Jump to content
Sign in to follow this  
Black Tiger

Iemand deze trojan al eens gezien/meegemaakt?

Recommended Posts

Black Tiger

LoL, echte kennissenbusiness.

De dochter van een vriend van een vriend van me, had via Kazaa wat mp3's gedownload. En vermoedelijk is dat de oorzaak geweest.

Aangezien de meeste mensen de bestandextensies niet aan hebben staan is het waarschijnlijk een titel.mp3veeeeeel spaties.exe file geweest en die heeft ze gestart en daar zat een trojan in.

 

Die trojan had echt iets heel moois gedaan.

 

Zijn HD is als je de dirlisting gelooft compleet leeg.

Maar als je dir doet, zie je wel nog dat hij van de 18 gigabyte een 3,5 gig nog over heeft, alleen zijn geen bestanden te zien.

 

Het lijkt er op dat de HD read-only staat, en alle bestanden hidden en ik werd er bij geroepen.

 

Uiteraard een bootdisk erbij genomen, opgestart en het systeem op de HD gezet middels het "sys c:" commando.

Daarop wilde de HD in elk geval weer opstarten. Het mooie is dat ik ook attrib had op deze diskette. En of ik nu opstartte van diskette of van de hd, bij gebruik van attrib kwam de melding "no files found *.*" terwijl ik met gewoon het dir commando wel de aanwezige command.com kan zien die ik er zelf op gezet heb.

Attrib ziet dus echt NIETS.

 

Nu heb ik met DF (oude dos util directory freedom) ondekt dat er in de root van de HD een file staat die hidden en read-only is.

 

Deze file is genaamd: MZ¹

Ik weet niet of dat hier zichtbaar is maar het is dus de letters MZ en daarnaast twee dunne verticale lijntjes met 1 klein horizontaal lijntje in het midden van de linker lijn, naar links wijzend.

 

Deze file is NIET te verwijderen, niet met Directory Freedom, niet met Norton Commander (die normaliter alles verwijdert) en nog wat utils die ik geprobeert heb.

Ik heb deze schijf als slave aan mijn schijven gehangen en met f-prot proberen te scannen, maar die komt met de melding dat deze MZ file niet te openen is.

Overigens.... het is niet zoiets als EZ, zo'n disk driver, want hij gaat ook niet weg met fdisk /mbr, is niet met fdisk te zien en MZ zou dan al voor Maxtor schijven moeten zijn terwijl deze schijf een IBM disk is.

 

Conclusie:

1.) HD ziet er leeg uit, terwijl hij dat niet is

2.) In de root staat een vreemde file die er niet in thuis hoort.

3.) Attrib herkent geen attributen noch files, daar moet je andere utils voor nemen.

4.) Norton noch enige andere util die ik probeerde kon de attributen verwijderen, de file openen noch verwijderen.

5.) Virusscanner kan de file ook niet openen.

 

Vreemd probleem, niet?

Iemand zoiets al eens gezien of meegemaakt? Ik vind zoiets natuurlijk een pracht van een Trojan maar het is niet leuk als iemand zoiets meemaakt, maar kundig gedaan is het wel.

 

Het is mogelijk de partitie te wissen en opnieuw te maken en een ghost terug te zetten.

Dochter is echter zo dom geweest om niet op haar eigen partitie maar op deze C schijf in de "mijn documenten" directory haar werkstukken van school te zetten, dus de vraag is eigenlijk of iemand die zoiets al eens meegemaakt heeft, hier ook een oplossing voor heeft waarbij deze rare file te verwijderen is en de schijf weer "zichtbaar" gemaakt kan worden.

 

Anyway, als niemand iets weet.... leek me leuk om dit heel aparte dingens eens met jullie te delen en opnieuw een waarschuwing uit te geven voor Kazaa (en soortgenoten) en te zorgen dat je altijd bestandsextensies aan hebt staan, zodat je ook kan zien of er niet heel ver achter de ene extensie nog een andere extensie schuilt en je dus een Trojan hebt binnengehaald.... werkt echt.

Alleen moet je dan niet te snel dubbelklikken op de file anders werkt het uiteraard weer niet en heb je het alsnog zitten.:)

 

p.s. Ben ik altijd wakker? Nee hoor, een BT slaapt ook wel eens, alleen kon ik nu weer eens niet slapen en ben dus maar even post komen doen.:D


Greetings, Black Tiger

Share this post


Link to post
Guest redneck eyeball

Probeer eens de Master Boot Record te overschrijven, wil al eens helpen.

 

In DOS :

A:>FDISK /MBR

 

Veel success.

 

Red

Share this post


Link to post
Guest ardvdw

@Red

Die fdisk/mbr heeft ie geloof ik al geprobeerd!

 

@BT

Als de inhoud van een een bestand met MZ begint, is dat normaal gesproken een aanduiding dat het een DOS executable is, maar dat zou dan op een of andere vage manier in de filename terecht zijn gekomen? Klinkt een beetje als BW.770.B virus, zou door Norton gezien moeten worden, wellicht een poging waard?

Blijft leuk, dit soort uitdagingen!

Succes!

Share this post


Link to post
Guest PauK

Ik heb dergelijke problemen in het verleden met een diskeditor opgelost. Die schrijft rechtstreeks naar de schijf weg en heeft dus niets te maken met FAT-conventies en dergelijke. Daarmee kan je zoeken naar de filenaam in de eerste sectoren van de schijf, en dan met de editor de naam veranderen naar een geldige filenaam. Je kan hem daarna met standaard DOS weggooien.

 

Ik denk overigens niet dat je daarmee de andere bestanden terughaald... waarschijnlijk is de FAT gewoon vernaggeld. Met die oude FAT-16 kon je met utilities meestal wel een eind komen, maar met FAt-32 zijn er maar zeer beperkt tools die je daarmee helpen.

Share this post


Link to post
Black Tiger

Bedankt voor de tips. Fdisk /mbr had ik inderdaad al geprobeert.

 

Ik heb ook al over een disk-editor gedacht maar ik weet niet welke ik het best kan gebruiken daarvoor, zit er in Windows 2000 standaard iets waarmee je kunt proberen?

 

Ik ben zelf namelijk niet zo heel goed met diskeditors, wel vroeger met diskedit (of zoiets) van pctools maar die werkt niet met fat32 schijven.

 

Toch blijf ik het raar vinden dat zelfs een nieuwe command.com niet gezien wordt door attrib. Wel door dir.

Ik ga het in elk geval eens bekijken.

 

Door niet na te denken heb ik nu mijn windows 2000 op de C drive geinstalleerd (mijn 98se stond op D), dat is iets minder veilig maar heeft wel als voordeel dat als ik nu die andere schijf met die primary partitie er in hang, dat ik hem eens door norton kan laten nakijken want dan start mijn windows tenminste op.

 

Nieuwe pogingen nieuwe kansen.... maar het blijft interessant.


Greetings, Black Tiger

Share this post


Link to post
Guest geinponem

probeer eens met lost &found van powerquest te kijken wat er uberhaupt diep weg nog op de schijf staat ik heb hier zelf al eens weggefdiskte bestanden en dirs mee teruggehaald.

 

grtz

Share this post


Link to post
Black Tiger

Weggefdiskte dingen? Wow... da's wel cewlness dan.

Heb ik net alleen partition magic van die firma, maar ik ga eens op zoek dat moet niet al te moeilijk zijn.:)

 

Jammer dat in Win2k niet zoiets standaard zit.


Greetings, Black Tiger

Share this post


Link to post
Dr.Z

BT, In win2K zit toch een soort van 'disk recovery'?

Dit bestandje repareerd beschadigde bestanden en refresed bestaande programma's op een harde schijf.

Heb je die al eens geprobeert?

Even ter info, deze optie zit in ieder geval wel in Win2K server maar ik weet even niet zo snel of win2K pro deze ook heeft!


"Al het goede in het leven is illegaal,immoreel of dikmakend"

Share this post


Link to post
Black Tiger

Heb ik niet gezien, ik heb trouwens Win2k Pro.

Wel heb ik die disk manager gezien waar je mee kunt fdisken, daarmee heb ik de HD op fouten gecontroleerd etc, maar geen fout te vinden.

 

Daaruit kan men dus concluderen dat chkdsk een veel sterkere utility is.

Onder Win2k zag ik geen MZ maar wel een lege partitie, buiten de dingen die ik er op had gezet.

Daarna chkdsk /f gedaan en raad eens? Een paar duizend file000xx.chk files in 2 directory's.

 

Het blijkt dus toch dat Pauk in de goede richting zat, ik kan me niets anders voorstellen dan dat de partitietabel overschreven of corrupt gemaakt is door die trojan.

 

Verder kan ik dus nu weinig meer doen denk ik, omdat al die files dus nu als .chk files zijn teruggekomen, naja... dan kan desbetreffen de file voor file nagaan waar de documenten staan die nodig zijn. Veel werk, maarja, meer smaken hebben we niet of heeft nog iemand een idee?


Greetings, Black Tiger

Share this post


Link to post
Guest geinponem

heb je l&f al gevonden en geprobeerd (ik dacht dat fosi hem had) want zoals ik al aangaf kun je hiermee meerdere keren terug,dus ook vaak onder overgeschreven bestanden de oude nog terughalen je moet hierna alleen wel even ziften want hij haalt ook bewust eerder verwijderde bestanden terug zodat je soms met 4 of 5 dezelfde bestanden zit.

 

grtz en succes

Share this post


Link to post
Black Tiger

Nee nog niet gevonden eerlijk gezegd, maar als je wil mag je me die url effe pm'men dan ga ik daar wel even kijken.


Greetings, Black Tiger

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  




  • Hosting Fun

×
×
  • Create New...

Important Information

By clicking the accept button you specifically agree to our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. If you don't agree, please leave this site.