Archief - De topics van lang geleden

Win32:Qqpass trojan

26-10-2006, 23:38 door Anoniem, 19 reacties
Ik kreeg de mogelijkheid om de nieuwste Windows live mail beta te
downloaden via de(gespoofde?)msnpagina.Toen ik hier vanaf zag,gaf
Avast gelijk een Win32:Qqpass trojan melding.En noteped.exe werd
vervangen door mqbkup.exe.Is hier meer over bekent?
Gtz G.
Reacties (19)
27-10-2006, 10:48 door SirDice
qqpass is een password stealer..

Hoe kreeg je die "mogelijkheid"?
Middels een MSN bericht, via e-mail?
Welke browser gebruik je? Internet Explorer?
Is je windows up2date?


http://www.symantec.com/security_response/writeup.jsp?docid=2003-092815-0339-99
27-10-2006, 11:37 door Anoniem
Ik heb nu wel een mirror
http://i14.tinypic.com/2qvrz8i.jpg
Ziet er redelijk betrouwbaar uit tog?.
Toen ik de url in het proggie OnlineScreen.exe gooide kreeg ik een andere
pagina.Vandaar ff doormiddels van een PrtSc-tje.
27-10-2006, 11:45 door Anoniem
Als je het over de duivel hebt,dan staat het hier boven beschreven.
Toen ik van de week Panda van de PC af gooide(zie Panda Titanium)
kreeg ik door NOD32 de melding dat ik deze Trojan 5x aan boord had.
En omdat Windows gelijk op stelten stond omdat er files niet meer
te lezen waren,en daarop verzocht SP2 schijf in de pc te doen,bleek
het cd rom station het ook niet meer te doen. (Windows XP PRO)
Gisteravond/nacht heb ik om dat ik NOD32 nog niet goed ken,omgewisselt
voor Avast 4Home,en deze begon op het bekende blauwe scherm
te scannen,wat nog eens een paar trojans opleverde.
De hele nacht bezig geweest,en omdat ik Avast gebruikte voor
Panda,konden ze de boel repareren. Er zat er een in het Cache.
Dan ben je dus mooi klaar,en daarom dat Windows aan de bel trok.
In ieder geval Avast heeft alles kunnen repareren, ook die files.
Ik heb 2 uur geslapen dus dan weet je het wel,vanmiddag dus ook.
Hoe in hemelsnaam kom je aan dat spul,en dat Panda elke paar uur
melde dat ik prima beveiligt was.Ergens had ik al een vermoeden,
want Defender gaf geregeld een teken dat er iets veranderde,al wist
deze ook niet wat het was.
Dus ik hoop dat ik er nu vanaf ben,want je krijgt er koppijn van.
En hoe sneaky gaan die Troyans te werk,want die scanner van
Windows One Care had ook niks gezien.
En hoeveel keer heb ik Spybot laten zoeken,elke keer met de instelling
juist op Trojans.
Dank zij Avast4Home ga ik vanmiddag eerst slapen,wat niet wil zeggen
dat ik NOD32 niet goed keur,maar ik wist wat meer van het werken
met Stavast. Zo nou gaat Beuk plat.
27-10-2006, 13:27 door Anoniem
Dit is geen virus, maar een false positive van avast, check hun forums
maar :)
27-10-2006, 14:53 door Anoniem
Als dat zo is,waarom geeft NOD32 die dan ook aan.
En hoe kan er in eens van Windows naar SP2 gevraagt worden.
NOD32 gaf ook nog een paar andere op,en die zijn onschadelijk
gemaakt.2minuten nadien kwam Windows.
En gelijk toen ik windows afgehouden had(CDRom station werkt niet)
Ja toen ben ik van scanner gewisseld.
En gelijk een melding dat er een Troyan Horse in mijn Cache zat.
Ja het gebeurde allemaal zo razendsnel dat ik eigenlijk geen tijd had
om er eens nuchter over na te denken.
Maar ik voelde al weken dat er kleine dingen waren (achteraf)
dat er "iets" bezig was,zoals een woord typen en alle letters springen
tegelijk op je beeld.
Ik weet het niet,al gaat nu alles weer probleemloos.
27-10-2006, 19:07 door K800i
ja dit is een false positive ik heb die mail ook gehad.
27-10-2006, 19:42 door Anoniem
Voor de duidelijkheid,ik kreeg geen email,wel een beeld vol
waarschuwingen van 1.NOD32 Trojan Horse w32Qqpass.
2.Avast4Home Free edition vond er 2 meer.
3.Gaat Windows mij zomaar lastig vallen,en eist SP2 in CD-rom station.
4Omdat volgens windows delen niet meer ingelezen konden worden.
5.Avast kon aan de hand van een scan alles repareren,omdat ik met
Avast de ervaring had dat ze dit uitermate goed kunnen,dit was enkel
de reden dat ik NOD32 even er afhaalde omdat ik nog niet alle
mogelijkheden van deze scanner precies kende.(3Dagen)
En waarom zou dan deze scanner ook een false positieve geven?
Allemaal vragen waarop ik nog geen antwoord weet.
28-10-2006, 09:33 door Fabienne
De scanner van Avast heeft afgelopen week door een fout in
een update het bestand 'notepad.exe' wat in de Windows map
staat gezien als 'geïnfecteerd'. Het ging in dit geval
inderdaad om een false positive, dus om een bestand wat niet
geïnfecteerd is en dus niet verwijderd zou moeten worden.
Zie hiervoor de info op dit forum van Avast:
http://forum.avast.com/index.php?topic=24494.0

