[virus] torvil.d - Privacy en beveiliging

maandag 20 september 2004 10:13

Acties:

The Dark Side

Topicstarter

Heb dus net ook de search geprobeerd en veel problemen tegen gekomen van de spoolsv (printer) service
Maar al deze problemen gaven (bijna) 100% CPU load of heel veel geheugen.

Nu heb ik dus problemen met spoolsv maar ook met spoolvj
Waar die laatste voor staat weet ik niet, maar als ik mijn pc opstart staan beide in mijn taakbeheer.

Als deze twee er staat kan ik bijna geen programma's starten.
Bijvoorbeeld autocad en 3ds max 6 doen wel gewoon, maar als ik outlook o.i.d wil starten krijg ik wel een zandloper, maar die verdwijnt na ongeveer 6 seconden en er gebeurd verder niets.

Pas als ik de spoolsv en spoolvj verwijderd heb uit de taakbeheer kan ik de programma's starten

De spoolsv en -vj nemen niet veel cpu load in beslag en ook maar weinig geheugen.
Wat kan hier het probleem zijn?

PS. ik kan ook wel gewoon een nieuwe printer instaleren en printen is ook geen probleem

Still King

maandag 20 september 2004 10:21

Acties:

roelio

fruitig, en fris.

Bekijk eens de eigenschappen van SpoolVJ.exe ?

- Ik kan niets over dat bestand vinden via Google
- Hij staat niet op mijn XP station

Mijn idee: wat is het? Wellicht spyware?

AMD Phenom II X4 // 8 GB DDR2 // SAMSUNG 830 SSD // 840 EVO SSD // Daar is Sinterklaas alweer!!

maandag 20 september 2004 11:20

Acties:

Imhotep

The Dark Side

Topicstarter

limoentje schreef op 20 september 2004 @ 10:21:
Bekijk eens de eigenschappen van SpoolVJ.exe ?

- Ik kan niets over dat bestand vinden via Google
- Hij staat niet op mijn XP station

Mijn idee: wat is het? Wellicht spyware?

hoe kun je die eigenschappen bekijken dan?

kan er namelijk ook niks over vinden

Still King

maandag 20 september 2004 11:32

Acties:

Imhotep

The Dark Side

Topicstarter

heb het bestand dus nu gevonden, maar bij eigenschappen staat niet zo veel
alleen dat ie 4 dagen geleden is aangemaakt

zal ff proberen om hem te verwijderen

Still King

maandag 20 september 2004 12:05

Acties:

leon1e

Haal je bestanden ook even door deze online scanner heen: http://virusscan.jotti.dhs.org/

maandag 20 september 2004 12:06

Acties:

Imhotep

The Dark Side

Topicstarter

thanks
meteen proberen

: edit

infected/malware
worm/torvil.D

deze ken ik dus beter vewijderen denk ik
PS. dit gaat dus om de spool vj

[ Voor 74% gewijzigd door Imhotep op 20-09-2004 12:09 ]

Still King

maandag 20 september 2004 12:10

Acties:

leon1e

Bij deze dus meteen even een trapje naar "Beveiliging en Virussen" aangezien het echt bestand echt niet op je pc thuishoort

maandag 20 september 2004 13:32

Acties:

Imhotep

The Dark Side

Topicstarter

kan nu helemaal geen programma meer starten
alleen internet explorer doet nog

ook mijn eigen virus scanner is ermee opgehouden'
heb daarom een online scanner geprobeerd en die heeft er 6 gevonden en verwijderd

Iemand nog een oplossing?

Still King

maandag 20 september 2004 15:01

Acties:

Imhotep

The Dark Side

Topicstarter

verander de topic titel maar in [virus] torvil.d als je wilt
Heb al meerdere sites bekekne om dit virus te verwijderen, maar geen van de oplossingen werkt, omdat ik geen programma's kan openen

[ Voor 12% gewijzigd door Imhotep op 20-09-2004 15:01 ]

Still King

maandag 20 september 2004 15:46

Acties:

Verwijderd

Run deze tool eens: ftp://ftp.kaspersky.ru/utils/clrav/clrav.com
Met wat FAQ/zoekwerk had je dit/soortgelijke alternatieven ook goed zelf kunnen vinden..

Zou je trouwens in het vervolg de edit-knop willen gebruiken?

maandag 20 september 2004 15:56

Acties:

Imhotep

The Dark Side

Topicstarter

zoals ik dus al zei kan ik die niet openen, staat boven jouw post.
Dus niet meteen op mij gaan fitten, eerst ff lezen.

