wincfg32.exe

[xanax]

Trojanhunter vond een verdacht bestand "wincfg32.exe"
NAV heeft er geen problemen mee, en http://www.kaspersky.com/remoteviruschk.html
zegt er het volgende over:

Current object: wincfg32.exe

wincfg32.exe Infected: Backdoor.Bot-gen
wincfg32.exe Archive: Momma
wincfg32.exe Ok

Statistics:

--------------------------------------------------------------------------------
Known viruses: 69454 Updated: 30.06.2003
File size (Kb): 15 Scan time: 00:00:01
Speed (Kb/sec): 15 Virus bodies: 1
Archives: 1 Packed: 0
Folders: 0 Files: 1
Suspicious: 0 Warnings: 0

Wat moet ik hier mee???

 

[Bennie]

Kijk in het register of het staat onder:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Doe anders een onlinescan:
http://housecall.antivirus.com/housecall/start_corp.asp

Groetjes,
Bennie

 

[Pieter Arntz]

Het proces stoppen, de opstart locaties weghalen( Run en RunService), opnieuw opstarten en het bestand wincfg32.exe in quarantaine zetten en dan aan Symantec opsturen.

Groetjes,

Pieter

 

[xanax]

Geplaatst door Pieter Arntz
Het proces stoppen, de opstart locaties weghalen( Run en RunService), opnieuw opstarten en het bestand wincfg32.exe in quarantaine zetten en dan aan Symantec opsturen.

Groetjes,

Pieter

Het proces loopt niet want ik heb het een tijd geleden met het opruimen van m'n startuplijst verwijderd.


Symantec zegt in de wizzard al gelijk dat de file niet infected is ik kan het dan alsnog opsturen maar ze willen iets te veel gegevens van me hebben (ik heb ze nooit iets betaald)

Nog even een vraagje

Wat bedoeld http://www.kaspersky.com/remoteviruschk.html
nou met:
wincfg32.exe Infected: Backdoor.Bot-gen
wincfg32.exe Archive: Momma
wincfg32.exe Ok

is het nou infected ?
Archive: Momma ??????
of is het Ok ?

 

[Pieter Arntz]

Stuur hem maar naar mij. Ik heb netjes betaald.
Adres zet ik in je PB.

Groetjes,

Pieter

 

[xanax]

Volgens
http://www.dials.ru/english/www_av/
Is er niets aan de hand met het bestand

C:\WINDOWS\SYSTEM\wincfg32.exe - Ok

--------------------------------------------------------------------------------
Scanned 1
Infected 0
Modifications 0
Suspicious 0
Scan time 00:00:00 Scan speed 14 Kb/s

 

[Pieter Arntz]

Het is geen windows bestand, maar probeert er wel op te lijken, door de naam. Dan wordt ik al achterdochtig.

Keuze genoeg?

Groetjes,

Pieter

 

[Pieter Arntz]

Hoi xanax,

Mijn NOD zegt: Probably unknown CRYPT.WIN32 virus

TDS-3 zegt: positive identification DDoS.RAT.SDBot.gen

Ik zal hem aan Symantec en Eset opsturen.

Groetjes,

Pieter

 

[saldos]

xanax,

Het is wel vreemd dat Norton dit bestand niet herkend heeft. Volgens mij wordt deze trojan bij Symantec Backdoor.SilverFTP genoemd.
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.silverftp.html
Maar als Pieter hem gestuurd heeft, dan hebben we de uitslag en weten we wat meer.

 

[Pieter Arntz]

Oeps, vergeten door te geven.

Wordt ondertussen door NAV herkent onder de noemer

Backdoor.Sdbot

Eset heeft geen aparte detectie toegevoegd, omdat hij door de heuristische eigenschappen gedetecteerd wordt.

Groetjes,

Pieter

 

[xanax]

Geplaatst door Pieter Arntz
Wordt ondertussen door NAV herkent onder de noemer
Backdoor.Sdbot
Groetjes,
Pieter

Mooi, net even een scan met NAV gedaan en hij pikte hem er gelijk uit

Bedankt nog

 

[saldos]

Geplaatst door Pieter Arntz
Oeps, vergeten door te geven.
Wordt ondertussen door NAV herkent onder de noemer
Backdoor.Sdbot
Eset heeft geen aparte detectie toegevoegd, omdat hij door de heuristische eigenschappen gedetecteerd wordt.
Groetjes,
Pieter

Hoe kan dat nou? Backdoor.Sdbot wordt door Norton sinds April 30, 2002 herkend.
EN Backdoor.Sdbot.M was de laaste variatie die sinds June 25, 2003 herkend wordt.

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.sdbot.html

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.sdbot.m.html

 

[xanax]

8-7-03 11:27:36,
Auto-Protect,Backdoor.Sdbot,Automatically deleted,File,
Source: C:\WINDOWS\SYSTEM\wincfg32.exe

Staat er in mijn log

 

[Pieter Arntz]

Geplaatst door saldos


Hoe kan dat nou? Backdoor.Sdbot wordt door Norton sinds April 30, 2002 herkend.

Geen idee. Eigenlijk ben ik er altijd van uit gegaan dat Symantec een aantal algemene omschrijvingen hanteerde voor diverse families van Backdoors en Trojans.
Maar voor deze vraag ben je bij mij natuurlijk niet aan het juiste adres.
Als je de oplossing hoort, verneem ik het graag.

Groetjes,

Pieter