Archief - De topics van lang geleden

Trojan Win32Bagle

02-11-2006, 08:01 door Chielke, 64 reacties
Ik draaide een scan met zowel Etrust als Bitdefender en
ontdekte dat ik geinfecteerd ben geworden met het WIN32Bagle
email worm/Trojan/virus en de JS. Trojanloader
Het dook op in documents and settingsuser/mydocuments/identities/{013232

Ik probeerde er al te komen door logischerwijs het pad te volgen en in explorer in te typen, maar kennelijk werkt dat niet zo bij windows zoals in linux.

Ik ben gewend met pclinux te werken en ben momenteel
gedwongen met WindosXP te werken.

Ik kan totaal geen wijs uit de configuratie in de zin van hoe kom je in
Local user en hoe het handmatig te verwijderen.

Ik ben al in mn veilige modus geweest, maar behalve een
aantal icoontjes, waaronder mycomputer die me nergens heen leiden en een aantal
dingetjes in start waaronder controlpannel waar ik geen moer aan heb, belandt ik in een visieuze circel.

Kan iemand dit mij stap voor stap uit leggen of een site
geven waar dit uitgelegd staat.
Alle hulp is welkom en wordt enorm gewaardeerd.

Een gefrustreerde computteraar
Reacties (64)
02-11-2006, 08:31 door Anoniem
Check de site van etrust en bitdefender als hun producten het wel kunnen
opsporen maar niet automatisch verwijderen.
02-11-2006, 08:43 door Anoniem
Je klikt op start.
je klikt dan met je rechtermuis knop op "Deze Computer"
Dan klik je helemaal onderaan op "Eigenschappen"
Dan zie je de tabblad "systeemherstel" klik daar op.
Je vinkt de volgende aan "systeemherstel op alle/deze station(s)
uitschakelen" aan.
Nu klik je op toepassen.
en daarna op "OK"
Nu herstart je je pc en tijdens het herstarten klik je op F8.
Na het ladne kom je in een zogenaamde dos menu.
Klik daar op de volgende "Opstarten in veiligmodes"
Als windows geladen is kun je gaan scannnen op mischien achter
gebleven virussen/trojans/wormen/spy en of adware
Na het scannen kun je gewoon weer je pc herstarten en via de bovenste
uitleg je systeem weer aan doen gewoon weer uitvinken.
02-11-2006, 08:44 door Anoniem
Draait er niet continu een virus programma op je PC?(Realtime)
Want eigenlijk lees ik dat je er een paar onlinescanners op losgelaten
hebt.
Ik zou naar http://www.avast.com gaan en daar is zo een free progje te
downloaden wat op die Trojan scant.Download duurt 5sec.
Met het programma Free Avast4Home 4.7 (realtime) vind je hem
zeker.Maar wel in de opstart scan."on acces"
Maar dan moet je absoluut geen andere realtimescanner
op je PC hebben.
In andere omstandigheden zou HijjackThis een oplossing zijn,
maar je zegt zelf dat je er weinig van af weet.Dus nog niet doen.
Nog eentje dan, Installeer Spybot Searh&Destroy,en laat die eens
draaien in de basismode.Dus nog niet in de geavanceerde mode,
want voor je het weet maak je fouten.
Er zijn nog legio programma"s maar ik zou eerst het kleintje van
Avast is proberen,want dat kan ook werken met realtimers.
02-11-2006, 08:49 door Chielke
Alvast hartelijk dank allemaa voor de snelle reacties...wow.
Ik ga alvast aan het dokteren en get back to u als ik het
opgelost heb, of andere vragen heb hier over.

Oja ,mn eigen scanertje is AVG antivirus die op mn computer staat
Groetjes Chielke
02-11-2006, 10:02 door Anoniem
hoe kom je in Local user

Dit komt omdat je bestanden verborgen zijn en je ze alleen zichtbaar hoeft
te maken. Je kan dit doen onder windows explorer met de (windows knop
+ e) ga dan na extra en dan map opties.Ga na dan na het selectie pad
weergave en kom je bij geavanceerde instellingen.Vink hier in "de inhoud
van systeem mappen" aan en scrol na onder.Dan zie je nog "verborgen
mappen en bestanden" vink deze ook aan. Klik dan op de knop op boven
op allemappen toepassen vervolgens rechts onder op toepassen. En op
ok.

Wanneer je nu explorer opent zie je elke keer de verborgen bestanden
erbij.Je kan dit ook onder ms-dos doen en type je gewoon c:dir/a/x
02-11-2006, 10:06 door Chielke
Door Anoniem
Check de site van etrust en bitdefender als hun producten
het wel kunnen
opsporen maar niet automatisch verwijderen.


Dat is het hem juist...het laat zich niet verwijderen.
Het blijft zich kopieren kennelijk.
Vandaar mijn vraag hoe kan ik dit handmatig verwijderen.
ik weet dat je ergens in HKEY_Local moet zijn of zo...maar
hoe kom ik daar?

Het syseem is zo opgezet dat als het goed loopt, dan is er
geen vuiltje aan de lucht, maar wee als je een probleem
hebt. dan kost het, of geld, of een jaar aan zoeken.
02-11-2006, 10:16 door Anoniem
Door Chielke
Door Anoniem
Check de site van etrust en bitdefender als hun producten
het wel kunnen
opsporen maar niet automatisch verwijderen.


