Aangetast door virus?

[musebliss]

Wanneer ik mp3 bestanden afspeel via media player stopt deze opeens en wordt er een venster weergegeven in browser met deze webpagina http://www.play-error.com/
Soms kan ik wel probleemloos luisteren maar dan opeens valt muziek terug uit met bijhorend venster...
Via winamp kan ik zelfs geen mp3's meer afspelen, deze worden precies achterste voor afgespeeld...

Gebruik de Avast antivirus 4.8... heb zo'n vermoeden dat ik besmet ben...
Kent iemand dit fenomeen?

 

[Sims]

Allereerst even dit doen (alleen stap 1 ). http://www.nucia.nl/forum/showthread.php?p=374154

Het probleem is er nog na bovenstaande methode:

Deze scanner zou ook goed zijn volgens mijn mede forumers

http://www.superantispyware.com/down...NTISPYWAREFREE (Klik op de Free Home Editie)

 

[musebliss]

Allereerst even dit doen (alleen stap 1 ). http://www.nucia.nl/forum/showthread.php?p=374154

Het probleem is er nog na bovenstaande methode:

Deze scanner zou ook goed zijn volgens mijn mede forumers

http://www.superantispyware.com/down...NTISPYWAREFREE (Klik op de Free Home Editie)

Heb een ghost image die op andere partitie stond terug gezet en ik had nog steeds hetzelfde probleem,is heel vreemd toch nadien heb ik deze stappen uitgevoerd die je me hebt aanbevolen, daarvan heb ik log hier bijgevoegd maar het heeft spijtig genoeg geen enkel positief resultaat opgeleverd...
Is dit zo een hardnekkig virus ??


Malwarebytes' Anti-Malware 1.30
Database versie: 1370
Windows 5.1.2600 Service Pack 1

6/11/2008 20:12:30
mbam-log-2008-11-06 (20-12-30).txt

Scan type: Volledige Scan (C:\|F:\|)
Objecten gescand: 116483
Verstreken tijd: 50 minute(s), 5 second(s)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)


SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 11/06/2008 at 08:55 PM

Application Version : 4.21.1004

Core Rules Database Version : 3625
Trace Rules Database Version: 1609

Scan type : Complete Scan
Total Scan Time : 00:27:56

Memory items scanned : 317
Memory threats detected : 0
Registry items scanned : 3531
Registry threats detected : 0
File items scanned : 19258
File threats detected : 16

Adware.Tracking Cookie
C:\Documents and Settings\Benny\Cookies\benny@atdmt[1].txt
C:\Documents and Settings\Benny\Cookies\benny@mediaplex[1].txt
C:\Documents and Settings\Benny\Cookies\benny@ad.yieldmanager[2].txt
C:\Documents and Settings\Benny\Cookies\benny@ad[2].txt
C:\Documents and Settings\Benny\Cookies\benny@vrt[1].txt
C:\Documents and Settings\Benny\Cookies\benny@ad[1].txt
C:\Documents and Settings\Benny\Cookies\benny@smartadserver[1].txt
C:\Documents and Settings\Benny\Cookies\benny@stubru[1].txt
C:\Documents and Settings\Benny\Cookies\benny@tradedoubler[1].txt
C:\Documents and Settings\Benny\Cookies\benny@apmebf[1].txt
C:\Documents and Settings\Benny\Cookies\benny@adopt.euroclick[2].txt
C:\Documents and Settings\Benny\Cookies\benny@revsci[2].txt
C:\Documents and Settings\Benny\Cookies\benny@doubleclick[1].txt
C:\Documents and Settings\Benny\Cookies\benny@msnportal.112.2o7[1].txt
C:\Documents and Settings\Benny\Cookies\benny@windowsmedia[1].txt

BearShare File Sharing Client
F:\PROGRAM FILES\BEARSHARE\BEARSHARE.EXE

 

[ronnie1]

'Windows 5.1.2600 Service Pack 1'

Je zou eens kunnen beginnen met Windows Update > Service Pack 2 en 3

Of heb je Vista ?

 

[musebliss]

Begrijp niet dat dit het probleem zou kunnen oplossen? heb Windows XPSP1 nu op deze ghost image maar voordien was het SP2 voor ik ghost had terug gezet?

Kan virus bvb mp3 bestanden aantasten die op andere partitie staan? Is wel vreemd dat sommige mp3 bestanden wel goed worden afgespeeld en andere opeens niet meer...

 

[ronnie1]

'Kan virus bvb mp3 bestanden aantasten die op andere partitie staan?

Hier lijkt de hulp van een deskundige nodig.

 

[musebliss]

'Kan virus bvb mp3 bestanden aantasten die op andere partitie staan?

Hier lijkt de hulp van een deskundige nodig.

Is uiteraard de reden waarom ik het hier post...ik hoop dat er mij iemand kan helpen want ben wel beetje bang dat mijn mp3 collectie volledig zou "besmet" geraken...

