BDS/Latinys.E.Srv

[stevennevets]

Na scanning met Antivir kreeg ik bericht dat ik de volgende gevaarlijke backdoor op mijn PC had: BDS/Latinus.E.Srv. Dit heb ik laten verwijderen maar nu! werkt mijn internet verbinding supertraag, en dan nog enkel voor de gemakkelijke verbindingen, voor de andere krijg ik het bericht dat de pagina niet kan worden gevonden. Ik heb een ADSL verbinding die normaal vlot werkt. Heb al verschillende keren laten scannen, ook on-line, maar geen virus meer. Kan het zijn dat die backdoor iets gewijzigd heeft of dat iets naar die bacdoor verwijst (die er niet meer is?), waardoor de verbinding niet goed werkt?
Smilies kan ik niet toevoegen want ook hiervoor vind hij de pagina niet.

Groetjes Steven

 

[saldos]

stevennevets,
Lees dit even om te kijken of het echt weg is:

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.latinus.b.html


http://securityresponse.symantec.com/avcenter/venc/data/backdoor.latinus.html

Scan ook even je pc op www.housecall.nl

 

[saldos]

mocht de trojan echt weg zijn en je hebt nog steeds een probleem, doe dan dit:

Download daarvoor spybots vanaf hier:

http://beam.to/spybotsd

En download de laatste definities en verwijder alles wat het vind.

1. Zet je firewall uit en kijk dan of je probleem opgelost is. Zo ja, dan moet je je firewall ff anders configureren, of anders helemaal verwijderen en in de standaard instellingen houden.

2. Ga naar Internet Explorer-extra-internet opties-klik op cookies verwijderen-ok. Klik daarna op bestanden verwijderen-alle offline items verwijderen vink je ook aan-ok. Klik daarna op dezelfde tabblad: instellingen-bestanden weergeven en verwijder alles wat daarin staat-ok-ok.

3. Als dit niet helpt, dan moet je dit doen: (Let op: doe dit alleen als je Windows 98/ME hebt) :

Je gaat naar start-uitvoeren en typt regedit bij openen, dan op ok.

Daarna ga je naar Hkey local machine, klikt op het plusje en dan wordt het een minnetje. Je doet hetzelfde met:system-current control set-services, daar heb je een map die winsock2 heet(let op:verwijder alleen de winsock2 en niet de winsock!). Daar klik je op en markeert hem, en die verwijder je d.m.v. "delete".
Daarna ga je naar start-instellingen-configuratiescherm-netwerk. Je verwijderd daar TCP/IP van je netwerk kaart.
daarna klik je op toevoegen, dan komt een ander schermpje die protocol heet, dan weer "toevoegen"klikken.
Dan krijg je een ander scherm:Aan de linkerkant kies je voor microsoft(klik) en aan de rechterkant kies je voor TCP/IP(klik). je klikt op OK en daarna weer op OK en dan zegt de computer: de instellingen zijn pas van kracht als je je computer opstart> restart je computer


4. Als dat niet helpt, start-instellingen-configuratiescherm-netwerk en verwijder alles wat daarin staat. Laat alleen client voor microsoft netwerken daain staan -ok -ok en restart de pc. Je krijgt dan een wizzard. Volg de wizzard en installeer je netwerkkaart weer opnieuw en restart de pc weer opnieuw.

5. Als dat niet helpt ga dan naar Start-uitvoeren- type regsvr32 urlmon.dll, en klik ok.

6. Ga naar start-uitvoeren-winipcfg-ok en klik op alles vrijgeven-alles vernieuwen.

7. haal je adaptor van je modem uit de electriciteit doe hem na 5 minuten weer terug. Je modem reset zichzelf weer opnieuw.

Hopelijk is je probleem daarna wel opgelost. Zo niet laat het me dan even weten en dan wil ik ook weten welke versie windows je hebt en wat voor soort verbinding je hebt.

