Archief - De topics van lang geleden

Trojan Rivarts.A. gevonden

29-03-2006, 11:32 door Posje, 21 reacties
Gisteren tijdens het scannen met Windows Antispyware, kreeg ik de
melding dat hij een trojan met de naam Rivarts.A. had gevonden. Ik heb
hem verwijderd. Ik heb in google gezocht wat dit voor een Trojan is. Nou is
het mij helaas nog niet duidelijk. Wat is dit nou voor iets en wat doet het ??.
Ik heb hem verwijderd is het nu ook echt weg. Ik heb voor de zekerheid
systeemherstel uitgeschakeld opgestart in veiligemodus en opnieuw alles
gescand met panda en Win Antispyware.

Groetjes
Reacties (21)
29-03-2006, 12:51 door arpad
Wil hier ff op reageren volgens mij is dat een falsepositive
heb Windows defender ook op 2 computers staan en gaf bij mij
dat ook aan op allebei de comps.

Grtjs Arpad
29-03-2006, 13:40 door chriz
Hoi..

Geen '"False-positve.''

'''Win32.Rivarts.a is a keylogger that monitors the user's browsing
habits and logs sensitive information entered by the user (such as
usernames and passwords). Occasionally, the keylooger will send the
stolen information to a remote location. The malware uses rootkit abilities
to hide it's files, processes and registry entries
''

''Arpad'' en ''Posje'' Voer allebij even de volgende instructies uit:

http://www.hijackthis.nl/computerschoonmaken.html

Plaats daarna een hijackthis logje, Zoals daar beschreven,
Doe daarna ook even een scan met panda, Bewaar dat Rapport[/b]
Ook en plaats de volgende Rapporten:[/b]

''Panda''
''Hijackthis''


Groeten chrizz :)
29-03-2006, 13:49 door Posje
Door chriz
Hoi..

Geen '"False-positve.''

'''Win32.Rivarts.a is a keylogger that monitors the user's browsing
habits and logs sensitive information entered by the user (such as
usernames and passwords). Occasionally, the keylooger will send the
stolen information to a remote location. The malware uses rootkit abilities
to hide it's files, processes and registry entries
''

''Arpad'' en ''Posje'' Voer allebij even de volgende instructies uit:

http://www.hijackthis.nl/computerschoonmaken.html

Plaats daarna een hijackthis logje, Zoals daar beschreven,
Doe daarna ook even een scan met panda, Bewaar dat Rapport[/b]
Ook en plaats de volgende Rapporten:[/b]

''Panda''
''Hijackthis''


Groeten chrizz :)[/quote]
29-03-2006, 15:18 door sikkes
hmmm, het ga niet direct om het ding zelf maar of dat
microsoft antispyware 'm echt vind of iets anders voor dat
ding aanziet. als je zoekt op de naam van het ding en false
postive krijg je verschillende forum posts waar men zegt dat
dit inderdaad het geval is.
29-03-2006, 15:44 door Posje
Beste mensen,

Leuk dat ik reactie's krijg. Maar wat betekend False positive.
Ik krijg het vermoeden dat ik Rivarts.A. niet had moeten verwijderen met
win Antispyware.
29-03-2006, 16:16 door arpad
Hoi posje
een False positeve wil zeggen dat ie leest met scannen dat
er niet is.Dus een valse melding een programmafoutje (bugje)
o ja je kan er niets afgooien wat er niet is als je weer
scant geeft ie hem weer aan.

grtjs A
29-03-2006, 16:42 door SirDice
posje (en arpad want die weet ook niet wat een false positive is)....

Virusscanners (en andere soorten scanners zoals anti-spyware software)
werken (meestal) op basis van signatures (handtekening).. Deze signature is een aantal controles die uitgevoerd worden, als eraan voldaan wordt wordt er een melding gemaakt die gekoppelt is aan die signature.. In jouw geval is het signature van Rivarts.A gevonden in een bestand..

Een false positive betekend dat het signature van Rivarts.A is gevonden maar het bestand waar dit in gevonden is heeft niets met de echte Rivarts.A te maken. Dat kan wel eens voorkomen.. Het tegengestelde is een false negative.. De scanner kijkt naar een bestand en probeert al z'n signatures. Vervolgens wordt er niets gevonden maar het bestand is wel een virus.