De reden dat je pc vreemd is gaan doen heeft wellicht te
maken met het feit dat er daadwerkelijk een virus of andere
malware op je systeem aanwezig is, maar dat heeft dan niets
te maken met de melding over de false positive. In dat geval
is het raadzaam om je pc eens met wat andere programma's te
scannen, maar het hebben van meerdere actieve virusscanners
op één systeem is dan weer niet aan te raden omdat ze elkaar
dan in de weg kunnen zitten. Buiten dat, je zou eens moeten
weten hoeveel mensen een tweede virusscanner installeren en
dan in paniek gaan bellen dat ze weet-ik-hoeveel virussen op
hun systeem gevonden hebben. Die blijken dan allemaal in de
quarantaine te staan van de eerste virusscanner die
geïnstalleerd was, alleen dat alle mappen en bestanden
gescand zouden worden... dat hadden ze dan even over het
hoofd gezien.

Conclusie: zorg er voor dat je een nieuwe update krijgt voor
Avast, want het probleem is dezelfde dag nog verholpen en
scan je systeem daarna nog eens een keer. Voer eventueel een
online scan uit en laat ook een programmaatje als Ad-Aware
of Ewido zijn werk eens doen.

Ohja... en het belangrijkste wat je moet doen is NIET IN
PANIEK RAKEN! Je schrijft dat er bestanden in het cache
zaten die geïnfecteerd waren en die zijn juist zo makkelijk
te verwijderen. Je had dan in ieder geval minimaal zes uur
kunnen slapen in plaats van twee want je bent naar mijn idee
gewoon met lapmiddeltjes bezig geweest in plaats van het
probleem bij de bron aan te pakken. Maarja... details
ontbreken (gelukkig) en daarom heb ik wellicht geen goede
kijk op het probleem.
28-10-2006, 11:20 door Anoniem
Fabienne.
Bedankt voor je uiteenzetting van jou kijk op mijn probleem.
En natuurlijk de link,en dat verschafte veel duidelijkheid.
OP het moment dat je die scanner installeerd dan kan je dit
niet weten,van deze false positive. +de windows reactie.
En wees gerust alles staat nog steeds op zijn plek,want als er iets
in de kluis gaat kun je het ook nog gerepareert terug zetten.
Die nacht was ik niet aan het "rommelen"maar had steeds contact
met Avast voor Update"s,wat ik kon terug zetten,Virusbibliotheek update,
enzovoort.Voorts heb ik al 5of 6 update"s gehad,dus volledig beveiligd.
Bovendien had ik ook steeds de pas op mijn PC gezette Firewall
Kerio op mijn dak,en moest ik eerst kijken of ik een aanmelding
door kon laten.
Ik had het dus druk,en er was geen paniek zoals jij steeds denkt.
Misschien dat het zo overkomt,maar druk is anders dan paniek.
Voor wat het waard is,ik krijg nogal eens te horen dat ik een
veiligheids freak ben,wat ik niet ontken,integendeel.
Zo heb ik al vele links van o.a.robertoh op Rootkits laten draaien.
Result?niks.
En al die andere tools die er bestaan sieren mijn bureaublad.
In vroeger dagen liep mijn PC nog al eens vast door allerlei rommel,
En vanaf een gegeven moment,ben ik op al die rommel en beestjes
gaan jagen. Dus Freak is wel op mij van toepassing.
En wat ik nu ervaar is dat mijn PC weer loopt als een trein.
Mocht je nog een hint? Neem Webroot Spysweeper 5.0.dan heb je weer
een zorg minder.
Gemeende groeten ,van beveiligings bedrijf ''Beuk&co" . Tel.........
28-10-2006, 15:10 door Anoniem
Beukenoot, en andere NOD32 liefhebbers, de beste instellingen voor
NOD32 staan op het officiële NOD32 forum.
En wel hier; http://www.wilderssecurity.com/showthread.php?t=37509

Tevens is er gisteren een Beta versie (2.7) met rootkit detectie uitgebracht,
ook geschikt voor Vista.
http://www.wilderssecurity.com/showthread.php?t=152249

Informatie over false positives in het algemeen, dus ongeacht het merk
virusscanner vindt je vaak en snel in dit engelstalige forum;
http://www.dslreports.com/forum/security

Daar stond bijvoorbeeld op 26 oktober ook al een bericht over
Win32:Qqpass-DY in notepad.exe.