Dat is het hem juist...het laat zich niet verwijderen.
Het blijft zich kopieren kennelijk.
Vandaar mijn vraag hoe kan ik dit handmatig verwijderen.
ik weet dat je ergens in HKEY_Local moet zijn of zo...maar
hoe kom ik daar?

Het syseem is zo opgezet dat als het goed loopt, dan is er
geen vuiltje aan de lucht, maar wee als je een probleem
hebt. dan kost het, of geld, of een jaar aan zoeken.


Gewoon zoals ik bovenaan melde als je systeem herstel uit doet en
daarna opnieuw opstart en tijdens het opstarten op F8 blijven drukken
totdat je een piepje hoord dan komt het allemaal wel goed,
02-11-2006, 10:18 door Anoniem
Volg de aanwijzing van gabbamonk nou maar.
02-11-2006, 10:27 door Chielke
Door Beukenoot
Volg de aanwijzing van gabbamonk nou maar.


gedaan, maar de scanners blijven het vinden. ooh en avast scant geen folders.
02-11-2006, 10:33 door Anoniem
uuhm even voor de duidelijkheid heb je nu toevallig een online scan
gedaan of gewoon via buroblad,wan als het goed en je hebt in
veiligmodes opgestart dan moet de virus in princiepe gewoon grof gezegd
dood gaan.
Zoniet dan staat denk ik je internet nog aan en/of heb je in de optie de
verkeerde keus gemaakt.

Download anders deze even [url=http://www.free-av.com/]antivir[/url]
02-11-2006, 10:48 door SirDice
Doe je zelf een plezier en download stinger bij McAfee of
een verwijdertool bij Symantec.

Als je echt wil kun je daar ook de handmatige verwijder
acties vinden.
02-11-2006, 10:50 door Anoniem
Waneer je start run regedit.exe gaat. En dan na :

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExp
lorerRunMRU]

Staat hier iets van een exe met betrekking tot WIN32Bagle.exe??Of een
andere rare applicatie die je niet kent?
02-11-2006, 10:58 door SirDice
MRU zijn alleen de dingen die je ziet als je aan een dropdown (je weet wel, zo,n pijltje naar beneden, naast een invoerveld) zit. Heeft helemaal niets te maken met dingen die automatisch starten..

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent versionrun

Moet je hebben..
02-11-2006, 11:33 door Anoniem
Oeps thx voor de correctie SirDice! :D
02-11-2006, 12:12 door Chielke
Allereerst heel erg bedankt, sirDice en Beukenoot, voor de
scanners en Koekie voor de weg naar HKEY, met de correctie
van SirDice :)
en GabbaMonk voor de duidelijke stap voor stap uitleg en het
geduld.

Na al de scans gedraaid te hebben van de door jullie
aanbevolen geinstalleerde scanners vond ik niets meer,
tevens in beide paden, HKEY.

Alleen toen ik de online scan van Bitdefender draaide waren
beiden trojans WIN32Bagle en JSTrojan loader nog gewoon daar
in: documents and settingsuser/mydocuments/identities/{013232.
wat moet ik hier mee?

Ik ben in zowel de veilige modus met als zonder internet
mogelijkheden geweest. ik heb gepoogt de verborgen bestanden
te openen, maar een (windows knop + e) alsmede de Extra
functie in Explorer kan ik niet ontdekken.
Wat is het comando om MSDOS te openen in Run? zodat ik dat
alsnog met ms-dos doen en gewoon c:dir/a/x kan typen zoals
Koekie me voorstelde.

Groetjes chielke
02-11-2006, 12:22 door SirDice
MS-DOS is al tijden history.. Maar je bedoelt waarschijnlijk een commandshell..

Start - Run.. cmd.exe

Nederlandse versie:
Open Mijn Computer - Menu Extra - Map Opties - Tabblad Weergave - Verborgen bestanden en mappen.

Engelse versie
Open My Computer - Menu Tools - Folder Options - Tabblad View - Hidden files and folders.

Overigens lijkt het er op dat er nog wat rommel in de tijdelijke internet bestanden zit.. Via Internet Options kun je je cache en je history legen.. Waarschijnlijk is het dan weg.
02-11-2006, 12:32 door Anoniem
Door SirDice

Overigens lijkt het er op dat er nog wat rommel in de tijdelijke internet
bestanden zit.. Via Internet Options kun je je cache en je history legen..
Waarschijnlijk is het dan weg.


Je kunt er tevens ook
[url=http://www.filehippo.com/download/a84967a18d47830bf25f1faffc169b
cb/download/]ccleaner[/url] gebruiken om je cashe en history te verwijderen.
en anders kun je alijd nog
[url=http://www.trendmicro.com/hc_intro/default.asp]hierheen[/url] om je
probleem op te lossen.
02-11-2006, 15:14 door Anoniem
MS-DOS is al tijden history..

Ik dacht altijd dat MS-DOS deel uit maakte van windows en dat je met
cmd.exe gewoon weer terug kon in het oude ms-dos.Maar is de command
shell dan het zelfde als de /bin/bash shell onder linux?
02-11-2006, 15:37 door SirDice
Er is geen MS-DOS meer sinds NT.. Dit in tegenstelling tot windows 3.x en windows 9x waar windows, simpel gezegt, een schil om dos heen was.. Je had DOS nodig om windows te kunnen starten. Dit is met NT geheel veranderd.

