Ja gelukkig/helaas weet deze wat meer...
(heb de scan uitgevoerd op een ander systeem, dus kan niet cut/paste doen.....)
Dr.Web vond hem als Win32.HLLW.ForBot
F-Secure als Backdoor.Win32.Wootbot.gen
Kaspersky als Backdoor.Win32.Wootbot.gen
Overige scanners gaven geen melding...
Werd dus herkend als INFECTED/MALWARE
maakt een aantal bestandjes aan:
updates.exe (hidden, read-only en system-attributes) en sysoverload.exe in de %windir%\system32-directory
Nesteld zichzelf in de diverse Run-onderdelen van de registry:
HKCU\Software\Microsoft\Windows\Current Version\Run
HKLM\Software\Microsoft\Windows\Current Version\Run
HKLM\Software\Microsoft\Windows\Current Version\RunOnce
HKLM\Software\Microsoft\Windows\Current Version\RunOnceEx
HKLM\Software\Microsoft\Windows\Current Version\RunServices
Namen:
blah service
microsoftvirus
Maakte op een tweede machine ook een iexplore.exe aan in de system32-directory.... Deze stond in de genoemde reg-entries als MICROSOFT IE vermeld...
Ook zet hij de sysoverlad en updates in de prefetch (%windir%\prefetch... moet je even naar zoeken. Houdt dus in dat de System Restore uit moet zijn.....
Verder lijkt het erop dat het termineren van de processtructuur (processtree), het uitzetten van de system restore, verwijderen van de files en daarna van de reg-entries het probleem verhelpt...
Symptomen van het geheel:
Veel verkeer naar willekeurige IP-adressen naar poort 445 (Microsoft DS/fileshares) en een connectie naar een IRC-server.... (in mijn geval in ieder geval ip 211.211.201.22)
:strip_icc():strip_exif()/u/14/wildhagen60x60.jpg?f=community)
/u/9273/crop576bd2537abe7_cropped.png?f=community)
