[GenCTurK] sirh0t rootkit - Privacy en beveiliging

maandag 30 mei 2005 20:28

Acties:

0 Henk 'm!

Topicstarter

zojuist is mijn XP machine gerootkit geraakt.
mijn vriendin was aan het msn'n, totdat er opeens een bekende online kwam,
een bericht stuurde met de tekst "check this"... met een link erbij,
zij daarna erop geklikt, er kwam nog wel een virus melding.

Na onderzoek bleek op de c:\ schijf in de root een system.ini
te staan en een sirh0t32.pif bestand, in de system ini
staat een heel verhaal over de GenCTurk Rootkit driver

ook werkte de virusscanner niet meer, kan niet meer updaten.
ook zijn de sites van mcafee, symantec etc. allemaal onbereikbaar geworden,
nou jah...... als ik ze ping verwijzen ze naar 127.0.0.1 de localhost dus.

kent iemand deze en weet wat deze doet? en hoe te verwijderen?
ik heb al een paar vreeemde programma's uit m'n registry verwijderd, echter sites
zijn nog steeds geblockt.

ook staat in die ini file een aantal port adressen, 4191, 6667, 8080, 80 voor tcp
en udp 135,1033,445,

de 4191 en 6667 en 1033 heb ik naar buiten toe ook maar dichtgezet op mijn aparte
firewall

oh ja, het bestand wkssvc32.exe staat in die ini file

tevens een autoexec in de c:\ aangetroffen met de tekst
BIG FUCK to kapersky, mcafee, symantec etc.

HELP!

[ Voor 12% gewijzigd door ArchRAIDen op 30-05-2005 20:33 ]

maandag 30 mei 2005 20:33

Acties:

0 Henk 'm!

Jaap-Jan

Je hosts- file weer goed zetten, deze staat in de map: C:\WINDOWS\system32\drivers\etc

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett

maandag 30 mei 2005 20:34

Acties:

0 Henk 'm!

Verwijderd

zou eerst je hostfile eens bekijke die vind je hier.

C:\WINDOWS\system32\drivers\etc\hosts

die moet er ongeveer zo uitzien

code:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dit is een voorbeeld HOSTS-bestand dat wordt gebruikt door Microsoft TCP/IP for Windows.
#
# Dit bestand bevat de toewijzingen van IP-adressen naar hostnamen. Elke vermelding
# moet op een afzonderlijke regel staan. Het IP-adres dient in de eerste kolom te worden
# geplaatst, gevolgd door de bijbehorende hostnaam. Het IP-adres en de hostnaam dienen 
# gescheiden te zijn door ten minste één spatie.
#
# Daarnaast kunnen opmerkingen (zoals deze) worden toegevoegd op extra
# regels of gevolgd door de computernaam, voorafgegaan door een #.
#
# Bijvoorbeeld:
#
#      102.54.94.97     rhino.acme.com          # bronserver
#       38.25.63.10     x.acme.com              # x clienthost

127.0.0.1       localhost

daarna ff een online virusscan laten draaien op de bak.

with the guy above me ...

maandag 30 mei 2005 20:36

Acties:

0 Henk 'm!

Motrax

Profileert

Is hetzelfde probleem als wat hier besproken is, hoewel het in het verkeerde topic staat:
[rml]The Legend in "[ MSN] Bropia-varianten (handcuffs.pif)"[/rml]

Maar er is nog geen oplossing gepost.

Ik ga wel even een e-mail sturen naar de bv mods over deze topics samenvoegen ofzo.

Edit:
Als ik zoek op google naar GenCTurk Rootkit, krijg ik twee hits, de eerste staat het volgende:
http://www.chip.com.tr/fo....asp?TOPIC_ID=8318&#43133

The tecnique :
1) It makes a list of the running programs ans close them.
2) It clears all startups.
- Warning it even closes the official Microsoft program's like msnmsgr etc.. This gonna be fixed in version 0.2! ***
3) Too don't let the program kill his self it selfcopies in the %windir%\system32\GencAntiTro.exe!
4) When the Registry has cleaned it reboots Windows.
The code too rebote is :
ShellexecuteA(0,'open', 'shutdown.exe',' -r -f -t 0',nil,0);
5) The program is encrypted for Unpacking.

Het zou een anti-trojan programma moeten zijn

GencTurk Anti-Trojan v0.1
Coded By GencTurk
U.K.D.K.

- This program was made for testing, it has a good reputation.
- I think this program is the first program ever that use a never used (before) technique.
- It even remove's trojanfile's that have the same filename as the system files.
- It removes ProRat 1.9 and other (unknowed/undected) varriants which is hard too remove, fast and eazy without any problems.
- It enable's Windows Firewall ve The Windows Security Center.
- And when it finishes it reboots Windows..

* The program removes all startup file's (all methods), so your configuration can change!
* System Tray icons can disappear!
* The program's that you want too run on startup can't run on windows startup anymore!

{*} This is the v0.1 (beta) version. So it's normal when it's function sometime unstable.
{*} Only when you read and understand all above points use it (on your own risico).

tested on : WinXP SP2 (WORKS!)

De rest is in het Turks, ik het niet lezen

[ Voor 83% gewijzigd door Motrax op 30-05-2005 20:48 ]

maandag 30 mei 2005 20:38

Acties:

0 Henk 'm!

ArchRAIDen

Topicstarter

zojuist mijn hosts file bekeken.

vond de grootte al beetje vreemd: 148 kB!!!
in de file staan vrijwel alle bekende virus sites,
tevens ook alles wat met kaza begint en nog een zooitje,
ik heb het bestand wkssvc32.exe ook gevonden in de system32
map met de last modifed datum van vandaag om 19:00, precies het
moment dat die link gedrukt werd.

maandag 30 mei 2005 20:41

Acties:

0 Henk 'm!

Jaap-Jan

ArchRAIDen schreef op maandag 30 mei 2005 @ 20:38:
zojuist mijn hosts file bekeken.

vond de grootte al beetje vreemd: 148 kB!!!
in de file staan vrijwel alle bekende virus sites,
tevens ook alles wat met kaza begint en nog een zooitje,
ik heb het bestand wkssvc32.exe ook gevonden in de system32
map met de last modifed datum van vandaag om 19:00, precies het
moment dat die link gedrukt werd.

Ga alsjeblieft niet @random files verwijderen, wkssvc32.exe is gewoon een standaard onderdeel van Windows. Zoek uit welk virus dit is. Sites als Symantec hebben dan vaak wel een lijstje met acties die het virus uitvoert en die je dus ongedaan moet maken.

Ik zit al wat te zoeken maar zowel GenCTurk als sirh0t levert mij weinig op...

Je hostsfile kun je wel verwijderen en vervangen voor diegene die superabje je gaf.

Ooh ja, je ziet nu wel een deel van de reden waarom je nooit standaard als Administrator moet werken, als gewone gebruiker had de schade een stuk beperkter geweest

[ Voor 16% gewijzigd door Jaap-Jan op 30-05-2005 20:45 ]

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett

maandag 30 mei 2005 20:43

Acties:

0 Henk 'm!

ArchRAIDen

Topicstarter

wees gerust, heb het bestand nog niet verwijderd,
inmiddels een online scan aan het uitoveren, sites doen het ook weer.

ik heb ook zal gezocht op die namen, echter nog weinig gevonden,
wel een turkse site met een gencantitro.exe erop

maandag 30 mei 2005 20:53

Acties:

0 Henk 'm!

ArchRAIDen

Topicstarter

nog geen virus kunnen vinden.

maandag 30 mei 2005 20:56

Acties:

0 Henk 'm!

Stewie!

Keen must die!

kan je het niet fixen met hijackthis?