En ja, onder NT systemen, is een command shell (cmd.exe) vergelijkbaar met bash, sh, ksh, csh etc.. onder *nix.
02-11-2006, 18:10 door Anoniem
Nu begrijp ik ook waarom bash programering nu geen hype meer is :)
02-11-2006, 19:06 door Chielke
Door gabbamonk
Door SirDice

De rommel in de tijdelijke internet
bestanden is opgeruimd, via Internet Options
Tevens ben ik ook naar beide andere mogelijkheden geweest
om mn
probleem op te lossen.
en na alle, danwel niet online c.q geinstalleerde virus en
trojan scans, handmatige paden en veilige modi af te zijn
geweest, waren beide Trojans nog altijd trouw van de partij.
Ik ben er mee bezig sinds 10.30 deze ochtend.

Ik heb een hoop geleerd, maar bovenal

Lang leve Microwave Windhoos. Wat een Rag systeem!!!

Ik geef 't op.
Geef mij 200.000 keer liever pcLinux of suse of zelfs Ubuntu

Maar toch...Allemaal hartelijk dank voor het geduld en de hulp.

Groet Chiel
02-11-2006, 20:52 door SirDice
Voorkomen is beter dan genezen ;)
02-11-2006, 21:05 door Anoniem
Lang leve Microwave Windhoos. Wat een Rag systeem!!!

Daarom gebruik ik het ook als huis tuin en keuken systeem.Spelletjes
muziek luisteren en te surfen. Voor netwerk programering gebruik ik linux
03-11-2006, 10:01 door Chielke
Door SirDice
Voorkomen is beter dan genezen ;)

Tja.... ik heb een firewall en een virusscanner. en daarbij
scan ik online eens in de maand, maar als ze via je mail
binnen komen weet ik het ook niet meer. Het is echt zo lek
als een mandje.

Voor een aantal dingen wordt alleen explorer geaccepteerd,
wat misschien ook de reden zou kunnen zijn, van mijn
ongenode gast. Explorer, welke ook al onbetrouwbaar is, Dus
hoe te voorkomen Sir dice???

Daar komt bij dat ik dit systeem niet zelf heb opgezet, dus
ik ken het helemaal niet.
De laatste keer dat ik met XP werkte was 3 jaar geleden of
zo en toen had ik er al steeds ellende van.
Je kunt bijna niets handmatig, of het kost je uren en je
bent soms zomaar werk on recoverbaar kwijt!!! Waar gaat
dat over???.

Daarom gebruik ik al zo lang Linux.
Er zijn niet veel virussen voor en natuurlijk zijn er
rootkits en kun je gehackt worden, maar als home usertje
hoef je je daar niet zo druk om te maken.

Ook weet ik dat enkele open source Kernels niet allemaal
betrouwbaar zijn, maar dat geldt vooral voor de wat minder
gebruikte en gepatchte systemen. voor suse, pclinux ,
ubuntiu, knoppix en mandrake geldt dat niet zozeer en
waneer het rommelt is er binnen no time een patch.

Virusscan zit er al automatisch ingebouwd en het systeem
gebruikt niet zoveel sourses waardoor het niet zo
godvergeten traag is als XP,helemaal als je al die zware
scan prgrammas installeerd. Voor een huis-tuin en keuken
computertje is Windblows bijna onhandelbaar geworden.

Surfen en muziek luisteren kan gewoon in linux en er zijn
zelfs crossovers om spelletjes te spelen, maar verder ben ik
daar niet zo in thuis.

Ik wist dat dit het een onveilig systeem was, maar dit slaat
alles, of je de dieven in de nacht op wacht met een kop
koffie en een geopende zak voor de buit.
En erger....Je biedt ze nog een kamer aan ook!!!

Windows zou bij wet verboden moeten worden!!!
Monopolistisch spinneweb.

Maar verder nog mogelijkheden om deze mailworm c.q trojan
Loader de deur te wijzen??? Of moet ik nu opnieuw het
systeem installeren?

Helaas zit ik met een snelheid van dikke stront in een
trechter hier in de himalaya, dus pclinux downen en branden
is niet echte een optie, momenteel. zeker niet ,als je weet
dat wanneer het vuur gedooft is, de wolven komen.

Groetjes Chielke
03-11-2006, 10:48 door Rene V
PCLOS is al onderweg naar je Chiel. Ik heb het vorige week
op de bus gedaan voor je per luchtpost. Moet volgende week
zeker binnenkomen dan.

grtz,

René
03-11-2006, 10:53 door Anoniem
Als je met AVG aan blijft modderen,krijg je dat ding niet te pakken
denk ik.
Als je het goedkoop wil houden,gooi je deze er af.
Want ik had die zelfde Troyan met de pas geinstalleerde
Avast4Home zo te pakken,en het kost je niks.
Als je Avast niet kent ,is het nog niet moeilijk.
Klik op Plan opstart scan,en dan gewoon afwachten,tot hij gevonden is.
en dan stopt de scan omdat hij vraagt ,verwijderen of in de kluis.
Dit is mijn ervaring met Avast, plus dat de support goed is,en ik
weet dat je even wat knopjes moet zoeken,maar vanaf hun website
kun je gratis een skin downloaden,en dan is het helemaal makkelijk.
AVG vond bij mij lang niet alles,en die gratis scanner van AntiVir is ook
beter,maar ik zeg maar zo,ieder zijn smaak.
Enkel moet je natuurlijk ook een goede Firewall hebben.
Plus een goed realtime Spyware programma.
Als je dat allemaal hebt,zit je een eind op de goede weg want
ook je klikvermogen speelt mee.Dus geen vuile Websites.
Of lekker toch maar Linux? Sucses er mee.
03-11-2006, 10:54 door Chielke
Door René V
PCLOS is al onderweg naar je Chiel. Ik heb het vorige week
op de bus gedaan voor je per luchtpost. Moet volgende week
zeker binnenkomen dan.

grtz,

René
thnx mn bestemaat, Dat gaat een slok op een borrel schelen.
03-11-2006, 11:22 door Chielke
Beukenoot ...Bedankt man. ik ga je raad opvolgen, als laatste strohalm,
welleicht.
Ik moet voorlopig nog heel even geduld hebben voor mn
geliefde Pinguin me bereikt via de Snailmail en ik die Wind
Doos eraf kan pleuren, dus tot die tijd is het een principe
kwestie om de z.g.n indringer het rit te doen aannemen.