Je kunt hier checken wat je download snelheid is:

www.mordax.nl

 

[Auk]

Geplaatst door stevennevets
Na scanning met Antivir kreeg ik bericht dat ik de volgende gevaarlijke backdoor op mijn PC had: BDS/Latinus.E.Srv.

Kan het zijn dat die backdoor iets gewijzigd heeft of dat iets naar die bacdoor verwijst (die er niet meer is?), waardoor de verbinding niet goed werkt?

Latinus.E is niet hetzelfde als Latinus.B.
Over Latinus.E is inderdaad niet echt veel te vinden, behalve dan dat 't er een van de Latinus familie is.
Dit zou hem moeten zijn :
http://www.megasecurity.org/trojans/q/qwertos_rat/Qwertos_rat0.2.html

Het verschil met Latinus.B is dat het in HKLM\Software\Microsoft\Windows\CurrentVersion\Run
niet deze key toevoegt :

C:\Windows\System\avpdll32.exe

Maar deze :

C:\WINDOWS\msHtml.exe

De instructie om 'm te verwijderen (of op te sporen) blijft verder hetzelfde. Op deze pagina vind je een overzicht van de Latinus-familie en kun je zien wat er met deze trojan allemaal mogelijk is :

http://www.safersite.com/PestInfo/L/Latinus.asp

Het onschadelijk maken en verwijderen van de trojan is op zich niet zo een probleem. Echter - Latinus is een RAT (een Remote Access Trojan). Dat wil zeggen dat iemand de mogelijkheid heeft gehad om ongemerkt je PC over te nemen. Op bovengenoemde pagina is ook te zien wat er met Latinus allemaal - zonder dat jij dat merkt - gedaan kan worden.

Verder is het belangrijk om te weten dat Latinus een Keylogger bevat. Het is dus mogelijk dat een indringer nu je login gegevens en diverse passwords weet. Ik zou die dus in ieder geval zo snel mogelijk wijzigen.

Ik weet natuurlijk niet of er echt een indringer op je systeem heeft gezeten. Als dat wel gebeurd is, dan is het moeilijk na te gaan wat deze indringer heeft uitgevreten. Omdat je dat niet weet, kan het herstellen van het probleem ook moeilijk zijn.

Ik zou in ieder geval het volgende doen :

- Installeer een trojan-scanner (bijvoorbeeld Tauscan, http://www.tauscan.com)
- Installeer een firewall (bijvoorbeeld Sygate; http://www.sygate.com)
- Installeer Spybot Search and Destroy; http://security.kolla.de

Auk

 

[stevennevets]

Bedankt voor de reacties, ik heb al alles geprobeerd maar spybots kan ik niet downloaden: terug kan pagina niet vinden. Alle pagina's die ik probeer te openen ivm help en dergelijke zelfde bericht.
Heb al on-line met housecall en biddeffender laten scannen, niets te vinden. Ook met tauscan en trojan claener gescand, na up dating, niets te vinden.
In register deze key niet te vinden: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
niet deze key toevoegt :

C:\Windows\System\avpdll32.exe

Maar deze :

C:\WINDOWS\msHtml.exe



Heb XP als besturingssysteem en ADSL verbinding en zone alarm als firewall. Heb niets aan de configuratie veranderd.

Volgens mij is de backdoor nog aktief, want als ik mijn ws_ftp serverprogamma opstart flitst het logo van de backdoor eerst over het scherm. Misschien dit programma verwijderen en herinstalleren?6. Ga naar start-uitvoeren-winipcfg-ok en klik op alles vrijgeven-alles vernieuwen. Maar het bestand winipcfg kan hij niet vinden?

 

[saldos]

stevennevets,

Die msHtml.exe is dus die backdoor trojan Latinus.
Start op in de veilige modus en verwijder hem eerst van C:\WINDOWS en leeg je prullenbak daarna.
En verwijder hem dan msHtml.exe van het register HKLM\Software\Microsoft\Windows\CurrentVersion\Run ook in de veilige modus.


