Worm_AGOBOT.H

[noudus]

De tiscali virusscanner heeft het Worm_AGOBOT.H virus gedetecteerd op mijn pc. De files zijn te vinden onder WINNT/SYSTEM32 en het betreft: wihlpp32.exe en LSAS.exe (enkele s).
De laatste file kan niet verwijderd worden door de virusscanner. Kan ik deze verwijderen onder dos?

Een ander probleem is dat ik mijn c schijf heb geformatteerd (d niet), maar dat het virus er direct weer is.

 

[megabit]

Ik denk dat je de bestanden wel onder dos en de veilige modus kunt verwijderen. Je kunt ook je harde schijf nog eens on-line scannen op Housecall.

Maar Windows staat dus op d:\?

 

[noudus]

windows staat op c. Die schijf heb ik geformatteerd, en nu is het virus direct weer terug.

Ik ga even scannen

 

[noudus]

www.microtrend.nl is niet te vinden.

Ik heb de file verwijderd, maar je raad het al, het is na enkele minuten weer terug.....
Het zal dus ergens op d zitten oid, maar de scanner vindt daar niks.

 

[Pieter Arntz]

Hoi Noudus,

Download HijackThis. Uitleg en link vind je hier: http://www.tomcoyote.org/hjt/
Unzip en run het. Klik op Scan > Save log en sla het log op als een .txt bestand.
Kopieer en plak de inhoud in je volgende post.
Fix nog niets, het meeste heb je gewoon nodig.

Groetjes,

Pieter

 

[noudus]

Ik had het e.e.a. al weggegooid, maar ook weer teruggekregen en nogmaals weggegooid.

Dit is het resultaat van de log:
Logfile of HijackThis v1.97.3
Scan saved at 13:45:59, on 14-10-2003
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\PROGRA~1\WINZIP\winzip32.exe
D:\setupbestanden\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Windows Explorer] LSAS.exe
O4 - HKLM\..\RunServices: [Windows Explorer] LSAS.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.nl
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.nl
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

 

[noudus]

dit is wel op het moment dat ik het virus er af heb gegooid en nu even nog niet terug heb gekregen trouwens.
Ik heb het ook gevonden op een andere pc die met mijn router is verbonden.

 

[Pieter Arntz]

Laat deze door HijackThis fixen:

O4 - HKLM\..\Run: [Windows Explorer] LSAS.exe
O4 - HKLM\..\RunServices: [Windows Explorer] LSAS.exe

Lijkt mij een variant van: http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ag.html

Zoals je ziet zul je wat patches moeten installeren (of een firewall) om te voorkomen dat je steeds weer besmet wordt.

Groetjes,

Pieter

 

[noudus]

Hijackthis heeft de files gewoon verwijderd volgens mij. Ik hoefde verder niks te doen.

Ik heb een firewall in mijn router (Vigor) zitten, maar ik weet niet goed hoe ik die moet configureren. Voorlaopig zal ik zonealarm er weer op zetten.

Hartelijk bedankt!!