En ja, gelijk heb je dat je niet veilig genoeg kunt zijn in
klik gedrag, maar vuile websites, heb ik hier geen tijd voor
joh.

In ieder geval alemaal nogmaals bedankt.
03-11-2006, 12:12 door SirDice
Voorkomen is vrij simpel... Bagle misbruikt GEEN bugs in het OS, mailclient en/of de browser.. Je hebt het dus geheel aan je eigen klikgedrag te danken.. PEBKAC en niet de schuld van Windows..

Tip.. Ik neem aan dat je op je geliefde Linux ook niet constant als root ingelogd bent? Waarom doe je dat dan wel op Windows?

En nee, ik ben geen fan van de club van Ome Bill. Regelmatige bezoekers weten dat ik een FreeBSD gebruiker van het eerste uur ben. Maar afgeven op windows terwijl het je eigen schuld is vind ik gewoon te ver gaan..
03-11-2006, 14:03 door Chielke
Door SirDice
Bagle misbruikt GEEN bugs in het OS, mailclient
en/of de browser.. Je hebt het dus geheel aan je eigen
klikgedrag te danken.. PEBKAC en niet de schuld van Windows..

Mijn nederigste exuses Sir Dice. Ik heb een waardevolle les
geleerd, al kan ik me niet voor de geest halen waar ik dan
wel opgeklikt moet hebben om deze trojan binnen te halen. Ik
bezoek eigenlijk alleen trusted sites en nieuwsforums om een
beetje bij te blijven in het Nederlandsche.

Ik lees dat WIN32Bagle vooral door peer2peer sharing en het
aan klikken van urls in een email link opgelopen worden.
Maar die programma's scannen toch zelf ook op virus inhoudt?

Afgeven op windows doe ik niet alleen om dit euvel. zoals
eerder geschreven. maar je hebt gelijk als dit mn eigen
schuld is.
Neemt niet weg dat je in Linux gewoon je systeem in kan en
de Tojan e uit kan gooien zonder in een veilige modus etc.
etc. in te loggen.
03-11-2006, 14:26 door SirDice
Ik lees dat WIN32Bagle vooral door peer2peer sharing en het aan klikken van urls in een email link opgelopen worden. Maar die programma's scannen toch zelf ook op virus inhoudt?
Ik heb nog nooit een P2P netwerk gezien wat zichzelf schoonhoudt mbt virussen. Is ook niet te doen, zeker niet omdat de huidige generatie P2P netwerken geen centrale servers meer gebruiken. E-mail zou een kwestie van een instelling bij je provider kunnen zijn. Mijn ISP geeft mij de keuze om virusscanning aan of uit te zetten. Zit je altijd nog met het probleem dat virusscanners, per definitie, achter de feiten aan lopen. Het laatste nieuwe virus wordt pas herkend als daar signatures voor zijn.

Neemt niet weg dat je in Linux gewoon je systeem in kan en de Tojan e uit kan gooien zonder in een veilige modus etc. etc. in te loggen.
Single user mode nooit gebruikt?

Ik geef toe dat *nix systemen, over het algemeen, wat doorzichtiger zijn in tegenstelling tot Windows. Ik gebruik niet voor niets al jaren FreeBSD ;) Maar als je eenmaal weet hoe en waarom het werkt is alles doorzichtig, zelfs Windows..
03-11-2006, 15:24 door Chielke
Avast4Home gebruikt...die vond niets...
Zelfs antibagle geinstalleerd en ook die vond niets.
Online bitdefender scan gebruikt en onveranderd gaf ie beide
trojans gewoon nog aan.

Over hardnekkig gesproken.
03-11-2006, 15:47 door Anoniem
Heb je wel die scan gemaakt die met dat blauwe scherm?
Zo contoleerd Windows ook na een crash.
Het enige wat er staat is rechtsboven WindowsXP.
Als je dat ding in die on access mode niet vind is het programma
misschien nog niet helemaal klaar met Updates.
03-11-2006, 19:18 door Chielke
Door Beukenoot
Heb je wel die scan gemaakt die met dat blauwe scherm?
Jup gedaan en ze staan allebei nog steeds keihard op nummer
een hoor.
Dit is dus waarom ik af geef op windows, al mag het dan mn
eigenschuld zijn, alwetende voort.
En nog altijd niets te zien handmatig, al weet ik niet of ik
de verborgen bestanden toon, aangezien hij het comando van
Sir Dice in het console niet erkent.

Ik heb de optie hidden files benut en die laat verder ook niets zien, maar voor welke dreigingen moet ik nu waken op mn computer als ik
aangesloten ben op het net??? (als in Keylogging of Data
deleten? Of zelfs erger).
03-11-2006, 21:59 door Anoniem
Chielke we hebben gedaan wat mogelijk was,al moet ik zeggen
dat SirDice en ook wel anderen hier meer kaas van gegeten hebben
dan ik,als het je laatste zin betreft.
Ik zat ook maanden lang met een virus volgens http://www.safety.live.com
dat is de online scanner van windows,en iedere keer 1 virus.
Wat bleek?In het register zat iets fout.Hersteld en voila,weg virus.
Ook http://www.ewido.net heeft een goede reputatie,dus niet zo snel
de moed opgeven. En http://www.hitmanpro.nl is een optie.(deze bevat een rits
programma"s die in een kwartiertje klaar is met een run) Pas op
Dat je oplet dat het virus progje wat er bij zit niet meedraait.
Zo als dit allemaal niet lukt dan heb je HijjackThis nog,maar probeer
eerst dit maar.
04-11-2006, 00:55 door the virusman
virus ? bestaan die nog, kom er nooit meer een tegen (althans niet op
mijn pc park)
04-11-2006, 06:25 door Chielke
Door the virusman
virus ? bestaan die nog, kom er nooit meer een tegen
(althans niet op
mijn pc park)

Wat heerlijk en zo relevant ook.
04-11-2006, 09:14 door the virusman
de relevantie in bovenstaande zit in het feit dat een virus of een tojan
WIN32Bagle eigenlijk niet echt een probleem moet zijn om te verwijderen.

Het lukt jou schijnbaar niet, ik stel voor een clean install en bouw een
gedegen beveiliging op, die je pc echt beschermd en nieuwe besmetting in de toekomst voorkomt.

geen zin hierin zie : http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2005-110313-3626-99

misschien helpt dat, voor veel zaken zijn immers kantenklare removal tools

Veel werk ja, maar wel het meest betrouwbaar.
05-11-2006, 07:40 door Chielke
Ik heb alles geprobeerd nu, met de instructies die me
gegeven zijn.

Ik ben bang dat een clean install idd de enige oplossing is
Als WIN32Bagle niet echt een probleem moet zijn om te
verwijderen, virusman, waarom falen dan alle scanners en is
hij onmogelijk handmatig te vinden, dan wel te verwijderen. .

Ik heb ook jouw aan bevolen
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2005-110313-3626-99
Gebruikt, die ook niet werkte.

Clean instal dan maar ja, maar zeker niet weer met XP. ik
wacht mn linuxbrandje wel af zolang...Maar, reist nog
eenmaal de vraag...wat zijn de gevaren zolang deze trojan in
mn systeem zit? Als in Keylogging, Data verlies overname
computer etc.

Groeten Chielke
05-11-2006, 08:26 door the virusman
OK, het probleem blijkt om de een of andere manier toch serieus en
serieuze problemen vragen om een serieuze virusscanner :

http://www.nod32.nl/download/trial/ ik stel voor dat als je dit nog niet
geprobeerd hebt, even de trail versie van nod32 over je systeem laat lopen.

Is erg goed in de detectie van w32 besmettingen evenals de detectie van
ander gespuis.

ik hoor het wel.
05-11-2006, 12:04 door SirDice
Vergeet ook niet om de virusscanner te updaten, zet system
restore (systeem herstel) uit en start in safe mode. Dan heb
je de beste kans om de ellende te verwijderen.

Wat overigens ook een mogelijkheid is.. Er zouden best wat
restanten van de infectie achter gebleven kunnen zijn. Hier
en daar wat losse bestandjes bijvoorbeeld. Virus bestanden
ansich kunnen niet zo veel kwaad. Het gaat erom dat ze niet
gestart worden. Bestanden hebben gelukkig niet de neiging om
spontaan uit zichzelf te gaan starten, zelfs niet onder
windows ;)

Wat het starten van de meeste virussen betreft 99,999% start
via die HKLM run key die ik eerder heb opgegeven. Kijk hier
doorheen, virussen hebben de neiging om of een willekeurige
naam te kiezen of iets wat lijkt op iets legitiem. Kijk goed
naar het pad waar de executable staat. Tijdelijke
directories zijn normaal ongebruikelijk en is al een
indicatie dat er iets niet pluis is. Zoek de naam van zo'n
executable met google o.i.d. De meeste legitieme zul je zo
kunnen vinden. Die zijn makkelijk uit te sluiten. Alles wat
je niet vertrouwt verwijder je.
Als daar niets vreemds meer staat, herstart je weer normaal.
Controleer dan nogmaals die run key. Komt een link weer
terug dan is er meer aan de hand. Normale programma's komen
niet vanzelf weer terug, alleen tijdens een installatie.

Mocht alles niet baten en een scanner nog steeds aangeven
dat er iets mis is moet je hier de exacte melding (virus
melding?) en het pad/executable posten. Tevens ben ik ook
wel benieuwd waarom het (handmatig) verwijderen niet lukt en
welke meldingen je dan krijgt..
Zo moeilijk is dat gekke windows niet, zeker niet om een
simpel virusje te verwijderen.

Overigens zie ik dat er een streng Bagle varianten zijn die
een parasiet bij zich hebben.. Het moet niet gekker worden,
een met een virus geïnfecteerde worm.. Daarom is het ook van
belang dat je meldt welke virusscanner, welk virus/worm
heeft gevonden. De letters geven meestal een specifieke
variant aan, helaas gebruikt niet elk antivirus product
dezelfde naam/variatie. En afhankelijk van de variant zijn
er wellicht andere methoden nodig voor desinfectie.
05-11-2006, 13:01 door Anoniem
Al moet ik zeggen dat hier SirDice en anderen hier meer kaas van
gegeten hebben dan ik.
En Voila ,de hoge hoed van SirDice bevat meer dan Duiven en
Konijnen.
Zonder iemand te kort te doen,elke keer dat ik in dit forum alles
uitpluis,dan leer ik en misschien ook anderen hier meer van.
Ik heb hier stapels boeken over liggen,maar als hier een specifiek
probleem aan de orde is,heb ik liever die hoge hoed en de ervaring
van anderen,hoe die dat oplossen.
Toch zag ik zelf ook nog een interessante optie,nl de online scanner
van Kaspersky of een trial periode van een maand.
Immers Kaspersky is toch overall the best? Try it.
Of schiet Beuk mis voor open doel?
05-11-2006, 13:34 door the virusman
Beukenoot, ik vindt Kaspersky ook een goede virusscanner echter eset
(nod32) staat aan de vooravond van het uitbrengen van de definitieve
versie 2.7 de vierde generatie virusscanner van hun nod32.

Deze scanner kan beter overweg met de steeds op een slimmere manier
geschreven wormen rootkits,virussen enz. en bevat antistealth technologie
voor rootkit detectie.

Toevallig hoorde ik deze week van iemand met ook een zwaar besmette
machine (hier stond norton 2003 op) men had hier na verwijdering van
norton kaspersky over laten lopen en deze vond weinig.

Na aandringen van mij is er toen nod32 overheen gedraaid, dit gaf een
stortvloed van virussen die er nog opstonden, false positives?? mijn
ervaring is van niet. het systeem draaide daarna gewoon als een zonnetje.

Ik ben benieuwd of Chielke als hij nod32 intalleerd nog iets kan vinden en
verwijderen, want vinden alleen is natuurlijk niet genoeg.

PS : het genoemde door SirDice, safemode en update virusdefs is natuurlijk zeer belangrijk
05-11-2006, 14:32 door Chielke
virusscanner is update system-restore uit en opgestart in
safe mode. nadat nog altijd hetzelfde Daar heb ik alle
scanners nomaals gedraaid en die vinden niets.
Ook de optie van De Virusman
http://www.nod32.nl/download/trial/ geprobeerd.
En later heb ik de Bitdefender Bullguard er op los gelaten
die los is op Win32Bagle.

Daarna de
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent
versionrun leeg gemaakt voor zover mogelijk...ook staat
daar verder niets verdachts.
Ik weet niet of het restanten zijn, zou kunenn na al die
scans he?

Het pad dat de online bit defender scan aangeeft is nog
steeds C:/Documents and settingsuser/My
documents/identities/{013232. is dat ook het pad/executable???
Das namelijk alle info die ik er over heb.

Maar als ik daar handmatig heen explore, staat daar niets.

De Bagle variant is: WIN32.Bagle.H@mm met JS
.Trojan.downloader.Zerolin. B

Veder krijg ik geen meldingen als ik handmatig aan de gang
wil want hij is niet te vinden.

Ook de andere scanners vinden niets, alleen na alles gedaan
te hebben vind online Bitdefender nog altijd alles op de
zelfde plaats.

Maar wat kan er gebeuren SirDice, Virusman???zolang deze in
mn systeeem zitten?

Ik neem aan dat het nu vermoeiend wordt voor jullie, maar
neem aan, hier is het erger, haha
In ieder geval bedankt allen.
05-11-2006, 17:06 door the virusman
De feiten,

*we praten over vervelende besmettingen maar niet over een besmetting
die niet te verwijderen zou moeten zijn.

*verschillende goede scanners zien de besmetting niet en zouden deze
echt wel opmerken, gezien deze al weer even rond dwalen.

in mijn opinie hoef je je dus niet echt druk te maken, kies nu wel voor een
goede scanner en laat het dan bij deze.

En ja een clean install blijft het beste maarik vindt dit zelf ook niet altijd een
fijne oplossing gezien de tijd die het in beslag neemt.
05-11-2006, 23:13 door Anoniem
the virusman:
Dat van Kaspersky had ik net op hun site gelezen,dus als voorstel
hier gepost.
En je weet toch dat ik hier dat NOD32 schijfje heb.
Dat gaat niet in deze,maar een andere computer,die ik helemaal
dicht timmer met wachtwoorden.
Ik heb er dan een voor mezelf,dus hoef ik geen 3uur te wachten
omdat de vrouw zonodig plaatjes moet zoeken en printen.(Knipvellen)
Om niet te vergeten ben ik vanmiddag bij de buurman geweest,
want de PC deed weer raar. En ja hoor veel P2P werk zag ik.
Laatst van AVG voorzien,maar nu gelijk de trial van NOD32 plus de
Trial van Spysweeper. Binnen een uur hadden we Troyans en virussen.
En ik beloofde binnen de trial periode terug tekomen,of hij zegt me
hier heb je geld,haal die disks maar.Zonealarm staat er al op,
maar hij klikt altijd op allow,ja dat schiet op.Dus dat moet makkelijker.
Kijk ik doe dat ook voor mezelf,want een paar keer in de maand krijg
ik nog al wat onderbroekenlol in mijn bus van hem.Dus ik bescherm
onze PC ook.
06-11-2006, 02:17 door ctrlaltdelete
Alléén Bitdefender vindt iets?

En kijk je wel op de juiste plek in windows verkenner.
Het zou er ongeveer zo uit moeten zien:
(gebruikersnaam natuurlijk vervangen)

C:Documents and SettingsgebruikersnaamApplication
DataIdentities{12A34567B-C345-123A-6755D-13D456A897B}

C:Documents and SettingsgebruikersnaamLocal SettingsApplication
DataIdentities{12A34567B-C345-123A-6755D-13D456A897B}
06-11-2006, 02:28 door ctrlaltdelete
Anders even in Windows Verkenner naar C:Documents and Settings en
rechtsklikken op die map, zoeken, en geef als zoekwoord ident op en
dan moet je toch echt de Identities mappen vinden.
In die mappen staat dan weer een map met zo'n vreemde bestandsnaam.
Kies dan de map die begint met {013232
Daarin zal dan iets zitten dat Bitdefender als malware ziet.

Mocht het slechts 1 bestand zijn, controleer dat bestand dan eens op http://www.virustotal.com
06-11-2006, 02:39 door the virusman
Beukenoot schreef : Zonealarm staat er al op,
maar hij klikt altijd op allow,ja dat schiet op.Dus dat moet makkelijker.
Kijk ik doe dat ook voor mezelf,want een paar keer in de maand krijg
ik nog al wat onderbroekenlol in mijn bus van hem.Dus ik bescherm
onze PC ook.

virusman antwoord :

Lol, ik zet meestal een wachtwoord op de instellingen van een firewall,
hebben ze voor elke domme actie een wachtwoord nodig, ik leg ze uit dat
dat zogenaamd voor de kids is (maar ik weet wel beter).

Wel maak ik dat al hun applicaties die moeten werken het doen natuurlijk , en dat de pc wel bruikbaar blijft.
questie van een gulden middenweg vinden.
En ik geef ze het wachtwoord, mijn ervaring is dat ze dan veel minder in de fout gaan omdat ze niet zo snel dat wachtwoord in typen dan op allow drukken.
06-11-2006, 08:50 door Chielke
Door ctrlaltdelete
In Windows Verkenner naar C:Documents and Settings gegaan,
rechtsgeklikt en een search gedaan op ident.

In de search results alleen iets genaamd cleanup

Het pad wat ik steeds gevolgt heb is: C:Documents and
SettingsuserMy
DocumentsIdentities{013232A8-8D06-46E2-8C64-F8881B225F43}

Ik heb nu met rechterklik de map door nod32 latenVoila...Hij
vond hem en heeft hem nu in qauraintaine gezet, alleen als
ik od32 nu open en de quarantaine in ga staat daat
niets...Maar ik ga er maar van uit dat et onschadelijk is
dan he.
Ik zal dit voor de zekerheid ook nog even in savemodus doen.

Bedankt weer, grz
06-11-2006, 09:24 door the virusman
Good old nod32, ik vraag me nog een ding af , toen je de eerste keer met
nod32 een scan gedaan hebt, was dat een gewone scan of een diep
gaande analyse ??
06-11-2006, 14:54 door Chielke
YEEEEAAA hij is schoon...Thnx Mensen. Het heeft me 3 dagen
gekost, maar tis gelukt.

Nog wat achterstallig info voor de Virusman:
De eerste keer heb ik een complete systemscan gedaan met
analyse 2e keer ben ik naar de map zelf gegaan en heb em zo
laten scannen, toen vond ie het wel en meer. Ook avast en
hitman pro waren succesvol nu.

Na de quarantaine de eerste keer vond nod32 de Bagle niet
meer terug. En mn systeem is ff sneller weer nu. Hierna heb
ik weer de online Bitdefender gedraaid, die kennelijk dus
zeer goed is in vergelijk met een hoop anderen en Niets!!! :-D
Geen uren her installen.
Ik moet zeggen dat ik zeer onder de indruk ben, Al is dat
hele scan circus voor Linux natuurlijk niet nodig...maja.
Daar heb ik nu nog even de beschikking niet over

Bedankt bedankt, Beukenootje SirDice, Virusman,
ctrlaltdelete, Gabbamonk, Koekie en ReneV in willekeurige
volgorde :)

Wat fijn dat er een groep mensen online is die je probleem
serieus neemt en geduld heeft met een prutser als ik :)
Security.nl heerst.
06-11-2006, 15:23 door Anoniem
NEEEE,Chielke,Ik Beukenoot kan absoluut niet in de schaduw
staan van al die anderen,al ken ik ctraltdelete en ReneV niet.
Ik kan je echter wel feliciteren met je doorzettingsvermogen.
Je moet een prima joch zijn.(of man) Groetjes van Beuk.
06-11-2006, 16:19 door ctrlaltdelete
Ik heb nu met rechterklik de map door nod32 latenVoila...Hij
vond hem en heeft hem nu in qauraintaine gezet, alleen als
ik od32 nu open en de quarantaine in ga staat daat
niets...

Het moet in de NOD32 logfiles terug te vinden zijn.
Kijk in NOD32 Virus log, als daar niets staat, kijk dan in NOD32 Scanner
log.
Er zal een logfile bij staan waar een (of meer) geïnfecteerde bestanden zijn
gevonden.
Dubbelklikken op die regel tovert het hele logbestand tevoorschijn.

