HELP ! ik word gek van het backdoor SLAVE.EXE

[Gast]

Kan iemamnd mij helpen met het DEFINITIEF verwijderen van deze backdoor, en eventueel uitleggen hoe ik dit kan voor komen dat het niet meer terug komt...

 

 

Er draaien nu 2 maal een XP prof en een windows 2000 server alle drie hebben ze deze backdoor!

 

Heb deze al vele malen verweiderd maar komen snel weer terug???

 

Wordt weinig over vertelt/uitgelegt op het www??

 

<img src="/ubbthreads/images/graemlins/confused.gif" alt="" /> <img src="/ubbthreads/images/graemlins/confused.gif" alt="" /> <img src="/ubbthreads/images/graemlins/confused.gif" alt="" /> <img src="/ubbthreads/images/graemlins/kweetniet.gif" alt="" /> <img src="/ubbthreads/images/graemlins/kweetniet.gif" alt="" /> <img src="/ubbthreads/images/graemlins/kweetniet.gif" alt="" /> <img src="/ubbthreads/images/graemlins/biggthumpdown.gif" alt="" /> <img src="/ubbthreads/images/graemlins/biggthumpdown.gif" alt="" /> <img src="/ubbthreads/images/graemlins/frown.gif" alt="" />

[Bigfoot]

Staat ie in de /windows/prefetch directory misschien?

 

Anders es zoeken met search en ook in met regedit

[Gast]

tnxx for the help !!

 

Heb ik reeds al gedaan, en gevonden in regedit en ook verweiderd !

 

Toch heb ik het idee dat er nog iets is waardoor het snel terug kan komen????

 

Kan iemand hier iets vertellen over dit programmatje.

 

Slave.exe en Master.exe zijn namelijk orginele programma's , maar worden nu misbruikt door.............????????????

 

Graag zou ik willen weten hoe en wat????

 

Iedereen bedankt voor alle reactie, ze zijn zeer welkom...

[Gast]

Die programma's worden aangeroepen door VB5, kijk maar HIER

 

Dus je moet het even in die hoek zoeken...

 

Ik zal ook nog even verder spitten en kijken of er een remover/cleaner is maar dan moeten we eigenlijk wel precies weten hoe die worm of dat virus expliciet heet....

[Gast]

Is dus GEEN backdoor maar heeft WEL alle specificaties van een backdoor, lees maar even HIER ....

 

Citaat:

The Server

The server component does not have any visible installaton behavior: when run without any messages, it copies itself (the whole file) to the Windows directory with the SLAVE.EXE name and registers in the system registry in the auto-run section:

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

"RA Server"="C:\\WINDOWS\\Slave.exe"

As a result, the server component will be activated by Windows on each restart, and without any notification to a user.

 

Bron : www.viruslist.com

 

<img src="/ubbthreads/images/graemlins/xyxthumbs.gif" alt="" />

[Gast]

Hoi

 

Of het worm of virus genoemd kan worden weet ik niet, heb hier de vius scanner draaien van Symantec veriosn 8.1 met een huidige virus update. En deze heeft al die tijd niets geroepen !!!!

 

De file die ik gezien heb is "Slave.exe" en deze kwam ik op het spoor door in de services te kijken en daar slave zag draaien met een proc belasting van tussen de 30 en 77 procent????

 

Services slave (RA Server) gestopt, op uitgeschakeld gezet, slave.exe opgezocht op C drive en verweiderd (definitief) in de regedit gezocht en gevonden alle regels die met slave.exe ter maken hadden verweiderd.

 

Gezocht op internet, en de maker van het pakket slave.exe/master.exe gevonden.

 

En een kleine link naar de backdoor RA-server gevonden en daar ook een verwijder_slave.exe gevonden en uitgevoerd???

 

Maar toch nog terug komen he........

<img src="/ubbthreads/images/graemlins/confused.gif" alt="" /> <img src="/ubbthreads/images/graemlins/confused.gif" alt="" /> <img src="/ubbthreads/images/graemlins/confused.gif" alt="" /> <img src="/ubbthreads/images/graemlins/biggthumpdown.gif" alt="" /> <img src="/ubbthreads/images/graemlins/mad.gif" alt="" />

 

Alle hulp is nogmaals welkom......

[Gast]

@Viper32,

 

Kennelijk is het (zie postings van ozzo) geen Trojan.

Wil je het verwijderen, hier is een Uninstalprogrammaatje

plus info waar je misschien wat aan hebt:

http://www.remote-anything.com/en/downloads.htm

 

 

Met vriendelijke groeten <img src="/ubbthreads/images/graemlins/wink.gif" alt="" />

 

sattaz

[Gast]

Maar dan nu de hamvraag : Heb je VB geinstalleerd ?