Signatures hebben opzich niets met programmeerfoutjes te maken,
sommige signatures controleren op een bepaalde reeks die toevallig ook
veel voorkomt in gewone reguliere bestanden. In dat geval krijg je dus veel
false positives.. Dan zul je een afweging moeten maken.. Die signature
uitzetten met het risico dat er een false negative optreed, het virus waar die
signature op controleert wordt niet gevonden. Of je accepteert een aantal
false positives..

Hoe weet je nu of het een false positive is of niet? Kijk naar het bestand waar op getriggert is. Kijk ook naar de verklaringen wat dat virus (malware) doet.. Vergelijk of dat overeenkomt met wat er op jouw systeem staat..
30-03-2006, 12:10 door chriz
Hallo Posje,

Je gebruikt een verouderde versie van hijackthis.
Download eerst de nieuwste op:

http://www.majorgeeks.com/download3155.html
30-03-2006, 21:29 door Posje
Hallo Chriz

Nieuw logje
________________
Logfile of HijackThis v1.99.1
Scan saved at 21:25:25, on 30-3-2006
Platform: Windows XP SP2
MSIE: Internet Explorer v6.00 SP2

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSSYSTEM32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
D:Program FilesAdobePhotoshop Elements 4.0
PhotoshopElementsFileAgent.exe
C:Program FilesPanda SoftwarePanda Antivirus
PlatinumFirewallPavFires.exe
C:Program FilesPanda SoftwarePanda Antivirus Platinumpavsrv51.exe
D:Program FilesSpyware Doctorsdhelp.exe
C:WINDOWSSYSTEM32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32svchost.exe
C:Program FilesPanda SoftwarePanda Antivirus
PlatinumAVENGINE.EXE
C:WINDOWSsystem32wdfmgr.exe
C:ATI-CPanelatiptaxx.exe
D:Program FilesSysMetrixSysMetrix.exe
D:Program FilesMicrosoft AntiSpywaregcasServ.exe
C:Program FilesPanda SoftwarePanda Antivirus
PlatinumAPVXDWIN.EXE
C:WINDOWSsystem32ctfmon.exe
D:Program FilesSpyware Doctorswdoctor.exe
D:Program FilesMicrosoft AntiSpywaregcasDtServ.exe
C:WINDOWSSystem32alg.exe
C:Program FilesPanda SoftwarePanda Antivirus PlatinumpavProxy.exe
D:Program FilesHijackthisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.security.nl/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName
= Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-
784B7D6BE0B3} - d:Program FilesAdobeAcrobat 5.0
ReaderActiveXAcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
D:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-
D426709BBFEB} - D:PROGRA~1SPYWAR~2toolsiesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-
17DF180C71AC} - D:PROGRA~1SPYWAR~2toolsiesdpb.dll
O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM..Run: [ATIPTA] C:ATI-CPanelatiptaxx.exe
O4 - HKLM..Run: [PinnacleDriverCheck] C:WINDOWSSystem32
PSDrvCheck.exe
O4 - HKLM..Run: [SysMetrix] D:Program FilesSysMetrixSysMetrix.exe
O4 - HKLM..Run: [gcasServ] "D:Program FilesMicrosoft
AntiSpywaregcasServ.exe"
O4 - HKLM..Run: [SCANINICIO] "C:Program FilesPanda SoftwarePanda
Antivirus PlatinumInicio.exe"
O4 - HKLM..Run: [APVXDWIN] "C:Program FilesPanda SoftwarePanda
Antivirus PlatinumAPVXDWIN.EXE" /s
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [Spyware Doctor] "D:Program FilesSpyware
Doctorswdoctor.exe" /Q
O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-
Web.Washer-/ie_add
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-
4C56B4E14E84} - D:PROGRA~1SPYWAR~2toolsiesdpb.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-
899DBBB3388C} - C:Program FilesCommon FilesMicrosoft
SharedEncarta Search BarENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-
00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-
BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O12 - Plugin for .mov: C:Program FilesInternet
ExplorerPLUGINSnpqtplugin.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows
Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?
linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C}
(WUWebControl Class) -
http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wu
web_site.cab?1120392789390
O23 - Service: Adobe LM Service - Unknown owner - C:Program
FilesCommon FilesAdobe Systems SharedServiceAdobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) -
Unknown owner - D:Program FilesAdobePhotoshop Elements 4.0
PhotoshopElementsFileAgent.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:WINDOWSsystem32
Ati2evxx.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software -
C:Program FilesPanda SoftwarePanda Antivirus
PlatinumFirewallPavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software -
C:Program FilesPanda SoftwarePanda Antivirus Platinumpavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSSystem32
HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research
Pty Ltd - D:Program FilesSpyware Doctorsdhelp.exe