Effe laten zien wat er allemaal draait en gehooked wordt..

maandag 30 mei 2005 21:12

Acties:

0 Henk 'm!

ArchRAIDen

Topicstarter

het ding doet nog meer....
in windows\system32\software een lijst met de volgende bestanden allemaal van 106kb

overigens geen virussen kunnen vinden, niet online scanner en ook niet van mijn
virusscanner op de pc

code:

 Volume in drive C is Windows
 Volume Serial Number is C097-1A6E

 Directory of C:\WINDOWS\system32\Software

30-05-2005  21:11    <DIR>          .
30-05-2005  21:11    <DIR>          ..
30-05-2005  18:59           108.544 2 Find MP3 8.2.0.exe
30-05-2005  18:59           108.544 AC3-MP3 converter.exe
30-05-2005  18:59           108.544 ACDSee 5.5b.exe
30-05-2005  18:59           108.544 ACDSee Classic 2.79.exe
30-05-2005  18:59           108.544 Ad-aware 6.5 (new)Download Accelerator Plus 6.3.exe
30-05-2005  18:59           108.544 Adobe Acrobat Reader 5.6.exe
30-05-2005  18:59           108.544 Adobe PhotoShop 7.1 crack.exe
30-05-2005  18:59           108.544 Adobe Photoshop crack.exe
30-05-2005  18:59           108.544 AdvZip Recovery.exe
30-05-2005  18:59           108.544 Age of Empire crack.exe
30-05-2005  18:59           108.544 Age of Mythology crack.exe
30-05-2005  18:59           108.544 AIM Pass stealer.exe
30-05-2005  18:59           108.544 aimcracker.exe
30-05-2005  18:59           108.544 aimhacker.exe
30-05-2005  18:59           108.544 All Editor 3.0b.exe
30-05-2005  18:59           108.544 all messenger hacker (MSN,YAHOO,AIM,ICQ) brute forcer + exploiter.exe
30-05-2005  18:59           108.544 All Microsoft games crack.exe
30-05-2005  18:59           108.544 American concuest crack.exe
30-05-2005  18:59           108.544 AMI BIOS Cracker.exe
30-05-2005  18:59           108.544 anastasia_anal.exe
30-05-2005  18:59           108.544 anastasia_naked.exe
30-05-2005  18:59           108.544 anastasia_nude.exe
30-05-2005  18:59           108.544 Anno 1503 Crack - No cd.exe
30-05-2005  18:59           108.544 AOL hacker.exe
30-05-2005  18:59           108.544 AOL Instant Messenger 6.1.exe
30-05-2005  18:59           108.544 AOL password stealer.exe
30-05-2005  18:59           108.544 Auction Sentry (new).exe
30-05-2005  18:59           108.544 AudioLabel CD Labeler 3.0 (+crack).exe
30-05-2005  18:59           108.544 Autocad 2002 Crack.exe
30-05-2005  18:59           108.544 Battlefied1942 Pack4 (crack+bloodpatch).exe
30-05-2005  18:59           108.544 Beach life crack nocd.exe
30-05-2005  18:59           108.544 BearShare 5.1.1.exe
30-05-2005  18:59           108.544 blood patch.exe
30-05-2005  18:59           108.544 Britney spears game.exe
30-05-2005  18:59           108.544 Bugbear remover.exe
30-05-2005  18:59           108.544 buttman.exe
30-05-2005  18:59           108.544 C&C Generals Pack2 (new patch).exe
30-05-2005  18:59           108.544 catherine_zeta_jones_anal.exe
30-05-2005  18:59           108.544 catherine_zeta_jones_naked.exe
30-05-2005  18:59           108.544 catherine_zeta_jones_nude.exe
30-05-2005  18:59           108.544 Christina Aguilera game.exe
30-05-2005  18:59           108.544 Complete UK Music Database 4.2.exe
30-05-2005  18:59           108.544 Counter Strike CD Keygen WORKIN ON ALL CS versions.exe
30-05-2005  18:59           108.544 Counter Strike_CD_Keygen.exe
30-05-2005  18:59           108.544 crack serials.exe
30-05-2005  18:59           108.544 credit card.exe
30-05-2005  18:59           108.544 Delphi 5 Keygen.exe
30-05-2005  18:59           108.544 Delphi 6 Keygen.exe
30-05-2005  18:59           108.544 Die another Day DVD full.exe
30-05-2005  18:59           108.544 Die another day flash movie(1).exe
30-05-2005  18:59           108.544 Die another day flash movie.exe
30-05-2005  18:59           108.544 Digimon.exe
30-05-2005  18:59           108.544 DirectDVD 4.9.exe
30-05-2005  18:59           108.544 DivX Bundle 6.2.exe
30-05-2005  18:59           108.544 DivX edit (new).exe
30-05-2005  18:59           108.544 DivX Video Bundle 5.5.1.exe
30-05-2005  18:59           108.544 divx_fix.exe
30-05-2005  18:59           108.544 divx_repair.exe
30-05-2005  18:59           108.544 dos and ddos ping udp syn flooder.exe
30-05-2005  18:59           108.544 Driver 2 crack.exe
30-05-2005  18:59           108.544 DvD Rip guide (+tools) st0rm.exe
30-05-2005  18:59           108.544 Dvd ripper.exe
30-05-2005  18:59           108.544 Dynamite Downloads.exe
30-05-2005  18:59           108.544 EA games Keygen.exe
30-05-2005  18:59           108.544 Easy CD Creator Software Update.exe
30-05-2005  18:59           108.544 edonkey_serverlist.exe
30-05-2005  18:59           108.544 Esafe desktop protection crack.exe
30-05-2005  18:59           108.544 exegen.exe
30-05-2005  18:59           108.544 Fifa 2003 crack.exe
30-05-2005  18:59           108.544 Fifa 2004 crack.exe
30-05-2005  21:11                 0 files
30-05-2005  18:59           108.544 FlashFXP (keygen).exe
30-05-2005  18:59           108.544 Free ADSl.exe
30-05-2005  18:59           108.544 FreeRip 4.30.exe
30-05-2005  18:59           108.544 Frontline attack war over Europe noCD crack.exe
30-05-2005  18:59           108.544 Frontpage cracker.exe
30-05-2005  18:59           108.544 ftp website hacker.exe
30-05-2005  18:59           108.544 ftp_cracker.exe
30-05-2005  18:59           108.544 ftp_hacker.exe
30-05-2005  18:59           108.544 Genie Stream 3.2.4.exe
30-05-2005  18:59           108.544 GetRight 5.5 + crack.exe
30-05-2005  18:59           108.544 Global DiVX Player 2.0.1.exe
30-05-2005  18:59           108.544 Gothic 2 (m-patch).exe
30-05-2005  18:59           108.544 Grokster 2.0.exe
30-05-2005  18:59           108.544 GTA 3 game crack noCD.exe
30-05-2005  18:59           108.544 GTA3 game crack noCD.exe
30-05-2005  18:59           108.544 hack tool.exe
30-05-2005  18:59           108.544 Hacker Tutorial (by ph3Akz).exe
30-05-2005  18:59           108.544 Half-Life keygen (+ogc hack).exe
30-05-2005  18:59           108.544 Half_life Cd keygen.exe
30-05-2005  18:59           108.544 Highland warriors crack.exe
30-05-2005  18:59           108.544 HL keys (working).exe
30-05-2005  18:59           108.544 host_faker.exe
30-05-2005  18:59           108.544 host_spoofer.exe
30-05-2005  18:59           108.544 Hotmail account hacker in 30 minutes.exe
30-05-2005  18:59           108.544 Hotmail Hacker.exe
30-05-2005  18:59           108.544 Hotmailhacker v1.0.exe
30-05-2005  18:59           108.544 hotmail_account_sniffer.exe
30-05-2005  18:59           108.544 I.G.I. 2 (new crack).exe
30-05-2005  18:59           108.544 Icon extractor v1.7 - full.exe
30-05-2005  18:59           108.544 ICQ hacker.exe
30-05-2005  18:59           108.544 ICQ Lite beta (b2253).exe
30-05-2005  18:59           108.544 ICQ password stealer.exe
30-05-2005  18:59           108.544 ICQ Pro 2003a beta (b4600).exe
30-05-2005  18:59           108.544 icqcracker.exe
30-05-2005  18:59           108.544 icqhacker.exe
30-05-2005  18:59           108.544 ICQ_Hackingtools.exe
30-05-2005  18:59           108.544 ident_faker.exe
30-05-2005  18:59           108.544 ident_spoofer.exe
30-05-2005  18:59           108.544 IIS_shellbind_exploit.exe
30-05-2005  18:59           108.544 iMesh 4.1 beta.exe
30-05-2005  18:59           108.544 invisible_IP.exe
30-05-2005  18:59           108.544 ip_faker.exe
30-05-2005  18:59           108.544 ip_spoofer.exe
30-05-2005  18:59           108.544 iSnipeIt 5.0c.exe
30-05-2005  18:59           108.544 Jack the ripper v1.0.exe
30-05-2005  18:59           108.544 Jackie chan dvd collection.exe
30-05-2005  18:59           108.544 James Bond 007 Nightfire crack.exe
30-05-2005  18:59           108.544 James Bond game - Die another day.exe
30-05-2005  18:59           108.544 John the ripper v1.0.exe
30-05-2005  18:59           108.544 Justin Timberlake Debute movie.exe
30-05-2005  18:59           108.544 Kazaa Media Desktop 2.5.exe
30-05-2005  18:59           108.544 Kazaa Skins 1.8.exe
30-05-2005  18:59           108.544 kazaa speed up.exe
30-05-2005  18:59           108.544 kazaa.exe
30-05-2005  18:59           108.544 KaZooM MP3 Kazaa Accelerator 2.5.exe
30-05-2005  18:59           108.544 keylogger best keylog ever.exe
30-05-2005  18:59           108.544 Klez fixtool.exe
30-05-2005  18:59           108.544 kmd151_en.exe
30-05-2005  18:59           108.544 linux_root.exe
30-05-2005  18:59           108.544 Linux_rootaccess.exe
30-05-2005  18:59           108.544 Lord of the rings VCD.exe
30-05-2005  18:59           108.544 Love calculator.exe