Doe de hele dag al niets anderd dan dit probleem oplossen hoor, dus ben ook al op bijna alle sites geweest, maar zodra het onlie scannen voorbij is en ik de 166 geinfecteerde bestanden wil verwijderen geeft ie een melding dat ik bepaalde bestanden niet meer kan openen.
als ik daarna meteen opnieuw scan vind ie geen enkel virus meer

als ik in mijn regedit wil geeft ie een melding dat de systeembeheerder dit heeft gesloten, terwijl ik zelf de systeembeheerder ben

Still King

maandag 20 september 2004 16:05

Acties:

Verwijderd

zoals ik dus al zei kan ik die niet openen, staat boven jouw post.
Dus niet meteen op mij gaan fitten, eerst ff lezen.

Dat kan wel zo zijn, maar ook daar zijn methodes voor om dat te omzeilen die meerdere malen in de search/faq voorbij komen, ik lees echter nergens wat je geprobeerd hebt.

als ik in mijn regedit wil geeft ie een melding dat de systeembeheerder dit heeft gesloten, terwijl ik zelf de systeembeheerder ben

Heb je al eens een write-up van de specifieke malware doorgenomen?

Doe de hele dag al niets anderd dan dit probleem oplossen hoor, dus ben ook al op bijna alle sites geweest, maar zodra het onlie scannen voorbij is en ik de 166 geinfecteerde bestanden wil verwijderen

Hoeveel identieke malware zit daartussen?

maandag 20 september 2004 16:10

Acties:

fcs

probeer eens in save mode die virus scanner te draaien.
Misschien lukt het daar ook om regedit te openen?
Disable eens al je services, zonder ze te deleten. Kun je dan nog wel die zaken uitvoeren?

maandag 20 september 2004 16:13

Acties:

Verwijderd

fcs schreef op 20 september 2004 @ 16:10:
Disable eens al je services, zonder ze te deleten. Kun je dan nog wel die zaken uitvoeren?

Dat lijkt me niet al te verstandig...de gevolgen daarvan zouden nog wel eens stukken erger kunnen zijn dan de worm zelf. Windows die niet meer wil opstarten etc etc

maandag 20 september 2004 16:15

Acties:

Imhotep

The Dark Side

Topicstarter

Verwijderd schreef op 20 september 2004 @ 16:05:
[...]

Dat kan wel zo zijn, maar ook daar zijn methodes voor om dat te omzeilen die meerdere malen in de search/faq voorbij komen, ik lees echter nergens wat je geprobeerd hebt.

[...]

Heb je al eens een write-up van de specifieke malware doorgenomen?

[...]

Hoeveel identieke malware zit daartussen?

die methodes om dat te omzeilen ken ik dus niet, wist niet dat dat kon.
Dus om eerlijk te zijn heb ik daar ook niet naar gezocht.

Heb een writ up doorgenomen ja en die komen overeen met mijn problemen, maar er staat geen oplossing bij.
hier een link:
http://vil.nai.com/vil/content/v_100800.htm en
http://www.virusalert.nl/...id=567&name=W32.Torvil@mm
vooral die laatste link geeft een oplossing, maar die werken dus niet.
Zoals ik al zei, het enige wat ik kan openen is internet explorer.

de dingen die ik geprobeerd heb;
online scannen met verschillende scanners.
eerst vond ie er maar 2 dus die verwijderd, pc opnieuw opgestart en toen deed helemaal niks meer.
opnieuw laten scannen, en 166 infecties (allemaal zelfde virus) waarvan ik niet 1 kon verwijderen.

Proberen te scannen via het netwerk hier,
Werkte niet omdat ie dan een programma ging starten op mijn pc en dat wil niet.

heel veel sites bekeken om een oplossing te vinden, maar daarvoor moest ik dus weer iets starten wat niet wil.

Systeemherstel geprobeerd, maar daar kom ik niet in.

fcs schreef op 20 september 2004 @ 16:10:
probeer eens in save mode die virus scanner te draaien.
Misschien lukt het daar ook om regedit te openen?
Disable eens al je services, zonder ze te deleten. Kun je dan nog wel die zaken uitvoeren?

lijkt me ook niet verstandig nee.
buiten dat kom ik de regedit niet in, ook niet in de safe mode

[ Voor 13% gewijzigd door Imhotep op 20-09-2004 16:21 ]

Still King

maandag 20 september 2004 16:19

Acties:

Verwijderd

Systemrestore kun je imho beter links laten liggen.

Zoek eens op torvil @ gotsearch @ BV, volgens mij moet je dan een heel eind kunnen komen.

maandag 20 september 2004 16:21

Acties:

fcs

Verwijderd schreef op 20 september 2004 @ 16:13:
[...]

Dat lijkt me niet al te verstandig...de gevolgen daarvan zouden nog wel eens stukken erger kunnen zijn dan de worm zelf. Windows die niet meer wil opstarten etc etc

Het is natuurlijk wel de bedoeling dat je dit aanzet voordat je windows reboot...
Zo heb ik nog eens 1 pctje kunnen reden (xp home) waar hoop zeik op stond.

Je moet uiteraard niet gaan rebooten, dan ben je de...

maandag 20 september 2004 16:28

Acties:

Imhotep

The Dark Side

Topicstarter

Verwijderd schreef op 17 november 2003 @ 17:59:
[quote:
*
o

Registry changes are made to automatically execute the worm each time a .bat, .cmd, .com, .exe, .pif, or .scr file is run.

* HKEY_CLASSES_ROOT\batfile\shell\open\command "(Default)" = C:\WINNT\svchost.exe "%1" %*
* HKEY_CLASSES_ROOT\cmdfile\shell\open\command "(Default)" = C:\WINNT\svchost.exe "%1" %*
* HKEY_CLASSES_ROOT\comfile\shell\open\command "(Default)" = C:\WINNT\svchost.exe "%1" %*
* HKEY_CLASSES_ROOT\exefile\shell\open\command "(Default)" = C:\WINNT\svchost.exe "%1" %*
* HKEY_CLASSES_ROOT\piffile\shell\open\command "(Default)" = C:\WINNT\svchost.exe "%1" %*
* HKEY_CLASSES_ROOT\scrfile\shell\open\command "(Default)" = C:\WINNT\svchost.exe "%1" /S
]

Sjrottie NL write up..[/rant]
Rename dat ding van mij naar svchost.exe en plaats het in je main windows dir.
Met wat geluk trapt ie daar in

je hebt hier iets in een ander topic verteld, maar wat bedoel je met al deze dingen???

sorry dat ik zo vervelend ben, maar dit heb ik dus nog nooit gehad/gedaan

Still King

maandag 20 september 2004 16:55

Acties:

Verwijderd

Hmm, laten we dan eens overnieuw beginnen.

-Je zegt dat je geen programma's meer kan openen, krijg je nog een specifieke melding?
-Als er een melding komt dat er een bepaald bestand mist:
Geef clrav die filename, plaats het in de juiste directory, open een exefile, als het goed is gaat clrav dan lopen.

maandag 20 september 2004 17:01

Acties:

Imhotep

The Dark Side

Topicstarter

Verwijderd schreef op 20 september 2004 @ 16:55:
Hmm, laten we dan eens overnieuw beginnen.

-Je zegt dat je geen programma's meer kan openen, krijg je nog een specifieke melding?
-Als er een melding komt dat er een bepaald bestand mist:
Geef clrav die filename, plaats het in de juiste directory, open een exefile, als het goed is gaat clrav dan lopen.

als ik een exe file open geeft ie aan dat die file er niet staat, terwijl die er wel is.
komt dus overeen met het torvil virus.

nu heb ik via de safemode een herstelpunt terug kunnen zetten en hierdoor weer toegang gekregen tot mijn exe-files.

alleen kan ik nu niet de regedit openen of .reg bestanden toevoegen.
krijge dan de melding dat de systeembeheerder deze functie heeft uitgezet.

ik kan cldrav wel laten lopen, maar volgens mij verwijderd die niks?
geeft wel aan dat er een virus zit in spoolvj, maar verder doet ie niks.

Still King

maandag 20 september 2004 17:09

Acties:

Verwijderd

Run clrav eens in safemode met de /s switch.

code:

1	clrav.com /s

maandag 20 september 2004 17:25

Acties:

Imhotep

The Dark Side

Topicstarter

Verwijderd schreef op 20 september 2004 @ 17:09:
Run clrav eens in safemode met de /s switch.
code:
1
clrav.com /s

nu loopt ie wel door, nu ik de spoolvj in het taakbeheer heb verwijderd.

hij is nu aan het scannen, dus die laat ik nu ff lopen.
zodra ik morgen weer terug ben zal ik hier het resultaat wel posten.
iig bedankt voor je hulp $_/-\o_$

Still King

maandag 20 september 2004 21:17

Acties:

Verwijderd

Voor het geval je nog hulp nodig hebt, of iig voor het nageslacht.
Ik hoop dat je Engels niet al te slecht is, de zin ontbreekt mij even om nog een Nederlandse write-up te fabriceren.