Wel zou ik graag willen weten. Hoe ik deze rot melding eruit kan krijgen

Groetjes
30-03-2006, 21:34 door chriz
Voordat ik je log ga bekijken,
Waar overigens zo te zien wel wat in zit,
Ga ik eerst bij m'n meerdere raadplegen hoe de melding eruit te werken.
Dit waarschijnlijk met een register fix of aanpassing in windows defender

Greetz chrizz :-))
30-03-2006, 23:43 door chriz
Hoi :)

1)Start hijackthis en vink de volgende regels aan, Klik vervolgens op
fix checked.

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName
= Koppelingen

Als het werkelijk een Trojan-rivarts zou zijn,Zou deze regel er moeten
zijn:

O4 - HKLM..Run: [Zsys] C:WINDOWSSYSTEM32zsys.exe

Die staat er niet, Dus het is zeer waarschijnlijk een false-positive.

2)Doe voor de zeker heid dit nog eventjes:

Download, installeer en update de free trial versie van Ewido anti-malware.

Tijdens de installatie, onder "Additional Options", haal je de vinkjes weg
bij "Install background guard" en "Install scan via context menu".
Als je Ewido voor de eerste keer start, zal je een foutmelding
krijgen "Database could not be found!". Deze melding is normaal. Klik
op "OK".
In het hoofdscherm van Ewido, klik je op "Update" in het linkse menu, en
vervolgens op de knop "Start update".
Als de updates gedaan zijn, zal er in de statusbalk beneden staan "Update
successful".

3Run ewido, Run een Full system scan En bewaar het rapport

Post de Rapporten-->logjes Van:

''Hijackthis''
''Ewido''


Greetz chrizz
31-03-2006, 11:17 door sikkes
Door chriz
Ga ik eerst bij m'n meerdere raadplegen hoe de melding eruit
te werken.
je meerdere?
31-03-2006, 13:07 door Anoniem
Ook Rivarts.A gevonden en verwijderd met Windows Beta 2 spyware. Nu
krijg ik geen beveiligingsupdates meer van Microsoft. Volgens mij zit het
virus in Windows Genuie software (om te kijken of je een legale versie van
Windows gebruikt?). Dat had ik gedownload, maar na het verwijderen van
het virus, moet ik dit weer downloaden alvorens een update te krijgen. (Wat
is die Windows Genuie software eigenlijk?). Of houdt het virus e.a. tegen?
31-03-2006, 13:22 door arpad
hoi posje en andere lezers

Heb vanmorgen een update gehad van windows
defender(microsoftantispyware) laten scannen maar geeft nu
RivatsA niet meer aan,dus ik denk dat het toch een FalseP
was en dat ze het zelf opgelost hebben. ja het is een beta
versie he.

grtjs Arpad
31-03-2006, 15:54 door chriz
Door arpad
hoi posje en andere lezers

Heb vanmorgen een update gehad van windows
defender(microsoftantispyware) laten scannen maar geeft nu
RivatsA niet meer aan,dus ik denk dat het toch een FalseP
was en dat ze het zelf opgelost hebben. ja het is een beta
versie he.

grtjs Arpad
lees eerst mijn posts voor je dingen herhaalt -.-

Sikkes. Ik ben een Hijackthis-helper-in-opleiding, dus heb het even
aan ''mn baas'' gevraagd ;)

Greetz chrizz
31-03-2006, 20:08 door Posje
Door chriz
Hoi :)

1)Start hijackthis en vink de volgende regels aan, Klik vervolgens op
fix checked.