30-05-2005  18:59           108.544 Mad Jack crack.exe
30-05-2005  18:59           108.544 MadJack crack.exe
30-05-2005  18:59           108.544 Mafia game crack noCD.exe
30-05-2005  18:59           108.544 Mcafee virusscanner crack.exe
30-05-2005  18:59           108.544 Medal Of Honor (Allied Assault) crack.exe
30-05-2005  18:59           108.544 Microangelo 6.0b.exe
30-05-2005  18:59           108.544 Microangelo crack.exe
30-05-2005  18:59           108.544 mIRC 6.x addon patch.exe
30-05-2005  18:59           108.544 mIRC s3th war-script.exe
30-05-2005  18:59           108.544 Morpheus 2.6.exe
30-05-2005  18:59           108.544 Most important hacker tool ever!.exe
30-05-2005  18:59           108.544 MP3 cut pro 3.0.exe
30-05-2005  18:59           108.544 mp3 ripper.exe
30-05-2005  18:59           108.544 msconfig.exe
30-05-2005  18:59           108.544 MSN 5.0 Banner remover.exe
30-05-2005  18:59           108.544 MSN Messenger 10.exe
30-05-2005  18:59           108.544 MSN Messenger commercial crack.exe
30-05-2005  18:59           108.544 MSN Password crack.exe
30-05-2005  18:59           108.544 MSN PLUS!.exe
30-05-2005  18:59           108.544 msncracker.exe
30-05-2005  18:59           108.544 msnhacker.exe
30-05-2005  18:59           108.544 msn_IP_finder.exe
30-05-2005  18:59           108.544 MXlinx 0.30 crack.exe
30-05-2005  18:59           108.544 Need for Speed 6 (new cars + crack).exe
30-05-2005  18:59           108.544 Need for Speed Cheater Trainer v.1.0 works on all.exe
30-05-2005  18:59           108.544 Need for Speed UNDERGROUND 2.exe
30-05-2005  18:59           108.544 NeoNapster 3.92.exe
30-05-2005  18:59           108.544 Nero Burning ROM 5.8.2.4.exe
30-05-2005  18:59           108.544 Network Cable + ADSL Speed 2.0 (beta).exe
30-05-2005  18:59           108.544 New Nvidia (geForce) drivers (beta).exe
30-05-2005  18:59           108.544 Nikki cox game and movie.exe
30-05-2005  18:59           108.544 Nimo Codec Pack 9.0 (stable).exe
30-05-2005  18:59           108.544 norton anti virus FULL VERSION.exe
30-05-2005  18:59           108.544 Norton antivirus crack.exe
30-05-2005  18:59           108.544 Office key Gen.exe
30-05-2005  18:59           108.544 Office XP Crack.exe
30-05-2005  18:59           108.544 Office XP license crack.exe
30-05-2005  18:59           108.544 OfficeXP_Keygen.exe
30-05-2005  18:59           108.544 Operation Flashpoint (bloopatch).exe
30-05-2005  18:59           108.544 pamela_anderson_anal.exe
30-05-2005  18:59           108.544 pamela_anderson_naked.exe
30-05-2005  18:59           108.544 pamela_anderson_nude.exe
30-05-2005  18:59           108.544 password stealer.exe
30-05-2005  18:59           108.544 Patch Creator 3.5a.exe
30-05-2005  18:59           108.544 PhotoShow 3.1.exe
30-05-2005  18:59           108.544 Pokemon.exe
30-05-2005  18:59           108.544 Pop-Up Stopper 4.0 (beta).exe
30-05-2005  18:59           108.544 porn.exe
30-05-2005  18:59           108.544 pornmovie (hardcore sex adult asian).exe
30-05-2005  18:59           108.544 porn_account_cracker.exe
30-05-2005  18:59           108.544 porn_account_hacker.exe
30-05-2005  18:59           108.544 Powerful MP3 ripper.exe
30-05-2005  18:59           108.544 private hack software DONT SHARE KEEP IT PRIVATE!.exe
30-05-2005  18:59           108.544 PS1 BootCD.exe
30-05-2005  18:59           108.544 PS2 BootCD.exe
30-05-2005  18:59           108.544 Ps2 to Pc tutorial (+tool).exe
30-05-2005  18:59           108.544 PS2_emulator_bleem.exe
30-05-2005  18:59           108.544 psx2 emulator FINAL WORKING FOR PLAYSTATION.exe
30-05-2005  18:59           108.544 QuickTime 7.2 (new).exe
30-05-2005  18:59           108.544 Raven Shield 5.32 crack.exe
30-05-2005  18:59           108.544 RealJukebox Basic 2.8.exe
30-05-2005  18:59           108.544 RealOne Free Player 2.8.exe
30-05-2005  18:59           108.544 Red Alert 2 YR [noCD].exe
30-05-2005  18:59           108.544 Red Alert 2 [noCD].exe
30-05-2005  18:59           108.544 Red Alert cracker crack - All versions (yuri, 1 ,2 etc).exe
30-05-2005  18:59           108.544 RemoteSpy 1.5.exe
30-05-2005  18:59           108.544 Rollercoaster tycoon 2 crack.exe
30-05-2005  18:59           108.544 Rollercoaster tycoon cracker.exe
30-05-2005  18:59           108.544 sandra_bullock_naked.exe
30-05-2005  18:59           108.544 sandra_bullock_nude.exe
30-05-2005  18:59           108.544 sarah_michelle_gellar_naked.exe
30-05-2005  18:59           108.544 sarah_michelle_gellar_nude.exe
30-05-2005  18:59           108.544 shakira_anal.exe
30-05-2005  18:59           108.544 shakira_assfucked.exe
30-05-2005  18:59           108.544 shakira_naked.exe
30-05-2005  18:59           108.544 shakira_nude.exe
30-05-2005  18:59           108.544 shakira_paparazzi_collection.exe
30-05-2005  18:59           108.544 shortcut to northwind.lnk.exe
30-05-2005  18:59           108.544 Shriek DVD crack patch.exe
30-05-2005  18:59           108.544 Sim City 4 - no cd crack.exe
30-05-2005  18:59           108.544 Sim City 4 - no cd patch.exe
30-05-2005  18:59           108.544 Sim city 4 crack.exe
30-05-2005  18:59           108.544 Sim City 4 [noCD].exe
30-05-2005  18:59           108.544 sms bomber WORKING.exe
30-05-2005  18:59           108.544 Splinter Cell crack.exe
30-05-2005  18:59           108.544 spyware remover.exe
30-05-2005  18:59           108.544 Stop the war (intro).exe
30-05-2005  18:59           108.544 Stronghold Crusader crack- All versions [noCD].exe
30-05-2005  18:59           108.544 Stuart Little 2 crack game noCD.exe
30-05-2005  18:59           108.544 Sub7_masterpwd.exe
30-05-2005  18:59           108.544 Super 2000key keygen.exe
30-05-2005  18:59           108.544 The Sims crack.exe
30-05-2005  18:59           108.544 Theme park world cracker.exe
30-05-2005  18:59           108.544 TitJiggle (flash game).exe
30-05-2005  18:59           108.544 Trillian 0.8 + plugins.exe
30-05-2005  18:59           108.544 tripod_cracker.exe
30-05-2005  18:59           108.544 tripod_hacker.exe
30-05-2005  18:59           108.544 Tropico crack.exe
30-05-2005  18:59           108.544 universal game NO-CD crack WORKS ON ALL GAMES.exe
30-05-2005  18:59           108.544 universal GSM Mobile Unlocker simlock remover works on nokia samsung ericsson sony and all other.exe
30-05-2005  18:59           108.544 UniversalFlood (4.8b).exe
30-05-2005  18:59           108.544 Unreal2 (2.8) crack.exe
30-05-2005  18:59           108.544 UT2003 multi-crack (new).exe
30-05-2005  18:59           108.544 Warcraft 3 crack.exe
30-05-2005  18:59           108.544 Warcraft3 battle.net(2.5) crack.exe
30-05-2005  18:59           108.544 Webcracker.exe
30-05-2005  18:59           108.544 Website hacker v1.0.exe
30-05-2005  18:59           108.544 win2k_pass_decryptor.exe
30-05-2005  18:59           108.544 Win2k_reboot_exploit.exe
30-05-2005  18:59           108.544 win2k_serial.exe
30-05-2005  18:59           108.544 Window Washer 4.8.exe
30-05-2005  18:59           108.544 Windows Me crack.exe
30-05-2005  18:59           108.544 windows XP 2000 98 NT keygen (allin1).exe
30-05-2005  18:59           108.544 Windows XP license crack.exe
30-05-2005  18:59           108.544 Windows_Keygen_allver.exe
30-05-2005  18:59           108.544 WinMX 3.5.1.exe
30-05-2005  18:59           108.544 WinRAR CRACKED.exe
30-05-2005  18:59           108.544 winxphack.exe
30-05-2005  18:59           108.544 winxp_crack.exe
30-05-2005  18:59           108.544 winxp_cracker.exe
30-05-2005  18:59           108.544 winxp_hacker.exe
30-05-2005  18:59           108.544 WinXP_Keygen.exe
30-05-2005  18:59           108.544 WinZip CRACKED FULL.exe
30-05-2005  18:59           108.544 Winzip_Pass_Cracker.exe
30-05-2005  18:59           108.544 Wippit 2.1 (beta).exe
30-05-2005  18:59           108.544 Word_Pass_Cracker.exe
30-05-2005  18:59           108.544 WS_FTP LE 6.0.exe
30-05-2005  18:59           108.544 xbox_emulator_beta.exe
30-05-2005  18:59           108.544 XP DVD Plugin.exe
30-05-2005  18:59           108.544 XP ScreenSaver.exe
30-05-2005  18:59           108.544 XP_Box_emulator.exe
30-05-2005  18:59           108.544 XP_keygen.exe
30-05-2005  18:59           108.544 XViD bundle (codec+tutorial).exe
30-05-2005  18:59           108.544 Yaha Fixtool.exe
30-05-2005  18:59           108.544 yahoo_cracker.exe
30-05-2005  18:59           108.544 yahoo_hacker.exe
30-05-2005  18:59           108.544 Yahoo_mail_cracker.exe
             270 File(s)     29.198.336 bytes
               2 Dir(s)   3.721.621.504 bytes free

maandag 30 mei 2005 21:17

Acties:

0 Henk 'm!

Motrax

Profileert

Zet het even tussen [code][/code] haakjes

Hmm... ik kijk er even naar: het is helemaal geen HT-log. Post dat eens even? Dat van die directory geloof ik wel...

[ Voor 53% gewijzigd door Motrax op 30-05-2005 21:19 ]

maandag 30 mei 2005 21:17

Acties:

0 Henk 'm!

pSycho-Y2K

Ik raad je aan om zo snel mogelijk Adaware SE Personal v1.06 te downloaden (gratis) van www.lavasoft.com en een scan te draaien, dit ziet er niet zo fris uit..

Wis die map trouwens ook, die bestanden zijn wel erg verdacht

[ Voor 18% gewijzigd door pSycho-Y2K op 30-05-2005 21:18 ]

maandag 30 mei 2005 21:19

Acties:

0 Henk 'm!

chucky666

d.y.w.play?

meuktracker: HitMan Pro 2.0.12
dan zou ik eerder hitman pro nemen en microsoft antispyware proggie

een OW voor blaten in de IT? laat IT dan maar voortaan links liggen :(

maandag 30 mei 2005 21:25

Acties:

0 Henk 'm!

ArchRAIDen

Topicstarter

adaware heb ik al gedraaid, die vond alleen een paar tracking cookies, voor de rest niets

maandag 30 mei 2005 21:29

Acties:

0 Henk 'm!

Stewie!

Keen must die!

1) die files zijn de files waaronder het virus zich verspreid. Mensen zoeken daarop en tjakka: virus binnen. Meestel de computer-domme mensen zoals je vriendin (nofi, maar twijfelachtige zaken aanklikken op MSN???)
2) hijackthis eerst draaien en hier posten. Je kan je virusscanner en adaware nog 100000x draaien zonder iets te vinden.

maandag 30 mei 2005 21:30

Acties:

0 Henk 'm!

BlackLight

Denk dat het een sd.bot variant is. Als ik me niet vergis is de sd.bot een kloteding en kun je beter Windows opnieuw installeren.

maandag 30 mei 2005 21:31

Acties:

0 Henk 'm!

ErwinvA

I've got a Xerox to copy

misschien helpt dit je wat verder, sysinternals rootkitrevealer

maandag 30 mei 2005 21:36

Acties:

0 Henk 'm!

ArchRAIDen

Topicstarter

hier de Ht.log :

code:

Logfile of HijackThis v1.99.1
Scan saved at 21:34:53, on 30-5-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NavNT\vptray.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org1.1.4\program\soffice.exe
C:\Program Files\Hitman Pro\hitmanpro2.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe
G:\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "f:\games\steam\steam.exe" -silent
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Program Files\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - 

http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114023449984
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - 

http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - 

http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{201B8C96-DD6D-4BAE-A35A-9AC3B1BC1CAE}: NameServer = 194.109.104.104,194.109.6.66
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

maandag 30 mei 2005 21:55

Acties:

0 Henk 'm!

ArchRAIDen

Topicstarter

net erachter gekomen dat ook de volgende services ook uitgeschakeld worcden:

automatic updates
bits
eventlog

maandag 30 mei 2005 21:58

Acties:

0 Henk 'm!

Stewie!

Keen must die!

ErwinvA schreef op maandag 30 mei 2005 @ 21:31:
misschien helpt dit je wat verder, sysinternals rootkitrevealer

doe die eens

[ Voor 199% gewijzigd door Stewie! op 30-05-2005 21:59 ]

maandag 30 mei 2005 22:02

Acties:

0 Henk 'm!

ArchRAIDen

Topicstarter

DaMorpheus schreef op maandag 30 mei 2005 @ 21:58:
[...]

doe die eens

tja...

zegt dat spybot search & destroy gevonden is.

(geinstalleerd door hitman pro)
verder zegt die niets.

maandag 30 mei 2005 22:06

Acties:

0 Henk 'm!

Verwijderd

Damn.. Wat heb jij een illegale shit op je pc staan...

Wat is die Asian shit? :):) Overigens, om op het probleem terug te komen..

Kun je ook geen systeemherstel uitvoeren?? Als het nog mogelijk zou zijn, dan zou dit waarschijnlijk wel kunnen helpen. Werkt bij veel problemen met spyware en virussen. Ik zou het in ieder geval proberen. En anders voor de volgende keer een image maken van je pc, zodat je die altijd terug kunt zetten en meteen weer up to date bent..:)

Ik zou verder niet echt een oplossing weten

maandag 30 mei 2005 22:09

Acties:

0 Henk 'm!

Stewie!

Keen must die!

ArchRAIDen schreef op maandag 30 mei 2005 @ 22:02:
[...]

tja...

zegt dat spybot search & destroy gevonden is.

(geinstalleerd door hitman pro)
verder zegt die niets.

effe aanvinken dat ie alles scant.
Niet zo klakkeloos overal op "start" drukken.
Ook je virusscanner en adaware hebben maar opties dan "update", "start" en "sluiten"

Verwijderd schreef op maandag 30 mei 2005 @ 22:06:
Damn.. Wat heb jij een illegale shit op je pc staan...

Wat is die Asian shit? :):) Overigens, om op het probleem terug te komen..

Lees het topic eens door

[ Voor 31% gewijzigd door Stewie! op 30-05-2005 22:10 ]

maandag 30 mei 2005 22:11

Acties:

0 Henk 'm!

ArchRAIDen

Topicstarter

Verwijderd schreef op maandag 30 mei 2005 @ 22:06:
Damn.. Wat heb jij een illegale shit op je pc staan...

Wat is die Asian shit? :):) Overigens, om op het probleem terug te komen..

Kun je ook geen systeemherstel uitvoeren?? Als het nog mogelijk zou zijn, dan zou dit waarschijnlijk wel kunnen helpen. Werkt bij veel problemen met spyware en virussen. Ik zou het in ieder geval proberen. En anders voor de volgende keer een image maken van je pc, zodat je die altijd terug kunt zetten en meteen weer up to date bent..:)

Ik zou verder niet echt een oplossing weten

hoezo asian shit?

maandag 30 mei 2005 22:13

Acties:

0 Henk 'm!

Stewie!

Keen must die!

ArchRAIDen schreef op maandag 30 mei 2005 @ 22:11:
[...]

hoezo asian shit?

Hij doelt op de bestandsnamen van het virus. Hij leest het topic ook niet door maar roept gewoon maar wat in het rond
Negeren dus

maandag 30 mei 2005 22:14

Acties:

0 Henk 'm!

ArchRAIDen

Topicstarter

DaMorpheus schreef op maandag 30 mei 2005 @ 22:09:
[...]

effe aanvinken dat ie alles scant.
Niet zo klakkeloos overal op "start" drukken.
Ook je virusscanner en adaware hebben maar opties dan "update", "start" en "sluiten"
[...]

Lees het topic eens door

Ik druk niet overal klakkeloos op "start".
heb ver voor het begin van dit topic al die wkssvc32 service uitgeschakeld en verwijderd
uit mijn registry,
had gister toevallig nog in de "run" van het registry gekeken wat er allemaal instond,
daar stond die wkssvc32 zeker niet bij.

maandag 30 mei 2005 22:16

Acties:

0 Henk 'm!

Stewie!

Keen must die!

ArchRAIDen schreef op maandag 30 mei 2005 @ 22:14:
[...]

Ik druk niet overal klakkeloos op "start".
heb ver voor het begin van dit topic al die wkssvc32 service uitgeschakeld en verwijderd
uit mijn registry,
had gister toevallig nog in de "run" van het registry gekeken wat er allemaal instond,
daar stond die wkssvc32 zeker niet bij.

Ja dus draai het sysinternals programma nog eens met full scan, dan zie je meteen waar de shit zit

maandag 30 mei 2005 22:17

Acties:

0 Henk 'm!

Verwijderd

HT/anti-'spyware' bij een rootkit, het moet niet veel gekker worden.

Heb je de HacDef in je root al te pakken of niet?

maandag 30 mei 2005 22:20

Acties:

0 Henk 'm!

Stewie!

Keen must die!

Verwijderd schreef op maandag 30 mei 2005 @ 22:17:
HT/anti-'spyware' bij een rootkit, het moet niet veel gekker worden.

Heb je de HacDef in je root al te pakken of niet?

sysinternals rootkitrevealer kan je het toch mee vinden?

maandag 30 mei 2005 22:38

Acties:

0 Henk 'm!

Verwijderd

DaMorpheus schreef op maandag 30 mei 2005 @ 22:20:
[...]

sysinternals rootkitrevealer kan je het toch mee vinden?

ja lees maar http://www.jawwi.nl/malware/rootkits.html en hier http://www.f-secure.com/blacklight/

[ Voor 9% gewijzigd door Verwijderd op 30-05-2005 22:41 ]

maandag 30 mei 2005 22:49

Acties:

0 Henk 'm!

Verwijderd

Daar kun je helemaal geen eenduidig antwoord op geven omdat het een kat en muisspelletje is tussen detectie en nondetectie.

Ik zie de C:\ files er hierboven niet tussenstaan dus tenzij ik iets gemist heb, ben ik geneigd om te zeggen dat RKR deze variant er niet uitvist.

maandag 30 mei 2005 22:51

Acties:

0 Henk 'm!

Kreutel

ik zit met hetzelfde probleem...
norton is uitgeschakeld, hijackthis sluit meteen af en die rootkit werkte niet...
help

4r3 u 1337 3n0ugh 2 r34d 7h15?

dinsdag 31 mei 2005 01:16

Acties:

0 Henk 'm!

Verwijderd

DaMorpheus schreef op maandag 30 mei 2005 @ 22:13:
[...]

Hij doelt op de bestandsnamen van het virus. Hij leest het topic ook niet door maar roept gewoon maar wat in het rond
Negeren dus

Dank je! Ik kwam toch ook met een voor mij werkende oplossing??? Namelijk systeemherstel. Ben je meteen van je virussen af..Tenzij deze virussen dat ook voorkomen... Dat heb ik niet gelezen, of ik moet scheel zijn... Waarom probeer je het niet gewoon eens??

[ Voor 35% gewijzigd door Verwijderd op 31-05-2005 01:18 ]

dinsdag 31 mei 2005 02:39

Acties:

0 Henk 'm!

Verwijderd

Mag ik jullie ff wijzen op dit topic; [rml][ malware] O.a. rootkit en IM-worm[/rml] waar we redelijk dicht bij een oplossing zijn voor velen van jullie

dinsdag 31 mei 2005 08:29

Acties:

0 Henk 'm!

ArchRAIDen

Topicstarter

ik ga vanavond UPX, Upolyx en Morphine even draaien, kijken wat ik nog kan vinden.
Virusscanners vinden niets.
hitman ook niet,
moet nog de rootkitrevealer met full scan draaien,

in het andere topic [rml][ malware] O.a. rootkit en IM-worm[/rml]
heb ik ook e.e.a. uitgehaald,
ik denk toch dat ik mijn machine opnieuw ga installeren.
Gelukkig blokt mijn firewall (gentoo machine) de uitgaande poort naar 6667 (irc)

dinsdag 31 mei 2005 12:49

Acties:

0 Henk 'm!

Verwijderd

@ArchRAIDen, meestal zit er in zon bot 2 poorten voor irc

Dus als ik jouw was zou ik toch maar even die sniffer draaien

[ Voor 96% gewijzigd door Verwijderd op 31-05-2005 13:01 ]

dinsdag 31 mei 2005 13:10

Acties:

0 Henk 'm!

Reemster

Soul Reaver

ik heb wkssvc32 dus wel verwijderd uit system32 en alles werkt weer, daarvoor ook al zonder dak echt iets had gedaan behalve virus-scannen (weinig resultaat) ad-aware (alleen cookies), tune up utilities (oa register cleanen) en mislukte poging om in veilige modus te komen

mss dat tune up 't heeft gefixt want na die restart deden msconfig en hijackthis 't weer (door dat virus sloten ze onmiddelijk weer af).

maar het vreemde: system32 map is weg

de map is niet verborgen en met zoeken vind ie ook niks (ok niet alsk naar bestanden in die map zoek). Waar the fuck is die map heen, zonder die map kan windows tog niet werken

(bij een mede lotgenoot is die map ook weg)

dinsdag 31 mei 2005 13:13

Acties:

0 Henk 'm!

Verwijderd

Het is niet opgelost.
De rootkit is nog steeds aanwezig, welke ook een Backdoor bevat.

dinsdag 31 mei 2005 18:38

Acties:

0 Henk 'm!

MarElo

Ik zie je wel!

Hier precies hetzelfde geintje

Me vrouw kreeg ook een bestandje via msn vanmiddag,......en de rest lijkt me duidelijk.
W2K PC.
winnt\system en \system32 folders lijken niet meer te bestaan.
Tauscan en Kaspersky werden niet meer geladen.
Regedit openen,...en sluit ook meteen weer.
Via easycleaner wel de wkssvc32.exe uit de startup up kunnen krijgen (stond er 2x in),in de run services folder
P.S; wkssvc32.exe komt op m'n eigen pc (ook W2K) niet voor, wel de wkssvc.dll, maar die horen ook waar ze staan
Nu starten tauscan en kaspersky wel weer,maar vinden beiden niets met een full scan.
Ook zijn de system en system32 folders nog steeds weg, terwijl ik Kaspersky er wel in zie scannen

MSN Messenger maar even un-installed voor de zekerheid.
Ik ga weer even verder neuzen op die pc

dinsdag 31 mei 2005 18:45

Acties:

0 Henk 'm!

tdn135

Probeer eens een ander regedit programma zoals Aezay Registry Commander!

http://www.aezay.dk/aezay/regcmd/index.html

Misschien dat het werkt.

dinsdag 31 mei 2005 21:33

Acties:

0 Henk 'm!

benchMarc

Virusscanners vinden nog nix omdat dit een vrij nieuw virus is, lijkt me. Ik vraag me af welke bestanden nu daadwerkelijk ook geïnfecteert zijn. Er worden wel exe's gestart in de Run, maar een virusscan geeft ze niet aan als virussen.

Heb 2 pc's van klanten ter reparatie met dit virus, ik ga hier morgen naar kijken. Als ik het heb opgelost laat ik het nog wel weten.

dinsdag 31 mei 2005 22:43

Acties:

0 Henk 'm!

ArchRAIDen

Topicstarter

Verwijderd schreef op dinsdag 31 mei 2005 @ 12:49:
@ArchRAIDen, meestal zit er in zon bot 2 poorten voor irc Dus als ik jouw was zou ik toch maar even die sniffer draaien

ik weet het, ook 4191 uit mijn hoofd, stond in die system.ini file in de root van de c: schijf.

woensdag 1 juni 2005 00:56

Acties:

0 Henk 'm!

tweakerbee

dus..?

Het is dus een SDBot variant met stealth mogelijkheid dmv die rootkit.
Mijn advies: Opnieuw installeren.

Wil je eigenwijs zijn, start dan op z'n minst op vanuit een WinPE / BartPE omgeving zodat de rootkit niet actief is. Vervolgens een up-to-date virusscanner gebruiken, maar je bent waarschijnlijk langer bezig met puin ruimen dan met een herinstallatie. En bij die laatste ben je er zeker van dat je het virus kwijt bent.

You can't have everything. Where would you put it?

woensdag 1 juni 2005 01:11

Acties:

0 Henk 'm!

jozy

Ik kan je een paar dingen vertellen: gencturk betekend jonge turk

en daarnaast een neef van mij had er ook last van, terwijl hij in computerbranche(hardware reparatie/software gezeik) zit en hij zag na 2 dagen als oplossing : formateren dat handeltje. Je komt er echt niet 1 2 3 vanaf, alleen als die virusscan fabrikanten met een oplossing komen (wachten geblazen) en dan nog heb je kans om anderen te besmetten en daarnaast je bent onveilig aan het surfen. It's up to you...

woensdag 1 juni 2005 10:15

Acties:

0 Henk 'm!

benchMarc

tweakerbee schreef op woensdag 01 juni 2005 @ 00:56:
Het is dus een SDBot variant met stealth mogelijkheid dmv die rootkit.
Mijn advies: Opnieuw installeren.

Wil je eigenwijs zijn, start dan op z'n minst op vanuit een WinPE / BartPE omgeving zodat de rootkit niet actief is. Vervolgens een up-to-date virusscanner gebruiken, maar je bent waarschijnlijk langer bezig met puin ruimen dan met een herinstallatie. En bij die laatste ben je er zeker van dat je het virus kwijt bent.

Opnieuw installeren is dus echt zo'n niet-oplossing. Dat is gewoon echt gemakkelijk. PC's van klanten kun je niet zomaar opnieuw gaan installeren. Die zijn alle proggies kwijt en moeten ze opnieuw installeren, waar ze de ballen verstand van hebben. Ze komen altijd weer terug met een probleempje.

Het lijkt met dat het niet per sé met WinPE hoeft, ERD commander zal ook wel werken. Als ik 't virus eruit heb laat ik het nog wel weten.

Iemand die weet welke bestanden hij nu precies 'hijacked' van windows?

woensdag 1 juni 2005 13:05

Acties:

0 Henk 'm!

Reemster

Soul Reaver

hijackthis vond alleen dit: wkssvc32.exe
die zit in de system32-map, de map die ik nu dus niet meer heb

morgen of overmorgen formateren die zooi en dan es ff een back-up maken met norton ghost (had ik nog niet gedaan)

woensdag 1 juni 2005 13:42

Acties:

0 Henk 'm!

Verwijderd

Ik heb dus ook deze GencTurk-zooi te pakken dankzij klik-grage familieleden.

Het programma Rootkit Revealer van de vorige pagina in deze draad gaf bij mij in de honderd discrepanties. Waaronder cruciale mappen en bestanden als \windows\system32 en \windows\system en \windows\system.ini, die allemaal te boek stonden als "Hidden from Windows API". Zwaar klote dus. Het leuke is wel dat ik de mappen in ieder geval via cmd.exe kon benaderen, door gewoon "cd windows\system32" te typen. Maar dat was het enige proof-of-life van de mappen (en natuurlijk het feit dat WindowsXP nog redelijk draaide). System.ini gaf helemaal geen teken van leven en reageerde ook niet op "type system.ini" of iets dergelijks.

In de Rootkit Revealer lijst stonden ook vier andere *verdachte* bestanden te boek als "Hidden from Windows API", te weten:
\windows\system32\wkssvc32.exe
\system.exe
\system.ini (nee, niet het bestand in windows\system.ini)
\system.sys

Maar deze vier bestanden waren dus totaal onzichtbaar vanuit Windows XP.

De wanhoop nabij heb ik toen een oude Windows ME bootdisk uit de kast gevist en daarmee de computer opgestart. Gelukkig bleek toen alles weer zichtbaar. Ik heb toen de bovengenoemde vier bestanden gewist en de computer opnieuw normaal opgestart. En wat bleek? Alle vermiste bestanden en mappen zijn weer terug en ik heb ik Rootkit Revealer nog maar vier discrepanties (volgens mij van Deamon-tools, maar dat terzijde). Zelfs de gruwelijke GencTurk registry entries zijn verdwenen.

Ik weet eigenlijk niet of ik het moet vertrouwen, want het is een beetje een te spontaan vertrek van de nu al legendarische GencTurk. Ik bedoel, kan het zijn dat het is opgelost door de bovengenoemde vier bestanden te verwijderen?

Mijn specs:
WinXP Pro SP1 (NL)
Amd Tbird, 384 Ram

[ Voor 4% gewijzigd door Verwijderd op 01-06-2005 13:46 ]

woensdag 1 juni 2005 14:00

Acties:

0 Henk 'm!

Verwijderd

Aanvulling:
Voor de "reparatie" werkte HijackThis niet goed. Ik kreeg een error waarvan de strekking was dat er een bestand niet kon worden gelezen (ik vermoed \windows\system.ini). Die error is nu gelukkig weg. Nu is echter ook zichtbaar geworden dat Windows bij het opstarten een Service probeert op te starten genaamd "Turkspy For Rootkit" met een verwijzing naar c:\system.exe. Deze staat in HijackThis nu echter gemarkeerd als "file missing", omdat ik c:\system.exe dus heb verwijderd.

Ik weet overigens vrij zeker dat deze Service voor het verwijderen van de bovengenoemde bestanden (in mijn vorige post) niet zichtbaar was in HijackThis.

woensdag 1 juni 2005 17:54

Acties:

0 Henk 'm!

ejtnaj

Geweldig. Ik heb em ook. Ik heb even door mijn MSN-logjes gekeken en daar staat inderdaad een "check this (link naar ergens op die GenCTurk-website)". Ik heb em ook

.

Mijn Hosts file is toen ook helemaal volgegooid met websites die ik vervolgens niet kon bereiken. Daar heb ik in ieder geval een tijdelijke oplossing voor gevonden (voor mensen die system32-map niet kunnen zien): download het progje "Hoster.exe" (15-May-2005 11:06 164k) van de opendir op "http://www.greyknight17.com/spy/". Daarmee kan je de Hosts-file aanpassen zodat je wel op de virusscanner websites kan komen, maar geen online scanner die ik heb geprobeerd, vindt iets.

Programma's zoals regedit sluiten meteen af, zelfs ook een simpele spel zoals Zuma. Ook bij mij is de map windows\system32 verdwenen en ik kan System Restore niet meer aan/uit zetten, zelfs niet vanuit de registry (met Reg Commander). In services.msc en gpedit.msc kan ik nergens de System Restore opties vinden, die zijn verdwenen.

De removal tools tsc.exe van Trend en FixSflog.exe van Symantec vinden bij mij ook niks en Windows Safe Mode start niet op.

Kortom: fucked. Ik ga maar mijn hele computer opnieuw installeren omdat ik zelf geen zin meer heb in deze onzin en hoe langer ik hier aan zit hoe eerder ik mijn beeldscherm door het raam ga gooien.

[ Voor 6% gewijzigd door ejtnaj op 01-06-2005 18:05 ]

woensdag 1 juni 2005 19:06

Acties:

0 Henk 'm!

Verwijderd

lazygun schreef op woensdag 01 juni 2005 @ 17:54:
Kortom: fucked. Ik ga maar mijn hele computer opnieuw installeren omdat ik zelf geen zin meer heb in deze onzin en hoe langer ik hier aan zit hoe eerder ik mijn beeldscherm door het raam ga gooien.

Je kunt proberen het gevalletje handmatig te verwijderen door het besmette besturingssysteem te laten voor wat het is en met een schone bootdisk of -cd je computer op te starten. Dan kun je in principe weer alles benaderen, omdat je dan de rootkit-kneut min of meer omzeilt.

Er zijn wel een aantal zaken die ik hier lees van andere slachtoffers en die niet overeenkomen met de problemen die ik heb/had:

- ik heb geen problemen gehad met het "hosts" bestand; het bestand bestaat niet eens (in \windows\system32\drivers\etc)
- ik heb nog wel problemen met mijn thuisnetwerk: mijn laptop ziet het slachtoffersysteem niet meer en het slachtoffersysteem zit mijn laptop niet meer. Gedeelde mappen werken niet meer. Pingen kan echter wel. Netstat geeft niet aan dat het slachtoffersysteem verbinding heeft met de router op 192.168.0.1 (zoals normaal het geval is), terwijl internetten wel werkt en de netwerkverbinding sowieso verder niet vreemd doet. Heel verdacht.
- ik heb geen problemen gehad met exe-bestanden; het starten van regedit.exe, cmd.exe e.d. is op geen enkel moment een probleem geweest
- ik heb een Windows ME bootdisk kunnen gebruiken omdat mijn C-schijf nog altijd van FAT32 gebruik maakt, in tegenstelling tot mijn D-schijf die wel van NTFS gebruik maakt. Geluk bij een ongeluk, want ik heb zelf geen Knoppix of BartPE-cd.

woensdag 1 juni 2005 19:45

Acties:

0 Henk 'm!

benchMarc

Ik heb bij klanten ook meerdere versies gezien. Bij 2 zijn de system32 mappen weg. Zoals sommigen hier. Maar bij een ander bestond die nog, en daar stond gewoon de "hosts" file in. Retevol met urls die naar localhost verwijzen, zelfs tweakers.net. Je kunt dus praktisch het internet gewoon niet meer op. Iemand al gevonden waar die hele system32 naartoe is verhuisd?

Wat een krankzinnig virus is dit zeg. Abnormaal.

woensdag 1 juni 2005 19:53

Acties:

0 Henk 'm!

Verwijderd

benchMarc schreef op woensdag 01 juni 2005 @ 19:45:
Iemand al gevonden waar die hele system32 naartoe is verhuisd?

Wat een krankzinnig virus is dit zeg. Abnormaal.

Rootkit Revealer zegt dus dat mappen als \windows\system32 "hidden from Windows API" zijn.

woensdag 1 juni 2005 19:54

Acties:

0 Henk 'm!

Strider

Gister kreeg ik een filte die d8 ik iets met beach.pif hete, ik klikte verkeerd en opende hem, fock schijf begon te ratellen, ik d8 o nee he.

Dus hupakee pandavirus scan eroverheen laten gaan, vond het pif bestand en nog een wsskblabla.exe bestand meer, ook gedelete.

Pc werkte weer normaal tot zover, keek ik net in de D schijf omdat ik een map system had genoemt --> weg in de c schijf de System en system32 map weg!

System restore kan ik niet meer aan zetten, msconfig werkte voor het scannen gister ook niet, flitste steeds weg, nu werkt het wel, regedit werkt etc.

Wil dit zeggen dat deze mappen voorgoed weg zijn?

BlaBlaBla

woensdag 1 juni 2005 19:57

Acties:

0 Henk 'm!

Verwijderd

Strider schreef op woensdag 01 juni 2005 @ 19:54:Wil dit zeggen dat deze mappen voorgoed weg zijn?

Nee, vermoedelijk niet. Maar lees deze draad eens door.

woensdag 1 juni 2005 20:01

Acties:

0 Henk 'm!

benchMarc

Ik ben er nog steeds niet uit wat dit virus nu prècies allemaal doet. Iig een hele hoop als ik dat zo zie.

woensdag 1 juni 2005 20:09

Acties:

0 Henk 'm!

Strider

Verwijderd schreef op woensdag 01 juni 2005 @ 19:57:
[...]
Nee, vermoedelijk niet. Maar lees deze draad eens door.

Ja had ik al gedaan, ik vraag me alleen af hoe je die mappen dan weer zichtbaar krijgt, vooral omdat er belangrijke gegevens in de system map op de d schijf stonden

BlaBlaBla

woensdag 1 juni 2005 20:16

Acties:

0 Henk 'm!

Verwijderd

Strider schreef op woensdag 01 juni 2005 @ 20:09:
[...]

Ja had ik al gedaan, ik vraag me alleen af hoe je die mappen dan weer zichtbaar krijgt, vooral omdat er belangrijke gegevens in de system map op de d schijf stonden

Ok, misschien kun je dan proberen te doen wat ik hier ([rml]Al-Sadkhali in "[ GenCTurK] sirh0t rootkit"[/rml]) heb gedaan. Dat wil zeggen, met een bootdisk/-cd je pc opstarten en dan de vier in het bericht genoemde bestanden verwijderen.

woensdag 1 juni 2005 21:00

Acties:

0 Henk 'm!

benchMarc

Verwijderd schreef op woensdag 01 juni 2005 @ 20:16:
[...]
Ok, misschien kun je dan proberen te doen wat ik hier ([rml]Al-Sadkhali in "[ GenCTurK] sirh0t rootkit"[/rml]) heb gedaan. Dat wil zeggen, met een bootdisk/-cd je pc opstarten en dan de vier in het bericht genoemde bestanden verwijderen.

Idd, of met iets dergelijks als ERD Commander. Daar gaat het iets vlugger mee.

Hopelijk gaan we er hier helemaal uitkomen wat het nu allemaal doet. Want er zal vast nog wel wat zijn.

Ze worden steeds agressiever, die virussen

woensdag 1 juni 2005 21:27

Acties:

0 Henk 'm!

Strider

Verwijderd schreef op woensdag 01 juni 2005 @ 20:16:
[...]
Ok, misschien kun je dan proberen te doen wat ik hier ([rml]Al-Sadkhali in "[ GenCTurK] sirh0t rootkit"[/rml]) heb gedaan. Dat wil zeggen, met een bootdisk/-cd je pc opstarten en dan de vier in het bericht genoemde bestanden verwijderen.

thx man, dat werkte $_/-\o_$

BlaBlaBla

donderdag 2 juni 2005 07:17

Acties:

0 Henk 'm!

Verwijderd

Wil niet dubbelposten, maar misschien hebben mensen hier wat aan.

Het was trouwes zonder de posts van Al-Sadkhali niet gelukt. thnx!

donderdag 2 juni 2005 12:07

Acties:

0 Henk 'm!

Verwijderd

You're welcome.

Hier nog even de registry entries die zichtbaar worden nadat je de rootkit "verwijderd" hebt (lijst samengesteld mbv Rootkit Revealer):

code:

HKLM\SYSTEM\ControlSet001\Services\GencTurK RootKit 1-6-2005 12:10  0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\GencTurK RootKit 1-6-2005 12:10  0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\GencTurK RootKit Driver  31-5-2005 19:56 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\GencTurK RootKit Driver  31-5-2005 19:56 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\GencTurK RootKit 31-5-2005 19:56 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\GencTurK RootKit 31-5-2005 19:56 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\GencTurK RootKit 31-5-2005 19:56 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\GencTurK RootKit 31-5-2005 19:56 0 bytes Hidden from Windows API.

Ik denk dat het verstandig is om deze entries te verwijderen (voor zover HijackThis dat niet doet).

Heb ook gemerkt dat GencTurk vrij slordig te werk gaat bij het verbergen van bestanden: elke map en elk bestand dat "system" heeft staan in het path wordt verborgen (dus ook zoiets als: \3dmodels\pcsystem.jpg). Ook al heeft het betreffende bestand helemaal niets te maken met het OS.

donderdag 2 juni 2005 12:11

Acties:

0 Henk 'm!

Verwijderd

1 ding, die rootkit revealer die spoort die verborgen dingen alleen maar op hierzo, waar zit de knop 'repareer'??

donderdag 2 juni 2005 18:52

Acties:

0 Henk 'm!

ArchRAIDen

Topicstarter

verder niets kunnen vinden.

echter: mijn netwerk shares (mapped network drives) naar mijn server zijn
niet meer te benaderen.
dit is wel mogelijke met een andere pc

donderdag 2 juni 2005 19:03

Acties:

0 Henk 'm!

jeehaa

hier bij een vriendje zelfde verhaal. ik kijk gespannen mee naar de oplossing zonder een format...

                           

donderdag 2 juni 2005 19:06

Acties:

0 Henk 'm!

Sayko

Knowledge Is Power

Ik als Turk op Tweakers schaam me voor deze vius.

donderdag 2 juni 2005 19:10

Acties:

0 Henk 'm!

ArchRAIDen

Topicstarter

laatste update :

zojuist event log bekeken:

volgende services werden gestopt op moment van infectie:

The Security Center service was successfully sent a stop control.
The Security Center service entered the stopped state.
The Windows Firewall/Internet Connection Sharing (ICS) service entered the stopped state.
The Windows Firewall/Internet Connection Sharing (ICS) service was successfully sent a stop control.
The Application Layer Gateway Service service entered the stopped state.
The Automatic Updates service was successfully sent a stop control.
The Automatic Updates service entered the stopped state.

donderdag 2 juni 2005 19:11

Acties:

0 Henk 'm!

ArchRAIDen

Topicstarter

MindedRaptor schreef op donderdag 02 juni 2005 @ 19:06:
Ik als Turk op Tweakers schaam me voor deze vius.

hoezo?
de maker(s) hoeft geen turk te zijn hoor.

donderdag 2 juni 2005 19:14

Acties:

0 Henk 'm!

Sayko

Knowledge Is Power

Dat is hij dus wel.
probeer deze virusscanner eens
http://www.f-prot.com/download/home_user/

[ Voor 67% gewijzigd door Sayko op 02-06-2005 19:20 ]

donderdag 2 juni 2005 19:35

Acties:

0 Henk 'm!

roblagarde

Ik heb hier nu dus ook last van sinds gisteren, echt zwaar vervelend, heb alles al geprobeerd van wat hier op de site staat, maar kom dus ook geen stap verder, zolang het alleen de A/V software is kan ik er nog mee leven, hopen dat er maar snel een removal tool komt.

