vervelende virus/worm melding

Kijk eens of je in de msconfig iets vreemds ziet. dingen die geladen worden die niet "hoeven"..

[ Voor 9% gewijzigd door Verwijderd op 03-08-2004 10:10 ]

Haal jou "zieke" bestand eens door deze scanner: http://virusscan.jotti.dhs.org/

Post je Hijack log eens, worden er dingen opgestart die niet opgestart horen te worden?

This worm spreads via network shares. It attempts to log onto systems using a list of a combination of common user names and passwords that are hardcoded it its body. It then drops a copy of itself as MSLTI64.EXE in the accessed machines.

van http://de.trendmicro-euro....php?VName=WORM_AGOBOT.UE

Dat bestand kan je dus sowieso verwijderen (als het niet in gebruik is)
Op de genoemde site staat ook hoe je de worm kan verwijderen.

Je kan daar overigens ook online scannen: http://nl.trendmicro-euro...roducts/housecall_pre.php

Verwijderd schreef op 03 augustus 2004 @ 10:34:
No viruses found...

en wat ik ook scan, hij vind geen virussen.. zefls de virusscan van McAfee niet, maar toch blijft er zo'n melding in mijn beeld schieten...

Oke , maar zijn je virusdefinities niet te oud.........ik bedoel een ontzettend goede online virus scanner is die van Trendmicro, housecall probeer die eens.

net te laat

[ Voor 4% gewijzigd door Verwijderd op 03-08-2004 10:43 ]

Verwijderd schreef op 03 augustus 2004 @ 10:38:
euh.. hoe doe ik dat?

[rml][ Howto] Spyware scannen en opruimen[/rml]

Edit:
Al gevonden dus

[ Voor 7% gewijzigd door André op 03-08-2004 10:47 ]

André schreef op 03 augustus 2004 @ 10:47:
[...]

[rml][ Howto] Spyware scannen en opruimen[/rml]

Edit:
Al gevonden dus

Volg even de eerste link uit mijn vorige post,.... volgens mij heb je dat nog niet gedaan

Op dit moment valt er niet veel over dit virus te vertellen. Het woordje gen betekent dat het om een virus gaat wat de kenmerken heeft van een echte Gaobot, lees generiek/generic. Het lullige is meten wel dat dit meteen 1 van de smerigste virussen is die er rond het web slingeren. Er zijn varianten bekend die firewalls en virusscanner doodleuk uitzetten en daarna niet meer op te starten zijn. Wat er daarna met je pc gebeurd is wel te raden denk ik...

De kans dat hijack-this wat vindt is ook weer 50-50 bij dit virus.. want er zijn ook weer varianten bekent die zichzelf niet listen in de systeemprocessen. Vraag me niet hoe maar het is wel zo!

Stuur dit bestand even naar mcafee op voor alle zekerheid. Link uitleg: http://us.mcafee.com/root/faqs.asp?faq=453

Hiermee weet je zeker of je clean bent, in ieder geval niet te licht opnemen. Want als het echt een echte is kun je nu al beter je pc formateren.

Verwijderd schreef op 03 augustus 2004 @ 10:58:
die had ik al wel gezien (en al eerder een keer uitgevoerd), maar het gekke is dat de regitry-entries waar hij het over heeft er bij mij helemaal niet zijn.. en ik dus helemaal nix kan vinden wat er op lijkt...

Hmm het is dus echt een smerig ding....

Verwijderd schreef op 03 augustus 2004 @ 11:39:
ik heb het bestand dus gemeeld naar McAfee, maar die zeggen dat er (nog) nix mee aan de hand is.. nu wil ik dat maar al te graag geloven, maar hoe kan ik die vervelende melding nu wegkrijgen??

of is formatteren de enige optie??

edit:

de meel van hen:

[...]

Waar het opneer komt is dat in hun gewone database die jij ook moet hebben met de laatste dat files en engine zij geen melding krijgen dat dit virus daadwerkelijk 1 is. Het bestand wordt nu doorgestuurd naar het lab van mcafee om te onderzoeken, dus je krijgt nog verder bericht.

Ps. waar bevind het bestand zich trouwens precies? Als het goed is moet mcafee dit aangeven. Zelf heb ik een vermoeden, maar ik hou het nog even voor me.

Formateer in iedergeval nog niet, totdat je het zeker weet.

Ps. check je dat en engine eens: het moet dit zijn 4382-dat/4320-engine

Vunzz schreef op 03 augustus 2004 @ 11:41:
[...]


Hmm het is dus echt een smerig ding....

