Toon posts:

[Malware] bestanden onvindbaar - search extender *

Pagina: 1
Acties:

dinsdag 24 augustus 2004 10:12

Acties:

Verwijderd

Topicstarter
Ik heb een Win2K-machine die besmet is met een virus. NAV2004 vind hem als bloodhound.packed en kan hem dus niet cleanen. Het bestand verwijderen lukt hem ook niet, omdat de bestanden in gebruik zijn.

Dat leek me op zich niet zo'n probleem als ik het hele ritueel herhaalde in de veilige modus, maar daar kreeg ik hetzelfde resultaat. Toen dus maar eens gekeken welke bestanden hij niet kon verwijderen en hier dan maar eens handmatig aan begonnen. Dit ging goed op 2 bestanden na, die waren namelijk niet te vinden op het aangegeven pad. (Verborgen bestanden zijn zichtbaar)
Bij een van de 2 bestanden gaf NAV overigens nog aan dat het een gecomprimeerd bestand was.

Heeft iemand enig idee hoe het kan dat ik deze bestanden niet kan vinden? En dan natuurlijk de vraag: waar kan ik ze wel vinden?

dinsdag 24 augustus 2004 10:20

Acties:

Verwijderd

Fat of NTFS?
Om welk pad/bestanden gaat het?
Al in DOS gekeken / met attrib de bestandskenmerken gewijzigd?
De bestanden al verwijderd uit de registry zodat ze niet elke keer ingebruik zijn?
Al een systeemscan/clean gedaan met andere software? ([rml][ Howto] Spyware scannen en opruimen[/rml])

dinsdag 24 augustus 2004 10:20

Acties:

Verwijderd

Precies wat is het opgegeven pad?
Kijk eens met "attrib" command of er bepaalde attributes gelden bij die files.
Attributes konden wel eens de oorzaak zijn.

Btw:
NAV2004 vind hem als bloodhound.packed
Dat is eigenlijk niets meer dan een onzindetectie, gebruik bepaalde versies van UPX en NAV begint te flaggen.
Daar moet dan wel bijgezegd worden dat dit stukken minder moeite kost dan daadwerkelijk een unpacker maken.

Mits je de files te pakken krijgt, scan ze dan eens hier voor een fatsoenlijke identificatie. :)

dinsdag 24 augustus 2004 10:35

Acties:

Verwijderd

Topicstarter
Ik heb wel onder DOS gezocht, maar het attrib-commando heb ik nog niet gebruikt. Zal daar eens wat mee proberen te goochelen.
Ook het run-gedeelte in het register heb ik steeds opgeschoond.


Verder had ik al een en ander aan scans gedaan met Anti-spyware programma's. Ad-aware en Spybot vinden niks (althans gerelateerd aan dit probleem).
Spysweeper vind wel iets wat er mee te maken zou kunnen hebben (na verwijderen constateert spysweeper dat het steeds weer terug komt en de startpagina en/of register aanpast)
Dit alles schijnt te maken te hebben met Search Extender en Shopping Wizzard. (Wel te vinden, maar niet te verwijderen met configscherm, software)

Edit:
Het opgegeven pad betreft steeds variaties op: c:\WINNT\system32\(zes willekeurige tekens).exe (Alle bestanden steeds 26k)
Sommigen zijn dus wel te vinden in verkenner, anderen niet.

[ Voor 14% gewijzigd door Verwijderd op 24-08-2004 10:37 ]

dinsdag 24 augustus 2004 14:01

Acties:
  • Gody
  • Registratie: November 2001
  • Laatst online: 27-11 23:48

Gody

Stinger in veilige modus haalt ook niets uit? Adware in veilige modus? Spybot - Search & Destroy in veilige modus? Dan draaien al die meuk-progjes namelijk niet en kun je tevens op je gemak de map System Volume Information doorzoeken, die soms ook slachtoffer wordt van programma's die de vervelende programma's steeds maar blijven aanmaken en starten.

dinsdag 24 augustus 2004 14:04

Acties:
  • LuCarD
  • Registratie: Januari 2000
  • Niet online

LuCarD

Certified BUFH

Bloodhound.packed hoeft geen virus te zijn!

http://securityresponse.s...oodhound.packed.html?Open

Om welke bestanden gaat het?

[ Voor 11% gewijzigd door LuCarD op 24-08-2004 14:05 ]

Programmer - an organism that turns coffee into software.

dinsdag 24 augustus 2004 14:21

Acties:

Verwijderd

Sommigen zijn dus wel te vinden in verkenner, anderen niet.
Als je zo'n file nog hebt, scan hem dan eens @ eerdergenoemde link.
Post je HijackThis log ook eens en geef daarbij aan wat je verdacht vindt. :)
Stinger in veilige modus haalt ook niets uit? Adware in veilige modus? Spybot - Search & Destroy in veilige modus? Dan draaien al die meuk-progjes namelijk niet en kun je tevens op je gemak de map System Volume Information doorzoeken, die soms ook slachtoffer wordt van programma's die de vervelende programma's steeds maar blijven aanmaken en starten.
Er is genoeg malware - en zeker tegenwoordig - die ook nog wel wat kan in safemode.
Afaik werkt de toegang tot systemrestore nog altijd via (NTFS) rechten, safemode staat daar los van.
Het nut van stinger hierbij ontgaat mij trouwens een beetje, zeker gezien de TS het over advware heeft.
LuCarD schreef op 24 augustus 2004 @ 14:04:
Bloodhound.packed hoeft geen virus te zijn!

http://securityresponse.s...oodhound.packed.html?Open

Om welke bestanden gaat het?
Lees het topic eens door, beide dingen zijn al genoemd/gevraagd.

Titel wat aangepast. :)

donderdag 26 augustus 2004 00:25

Acties:
  • Gody
  • Registratie: November 2001
  • Laatst online: 27-11 23:48

Gody

Verwijderd schreef op 24 augustus 2004 @ 14:21:Het nut van stinger hierbij ontgaat mij trouwens een beetje, zeker gezien de TS het over advware heeft.
Het is niet erg, maar er stond toch echt in zijn startpost:
Ik heb een Win2K-machine die besmet is met een virus.
En dan kun je zeggen wat je wilt maar Stinger is er om enkele virussen en wormen te vinden. Maar ik moet wel toegeven dat ik niet heb gekeken of het virus wat hier genoemd wordt door Stinger kan worden vernietigd.

[ Voor 14% gewijzigd door Gody op 26-08-2004 00:28 . Reden: toevoeging over Stingers mogelijkheid om dat virus op te sporen ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq