backdoor beasty

[satshow]

Norton geeft bij een complete scan 3 virusmeldingen met allemaal de virusnaam backdoor beasty

Bij logviewer staat het volgende:

Source: C:\WINDOWS\system32\msotyr.com
Description: The file C:\WINDOWS\system32\msotyr.com is infected with the Backdoor.Beasty virus.

Source: C:\WINDOWS\system32\dxdgns.dll
Description: The file C:\WINDOWS\system32\dxdgns.dll is infected with the Backdoor.Beasty virus.

Source: C:\WINDOWS\msagent\msdcxa.com
Description: The file C:\WINDOWS\msagent\msdcxa.com is infected with the Backdoor.Beasty virus.

Norton kreeg ze niet verwijderd of gerepareerd, heeft iemand enig idee hoe ik deze kan verwijderen.

Ik gebruik windows xp pro en norton systemworks 2003.
Graag in het nederlands want mijn engels is niet zo sterk.
Bij voorbaat dank alvast.

 

[Caspar107]

Volgens Symantec (Norton) zou je met de nieuwste (huidige) virusdefinities hem gewoon moeten kunnen verwijderen.

1. Zet systeemherstel uit
2. Update je virusdefinities
3. Draai een volledige virusscan op je PC.

Als hij hem niet kan verwijderen zou ik de PC eens opstarten in veilige modus en dan nog eens een scan te doen.

 

[satshow]

oke, ik zal dat morgen doen, kom er vandaag niet meer aan toe.
Is er in veilige modus gewoon met norton te scannen of met een ander programma?

 

[satshow]

Heb hem geupdate en gewoon gescand dat wil niet werken dus morgen ga ik het in veilige modus proberen.

 

[satshow]

In veilige modes wil het ook niet lukken om de files te verwijderen.
Welke stappen kan ik nu nog nemen?
Ik weet dat er via het register zoiets waarschijnlijk wel kan maar daar heb ik geen verstand van.

 

[vaat]

post eens een hijackthis log:

download het van http://www.tomcoyote.org/hjt/ > draai het > scan > save log > open log in kladblok > plak de tekst in je volgende bericht

 

[satshow]

Hier dan de log

Logfile of HijackThis v1.95.0
Scan saved at 19:58:11, on 18-9-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Trillian\trillian.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
C:\irccitymirc2003\mirc.exe
C:\chatterswebmircopers2002\mirc.exe
D:\beveiliging\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.sat-benelux.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {4BEE3896-4820-48D1-85EA-5A9A9ECD3D95} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37862.1079166667
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

 

[vaat]

sorry,

moet weg. Zie op eerste oogopslag niet echt iets:

kijk is bij de registersleutels in het volgend esrtikel of die er zijn bij jou:

http://www.symantec.com/avcenter/venc/data/backdoor.beasty.html

help je anders morgen ergens verder (of overmorgen helaas)

 

[satshow]

Kan iemand me dat in het nederlands uitleggen wat ik moet doen voor dit, mijn engels is niet al te best.

 

[hendricus]

We gaan het proberen,Satshow.
Sluit alle niet nodige vensters en fix
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k die heb je echt niet nodig!

Ik hoop dat je een beetje in het register thuisbent:

verwijder: HKLM/software/microsoft/active setup/installer components/AP042907-B967-10D8-9CBD=2672810A369E

verwijder vervolgens:HKey_class_root/exefile/ in het rechterscherm: NeverShowExt

verander de waarde bij: HKey_class_root/exefile/shell/open/command in: in het rechterscherm:
"%1" %*

Herstart je computer; update je virusdefinities en draai een volledige virusscan.
Verwijder alles wat je ziet als Backdoor.Beasty.
Verwijder het %system%\lg.ttl bestand ( te vinden in windows/system32)

Dit moet lukken!

 

[satshow]

Dat is nu net het probleem ik ben niet thuis in het register, daar zou ik dus een stap voor stap uitleg willen hebben als het mogelijk is.
Maar dat is voor morgen of zaterdag, heb morgenavond een bruiloft.

 

[hendricus]

Durf je het wel aan om bezig te gaan in het register? Anders moet je er iemand bij vragen... Ik kan wanneer je dat wilt wel nog uitgebreider uitleggen hoe je precies op de goeie plek komt, maar registers...dat blijft een tricky klusje!

 

[satshow]

Ik wil het wel proberen als duidelijk uitgelegd staat hoe ik moet werken dan print ik dat even uit.
Is er trouwens geen progje voor die het register kan opschonen met dingen die er niet meer in thuis horen, meen zoiets ooit gezien te hebben.

 

[hendricus]

Ikzelf heb regcleaner, maar of die dit soort sleutels eruit haalt weet ik niet. Veranderingen/aanvullingen kan regcleaner iig niet uitvoeren.
Die ene regel fixen in Hijackthis lukt denk ik wel. Nu het register.
Stap 1:Ga naar start->uitvoeren en typ in regedit.
Klik OK. Je bent nu in het register. Daar zie je 5 mappen staan.
Klik op het plusje voor de map HKey_local_machine.-> Klik op het plusje voor de map Software.->
Klik op het plusje voor de map Microsoft.->
Klik op het plusje voor de map Active Setup.->
Klik op het plusje voor de map Installer Components.
Nu verschijnen er een hele waslijst met nummers. Verwijder het nummer AP042907-B967-10D8-9CBD-2672810A369E uit deze lijst.
Stap 2:Ga in het register terug tot je die 5 mappen ziet.
Klik op het plusje voor de map HKey_classes_root.-> Klik op het plusje voor de map exefile ( niet .exe, maar exefile voluit geschreven. Het staat een heel eind lager!)
Verwijder nu in het rechterscherm de regel NeverShowExt.
Stap 3: Ga in het register terug tot je weer die 5 mappen ziet.
Klik op het plusje voor de map HKey_classes_root.-> Klik op het plusje voor exefile.->
Klik op het plusje voor Shell.->
Klik op het plusje voor Open.->
Klik op het plusje voor Command.
Verander nu de waarde in het rechterscherm in "%1" %* .

Herstart je computer; update je virusdefinities en draai een volledige virusscan.
Verwijder alles wat je ziet als Backdoor.Beasty.
Verwijder het %system%\lg.ttl bestand (Voor win XP te vinden in windows/system32)

Succes

 

[satshow]

Ik ben aan de slag gegaan heb die regel met hijackthis uitgevoerd, die is verwijderd.
Nu ga ik aan de slag met het register met stap 1 kom op de juiste plaats terecht maar kan die regel met dat nummer niet vinden.
Ik ben niet verder gegaan hiermee, dus wacht even wat ik nu kan doen nu deze er niet is gewoon verder gaan met stap 2?

Ik ben eens verder gaan kijken naar de volgende stappen en zie dat in stap de regel nevershowexit er niet staat.

Bij stap die zie ik in dat vak staan
bij naam ab standaard type REG_SZ en bij gegevens "%1" %*

Verder ben ik nog niet gegaan, kan ik trouwens die %system%\lg.tll voor de scan al wissen?

 

[hendricus]

Als die drie zaken niet in je register staan heb je dat probleem niet (meer). Je kunt dan verder gaan met: Herstart je computer; update je virusdefinities en draai een volledige virusscan.
Verwijder alles wat je ziet als Backdoor.Beasty.
Verwijder het %system%\lg.ttl bestand (Voor win XP te vinden in windows/system32).

Wat "zegt" Norton Nu?

 

[satshow]

Wel ik heb een volledige scan gedaan en 2 files werden delete, de andere was gisteren al verwijderd gaf norton aan.
Ik heb hiervoor de laatste regel niet voor hoeven te gebruiken, dat verwijderen van dat bestand bedoel ik hiermee.

Ik wil degene die me geholpen heeft hartelijk bedanken.

 

[hendricus]

Backdoor Beasty is weg? Mooi toch!
Graag gedaan van mijn kant