Toon posts:

[Malware?] Verdacht bestand gevonden *

Pagina: 1
Acties:

donderdag 26 augustus 2004 18:24

Acties:

Verwijderd

Topicstarter
Ik heb de laatste tijd best wel vaak last van (vermoedelijk) backdoors die door mijn beveiligingen heen glippen. Ik kom er altijd achter doordat ZoneAlarm een melding geeft. Het is altijd een bestandje gedateerd 24-3-2004 en wordt altijd in de WINNT/SYSTEM32 dir neergezet (en volgens mij is het altijd even groot, ca 91 kB), en het heeft altijd een soort barcode als icoontje. Vreemd genoeg verschijnt het nooit gelijk in de proceslijst van de taskmanager. Ik kan ze pas verwijderen als ik opnieuw opgestart heb. Soms wordt er ook een registrykey weggeschreven.

De naam van het bestand lijkt vaak random gekozen, de laatste paar keer is het mmy.exe (en het zijn altijd namen die daarop lijken). Google vindt meestal niks over de naam van het betreffende bestandje..

Ik kan nergens iets vinden over een dergelijk virus. Iemand die iets weet wellicht? Het is best wel irri namelijk. Ik draai Win2000 met SP4, Norton AV2004 en ZoneAlarm en draai regelmatig PestPatrol, Spybot en AdAware.

Alvast bedankt. :).

donderdag 26 augustus 2004 18:26

Acties:

Verwijderd

Heb je al eens een aantal online scanners geprobeerd?
Lijkt me toch wel handig. :P

Probeer deze eens: http://www.kaspersky.com/scanforvirus.html

Titel wat aangepast. :)

donderdag 26 augustus 2004 19:40

Acties:

Verwijderd

Topicstarter
Ja, gisteren wel een online scan gedaan van mijn harde schijf. Niks gevonden. Maar toen had ik dus ook al het betreffende bestandje verwijderd.

donderdag 26 augustus 2004 20:02

Acties:

Verwijderd

Je verwijdert een bestand zonder enig idee te hebben wat het doet?
Niet echt de meest verstandige zet naar mijn mening.

Als je geen sample meer hebt, dan houdt het op eigenlijk.
Wat gaan gokken is redelijk nutteloos imho.

donderdag 26 augustus 2004 20:44

Acties:

Verwijderd

Topicstarter
De ervaring heeft geleerd dat ik het telkens zonder problemen (na rebooten) kon verwijderen. Zonder rebooten proberen te verwijderen kan niet, krijg dan altijd de melding dat het bestand in gebruik is.

Eerstvolgende keer dat ik weer zoiets heb, zal ik het online laten checken met bovengenoemde scanner en kijken wat PestPatrol erover zegt (als zijnde een running process).

dinsdag 7 september 2004 20:55

Acties:

Verwijderd

Topicstarter
OK, ik heb er weer 1 te pakken. Bestandje heet javar.exe, alle gegevens exact hetzelfde als hierboven gepost. Ik heb het online gescand met eerdergenoemde online scanner en het gaat om het TrojanProxy.Win32.Agent.z virus. Google geeft hier vrij weinig info over. Ik ga ff verder kijken hoe en wat. Mijn Norton 2004 herkent het niet.

-edit- Ook bekend als Troj/Agent-I, Agent.Z, Backdoor-CEZ, Backdoor-CEZ, TrojanProxy.Win32.Agent.Z

[ Voor 17% gewijzigd door Verwijderd op 07-09-2004 21:00 ]

dinsdag 7 september 2004 21:18

Acties:
  • cutter
  • Registratie: November 2000
  • Laatst online: 28-09 13:58

cutter

Wannabe i7 fanboy

Je bent een spamproxy geworden. Run hijackthis en kijk wat daar voor rare bestanden uitkomen. En steun de kwakkelende Russische economie door een licentie Kaspersky aan te schaffen.
Troj/Agent-I is a Trojan used for sending unsolicited commercial email (spam).