Toen ik je zei: Ga naar start-uitvoeren-winipcfg-ok en klik op alles vrijgeven-alles vernieuwen wist ik nog niet welk windows je had. Dit is dus voor windows 98. In XP gaat dat zo: start-uitvoeren-cmd-en type ipconfig /release -enter en dan ipconfig /renew enter.

 

[Auk]

Geplaatst door stevennevets
Bedankt voor de reacties, ik heb al alles geprobeerd maar spybots kan ik niet downloaden: terug kan pagina niet vinden.

In register deze key niet te vinden:

C:\WINDOWS\msHtml.exe

Je hebt XP - is het een optie om terug te gaan in de tijd - dus naar een herstelpunt van voordat je door de trojan besmet was (als je tenminste weet wanneer je de trojan hebt opgelopen...) ?

Auk

 

[stevennevets]

Sorry voor de late reactie maar ik was er even niet. Het bestand of de sleutel msHtml.exe kan ik niet vinden. Reeds gans het register laten doorzoeken en ook de vaste schijven en nergens te vinden. Volgens mij start het op met mijn ftp serverprogamma.
Ook herstelpunt is geen optie want hij bewaart maar 2 punten; dit van de dag zelf en een eerder gemaakt punt. Hoe het komt weet ik niet want de optie herstel is niet uitgeschakeld en de opslagruimte staat hoog.
Spybots kan ik dus niet downloaden maar ik heb wel het programma ad aware, kan dit uitkomst geven?

 

[saldos]

stevennevets,

Je kunt spybots vanaf deze locatie downloaden:

http://security.kolla.de/index.php?lang=en&page=about

http://security.kolla.de/index.php?lang=en&page=download

http://www.lurkhere.com/~nicefiles/

http://ejrs.com/spybot/

http://www.pc-xpress.ca/spybot/

http://downloads-zdnet.com.com/3000-2144-10167468.html

Adaware heeft geen zin omdat de laatste update alweer van 4 maanden geleden is.

 

[Auk]

Geplaatst door stevennevets
Sorry voor de late reactie maar ik was er even niet. Het bestand of de sleutel msHtml.exe kan ik niet vinden. Reeds gans het register laten doorzoeken en ook de vaste schijven en nergens te vinden. Volgens mij start het op met mijn ftp serverprogamma.

Spybots kan ik dus niet downloaden maar ik heb wel het programma ad aware, kan dit uitkomst geven?

Ad-aware kun je tegenwoordig zelfs beter niet gebruiken. Het verwijdert sommige spyware op de verkeerde manier, wat tot problemen kan leiden.

Ik zou dat FTP-programma inderdaad verwijderen en opnieuw installeren.

Misschien kan een kennis Spybot S&D voor je downloaden en op CD zetten ?

Auk

 

[stevennevets]

Ik heb spybot van de volgende locatie kunnen halen: http://www.pc-xpress.ca/spybot/. Dan geprobeerd om te updates te downen wat ook weer niet gaat. Zo laten draaien en alles gedaan wat het voorstelde. Maar het probleem blijft, heel trage verbinding en merendeel van de keren: kan pagina niet vinden. Zal waarschijnlijk niets anders opzitten dan her-formateren van de schijf zeker?
In alle geval bedankt voor de deskundige hulp.

 

[saldos]

Geplaatst door stevennevets
geprobeerd om te updates te downen wat ook weer niet gaat. Zo laten draaien en alles gedaan wat het voorstelde. Maar het probleem blijft, heel trage verbinding en merendeel van de keren: kan pagina niet vinden. Zal waarschijnlijk niets anders opzitten dan her-formateren van de schijf zeker?

stevennevets,
Geef het nog niet op.
Hier heb je de updates van spybots in mijn bijlage.
Extract deze zip file in de map includes die in c-program files-spybots zit. En en als hij je vraagt of je het wil vervangen dan zeg je "ja op alles".

 

[saldos]

Ok, de bijlage wil niet lukken. Misschien komt het door mijn firewall.