I-Worm.Torvil.d Removal Guide

Changes made to WinXP/SP0 _directly_ after running I-Worm.Torvil.d:
_{Only valid/interesting things mentioned}

• Files added:
C:\WINDOWS\SMSStv.exe
C:\WINDOWS\svchost.exe

• CHANGES MADE TO C:\WINDOWS\SYSTEM.INI...
KEYS CHANGED IN C:\WINDOWS\SYSTEM.INI: (1)
[boot]shell=Explorer.exe to Explorer.exe SMSStv.exe

• CHANGES MADE TO C:\WINDOWS\WIN.INI...
KEYS CHANGED IN C:\WINDOWS\WIN.INI: (1)
[Winlogon]Shell=Explorer.exe to Explorer.exe SMSStv.exe

• REGISTRY KEYS ADDED:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TORVIL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TORVIL\Enum
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TORVIL\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TORVIL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TORVIL\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TORVIL\Security

• REGISTRY KEY VALUES CHANGED:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
Value "@": from ""%1" %*" to "C:\WINDOWS\svchost.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\open\command
Value "@": from ""%1" %*" to "C:\WINDOWS\svchost.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
Value "@": from ""%1" %*" to "C:\WINDOWS\svchost.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
Value "@": from ""%1" %*" to "C:\WINDOWS\svchost.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
Value "@": from ""%1" %*" to "C:\WINDOWS\svchost.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command
Value "@": from ""%1" /S" to "C:\WINDOWS\svchost.exe "%1" /S"

• REGISTRY KEY VALUES ADDED:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden="0"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools="1"
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden="0"
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools="1"
HKEY_USERS\S-1-5-21-515967899-1275210071-839522115-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools="1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\OneLevelDeeper\TorvilDB\TORVIL="SMSStv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Service Host="C:\WINDOWS\SMSStv.exe"

• C:\WINDOWS\message.dat Packed MIME.Broken
C:\WINDOWS\message.dat Packed ASPack
C:\WINDOWS\message.dat Infected I-Worm.Torvil.d
C:\WINDOWS\message.htm Infected TrojanDropper.JS.Mimail.b
C:\WINDOWS\msg.zip Archive ZIP
C:\WINDOWS\msg.zip/message.htm Infected TrojanDropper.JS.Mimail.b
C:\WINDOWS\SMSStv.exe Packed ASPack
C:\WINDOWS\SMSStv.exe Infected I-Worm.Torvil.d
C:\WINDOWS\svchost.exe Packed ASPack
C:\WINDOWS\svchost.exe Infected I-Worm.Torvil.d

* Other copies of malware sample not listed *
Will copy itself as being certain crack/keygen for certain programs

• Removal after just only having discovered the worm:
Run clrav util with /s switch - ftp://ftp.kaspersky.ru/utils/clrav/clrav.com - in safemode
Running clrav with /s switch: use command prompt
- for example: "c:\clrav.com /s" when having saved clrav.com to "c:\"
Reboot
Remove possible leftover traces in the registry
Important note: Make sure to do a _full_ system scan with an updated AV even after having run clrav util.

• Removal/recovery of system after having removed exefiles and not being able to run certain filetypes:
Download clrav util: ftp://ftp.kaspersky.ru/utils/clrav/clrav.com
Make a copy of clrav.com
- rename it to svchost.exe
- place it in "C:\WINDOWS" ( %windowsdir% )
Boot into safemode
Run clrav program - clrav will start when any file of given filetype will try to be run.
After first run, run it again, with /s switch
- use command prompt
-for example: "c:\clrav.com /s" when having saved clrav.com to "c:\"
Reboot
Remove possible leftover traces in the registry
Important note: Make sure to do a _full_ system scan with an updated AV even after having run clrav util.

dinsdag 21 september 2004 09:55

Acties:

Imhotep

The Dark Side

Topicstarter

oke, ben nu bezig om mijn systeem te scannen met mijn eigen virusscanner.
die moest ik net eerst opnieuw installeren, maar zo te zien werkt alles weer perfect.

Ik kan nu ook weer in het register komen, dus dat heeft claw ook opgelost.

IIg enorm bedankt voor al je hulp. $_/-\o_$ $_/-\o_$ $_/-\o_$

Still King

Pagina: 1

Reageer