 

[lightframe]

Gebeurt dit met alle MP3's die je afspeelt?
Zo ja, dan kan het ook zijn dat Winamp en Mediaplayer geïnfecteerd zijn of dat er iets in het register staat waardoor die url van play-error.com ook aan MP3's wordt gekoppeld.

Zou je eens willen scannen met Prevx CSI (Nederlandse uitleg staat hier) en als Prevx CSI iets vindt, dan even posten wat er gevonden is? Niet het hele log, dat is te groot. Gewoon even overschrijven wat er in het venster staat als gedetecteerde malware.

En je kunt ook eens scannen met a-squared Anti-Malware 4.
Die heeft een zéér hoge detectie van malware én scant het register ook erg grondig.
Als er malware gevonden wordt, in quarantaine zetten en het log posten.

 

[musebliss]

Gebeurt dit met alle MP3's die je afspeelt?

Nee, niet met alle mp3 bestanden...
Ik ga doen hetgeen je aanbeveeld...

 

[musebliss]

Met eerste programma's heb ik 2 infecties, deze zijn echter afkomstig van Messenger Plus 3 dus denk niet dat dit oorzaak kan zijn... heb dit pas gisteren geïnstalleerd.
Nu probeer ik tweede software....

 

[lightframe]

Die 2e scant langzamer en zal eerst een flinke update installeren. Maar het is een zeer goede scanner dus zeker het proberen waard.

 

[musebliss]

Dit is resultaat van ander programma A-Squared :

a-squared Anti-Malware - Versie 4.0
Laatste Update: 8/11/2008 14:16:31

Scan instellingen:

Objecten: Geheugen, Sporen, Cookies, C:\, F:\
Scan archieven: Aan
Heuristieken: Aan
ADS Scan: Aan

Scan starten: 8/11/2008 14:17:47

C:\Documents and Settings\Benny\Cookies\benny@2o7[1].txt Ontdekt: Trace.TrackingCookie.2o7!A2
C:\Documents and Settings\Benny\Cookies\benny@atdmt[1].txt Ontdekt: Trace.TrackingCookie.atdmt!A2
C:\Documents and Settings\Benny\Cookies\benny@bluestreak[2].txt Ontdekt: Trace.TrackingCookie.bluestreak!A2
C:\Documents and Settings\Benny\Cookies\benny@bs.serving-sys[2].txt Ontdekt: Trace.TrackingCookie.bs.serving-sys!A2
C:\Documents and Settings\Benny\Cookies\benny@com[1].txt Ontdekt: Trace.TrackingCookie.com!A2
C:\Documents and Settings\Benny\Cookies\benny@doubleclick[1].txt Ontdekt: Trace.TrackingCookie.doubleclick!A2
C:\Documents and Settings\Benny\Cookies\benny@mediaplex[1].txt Ontdekt: Trace.TrackingCookie.media!A2
C:\Documents and Settings\Benny\Cookies\benny@mediaplex[1].txt Ontdekt: Trace.TrackingCookie.mediaplex!A2
C:\Documents and Settings\Benny\Cookies\benny@metriweb[1].txt Ontdekt: Trace.TrackingCookie.metriweb!A2
C:\Documents and Settings\Benny\Cookies\benny@serving-sys[2].txt Ontdekt: Trace.TrackingCookie.serving-sys!A2
C:\Documents and Settings\Benny\Cookies\benny@smartadserver[1].txt Ontdekt: Trace.TrackingCookie.smartadserver!A2
C:\Documents and Settings\Benny\Cookies\benny@tradedoubler[1].txt Ontdekt: Trace.TrackingCookie.tradedoubler!A2
C:\Documents and Settings\Benny\Cookies\benny@windowsmedia[1].txt Ontdekt: Trace.TrackingCookie.windowsmedia!A2
F:\Drivers\F-417\F-417_windows_2000_xp.exe Ontdekt: Trojan.Win32.AddShare.g!IK

Gescand

Bestanden: 43731
Sporen: 541290
Cookies: 85
Processen: 31

Gevonden

Bestanden: 1
Sporen: 0
Cookies: 13
Processen: 0
Registersleutels: 0

Scan einde: 8/11/2008 14:53:36
Scan tijd: 0:35:49

 

[Sims]

Laat even een expert op het gebied van virussen er even na kijken, doe daarom even het volgende:

http://www.nucia.eu/forum/showthread.php?t=12 (even 3 berichte naar beneden scrollen, daar staat ''Handleiding Hijack'' die moet je even volgen
het logje plaats je uiteindelijk hier: http://www.nucia.nl/forum/forumdisplay.php?f=38

 

[lightframe]

Ik heb 't vermoeden dat de mp3's waar problemen mee zijn helemaal geen mp3 bestanden zijn maar zeer waarschijnlijk *.asf bestanden. Ook al staat er nu .mp3 achter, dat maakt niets uit.

Mediaplayer zal niet eens kijken naar de .mp3 die het bestand als extensie heeft maar kijkt echt in het bestand en kiest ervoor om het af te spelen als een *.asf bestand.

In een *.asf bestand kan een url worden gestopt, een weblink of een link naar een bestand op het web. Zou een plaatje van het album kunnen zijn of een virus/trojan.
In dit geval opent dus play-error.com

Zeer technische info over *.asf en een url die erin gestopt kan worden die door mediaplayer wordt geopend; http://ithreats.wordpress.com/2008/08/21/summary-of-asf-file-specification/

Er is wel verdacht weinig informatie te vinden met Google over play-error.com, ik zag dat het geregistreerd is bij ESTDOMAINS en die staat bekend voor de registratie van zeer veel malware verpreidende websites (laatste info). Het IP-adres van play-error.com verwijst naar Singapore en er is geen enkel verband met die website en Microsoft, de website play-error.com is geregistreerd door het bedrijf Lacky Ventures in Bangkok.

De logs van Prevx CSI en a-squared Anti-Malware zijn mooi schoon, op wat adware na, dus je systeem is niet besmet, het zijn de muziekbestanden zelf die het probleem veroorzaken c.q. de webpagina openen.

In de bovenvermelde technische link kun je zien hoe je een *asf bestand kunt herkennen ook al staat er .mp3 achter en hoe je kunt zien welke link erin zit.


Vond nog een linkje met wat Nederlandse info; http://www.security.nl/artikel/19073/Trojaans_paard_infecteert_MP3_en_videobestanden.html

 

[lightframe]

musebliss kun je mij zo'n "mp3" die die website tevoorschijn tovert mailen of ergens uploaden zodat ik 'm weer kan downloaden? Zal dan even kijken welke link er precies in staat, en dan weten we het ook 100% zeker.

 

[musebliss]

musebliss kun je mij zo'n "mp3" die die website tevoorschijn tovert mailen of ergens uploaden zodat ik 'm weer kan downloaden? Zal dan even kijken welke link er precies in staat, en dan weten we het ook 100% zeker.

Thanks voor hele nuttige info. Stuur maar een mailtje naar dusbaba4@hotmail.com en ik stuur je een "bad" mp3 bestand...
Alvast bedankt voor hulp...

 

[lightframe]

Heb een "mp3" van je ontvangen en bekeken.

Het is inderdaad een *.asf bestand.
Zoals je op die pagina met technische info kunt zien begint zo'n bestand met een object GUID. Voor een asf bestand is dat de volgende;

Die staat ook in de "mp3" die ik ontving;

Verderop in de code zie je de urlandexit die verwijst naar hasvideo.net?t=46
En die linkt op dit moment automatisch door naar play-error.com

Je kunt die code in bestanden makkelijk bekijken met FileAlyzer, gemaakt door de jongens van Spybot Search & Destroy

Men kan een link in zo'n asf bestand niet steeds veranderen wanneer het bestand eenmaal op je computer staat. Maar.... men kan natuurlijk wel de pagina of het bestand waar de link naar verwijst elke minuut veranderen zodat er bijvoorbeeld automatisch een (malware) bestand wordt gedownload. Nu is het dus hasvideo.net?t=46 waar ze van alles aan kunnen plakken om het zo maar te noemen.


Wanneer de optie in Media Player om die "urlandexit" uit te voeren wordt uitgeschakeld kun je vrolijk van je muziek genieten zonder problemen. Ook al zit er zo'n link in je "mp3" verstopt.

Meer info over het uitschakelen van die functie kun je hier vinden op de microsoft site.

 

[musebliss]

Wat een prachtige technische uitleg ! :thumb:

Kun je nu met dat progje FileAlyzer zien welke bestanden goede mp3 bestanden zijn en welke *asf bestanden?
Desnoods wanneer er niet teveel zijn "aangetast" verwijder ik die dan...

Nogmaals bedankt lightframe !!

 

[lightframe]

Wanneer je de optie van urlandexit in Media Player uitzet is er verder niets aan de hand.
Winamp zal waarschijnlijk de bestanden met een mp3 encoder proberen af te spelen en daardoor gaat het fout met Winamp.

Natuurlijk zou je de "mp3" bestanden kunnen kontroleren met FileAlyzer. Wanneer je FileAlyzer installeert komt die ook in het contextmenu te staan (dat menuutje dat je ziet wanneer je met de rechtermuisknop op een bestand klikt) en dan kun je kiezen voor "Analyse with FileAlyzer" en komt afhankelijk van het bestandstype nog de vraag van Windows of het het bestand wilt openen.

Bij die muziekbestanden hoef je alleen maar naar die eerste rij getallen te kijken, als het er zo uitziet is het een ASF bestand;

Maar nogmaals, zet gewoon die functie van urlandexit uit en het probleem is opgelost en je bent geen muziek kwijt.

 

[musebliss]

Ok, ga ik proberen. Vind het toch vreemd dat ik bestanden open waar ik vroeger geen problemen mee had met media player en nu diezelfde bestanden geven wel die error?

Is er dan toch iets dat schade heeft veroorzaakt aan oudere mp3's op mijn pc?

Ook met winamp vroeger nooit problemen gehad met mp3 files tot ik die eerste error kreeg van play-error.com...