aim.exe installatie tijdens messenger installatie ???

[NeoData]

Dit was echt wazig . . .

me firewall begin ineens te roepen dat aim.exe toegang tot inet wil tot inet tijdens een messenger install. Ik kende aim gelukkig en aim en messenger hebben niets met elkaar te maken, dus gelijk blocke die handel.

Bij verder onderzoek, is er geen aim.exe te vinden op min pc !!
aim.exe is niet te vinden als proces, ook niet door hijackthis of wintasks.
wel wordt aim.exe in msconfig opgestart (deze uitgevinkt voor zekerheid).

wel wordt door hijackthis aim.exe gevonden in het register.
bij handmatig zoeken vindt ik het vogende:


[HKEY_CURRENT_USER\Software\ASProtect]
"Microsoft Windows Update x86"="aim.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft Windows Update x86"="aim.exe"

[HKEY_USERS\S-1-5-21-329068152-261478967-682003330-1003\Software\ASProtect]
"Microsoft Windows Update x86"="aim.exe"


Dit zijn de 3 aim.exe entries in windows register.
Het forum verwijdert blijkelijk onnodige witrumte maar bij export van de sleutels van het register bevindt Update na windows zich op volgende regel en x86 na update ook, blijkelijk zit er een enorme witruimte tussen deze delen bij export . . .???

verder heeft microsoft windows update ook niets met aim te maken denk.
Afgezien van het feit ik niet alleen auto updates service maar ook zelfs security center service heb uitgeschakeld,
mocht dit er iets mee te maken hebben.

verder is er ook niets te vinden op asprotect . . .

hebben jullie enige adviezen, dingen die ik kan roberen om dit waarschijnlijke virus te verwijderen van mij pc.

 

[jari2]

ja zekr

hallo



ja duh oooit van een virus scanner gehoord en al die ****

 

[Metalhead]

Dit is wat ik erover vind.

Description: aim.exe is a process which is registered as AOL Instant Messenger. It is used to connect with other AOL Instant Messenger online for instant messaging.


Bron: http://www.processlibrary.com/directory?files=aim.exe

 

[crash]

Aim.exe hoort bij AOL instant messenger. heb je deze messenger soms geinstalleerd?

 

[Metalhead]

En dit is wat ik op virusalert vind.

http://www.virusalert.nl/?show=virus&id=555

Blaxe-A is een internetworm die zich verspreidt via P2P-netwerken als Kazaa en IRC. Infectie vindt plaats door een van ondergenoemde bestanden binnen te halen en te openen. Vervolgens tracht het zich vanaf het getroffen systeem weer verder te verspreiden door de lijst met bestanden standaard te delen in de p2p-software op uw systeem.

Mogelijke bestandsnamen binnen Peer 2 Peer zending:

A+ Certification Ultimate Study Guide.exe
ACDSee 4.1 cracked.exe
Adobe 6 crack.exe
Adobe 6 full (iso).exe
Adobe 6.0 crack.exe
Adobe 6.0 full.exe
Adobe 6.0.exe
Adobe crack.exe
Adobe Photoshop 6 Ultimate Study Guide.exe
Adobe Photoshop 6.0.exe
Adobe Photoshop.exe
Adult movie.exe
adult(hardcore sex movie xxx)movie.exe
AdvZip Recovery.exe
AIM hacker.exe
AIM Pass stealer.exe
aim.exe
aimcracker.exe
aimhacker.exe
All Cliff notes (cliff's).exe
AMI BIOS Cracker.exe
anarchistcookbook.exe
anastasia anal.exe
anastasia naked.exe
anastasia nude.exe
Anonymous email.exe

 

[NeoData]

... lol ...

het grappige was, ik was net klaar met het schrijven met dit artikel, en me pc was ff niets aan het doen behalve dan dlen via qtorrent, start me pc ineens opnieuw op en geeft me firewall (outpost) ineens een inwendige error / goh zal die halve zool erachter gekomen zijn dat ik me pc beveiligd heb en aim.exe totaal geblokkeert heb.

En ja jari natuurlijk heb ik een virusscanner (duh) waar ik vandeweek nog wat mee verwijdert heb . . . ik heb NOD btw . . .

ik zal ff kijken naar een goeie trojan of worm checker, op rootkit al gechecked met mcafee rootkit checker maar niets gevonden . . .

heeft iemand nog een idee voor een goeie worm of viruschecker ... ?

 

[NeoData]

ik heb trouwends aim nooit geinstalleerd en dat zou ik ook nooit doen, just vanwege die bull****, aol staat daar om bekend . . . .

ik moet toch ff weg, ik laat me virusscanner ff in safe mode draaien etc, ff checken of ie zo wat (meer) vindt....

 

[Michael4446]

Vreemd zaakje..

Scan je pc voor de zekerheid eens grondig met de volgende scans:

1 Ga naar de Kaspersky Online Scanner ( moet met Internet Explorer ) en klik dan op Kaspersky Online Scanner. Zorg dat in IE ActiveX toegestaan wordt en klik op Accept. Daarna komt er ( heel waarschijnlijk ) een gele balk bovaan, klik hierop en kies voor ActiveX-besturingselement installeren. En daarna moet je nog een keer op Accept klikken en op Install / Installeren. Nu wordt de laatste database gedownload. Klik vervolgens op Next. Daarna kan je kiezen wat en hoe er gescand moet worden. Kies voor een uitgebreide volledige scan door te klikken op My Computer. Laat na de scan alle gevonden virussen verwijderen.

2.Download en installeer
AVG Anti-Spyware.

• 
  Na de installatie, open AVG Anti-Spyware:
  * onder "Status", klik op Change state naast "Resident shield". (wijzig van active naar inactive!)
  * onder "Update", klik op de Start update knop.
  * onder "Scanner", tab "Settings":
  • - onder "How to act?", klik op "Recommended actions" en selecteer Quarantine. (ZEER BELANGRIJK!)
    * onder "Reports", selecteer Automatically generate report after every scan en verwijder het vinkje bij Only if threats were found
  Sluit AVG Anti-Spyware. Laat het nog niet scannen.

Start op in veilige modus

Start AVG Anti-Spyware.

• * Klik op Scan en kies Complete System Scan.
  Na de scan; volg onderstaande instructies :
  BELANGRIJK : Klik niet op de "Save Scan Report" knop vooraleer je de "Apply all Actions" knop hebt aangeklikt !
  * Draag er zorg voor dat Set all elements to: op Quarantine staat (1),
  zoniet klik op de link en kies Quarantine in de popup menu. (2)
  (Dit geldt niet voor cookies, deze worden onveranderlijk gedelete !)
  * Onderaan het venster klik op de Apply all Actions knop. (3)
  
  
  
  * Wanneer je de melding krijgt 'All actions have been applied', klik je onderaan op de knop Save Report.
  * Klik in het menu bovenaan op Reports. Kopieer het rapport van de scan en plaats dat hier in je volgende bericht.

 

[NeoData]

goeienavond lui

helaas heeft NOD niets gevonden in safe mode ...

kaspersky activex is al gedownload ik laat hem vanacht wel ff draaien wanneer ik slaap.
ik loop het lijst je wel af en post het wanneer ik klaar ben, bedankt alvast en slaap lekker....

groetjes

 

[Michael4446]

Succes ermee.

 

[NeoData]

Weer hetzelfde virus terug na pc herinstallatie

ik heb me pc opnieuw geinstalleerd en nu is ie weer trug.
het grappige is dat ik erachter kwam dat taakbeheer -> processen te voorschijn haalde om te kijken hoeveel meg er werdt gebruikt.

aim.exe was nu duidelijk te zien als bestand, weer geen aim.exe op pc, wel weer dezelfde entries in register. Ook met dat asprotect (als software naam), dus ik besloot asprotect ff te googelen.

asprotect is een software pakket om pc's te beveiligen uhum, nog een keer googlen op asprotect + aim.exe geeft me meer inzichten, namlijk op IRC backdoor worms, en wel met de naam W32/Rbot-GRY welke een worm is.

Het is deze aangezien de register sleutels overeenkomen, echter is er een klein ander iets en dat is dat er een sleutel is die iets zegt over windows update, dat zou dus een variant zijn van die w32 wormvirus.

Sophos zou dit virus geraporteerd hebben of iets dergelijks en hebben ook een ide filetje als oplossing, echter kan ik op de rest van het www geen oplossing vinden, of ik ben ff kippig, en een mcafee en symantec virus db kan ik ff niet vinden.

hebben jullie mischien enige ideeen (behalve sophos dlen) en kaspersky die hem dus niet detecteerd :s . . . .

aub ik heb geen zin om me pc weer opnieuw te moeten installeren, ben net klaar om hem volledig te tweaken, en moet hem hem wel detecteren want kan zijn dat hij dus in me share zit, dus iedere keer ik pc opnieuw installeer hij weer opduikt vanuit share schijf.

hulp graag snel geboden want dit virusje staat dus in contact met de buitenwereld . . . !!

 

[Michael4446]

1 ) Lees eerst goed de handleiding van HijackThis:
http://www.nucia.nl/toonhandleiding.php?handleidingid=9

2 ) Lees dan het volgende bericht goed door:
http://www.nucia.nl/forum/showthread.php?t=12

3 ) Registreer je dan op Nucia/ASO Forum.
http://www.nucia.nl/forum/register.php

4 ) Plaats daarna je HijackThis-log in de daarvoor bestemde forumsectie:
http://www.nucia.nl/forum/forumdisplay.php?f=38

Vermeld ook daar je probleem erbij en de link van dit topic.

Succes!:thumb:

 

[NeoData]

ok ik heb dus gedaan wat je vroeg.

eerst heb ik per ongeluk de blacklisted spywarebot geinstalleerd ipv spybot . . . . :shocked:

spyware bot blijft hangen op registering services, na enabling services . . .
hele pc raakt ervan in de stress en moet ik op laatst bekende config herstarten.

bijkomend willen adaware en spybot ook niet starten omdat de serice niet gestart is, ik denk dat spywarebot daarom ook problemen heeft, aangezien deze zegt: "unable to contact spyware scanner"

mijn xp is een nlite versie, vooraf bewerkt met ryanvm updates, deze is dus vooraf bewerkt en zo op cd gezet, het virus zit niet op de cd want tussen de her installaties door heb ik ook de originele xp gebruikt, toen ben ik btw ook deze topic begonnen.

het probleem is 1 van de services die dus niet aanstaat of zelfs mischien niet geinstalleerd staat . . . . en ik kan niet vinden welke services deze proggies nodig hebben, heeft iemand enigzins idee . . .

 

[NeoData]

ik wou even doorgeven dat het probleem is opgelost, na een complete format, nullen schrijven naar de harde schijf. virus is niet meer trug gekomen.

ik denk dat het bij 2e install de quick format heeft overleefd, en nu bij 3e nullen schrijvende format is virus weg.

wel wil ik erbj zeggen dat het wel een vaag backdoor trojan was en erg persistent ook
voorzover ik hijack this zelf ook uit kon lezen was er niets te vinden, hijack this vondt aim.exe NIET als lopende service !!!!!!!! terwijl security task manager hem wel zag !!!

dus zo goed is hijack this dus niet, veel process explorers zagen hem niet eigenlijk

grappig is ook dat het virus zichzelf verraade door een prefetch filetje hehe lol
ik heb het pf filetje simpelweg in txt verandert want je kan daarin aflezen welke bestanden hij voor deze prefetch beheerd, aim.exe en wat andere zijn duidelijk te zien in win32 map maar niet te vinden met een document search

ohja en ook nog als ik handmatig zocht naar aim.exe vondt ik 4 entries in me register
GEEN van alle hijackthis achtige of hijackthis zelf vondt ze allemaal, enkel die in me run program niet eens run services, want hij runde ook als service . . . .

zelfs rootkit revealers konden geen geheimzinnige entries in me registry vinden, dus wat hijackthis wel vondt (die ene regel) vonden de rootkit revealers niet, nou is het zo dat de revealers eigenlijk alleen opzoek gaan naar voor de gebruiker verborgen registry entries, maar waarom werden die andere 3entries dan niet gevonden door de reavealers die die andere hijackthis proggies ook niet vonden :s want die zouden dan verborgen zijn zou je denken, want die ene die niet verborgen was was die in me msconfig stond.

en ik vraag me ook af waarom een hijackthis alleen die als "niet goed zou bestempelen" terwijl de andere entries eigenlijk precies hetzelfde zijn, maar alleen op andere plek staan en ook aim.exe in hun text bevatten :s, ik snap er niets van . . . .

maar ach ik hoop dat het jullie helpt stil te staan bij de werking van sommige "vereerde" proggies, deze hacker had genoeg verstand van de kernel, maar vergat de prefetch ff uit te zetten en aim uit msconfig te halen, voorderest steengoeie trojan