet naar behoren, van die dingen...

Maar goed, m'n privacy is weer wat beter (typ ik met grote vrees)

Dank voor alle hulp!

zondag 25 juli 2004 11:52

Acties:
  • kwiebus
  • Registratie: Oktober 2002
  • Laatst online: 05:57

kwiebus

Verwijderd schreef op 25 juli 2004 @ 11:43:
Het lijkt opgelost te zijn (typ ik met grote vrees)

Uiteindelijk een folder in de system32 dir kunnen traceren (x0r) en die er uit gegooid, de dll bestanden laten cleanen en ook er uit gegooid.

Ik heb wel het idee dat er meer is gebeurd dan een keylogger, mijn systeem is behoorlijk traag met afsluiten, mijn find functie van IE werkt niet naar behoren, van die dingen...

Maar goed, m'n privacy is weer wat beter (typ ik met grote vrees)

Dank voor alle hulp!
Hoezo heb je zolang moeten zoeken? In de link die ik naar Sophos virus analysis heb gegeven stond toch duidelijk waar je het bestand svshost.exe kon vinden. Heb je trouwens wel de registrykeys van de trojan ook verwijderd?

zondag 25 juli 2004 12:48

Acties:

Verwijderd

Topicstarter
Hoezo heb je zolang moeten zoeken? In de link die ik naar Sophos virus analysis heb gegeven stond toch duidelijk waar je het bestand svshost.exe kon vinden.
Dat komt doordat ik blijkbaar andere dingen heb gelezen bij die link... Als ik me goed herinner kwam ik daar een manier tegen om een Trojan te verwijderen, met Sophos - en die heb ik niet.
Heb je trouwens wel de registrykeys van de trojan ook verwijderd?
Not sure... Ik heb wel AdAware 6 laten speuren en cleanen, maar ik weet dus niet waar de regkeys staan waar jij op doelt.

zondag 25 juli 2004 13:12

Acties:

Verwijderd

Heb je doublepost maar getrashed. :)
Maar goed, m'n privacy is weer wat beter (typ ik met grote vrees)
Als je je bak niet meer vertrouwt, dan kun je er beter een format overheen gooien.
Dat is sowieso de aan te bevelen procedure nadat een bak geïnfecteerd is geweest met malware met backdoor functionaliteit.

[rml]Schouw in "[ Trojan: keylog-mxx.dll]"[/rml]
^^ Zeker dat die 'motherfile' ook weg is? Anders staat de zooi er dadelijk weer.

En Ad-Aware doet hier eigenlijk niets tegen dus daar mag je al zéker niet op vertrouwen.

[ Voor 13% gewijzigd door Verwijderd op 25-07-2004 13:13 ]

zondag 25 juli 2004 13:16

Acties:
  • kwiebus
  • Registratie: Oktober 2002
  • Laatst online: 05:57

kwiebus

Verwijderd schreef op 25 juli 2004 @ 12:48:
[...]


Dat komt doordat ik blijkbaar andere dingen heb gelezen bij die link... Als ik me goed herinner kwam ik daar een manier tegen om een Trojan te verwijderen, met Sophos - en die heb ik niet.


[...]


Not sure... Ik heb wel AdAware 6 laten speuren en cleanen, maar ik weet dus niet waar de regkeys staan waar jij op doelt.
Blijkbaar heb je de Sophos virus analysis niet goed gelezen. De registry keys staan daar ook beschreven.

zondag 25 juli 2004 23:57

Acties:

Verwijderd

Topicstarter
Al het bovenstaande is waar:

- When in doubt, format c:
- Inderdaad over dingen heen gelezen

Ik draai nu een schone install, leek me toch het beste. Slotje :)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq