Dit is een vertaling van een verhandeling van Calamity Jane over dit virus. En zal worden aangepast indien er meer bekend wordt

---

Bube.d of Win32.Beavis is een nieuwe infectie. Het enige programma dat gevonden is tot nu toe dat het goed verwijderd is KAV Personal 5.0 (deze heeft een probeer versie voor 30 dagen met complete functionaliteit dat het weg haalt).

We hebben een aantal Anti Virus programma's gevonden dat zeggen het weg te halen. Maar, zij stoppen alleen de geïnfecteerde explorer.exe in quarantaine en/of verwijderen het, jou achterlatend zonder een Bureaublad.

Deze infectie download meer dan 100 verschillende malwares, maar een aantal typisch kenmerken in een HijackThis log zijn. Deze komen meteen terug zodra je online gaat.

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = »searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = »searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = »searchmiracle.com/sp.php

O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\boln.dll
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O2 - BHO: (no name) - {2B5E7117-24E7-5914-3794-A3D089E4A773} - (no file)
O2 - BHO: (no name) - {57798B92-1E52-BB11-3BF1-51F50C193253} - (no file)
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll

O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll

O4 - HKLM\..\Run: [tibs5] C:\WINNT\system32\tibs5.exe
O4 - HKLM\..\Run: [12C.tmp] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\12C.tmp.exe 0 10001
O4 - HKLM\..\Run: [Web Service] C:\WINNT\system32\sm.exe
O4 - HKLM\..\Run: [12C.tmp.exe] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\12C.tmp.exe 0 10001
O4 - HKLM\..\Run: [version] C:\WINNT\system32\Mthnzl.exe
O4 - HKLM\..\Run: [secure] C:\WINNT\system32\Yfkadl.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINNT\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINNT\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [15E.tmp] C:\WINNT\TEMP\15E.tmp.exe 3 10001
O4 - HKLM\..\Run: [15E.tmp.exe] C:\WINNT\TEMP\15E.tmp.exe 3 10001
O4 - HKLM\..\Run: [4.tmp] C:\WINNT\TEMP\4.tmp.exe 0 10001
O4 - HKLM\..\Run: [4.tmp.exe] C:\WINNT\TEMP\4.tmp.exe 0 10001
O4 - HKLM\..\Run: [rE4W37i] jdbtil.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvayb32.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe

O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.addictivetechnologies.com
O15 - Trusted Zone: *.addictivetechnologies.net
O15 - Trusted Zone: *.admin2cash.biz
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.bettersearch.biz
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.f1organizer.com
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.pizdato.biz
O15 - Trusted Zone: *.private-dialer.biz
O15 - Trusted Zone: *.private-iframe.biz
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.vse-moe.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com

O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\wnim.dll
O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\wnim.dll

Dit is het artikel over het type malware waar je last van hebt
http://www.viruslist.com/en/weblog

The file infecting AdWare saga continues
Roel February 10, 2005 | 15:28 MSK

comment

We are currently seeing an increase in cases which involve file infecting AdWare.

These new viruses are more sophisticated than the one we previously reported and append malicious code to Windows' explorer.exe. The viruses belong to the Virus.Win32.Bube family.

For example, Virus.Win32.Bube.d downloads AdWare and Trojans, including: AdWare.ISearch.d, Trojan-Clicker.Win32.Agent.bn, Trojan.Win32.LowZones.ai and PornWare.Dialer.Salc.

Disinfection in this case is tricky, as explorer.exe is an important Windows process. Additionally, the malware tries to prevent removal by disabling system restore, infecting the explorer.exe residing in %sysdir%\dllcache and lowering overall system security.

Things can get extra complicated as an AV can block access to the infected explorer.exe.

Download Hoster

Klik op "Restore Original Hosts" en klik op "Ok"

Verlaat het programma.

N.b: als je een ander Hosts bestand gebruikte zal je de ontbrekende onderdelen zelf moeten toevoegen!

Je moet updates ophalen voor je gaat scannen!

Gedetailleerde instructie's volgen later op deze pagina.

Ga hier naartoe om de uitprobeer versie van KAV Personal 5.0 te downloaden (geldig voor 30 dagen!)

http://www.kaspersky.com/index.html

Of hier:

• http://downloads1.kaspersky-labs.com/trial/registered/2T17J48017F63KM1T941/kav5.0trial_personalen.exe
• http://downloads2.kaspersky-labs.com/trial/registered/2T17J48017F63KM1T941/kav5.0trial_personalen.exe
• ftp://downloads1.kaspersky-labs.com/trial/registered/2T17J48017F63KM1T941/kav5.0trial_personalen.exe
• ftp://downloads3.kaspersky-labs.com/trial/registered/2T17J48017F63KM1T941/kav5.0trial_personalen.exe

Klik op "Downloads" in het linker menu

Ga dan naar "Trial Versions"

Kies "Kaspersky Anti-Virus Personal 5.0"

Je zal een lijst zien met locaties om van te downloaden (kies de dichstbijziijnde plek)

Kies "Save" en sla het op in een map op je harde schijf.

Ga naar deze map en dubbelklik op kav5.0trial_personalen.exe om de installatie te starten.

Je zal dit scherm zien waarin je aan kan geven waar het programma geïnstalleerd moet worden.Klik op "Next".

Als KAV een ander anti-virus programma ontdekt zal het adviseren dit te deïnstalleren. Je kan dit doen, of je kan het programma uitschakelen en daarna op "Ja" te klikken om verder te gaan. De manier om residente bescherming uit te zetten verschilt per programma. Je kan proberen door rechts te klikken op het ikoon in de System Tray (aan de rechter onderkant van je scherm) en te kijken naar de opties.

Je kan het ook uitzetten door in Windows XP gebruik te maken van MSConfig (klik "Start"-> "Uitvoeren..." en type "msconfig.exe". Klik op "OK", klik op "Opstarten" en ontvink alle items die te maken hebben met het AntiVirus programma en herstart je computer).

Het belangrijkste is dat je je huidige AntiVirus niet laat scannen op bestanden bij het benaderen zodat KAV zijn werk kan doen.

In dit voorbeeld moest alleen de residente bescherming van EZ AV utgezet worden. Dit werkte zonder deïnstallatie van het programma.

Hierna zie je de Kaspersky Anti-Virus Personal 5.0 Setup Wizard. Deze adviseert alle andere bestanden te sluiten voorje begint met de setup. Doe dit en klik hierna op "Next"

Nu krijg je de licentievoorwaarden te zien. Lees deze, en ga verder met de installatie.

Volgt het "Customer Information"-scherm. Vul hier in wat je wilt en klik op "Next" om verder te gaan.

Je ziet hierna de belangrijke opmerkingen van KAV. Lees deze of sla ze op voor later.

Ontvink de check bij "Operate according to Recommended settings" Anders kunnen we niet een custom installatie doen.

Klik op "Next" nadat je het gelezen hebt. En vergeet de checkbox niet!

Op het volgende scherm, ontvink de checkbox bij "use real-time protection against network attacks".

Deze kan problemen opleveren met bepaalde firewalls. Je kan proberen of alles werkt met de checkbox gevinkt nadat de installatie en scan zijn gedaan.

Je kan de "iStreams technology" check aan laten staan als je wil, maar over het algemeen is het beter om deze uit te zetten als je KAV weer deïnstalleert na het verwijderen van Bube.

Kies de map waar het programma geïnstalleert moet worden en klik op "Next". Het programma wordt geïnstalleert.

Hierna zie je het "Finished" scherm.

KAV zal gestart worden. Indien je een firewall gebruikt, laat dan toe dat KAV toegang zoekt met het Internet om de updates op te halen. Wacht terwijl de updates worden gedownload en deïnstalleert.

Haal nu de "Extended Database"met updates om de adware te verwijderen dat Virus.Win32.Bube gedownload heeft. Kijk onder "Settings", en "Configure Updater". Kies "Extended Database". Klik "OK" en klik op "Check for Updates", en je krijgt nog meer updates die geïnstalleerd worden.

Klik nu op "Settings" en kies "Configure On-demand scan settings". Selecteer "Perform recommended action" en klik op "OK". Je kan de scan level naar maximum zetten om zeker te zijn dat er niets verborgen blijft in de email database.

Handmatig updaten

Je moet toegang hebben tot een andere computer. Als je er zelf niet één hebt, vraag het aan een vriend, je baas of ga naar een bibliotheek.

Ga naar deze link http://www.kaspersky.com/avupdates.

Download de complete update... (één zip bestand van 4,9 MB). Kies "Complete update" (cumul.zip),

Op de volgende pagina bij "Complete update", kies een server in de buurt voor de download.

Na download brandt het op een CD en kopieer het. Sla het op in "C:\Documents And Settings\All Users\Documents\Kaspersky Anti-Virus Updates" en pak het uit.

Ga naar "C:\Documents And Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\Bases". Verwijder alles in deze map. Als je één van deze bestanden niet kan verwijderen, hij zal overschreven worden.

Start Kaspersky, open de "Settings" tab, open "Configure Updater", ga naar "Update type" en "Select from a local folder". Klik browse ( de ... knop, zie voorbeeld) en ga naar de map waar je de uitgepakte bestanden hebt neergezet. Selecteer deze en verlaat het scherm.

 

Ga terug naar Kaspersky en klik "Update now". De bestanden worden nu geladen.

Simpelere methode die ook werkte. Verlaat KAV als je er in zit.

Sla de zip op op je Bureaublad. Pak het uit naar de standaard Winzip locatie, c:\Unzipped. Navigeer naar deze map en open het bestand. Click "Edit/Select All". Op de linkerkant klik "Copy" of "Move selected items". Kopieer opf verplaats de bestanden naar C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases en kopieer of verplaats de nieuwe database. Je krijgt de opmerking dat het bestand al bestaat. Op de vraag of het bestand overschreven mag worden, antwoord "Ja" en je hebt de laatste definitie's.

Na herstart kan je een foutmelding krijgen die zegt dat de database corrupt is en of je het programma wilt herinstalleren. Negeer dit, want het wordt rechtgetrokken bij de volgende auto-update.

Sluit KAV en andere programma's die je open hebt.

Het wordt aangeraden om deze scan uit te voeren in Veilige Mode Start je computer in beveiligde modus. Hoe start ik mijn computer in veilige modus?

Bij XP is het mogelijk om in Veilige Mode nog steeds op het Internet te gaan, dus zorg ervoor dat je connectie fysiek niet mogelijk is (trek de kabels eruit).

• Start KAV, maar ga nog niet scannen.
• Heel erg belangrijk:
• Druk op Ctrl + Alt + Delete and selecteer "Taakbeheer". Ga naar het "Processen" tabblad.
  Selecteer explorer.exe en sluit deze door op "Taak beëindigen" te klikken

Je bureaublad zal verdwijnen en je zal geen taalbalk, menu, enz. hebben. Je hebt echter nog steeds "Taakbeheer" en KAV open, dus sluit deze niet!

• Start een "Full system scan". Klik op de "Protection" tab en kies "Scan My Computer"
• Het zal een tijd bezig zijn (ongeveer twee tot drie uur) en zal alle infecties verwijderen die het vindt
• KAV zal alle bestanden die het detecteert als Virus.Win32.Bube desinfecteren en veel gerelateerde malware die het vindt
• als het klaar is, ga dan naar "Taakbeheer", tabblad "Toepassingen" en klik op "Nieuwe taak...". Type "explorer.exe" en klik "OK". Hierna zal het Bureaublad weer verschijnen.
• Sluit KAV en "Taakbeheer"
• Herstart je computer (in gewone modus)

Er zal wellicht nog meer moeten worden opgeruimd, dus schroom niet om vragen te stellen op het forum.

Belangrijk!!! Dit virus verandert de beveiligings instellingen van de Vertrouwde Zone en in het Windows Beveiligingscentrum. Kijk de instellingen dus na

Als je gevraagd wordt om een log van KAV te posten. Hier is hoe je dit kan doen:

Klik op "View Reports"

Wanneer dat scherm is geopend zie je een lijst. Klik met de rechtermuisknop op het "Full Scan" rapport en een menu wordt geopend. Kies hieruit "Export detailed report to file", hierna kan je het opslaan. Klik op "Save as .txt (text)", geef het een naam en klik op "Save".

Hierna kan je het rapport toevoegen aan je post.

Als explorer.exe is verwijderd...

Als explorer.exe is verwijderd tijdens het schoonmaken neem dancontact op met Microsoft Help and Support worldwide. Ga naar deze pagina en kies je regio in de rechter bovenkant van het scherm:

http://support.microsoft.com/?pr=SecurityHome

Nieuwe ontwikkeling! {25 Maart 2005}

KAV schoont het meeste van de infectie op, maar herstelt niet de Registry-instellingen die veranderd zijn door de Bube Trojan (en de bijbehorende spyware) die veel beveiligings instellingen verlagen op de computer van het slachtoffer. De huidige gegevens van Microsoft Antispyware verwijdert alle varianten tot Bube.E en zet de Windows Update en Internet Zone instellingen terug naar standaard. Men is aan het werk om andere varianten te integreren, dus vergeet niet te updaten. Microsoft Antispyware Beta1 is gratis en verkrijgbaar voor Microsoft Windows 2000, Windows XP, en Windows Server™ 2003 Hier is de download download. Vergeet niet de laatste updates op te halen! Open het programma en click op "Spyware Definitions" om het programma te updaten voor je gaat scannen.