Je kunt die bijlage vanaf hier downloaden:

http://studserver.uni-dortmund.de/~su1669/spybotsd/includes.zip

 

[Pieter Arntz]

Een niet geupdate versie van Spybot kan hetzelfde probleem opleveren als AdAware.
Download eens LSPfix van : http://www.cexx.org/lspfix.htm

Groetjes,

Pieter

 

[stevennevets]

Ok, de bijlage wil niet lukken. Misschien komt het door mijn firewall.

Je kunt die bijlage vanaf hier downloaden:

http://studserver.uni-dortmund.de/~...sd/includes.zip

Beste Saldos kan niet downloaden van die site: bericht: er is een ongeldig argument opgegeven bij het proberen van downloaden.

Een niet geupdate versie van Spybot kan hetzelfde probleem opleveren als AdAware.
Download eens LSPfix van : http://www.cexx.org/lspfix.htm

Groetjes,

Pieter
En Pieter hoe dit progje te gebruiken?

 

[Pieter Arntz]

Geplaatst door stevennevets

En Pieter hoe dit progje te gebruiken?

Erop dubbelklikken. Het herstelt de foute verwijzingen in je TCP/IP stack.
Normaal wordt het gebruikt om de fouten die Adaware niet goed herstelt te repareren.

Groetjes,

Pieter

 

[stevennevets]

Ok, dit gedaan maar blijkbaar was er niets te wijzigen, krijg toch die melding.
Zie nu dat mijn ADSL verbinding ook een upgrade tot 3,3 mbs heeft gekregen, maar alles blijft even traag en onbereikbaar. Zal toch moeten formateren. Heb een Aldi pc met cdrom die de kooptoestand hersteld en mijn documenten en dergelijke staan op een andere schijf. Alleen wat werk om mijn progs terug te zetten. Groeten Steven.

 

[saldos]

stevennevets,
Kun je dit even doen:
Ga naar de netwerk eigenschappen en verwjder daar je netwerk.
Klik daarna op netwerkt toevoegen en je krijgt dan een wizzard. Volg de wizzard en maak dan een nieuwe netwerk en kijk hoe het dan gaat.

In de tussentijd mag je best even spybots gebruiken zonder updates. Alle oude spywar wordt dan in iedere geval verwijderd. Je houd dan alleen de nieuwe spyware over die sinds 2 maanden geleden is gekomen tot nu.

 

[stevennevets]

stevennevets,
Kun je dit even doen:
Ga naar de netwerk eigenschappen en verwjder daar je netwerk.
Klik daarna op netwerkt toevoegen en je krijgt dan een wizzard. Volg de wizzard en maak dan een nieuwe netwerk en kijk hoe het dan gaat.

In de tussentijd mag je best even spybots gebruiken zonder updates. Alle oude spywar wordt dan in iedere geval verwijderd. Je houd dan alleen de nieuwe spyware over die sinds 2 maanden geleden is gekomen tot nu.

Beste Saldos,
Dat heb ik al geprobeerd, maar ik kan het niet verwijderen. Als ik op TCP/IP klik verdwijnt de optie verwijderen.
In alle geval bedankt voor de moeite en de tijd die je er al aan besteed hebt.

 

[stevennevets]

Beste helpmij-ers en Saldos, het schaamrood stijgt mij naar de oren. Ik heb mijn firewall verwijderd en ge-herinstalleerd en alles is terug in orde. Daardoor kan ik nu terug de helppagina's raadplegen en de juiste configuratie voor mijn verbinding instellen. Ik begrijp niet wat er met de firewall kan gebeurd zijn dat hij alles bijna potdicht hield.
Is na het vinden van die backdoor gebeurd, die er nu waarschijnlijk van weg is.

Nogmaals bedankt voor de deskundige hulp en dikwijls ligt de oplossing zo voor het rapen. Je had het al in een eerder bericht gesugereerd om de firewall uit te schakelen, stom van mij om dat niet eerst te proberen. Maar hij werkte al lang goed, vandaar.