Wanneer er twijfels zijn over een false positive, bekijk het dan rustig.
Het "foute" bestand zit dan toch al in je pc, dan ben je al besmet (of niet),
laat het bestand dan even controleren op
http://www.virustotal.com/en/indexf.html (virustotal) en/of op
http://virusscan.jotti.org/ (jotti's malware scan) dan zie je het resultaat van
een heleboel virusscanners.
28-10-2006, 16:04 door the virusman
Aan Beukenoot, eset nod32 komt binnenkort met versie 2.7 officieel uit
en belooft een verhoogde detectie graad met name in rootkit achtige
verschijnselen.
28-10-2006, 19:41 door Anoniem
the virusmen.
Als je bovenstaande gelezen hebt dan weet je dat ik voorlopig op
deze computer Avast4Home gezet,in combinatie met Spysweeper.
Loopt prima,maar dat schijfje van NOD32 ga ik wel gebruiken want
die reseller zei nog dat alles geupdated zal worden als er een nieuwe
versie komt.Dus ik verwacht dan dat mijn NOD32 een update krijgt.
Dit zeg ik omdat ik deze PC veel moet delen met trouwe internetters
binnen de Fam/kennisen kring.
En omdat ik nog een andere aansluiting over heb,ga ik daar mijn
eigen Stuff neerzetten,waar niemand anders op terecht kan.
Dus daar verheug ik me er al op,een eigen stek.
Overerigens de scans op Rootkit met F-Secure en die Rootkit tip
van robertoh (naam van die tool even kwijt) leverden niets op.
Om volledig af te sluiten heb ik op deze PC dus Realtime running,
Avast4Home, WebrootSpysweeper,KerioFirewall.
Wat die Firewall betreft ben ik tevreden,maar zijn er ook FreeFirewalls
die net iets beter zijn.Wat ik betwijfel,maar je weet nooit.
THX.
28-10-2006, 19:58 door the virusman
Klopt, bestaande versies (lees laatste versies) van nod32 zullen geupdate
worden naar de nieuwe versie. 2.7
29-10-2006, 13:08 door Anoniem
NA de melding vrijdag van dit virus heb ik spybot en Xsoftspy gecheckt en
deze niet gevonden, hierna drie uur lang hitmanpro2 laten draaien en veel
gevonden, maar een dag later nu start mijn computer niet meer op, ja
het windowscherm zie je en dan gaat de computer weer uit en start
weer op, en dit herhaald zich steeds, dus wat nu weer???
Heb er weinig verstand van !!
29-10-2006, 15:41 door Anoniem
Zo,als je HitmanPRO 3uur laat draaien dan is de kans groot dat
de Pc tot de bodem is schoongemaakt,en dat is te grondig denk ik.
Hitman Pro bevat ook een paar cleaners,dus blijf nog even proberen
en mocht je verder komen,dan via MijnComputer C en D zichzelf
laten controleren en repareren.
Op een oud barrel ook eens gehad,maar op deze manier kreeg ik
hem weer in orde.
29-10-2006, 19:38 door Anoniem
Wat ik eigenlijk niet begrijp Anoniem 29 okt 13:08 ,waarom laat je in
godsnaam Hitman Pro 3 uur draaien,om dat er een melding is.
Als hier de 27ste gekeken had kon je al lezen dat het een False poitieve
betrof. En de opmerking"Wat nu weer" sloeg dat op meer problemen?
Als dat zo was had je hier eerder eens kunnen posten,of op een forum
informatie inwinnen,zeker als je er weinig verstand van hebt.
En met welke instelling heb je eerst Spybot Searh&Destroy aan het
werk gezet? Hopenlijk de gewone veilige mode,want als je de
geavanceerde mode deed,en je hebt instellingen verandert,dan
vrees ik het ergste,want als dat het geval is moet Spybot eerst
weer opstarten en alles controleren. En stel dat het zo is moet
hij nog steeds alles controleren,dus zet maar aan en wacht,
als je dus de geavanceerde mode deed. Kijk ik probeer me in te beelden
wat er gebeurt KAN zijn,dus het blijft gissen.
30-10-2006, 10:24 door Anoniem
Ga dit doornemen en kom dan terug op dit bericht, maar na deze melding
eerst de boel doorzocht, wist ik veel dat ik hier wat erover kon vinden,
kwam hier toevallig achter toen ik het woord Qppass op google intiepte
om iets meer te weten te komen over dit onderwerp, dus zoek het uit.
alvast bedankt voor de tips, mvg Cor Ooms
30-10-2006, 11:09 door Anoniem
OF hij heeft een andere PC.
OF hij doet het weer.
07-11-2006, 19:49 door Anoniem
HIJ doet het nog steeds, even een late reactie nog, iets rechtzetten in de
veilige modus en alles al een week oke. TOCH bedankt jullie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.