 

Als je dus een VB pakket hebt geinstalleerd dan maakt VB die files volgens mij gewoon elke keer opnieuw aan.....omdat ze erbij horen.

 

Ik zal nog even verder spitten voor je...

[Gast]

Kan ook onderdeel zijn van "Remote Anything" een server programma dat deze files gebruikt. Zie HIER ...

 

Maar deze link had je volgens mij al gevonden ?

 

Er staat precies omschreven hoe je e.e.a. zou moeten kunnen deleten.

 

Hopelijk kom je er nog vanaf. (Check ook even of die RA misschien gewoon geinstalleerd staat).

 

We horen wel hoe je gevaren bent....

[Gast]

Hoi allemaal,

 

Installatie van nieuwe windows 2000 server gedaan, check naar slave.exe, niet gevonden.

 

Symantec antivirus geinstalleerd en laten checken met nieuwe virus file update. Tot nu toe niets gevonden.... <img src="/ubbthreads/images/graemlins/xyxthumbs.gif" alt="" />

 

Zometeen even de drivers van audio en mass controler installeren van org cd's, dus vewacht ik geen probleem mee.

 

En dat weer even verder kijken.....

 

Ik hou jullie op de hoogte

[Gast]

Beter <img src="/ubbthreads/images/graemlins/xyxthumbs.gif" alt="" />

[Gast]

Alles nog steeds oke, server in het netwerk opgenomen en drivers allemaal geladen, gescaned op virus en geen gevonden .... <img src="/ubbthreads/images/graemlins/smile.gif" alt="" />

 

Ik denk dat ik weet waar het in gezeten heeft maar wil graag jullie mening hier over horen....

 

 

Toen ik de slave.exe vond op verschillende machine's toen vond ik het al raar dat op twee van de vier pc het wel zat en de andere twee niet ?????

 

De twee die geen slave.exe hadden draaien, waren het laatste er bij gekomen (ongeveer 3 weken geleden). Voor de zekerheid ik heb 4 pc's draaien met windows XP prof en 1 pc met windows 2000 server.

 

Op de server had ik een mailserver draaien van Kerio, nou wil het dus zo zijn dat de pc die niet de slave hadden, bij mij nooit zijn aangemeld als gebruiker van de mail (kerio) de andere twee wel deze hebben een mail account om in te loggen bij de mail server om de mail op te halen die op de server klaar staat.

 

Nu denk ik dat de Kerio mailserver programma niet ??? het probleem geeft . Komt direct van de kerio website af, maar de crack die ik gebruik werk perfect maar toch ....... <img src="/ubbthreads/images/graemlins/kweetniet.gif" alt="" /> <img src="/ubbthreads/images/graemlins/kweetniet.gif" alt="" /> <img src="/ubbthreads/images/graemlins/kweetniet.gif" alt="" /> <img src="/ubbthreads/images/graemlins/kweetniet.gif" alt="" />

 

Is er misschien iemand die mij hierop iets kan vertellen en het liefste met wat zekerheid in het te geven antwoord???

 

Graag hhor ik van jullie (jouw Ozzo)

[Gast]

Voor wat betreft mijn kennis op het gebied van servers/mailservers etc. moet ik je helaas teleurstellen. Ik kan een piepklein thuisnetwerkje opzetten, een klein bedrijfsnetwerkje wil ook nog wel, maar dan houdt het ook gewoon op ;-)

 

Ik kan je er dus niks zinnigs over zeggen. Ik zal wel, als ik hem eerdaags weer eens spreek, mijn MCSE-maat (Microsoft Certified Software Engineer) raadplegen die daar dus duidelijk WEL verstand van heeft, maar weer geen snars snapt van satelliet ;-)

 

Ieder zijn vak.... zullen we maar zeggen ;-))))) <img src="/ubbthreads/images/graemlins/angel.gif" alt="" />

[JaNuZz]

Was het niet toevallig een rpc exploit en hebben die andere pc's nog niet de juiste updates gekregen (en mischien de 2 nieuwste pc's wel?

[Gast]

Sorry, maar wat wordt er precies bedoelt met "rpc exploit"?

 

De pc's staan alle vier in 1 netwerk en hebben als ik kijk naar de frequentie van het terug keren van het programmatje slave.exe tijd genog gekregen denk ik.

 

De server is nu al weer een tijdje in de lucht en heb ik nog niet het idee dat de backdoor weer terug is... hoop dat het zo blijft...!

 

Weet iemand een programma wat bij mij het programma van de mailserver kan overnemen, ik gebruikte tot nu toe het programma Kerio mailserver. Werkte altijd naar wens maar ik ben bang dat het door dat programma komt??????

 

Alle op of aanmerkingen worden nog steeds opprijs gesteld...