The Trojan downloads instructions from a preconfigured website every minute. These instructions provide details of what spam to send to whom. Status reports are sent back to the same site using HTTP POST.

Troj/Agent-I may also attempt to find email addresses stored on the infected computer and include them in the list of spam recipients.

dinsdag 7 september 2004 21:30

Acties:

Verwijderd

Topicstarter
Ok, HijackThis logfile:
---------------------------------

Logfile of HijackThis v1.97.7
Scan saved at 21:30:11, on 7-9-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\mgabg.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
D:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\minilog.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\PDesk.exe
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\PROGRA~1\PESTPA~1\PPControl.exe
C:\WINNT\system32\wuauclt.exe
D:\PROGRA~1\PESTPA~1\PPMemCheck.exe
D:\PROGRA~1\PESTPA~1\CookiePatrol.exe
D:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINNT\System32\svchost.exe
D:\Program Files\Winamp\Winamp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe
E:\Cracks+programs\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/...rd=ie&pver=5.5&ar=msnhome
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.google.nl/"); (C:\Program Files\Netscape\Users\matthijn\prefs.js)
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - D:\Program Files\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "D:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Program Files\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus2] "D:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [PestPatrol Control Center] D:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] D:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = D:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab
O16 - DPF: {0000000A-0000-0010-8000-00AA00389B71} - http://download.microsoft...9-f5bd11b40367/wmavax.CAB
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedi...wave/cabs/director/sw.cab
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} - http://stream10k.redhotnetworks.com/cabs/videox.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec....ontent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft...-94901338C922/wmv9VCM.CAB
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net...in/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec....tent/common/bin/cabsa.cab
O16 - DPF: {72D59B9C-1E59-4958-803A-ABDEE2D4CFA6} (DivX Player) - http://download.divx.com/player/DivXPlayerInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.../MessengerStatsClient.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.axis.com/produ...ervers/AxisCamControl.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...uctl.CAB?37988.7211111111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn...aireShowdown.cab28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1954B1B-6E70-4B57-84A9-A10FC87D546F}: Domain = vhl.tudelft.nl
------------------------------------------------


Voorzover ik kan zien zitten er geen hele rare dingen tussen.

dinsdag 7 september 2004 21:42

Acties:
  • cutter
  • Registratie: November 2000
  • Laatst online: 28-09 13:58

cutter

Wannabe i7 fanboy

FF je IE/2000 patchen.

code:
1
2
3
4
5
6
7
8

Mailserver Ja 
Newsserver Nee 
Webhosting Ja 
Aantal eenheden 692 
Authenticatie Ja, PPPoE 
Multicast Ja, alleen ontvangen agv. workaround wegens PPPoE 
Type verbinding Managed Dark Fiber 
Capaciteit uplink 1 Gbit/s, intern 100 Mbit/s switched


Als je een dikke pijp naar het internet hebt, besteed dan meer aandacht dan normaal aan beveiliging. :) Spammers, crackers en oplichters zijn altijd op zoek naar veel bendbreedte tegen een lage prijs :)

dinsdag 7 september 2004 21:47

Acties:

Verwijderd

Topicstarter
Waar haal je die info in het kader vandaan? En staat er nou wat verdachts tussen volgens jou?

dinsdag 7 september 2004 22:27

Acties:

Verwijderd

Topicstarter
Om 1 of andere reden is het betr. bestandje uit zichzelf alweer verdwenen nu. 8)7.

dinsdag 7 september 2004 22:30

Acties:
  • cutter
  • Registratie: November 2000
  • Laatst online: 28-09 13:58

cutter

Wannabe i7 fanboy

LOL, da's info over jullie vhl netwerk. Capaciteit uplink 1 Gbit/s, intern 100 Mbit/s switched: hier zijn hackers dol op.

dinsdag 7 september 2004 22:33

Acties:

Verwijderd

Topicstarter
Dat is mij bekend ja.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq