Trojan Horse op mijn eeepc in Iran

[kooistra_za]

Vrolijk steek ik mijn usb overal in.
Tot nu aan toe ging dat nog heel goed.
AVG free deed het heel aardig.
Het meldt een Trojan Horse. (clicker en online game...)
Het paard kan niet verwijderd worden, het zit namelijk in de windows/sys32/...
Onze eeepc 901 heeft een flash geheugen van 12 gig. Geen CD drive en ik kan dus niet simpelweg de windos CD er in doen.
Wie heeft er voor ons een oplossing? Zoeken op internet is lastig want de boel is erg traag.

Groeten remco en petra
www.voorbijdepolders.nl

[Reboli]

Had je een Linux-variant moeten kopen

Nee, je zult moeten beschrijven wat de naam is, wat het doet en wat het geïnfecteerd heeft. Deze beschrijven is gelijk met te veel Trojans om iets mee te kunnen.
Succes!

[VoorheenRJ]

Die CD-ROM had je natuurlijk achteraf gezien op USB moeten zetten... Of een netbook kiezen waar wél goed Mac OS X op kan.

Wat je nu kunt doen is eens proberen of dat alsnog kan.
Of bijvoorbeeld eens proberen of het met een betaalde anti-virus kan.

[kooistra_za]

Achteraf is achteraf, daar heb ik nu niet veel aan.

Toch bedank voor de moeite.

remco

[Nessie]

Hoi,

Zit er geen herstelpartitie op of heb je de Linux uitvoering en achteraf XP geïnstalleerd?

Ik heb zelf een bootable usb stick gemaakt en zo XP op mijn asus 900 geïnstalleerd. Daarna met Ghost een image getrokkken zodat ik in dit soort noodgevallen eenvoudig de boel kan herstellen. Maar ja in Iran lijkt mij dit een beetje moeilijk om uit te voeren.

Weet je wel de naam van het virus welke gevonden is? Ik wil eventueel wel voor je kijken of ik een tool kan vinden waarmee het virus misschien nog te verwijderen valt.

http://www.free-av.de/ is ook nog een optie om je pc te laten scannen.

[VoorheenRJ]

Het meldt een Trojan Horse. (clicker en online game...)
Het paard kan niet verwijderd worden, het zit namelijk in de windows/sys32/...

Ik keek nog eens naar de tweede zin van deze quote. Want dat is natuurlijk onzin. Alles wat er gebeurt op een computer, is a.d.h.v. regels code. Die code kan gemanipuleerd worden, vandaar de Trojan. Maar ook die Trojan kan natuurlijk weer gemanipuleerd worden, oftewel verwijderd/ongedaan. De vraag is alleen, zoals Nessie aangeeft, of er een makkelijkere manier voor is.

Als je precies weet welke van de >250.000 Windows-malware het is, kan naar de oplossing gezocht worden.

Overigens zou een ghost wel zo geïnstalleerd kunnen worden. Dat mag geen enkel probleem zijn. Alleen jammer dat dat met een Windows-aanschaf op voorhand niet bedacht is... Maar er zijn zoveel mensen die daar geen rekening mee houden.

Voor onderweg is wellicht Ubuntu Mobile beter geschikt met al die verschillende computers en netwerken waar (indirect) contact mee wordt gemaakt. Dat scheelt je het oppassen voor de > 250.000 Windows-malware. En het lijkt me dat er ruim voldoende goede software voor is, die gewoon via het installatieprogramma geïnstalleerd kan worden.

[kooistra_za]

Ik heb verschillende programma los gelaten op mijn comuper. Per programma komen er verschillende bugs naar boven. Wel zittten ze in dezelfde files. zie onderstaand.

AVG meldt af en toe de Trojan Horse OnlineGames_r.x

remco


ScanSpyware 3.9 (Build 1.9)
===========================

Scan Log created at: July 13, 2009 [10:39:30 AM] (GMT+04:30)

Platform: Microsoft Windows XP Home Edition Service Pack 3 (5.1.2600)
MSIE: Internet Explorer 6.0.2900

Unique App Id: C35CEB1B-F341677C-5413838F-2732D37D
Last Updated: July 12, 2009 (12:04:40 PM)


Preferences
~~~~~~~~~~~

[ ] Quick Scan
(Fast yet Powerfull)
[X] Deep Scan
(Recommended)
[ ] Custom Scan
(Be Selective)

[ ] Remove threats automatically after every scan.
[X] Create a 'Restore Point' before removing threats.
[X] Always send found threats to quarantine.
[X] Create a log-file automatically after every scan.
[ ] Launch app at Windows startup
[ ] Start scan when app starts
[ ] Scan in silent mode
[ ] Close app after completing scan


Scan Summary
~~~~~~~~~~~~

Processes scanned: 49
Processes detected: 0
Cookies scanned: 23
Cookies detected: 0
Directories scanned: 9327
Directories detected: 0
Files scanned: 136831
Files detected: 8
Registry entries scanned: 157615
Registry entries detected: 10
Total objects scanned: 303845
Total objects detected: 18
Total objects removed: 0
Elapsed Time: 00:10:21


Scan Report
~~~~~~~~~~~


[Object Type : File]
--------------------
C:\AUTORUN.INF - (688d041cbeba096f19b498d93a2c376a) - (Action to be taken : Quarantine) - belongs to "Cekar.D"
D:\AUTORUN.INF - (4456e37c9153bd954f0e17d9b9908427) - (Action to be taken : Quarantine) - belongs to "Cekar.D"
C:\WINDOWS\system32\FSP32.exe - (56934b4cb50438e214186e27e4147bc7) - (Action to be taken : Quarantine) - belongs to "Autorun.BAA"
d:\kazme__gheyz.exe - (56934b4cb50438e214186e27e4147bc7) - (Action to be taken : Quarantine) - belongs to "Autorun.BAA"
C:\WINDOWS\system32\nmdfgds0.dll - (815fda95c45e2187f9961991ed368f7b) - (Action to be taken : Quarantine) - belongs to "Worm.OnlineG.AB"
C:\WINDOWS\system32\olhrwef.exe - (7d1c0b37ed51e7ab7bbef5c68ebd7568) - (Action to be taken : Quarantine) - belongs to "Worm.Autorun.A"
C:\WINDOWS\system32\service.exe - (56934b4cb50438e214186e27e4147bc7) - (Action to be taken : Quarantine) - belongs to "Gaobot.AO"
C:\WINDOWS\virus.exe - (56934b4cb50438e214186e27e4147bc7) - (Action to be taken : Quarantine) - belongs to "Autorun.BAA"

[Object Type : Registry Key]
----------------------------
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WIN32CM - (Action to be taken : Quarantine) - belongs to "Autorun.BAA"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WIN32CM - (Action to be taken : Quarantine) - belongs to "Autorun.BAA"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN32CM - (Action to be taken : Quarantine) - belongs to "Autorun.BAA"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32CM - (Action to be taken : Quarantine) - belongs to "Autorun.BAA"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WIN32CM - (Action to be taken : Quarantine) - belongs to "Autorun.BAA"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32CM - (Action to be taken : Quarantine) - belongs to "Autorun.BAA"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\HIDEPROC - (Action to be taken : Quarantine) - belongs to "Clicker.VB"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HIDEPROC - (Action to be taken : Quarantine) - belongs to "Clicker.VB"

[Object Type : Registry Value]
------------------------------
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, cdoosoft - (Action to be taken : Quarantine) - belongs to "Worm.Autorun.A"

[Object Type : Registry Data]
-----------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue [0] - (4,4,1) - (Action to be taken : Quarantine) - belongs to "Agent.PPB"

------------------------- End Of File -------------------------

[VoorheenRJ]

ScanSpyware.net zegt dat je met hun trial i.i.g. iets kunt verwijderen. Dat zou dan wellicht een gratis optie zijn. Ik ben altijd wat huiverig voor dat soort dingen. Je zou i.i.g. de aangegeven locaties/bestanden/registry values kunnen verwijderen en kijken of dat helpt. In dit geval voor Worm.Autorun.A.
Hier hebben zij info over Autorun.BAA.
GaoBot.AO verwijderen staat hier uitgelegd.
Cekar.D verwijderen staat dan weer hier uitgelegd.
Clicker.VB
Agent.PPB
Worm.OnlineG.AB

Overigens weet ik niet wat het C- en wat het D-station is, maar het ziet er naar uit dat het dus op meerdere stations is. Nou, tijd voor de grote schoonmaak!

[Reboli]

Als je de bestandsnamen opschrijft in veilige modus opstart, zou je in staat moeten zijn om die rommel weg te kunnen halen. (het is een gok)

Succes en sterkte.

[andre@home]

Dit stappen plan?
http://www.hijackthis.nl/computerschoonmaken.html
Het log even opslaan.

Op dit forum kun je ook nog het log plaatsen en om advies vragen:
http://forum.computertotaal.nl/phpBB2/v ... m.php?f=15

"Zelfanalyse" log testen op:
http://www.hijackthis.de/en

PS: ik zou niet gokken..... dit vereist een gestructureerde aanpak... anders doet je netbook het straks een poos niet... niet handig onderweg....

[kooistra_za]

Inmiddels zijn we in Oezbekistan.

Dank je voor de tips en ik ga verder klooien.
Opstarten in de velige modus kan niet meer. En een expert zei dat ik flink in de penarie zit met deze zooi.

remco

[Wit]

Hoi Remco,

Leuk ben je lekker aan het fietsen...krijg je deze stress.
Hopelijk steek je er niet al teveel tijd in en geniet je nog van het fietsen.

Blanche

[Reboli]

Inmiddels zijn we in Oezbekistan.

Dank je voor de tips en ik ga verder klooien.
Opstarten in de velige modus kan niet meer. En een expert zei dat ik flink in de penarie zit met deze zooi.

Kan dat ding starten van USB?
Wat dan ook mogelijk is, vragen bij een PC/IT-boer of hij je data eraf wil halen (back-up), schijf schoon wil vegen en opnieuw WinXp wil installeren. Desnoods een engelse versie. Dat backuppen en wissen wel met iets anders dan windows
Goede reis desondanks.

[kooistra_za]

Hey allen,

Blanche, we gennieten nog zeker hoor. We wachten in Samarkand nog een week totdat we Tadjikistan in kunnen. 3 aug gaat ons visum in. We gaan niet meer naar Tashkent, want we gaan geen visum voor China aanvragen. Gister heeft de dobbelsteen India aangewezen.
Voor de karakoram moeten we toch 150km met de bus in China en vliegen vanuit pakistan naar India.
Tibet is geen optie (al onze gear is op tibet afgestemt, haha)
De Taklamakan: we zijn niet geschapen voor de woestijn, bleek ik Turkmenistan
En het aanvragen van het chine visum is pain in the ass. (per dag mogen er 5 naar binnen, de guard betalen om op de lijst te komen, vervolgens iets regelen via een chinees toeristen buro en 140 ipv 40 dollar betalen.

We kiezen ervoor om lekker door lekker rustig India te fietsen naar NEpal.

En we hebben nog een week om de pc op te schonen. De laptop in een internetcafe aansluiten doen ze hier niet, maar gelukkig is er een wifi cafe met echte koffie/ espresso vanuit een machine, die gister nog werkte maar vandaag stuk is.

De lokale pc boer, ik weet het niet hier, iedereen heeft verstand van alles, maar net weer niet voldoende verstand zodat ze mij blij kunnen maken met mijn pc.

Groett remco

[VoorheenRJ]

De CD-ROM van Windows kun je niet op een bootable USB-stick zetten?

[kooistra_za]

hallo allen die mij te hulp zijn geschoten,


mijn eeepc is weer in orde. de oude zooi is eraf en een nieuwe illegale windows versie staat erop.
Leuk om in al die kleine pc reparatie zaakjes te komen in Samarkand. In een hokje van 5 bij 5 staan wel 7 pc en een mannetje of acht die wat heen en weer loopt.
garantie krijg ik van die kerel in Turkmenistan, Oezbekistan, Rusland, Kirgizie en Tadjikistan. Nou het zal me benieuwen wat ons te wachten staat in India.
Volgens een log is hij er van vier in de middag tot drie uur in de nacht mee bezig geweest.....
nog tot maandag wachten: dan op naar Tadjikistan!!!

groeten remco
www.voorbijdepolders.nl

[sonali]

Gefeliciteerd!

en voor je nu weer je usb stick overal insteekt... Dat kan, maar...

voordat je de stick verwijdert uit de pc, even formateren, wachten op het bericht dat de stick gefomateerd is en floep, de stick met alle macht eruit trekken.

Zo werk ik nu al een jaar of twee en tot dusverre is alles nog in orde.
Groetjes,
Ali