Daarin kun je dan zien welke actie(s) NOD32 heeft ondernomen met de
gevonden infectie(s)
06-11-2006, 16:40 door Rene V
Issie ook.. prima jong maar geef 'm nou geen pc met Windows
want daar kan ie niks mee :P
06-11-2006, 16:52 door Chielke
Door René V
Issie ook.. prima jong maar geef 'm nou geen pc met Windows
want daar kan ie niks mee :P
Jawel hoor, voetballen, als onderzetter of tijdelijk stoel
gebruiken, het vuur mee doen oplaaien, moek doorgaan? maar
het liefst :Format C:/

Thanx Beukenoot, Tja ik sta zelf ook te kijken vann geduld,
Rene weet dat dat wel anders is geweest. En mijn gevoelens
jegens mijn virtuele hulp team zijn ok danig gegroeid in de
warme richting.

Ikzal de logs bekijken ctrlaltdelete..
06-11-2006, 19:00 door the virusman
zo zien we maar weer, voor elk probleem is er een oplossing.
07-11-2006, 10:15 door SirDice
Door Chielke
Het heeft me 3 dagen gekost, maar tis gelukt.
{...knip...}
Geen uren her installen.
Ahum... Het had je 2 dagen ellende en stress kunnen schelen ;)

Maar goed om te horen dat het uiteindelijk toch gelukt is :D
07-11-2006, 13:26 door Anoniem
Door SirDice

Ahum... Het had je 2 dagen ellende en stress kunnen
schelen ;)

Hahaha ja idd, maar wist ik veel dat je beter de individuele
mappen moest scannen...als ik een algehele scan maakte, gaf
ie immers ook die zelfde mappen al aan.
maar idd dat had me heel; wat gescheeld....naja door nod32
dan dat was de enige die ook daadwerkelijk die trojan vond
07-11-2006, 19:04 door Anoniem
SirDice.
Na het bovenstaande gelezen te hebben,dacht ik aan dat artikeltje
van een ServiceCentrum in de buurt.Die promoot een herinstallatie
voor €49.95. mits er verder niks kapot is natuurlijk.
Dus s"morgens brengen en als je in de buurt woont ,zonder kosten
dezelfde dag weer aangesloten.
Dan heb je een vrij weekend,en je kan gewoon naar je werk.
Nu heb ik makkelijk praten,want veel waardevols staat er niet op
deze PC,of het moeten vakantie foto"s zijn,die echter ook nog in de
camera zitten.
Het ligt heel anders als heel je werk opgeslagen is,en dat
is 2dagen zweetdruppels wel waard.
Ik vergeleek de prijs even zonder promotie bij een ander bedrijf.
En dat bleek €60,. te zijn.Ja zelf brengen en zelf halen.
Dat kost dus een herinstallatie,kortom ben je lui of moe,en heb je het
geld,wegbrengen! Een Virusprogramma kost net zo veel.
Maar als je werk van dagen er op staat,Dan doe je alles om dat
te behouden.
07-11-2006, 21:38 door the virusman
Beukenoot, ik heb hier gewoon een ghost backup van mijn complete
systeem, klapt de zaak gaat gewoon alles opnieuw erop, is net zohandig.

Of maken jullie geen backup dan ???
08-11-2006, 09:54 door Anoniem
Door Beukenoot
SirDice.
zelf brengen en zelf halen, gaat wat lastig vanuit de
himalaya...;)
Hier is alles net op gang aan het komen en hebben de meeste
mensen geen kaas gegeten van instaleren. Er zijn een paar
mensen die het snappen, nou ja mondjesmaat dan en die vragen
een hoop geld en dan is het meestal nog niet helemaal goed.
Vandaar dat ik met smart zit te wachten op mn linux
cdtje...gaat ook wel es wat in mis, maar de meeste dingen
snap ik daarin wel.

iig bedankt voor de tip SirDice ik weet zeker dat veel
anderen in nederland daar wel wat aan hebben. En Tja een
backup....ik heb een herstelpunt aan gemaakt...
Maar hoe een backup en een ghost image te doen, Das nog
altijd " Rene taal" voor me haha.
08-11-2006, 10:07 door Anoniem
Voor the virusman:
Ik ben toch niet gek? Mooie slogan,maar FF to the reallity.
In dit geval ging ik in op wat hier boven stond.
Geen uren herinstalleren.
En dan vroeg ik me nog af toen Avast een paar Troyans plus virus vond,
dat er 1 zo een kreng van af installationday op mijn pas geinstalleerde
PC stond.
Dus dat zit dan ook in mijn Backups,tenminste als dit de
logica is van Beukenoot.
En vanaf dag 1 dat alles er op gezet is heb ik Backups.
Kijk ik mag graag alles uit proberen,ja zoiets als robertoh..o)
En dan mag er iets mis gaan want je hebt toch die Backups.(met virus)
Of het moet zijn dat het virus in een Backup dood gaat tot hij er aan sterft!
Citaat van mij!
08-11-2006, 22:34 door Anoniem
Anoniem,8nov 09:54
Veel smarties gegeten zeker,zelf brengen zelf halen,gaat wat lastig
vanuit de Himalaya.
Dit heeft niks met niet kunnen te maken,maar omdat SirDice
zei.Geen uren Herinstalleren.
Maar ik heb soms dagen geen tijd,zoals iedereen,en toch wil je
zo snel mogelijk weer op het net als je thuiskomt.
En als je doodgegooit wordt met Folders,waarvan er 1toevallig
het Herinstalleren in de reclame heeft,ja dan gaat Beukenoot even
rekenen.
Want al eens verhuist? Niet?Nou er komt heel wat op je af,dus dan
overweeg je zoiets sneller,dan normaal.
O ja, heb je nog wat linux dozen om alles in te pakken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.