Hoi,
Ik heb een behoorlijk probleem en het lijkt op een virus / trojan achtig iets. Mij totaal onbekend.
Symptomen:
- PC's sluiten willekeurig automatisch af met een melding van NT AUTHORITY SYSTEM dat Isass.exe is afgesloten en dat de PC over 2 minuten opnieuw opstart.
- PC's geinfecteerd met het virus beginnen willekeurige adressen op de netbios-ssn poort te spammen.
- PC's die afgesloten worden zijn niet per se zelf geinfecteerd.
- Op de PC's waar via netstat ontzettend veel SYN_SENT naar <ipnummer>:netbios-ssn draait een programmatje MSNPLUS.EXE dat dit veroorzaakt.
- Afsluiten van dit programmatje haalt alle SYN_SENT connecties weg en zorgt ervoor dat het netwerk weer goed werkt.
- Alle PC's zijn van alle servicepacks en updates voorzien.
- Het zijn allemaal windows 2000 / XP machines
Het virus / trojan / whatever wordt niet gepakt door InoculateIT en Stinger, beide laatste versies.
Via msconfig zie je dat 'ie in HKLM\....\Run staat. Uitzetten helpt, maar met de volgende opstart staat 'ie er weer in.
- Zoeken op 'msnplus.exe' op de harddisk levert niets op behalve een bestand msnplus-923480239840239.dat (extensie kan anders zijn, iig geen exe).
Wat voor virus is dit en hoe komt het binnen? ik vermoed dat het door een externe laptop het bedrijf binnen gebracht is.
Iemand een idee?
Ik heb een behoorlijk probleem en het lijkt op een virus / trojan achtig iets. Mij totaal onbekend.
Symptomen:
- PC's sluiten willekeurig automatisch af met een melding van NT AUTHORITY SYSTEM dat Isass.exe is afgesloten en dat de PC over 2 minuten opnieuw opstart.
- PC's geinfecteerd met het virus beginnen willekeurige adressen op de netbios-ssn poort te spammen.
- PC's die afgesloten worden zijn niet per se zelf geinfecteerd.
- Op de PC's waar via netstat ontzettend veel SYN_SENT naar <ipnummer>:netbios-ssn draait een programmatje MSNPLUS.EXE dat dit veroorzaakt.
- Afsluiten van dit programmatje haalt alle SYN_SENT connecties weg en zorgt ervoor dat het netwerk weer goed werkt.
- Alle PC's zijn van alle servicepacks en updates voorzien.
- Het zijn allemaal windows 2000 / XP machines
Het virus / trojan / whatever wordt niet gepakt door InoculateIT en Stinger, beide laatste versies.
Via msconfig zie je dat 'ie in HKLM\....\Run staat. Uitzetten helpt, maar met de volgende opstart staat 'ie er weer in.
- Zoeken op 'msnplus.exe' op de harddisk levert niets op behalve een bestand msnplus-923480239840239.dat (extensie kan anders zijn, iig geen exe).
Wat voor virus is dit en hoe komt het binnen? ik vermoed dat het door een externe laptop het bedrijf binnen gebracht is.
Iemand een idee?
:strip_icc():strip_exif()/u/60161/offspring.jpg?f=community)
:strip_exif()/u/14937/cover.gif?f=community)