Het kan ook echt helemaal niks zijn, false positives bestaan ook. Alleen het gekke is google kent MSlti64.exe als Agobot wel dus het stinkt zo ie zo. Vermoedelijk is dit een "nieuw" variant mits de topicstarter zijn scanner up 2 date heeft gehouden met een superdat.

[ Voor 27% gewijzigd door Miki op 03-08-2004 11:51 ]

Waat staat dat bestand eigenlijk (MSlti64.exe). ik draai Win XP Pro en heb het bestand niet.

Verwijderd schreef op 03 augustus 2004 @ 11:49:
[...]
mooi.. ik hou wel van verassingen maar op zich stond het ook al in mijn eerste post

het bestand bevindt zich dus in de "shared documents" folder das iig de enige plek die ik kan vinden...

Nee iets staat me bij dat deze zich ook in het system restore nestelt alleen daar ben ik dus compleet niet zeker van en om nou te gaan roepen dat het zoiets kan zijn.... get my point?

Nogmaals check je dat en engine file voor alle zekerheid en wacht mcafee avert nog heel even af. Zelf vermoed ik wel het ergste, maar zover is het nog niet.

Btw.. heb je wel op virussen gescanned terwijl de system restore uitstond?

Het kan ook echt helemaal niks zijn, false positives bestaan ook. Alleen het gekke is google kent MSlti64.exe als Agobot wel dus het stinkt zo ie zo. Vermoedelijk is dit een "nieuw" variant mits de topicstarter zijn scanner up 2 date heeft gehouden met een superdat.

Ik vond hem idd ook in google al een bestand dat met Agobot te maken heeft.
Wat ik niet helemaal snap: hoe kan McAfee nou eerst aangeven dat het bestand besmet is en vervolgens dat er niets aan de hand is

Heb jij deze entries niet??

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Video Process
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Video Process

Vunzz schreef op 03 augustus 2004 @ 11:57:
[...]


Ik vond hem idd ook in google al een bestand dat met Agobot te maken heeft.
Wat ik niet helemaal snap: hoe kan McAfee nou eerst aangeven dat het bestand besmet is en vervolgens dat er niets aan de hand is

2 dingen:

mcafee.com checkt in zijn database naar virussen die er precies op lijken. Geen resultaat is doorsturen naar hun onderzoekslab.

De virusscanner heeft als het goed is ook heuristics aan, wat betekent dat ie ook virussen registreert die lijken op virussen die al in de database staan, vandaar ook de benaming "gen". Bepaalde codes in het virus komen dus overeen.

Zelf denk ik wel dat er stront aan de knikker is maar dat horen we gauw genoeg. Gekke is alleen dat op jotti's virusscan het bestand niet werd herkend wat betekent meestal dat we met een nieuw variant te maken hebben of toch misschien loos alarm.

[ Voor 3% gewijzigd door Miki op 03-08-2004 12:06 ]

Het proberen waard is misschien Ultimate BootCD (host is traaag atm, directe link). Daarin zit een DOS versie van McAfee en FProt (beide defs 20040727) inclusief een NTFS reader. Je weet dan tenminste 100% zeker dat het virus (indien aanwezig) zichzelf niet kan stealthen, simpelweg omdat er geen windows draait.
Houdt wel rekening met zeeer lange scan tijden, omdat onder DOS de schijven via standaard int13 bios calls worden benaderd

[ Voor 22% gewijzigd door Henk007 op 03-08-2004 13:43 ]

Gebruik de search eens, een soortgelijk Agogeval is al eens voorbijgekomen.
Het lijkt mij _bijzonder_ sterk als we hier niet met een (nieuwe) Agobot te maken hebben.

Een (online)scanner kan een file natuurlijk niet scannen als je AV resident loopt, dus ook al krijg je een melding dat er iets gescand is, ik geloof er niet zo in.

Nieuwere Ago's zijn nogal stealthy, dus HT log is leuk en aardig, ik geloof er niet zo in.
Naar alle waarschijnlijkheid staat je bak open, zij het via niet gepatchte windows, zij het via een brakke configuratie mbt. shared folders etc.
Heb je computers in je netwerk? Zijn die eventueel geïnfecteerd? etc etc
In die richting zal je iig moeten zoeken.

Ik ga dit topic op slot gooien, omdat het redelijk onleesbaar is, iig naar mijn smaak.
Ik wil je aanraden een nieuw topic te beginnen waarbij je rekening houdt met wat ik heb gezegd, en zeker ook Beveiliging en Virussen - Nieuw topic starten doorwerkt.

Dicht.