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName
= Koppelingen

Als het werkelijk een Trojan-rivarts zou zijn,Zou deze regel er moeten
zijn:

O4 - HKLM..Run: [Zsys] C:WINDOWSSYSTEM32zsys.exe

Die staat er niet, Dus het is zeer waarschijnlijk een false-positive.

2)Doe voor de zeker heid dit nog eventjes:

Download, installeer en update de free trial versie van Ewido anti-malware.

Tijdens de installatie, onder "Additional Options", haal je de vinkjes weg
bij "Install background guard" en "Install scan via context menu".
Als je Ewido voor de eerste keer start, zal je een foutmelding
krijgen "Database could not be found!". Deze melding is normaal. Klik
op "OK".
In het hoofdscherm van Ewido, klik je op "Update" in het linkse menu, en
vervolgens op de knop "Start update".
Als de updates gedaan zijn, zal er in de statusbalk beneden staan "Update
successful".

3Run ewido, Run een Full system scan En bewaar het rapport

Post de Rapporten-->logjes Van:

''Hijackthis''
''Ewido''


Greetz chrizz
_____________________
Beste Chrizz,

Ik heb het zelfde als arpad ook een update uitgevoerd van Windows
Antispyware. Nu geeft hij RivartsA bij mij ook niet meer aan. Nu heb ik voor
de zekerheid de drie regels (zoals je hebt opgegeven) in Hijackthis gefixd
(wel een backup gemaakt). Opnieuw een scan gedaan met Hijackthis.
Deze drie regels komen niet meer voor. Ik ben niet zo bekend met dit
programma. Wat houden deze drie regels in ???. Wat doen ze ??. Had ik
ze wel moeten verwijderen ??. Of moet ik ze weer terug zetten ??

Groetjes
31-03-2006, 20:55 door chriz
Hoi Posje..


Deze 3 regels zijn de Over bodige, Startpaginas,

Dit zijn 2 v/d regels:

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page=

Dit zijn dus je startpagina regels, die niet nodig zijn, en er kan ook verder
niks gebeuren wannneer je die aanvinkt, Een backup is dus ook echter
niet nodig geweest.

Heb je de Ewido Log nog?
Of wil je dat dan nog doen, Omdat ik er wel zeker van wil zijn.

Greetz chrizz.
01-04-2006, 20:02 door Posje
Door chriz
Hoi Posje..


Deze 3 regels zijn de Over bodige, Startpaginas,

Dit zijn 2 v/d regels:

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page=

Dit zijn dus je startpagina regels, die niet nodig zijn, en er kan ook verder
niks gebeuren wannneer je die aanvinkt, Een backup is dus ook echter
niet nodig geweest.

Heb je de Ewido Log nog?
Of wil je dat dan nog doen, Omdat ik er wel zeker van wil zijn.

Greetz chrizz.


_________________
Hoi Chrizz,

Oke, dan hoef ik mijn eigen niet druk te maken dat ik verkeerds heb
weggehaald.

Ik zal zondag of maandag ewido downloaden, en het logje hierop
plaatsten. Ik ben namelijk ook wel nieuwsgierig. Ik weet niet waar ik het
kan downloaden, maar ik zoek het wel even. Bedank voor al jou moeite

Groetjes
01-04-2006, 20:31 door Anoniem
kan je hier downloaden

http://www.ewido.net/en/download/

grtjs
02-04-2006, 15:00 door G-Force
Houd er wel rekening mee, dat elk virus of Trojan die je op
je computer vindt, je eerst System Restore moet
uitschakelen. Als een dergelijke malware wordt
geïnstalleerd, dan maakt System Restore een herstelpunt en wordt er gewoon een kopie opgeslagen van het viraal bestand. Zou men weer gaan scannen, dan wordt er weer een virus gevonden.

Bij elke ontsmetting het volgende doen op Windows XP:

1. System Restore uit doen
2. Scannen
3. Opruimen
4. System Restore weer aan doen.

Als je meer informatie nodig hebt hoe deze Trojan te verwijderen dan verwijs ik naar de onderstaande pagina van Symantec alwaar een uitgebreide ontsmettingsprocedure beschreven staat.

Ga daarvoor naar [url=http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.rivarts.html] deze pagina van Symantec[/url]
05-04-2006, 22:18 door chriz
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.