.....File not found. Should I fake it? (Y/N)

donderdag 2 juni 2005 20:00

Acties:

0 Henk 'm!

Verwijderd

In het Engels, ben te lui om het nog een keer in het Nederlands te gaan typen.

'[GenCTurK] sirh0t rootkit' removal

There have been numerous reports of an Backdoor.Win32.SdBot variant spreading via MSN Messenger.
The used filename is/was beach_pictures_packet.PIF or something similar.

This Backdoor is packed using UPX, Upolyx and Morphine and is detected as Backdoor.Win32.SdBot.gen by Kaspersky Anti-Virus.
Embedded in this file is a rootkit, which is detected as Backdoor.Win32.HacDef.ad and an MSN worm dubbed IM-Worm.Win32.Kelvir.bm.

I've seen several removal guides for this infection, but those either don't remove the entire infection or remove nothing at all.

This removal guide needs Kaspersky Anti-Virus to be installed, if you are not planning to do so this removal guide may not be of much use to you.

Download the following .reg file and save it. http://www.kasperskylab.n...2.HacDef.ad_uninstall.reg
This guide will assume you have saved this key in c:\

Open up a command prompt and navigate to c:\.
Start, run, cmd, c: you might need to use "cd\" to arrive at "c:\".

in command prompt:
regedit -s Backdoor.Win32.HacDef.ad_uninstall.reg

The rootkit is being 'uninstalled'.

Reboot the system.

Download Kaspersky Anti-Virus from http://www.kasperskylab.nl/productupdates_nl.html - do not forget to download the extra trial key!!
Install KAV

It's likely that you can't update KAV, go to %sysdir%\drivers\etc and delete the file called "hosts" - KAV may detect it as Trojan.Win32.Qhost
%sysdir% typically is c:\windows\system32

Update KAV

Perform full system scan and let KAV delete all files detected as Backdoor.Win32.SdBot.gen, Backdoor.Win32.HacDef.ad and IM-Worm.Kelvir.bm.
There's a good chance that the system scan will take long as the SdBot drops many packed variants, unpacking them can be time consuming.

Notes:
You may have encountered different variants of SdBot, HacDef or Kelvir.
There's also a good chance that the remote attacker has installed extra malware on the system.
This does not fix services or other things possibly stopped by the HacDef backdoor.
I take no responsibility for things gone wrong or a still infected system, this was a very quick write-up.

[ Voor 3% gewijzigd door Verwijderd op 02-06-2005 20:04 ]

donderdag 2 juni 2005 20:11

Acties:

0 Henk 'm!

Verwijderd

Hee, kben bij een volgende kennis bezig

, maar kga bovenstaande zeker uitprobere nu. Ziet er perfect uit! die extra services gaan met HijackThis wel weg?

donderdag 2 juni 2005 20:25

Acties:

0 Henk 'm!

pingkiller

Op me stage zijn we erachter gekomen dat genCturk ook je tcp/ip gebeuren verneukt. Je moet dan tcp/ip resetten. We konden namelijk niet meer naar shares browsen.Dat resetten doe je door:netsh int ip reset resetlog.txt uit te voeren(voor windows xp).

CSS snippet om users te blokkeren: https://tweakers.net/instellingen/customcss/snippets/bekijk/2618/

donderdag 2 juni 2005 20:35

Acties:

0 Henk 'm!

ArchRAIDen

Topicstarter

pingkiller schreef op donderdag 02 juni 2005 @ 20:25:
Op me stage zijn we erachter gekomen dat genCturk ook je tcp/ip gebeuren verneukt. Je moet dan tcp/ip resetten. We konden namelijk niet meer naar shares browsen.Dat resetten doe je door:netsh int ip reset resetlog.txt uit te voeren(voor windows xp).

hee thx!!
dat werkt.

donderdag 2 juni 2005 20:37

Acties:

0 Henk 'm!

Verwijderd

pingkiller schreef op donderdag 02 juni 2005 @ 20:25:
Op me stage zijn we erachter gekomen dat genCturk ook je tcp/ip gebeuren verneukt. Je moet dan tcp/ip resetten. We konden namelijk niet meer naar shares browsen

Dat is niet verneuken, dat is opzet, om 'detectie' door sysadmin te verhinderen.
Trojan.BAT.NoShare familie.

donderdag 2 juni 2005 21:53

Acties:

0 Henk 'm!

Digihelp ®

Verwijderd schreef op donderdag 02 juni 2005 @ 12:07:
Hier nog even de registry entries die zichtbaar worden nadat je de rootkit "verwijderd" hebt (lijst samengesteld mbv Rootkit Revealer):

code:

HKLM\SYSTEM\ControlSet001\Services\GencTurK RootKit 1-6-2005 12:10  0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\GencTurK RootKit 1-6-2005 12:10  0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\GencTurK RootKit Driver  31-5-2005 19:56 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\GencTurK RootKit Driver  31-5-2005 19:56 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\GencTurK RootKit 31-5-2005 19:56 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\GencTurK RootKit 31-5-2005 19:56 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\GencTurK RootKit 31-5-2005 19:56 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\GencTurK RootKit 31-5-2005 19:56 0 bytes Hidden from Windows API.

Als je geen opstartCD oid hebt kan je het ook oplossen door met Aezay Registry Commander de bovenstaande keys te verwijderen (let op Controlset003 kan soms ook 002 zijn).

Hoe doe je dat ? Ga naar de key 1 lvl boven de GencTurK key, dus bijv. HKLM\SYSTEM\ControlSet001\Services\. Kies dan menu Show, Jump to Key en vul het laatste gedeelte in, voor de 1e key dus: GencTurK RootKit. Je komt dan in de key, ondanks dat hij niet in de lijst stond, en je kan dan de hele inhoud wissen. Doe dit voor alle 8 entries.

Tevens dien je uiteraard de nodige run entries te verwijderen (iig
in HKLM en HKCU).

Beide werkt ook als de rootkit nog draait, en bij het opnieuw opstarten wordt de rootkit dan niet meer geladen en kan je de bestanden gaan wissen. Heb zo vandaag twee computers opgeschoond.

[ Voor 2% gewijzigd door Digihelp ® op 02-06-2005 21:58 . Reden: typo ]

donderdag 2 juni 2005 22:18

Acties:

0 Henk 'm!

Frenkpie

"Crocs Rule !"

pingkiller schreef op donderdag 02 juni 2005 @ 20:25:
Op me stage zijn we erachter gekomen dat genCturk ook je tcp/ip gebeuren verneukt. Je moet dan tcp/ip resetten. We konden namelijk niet meer naar shares browsen.Dat resetten doe je door:netsh int ip reset resetlog.txt uit te voeren(voor windows xp).

Of even winsockfix draaien

vrijdag 3 juni 2005 11:50

Acties:

0 Henk 'm!

Verwijderd

Hoi,

Ik heb bitdefender online gedraait en deze vond het nodige.

Hij weet nog niet wat het precies is maar ontdekt het nu wel als Win32.P2P-Worm

Het gaat om de bestanden in de c:\windows\system32\software map om c:\windows\system32\wkssvc32.exe en in de temp internet dir beach_pictures_packet[1].PIF (de veroorzaker lijkt me)

Ook system.ini en autoexec aangetroffen in c:\ en veranderde host file.

Zodra ik meer weer meld ik me weer

vrijdag 3 juni 2005 19:22

Acties:

0 Henk 'm!

dr snuggles

Verwijderd schreef op woensdag 01 juni 2005 @ 19:06:
Er zijn wel een aantal zaken die ik hier lees van andere slachtoffers en die niet overeenkomen met de problemen die ik heb/had:
- ik heb nog wel problemen met mijn thuisnetwerk: mijn laptop ziet het slachtoffersysteem niet meer en het slachtoffersysteem zit mijn laptop niet meer. Gedeelde mappen werken niet meer. Pingen kan echter wel. Netstat geeft niet aan dat het slachtoffersysteem verbinding heeft met de router op 192.168.0.1 (zoals normaal het geval is), terwijl internetten wel werkt en de netwerkverbinding sowieso verder niet vreemd doet. Heel verdacht.

Dat met het niet kunnen zien van je slachtoffersysteem kun je misschien wel fixen door start->run->services.msc -> computer browser automatisch te laten starten.

[ Voor 15% gewijzigd door dr snuggles op 03-06-2005 19:23 ]

vrijdag 3 juni 2005 21:01

Acties:

0 Henk 'm!

Verwijderd

Ik krijg die system.sys niet weg

[ Voor 7% gewijzigd door Verwijderd op 03-06-2005 21:02 ]

vrijdag 3 juni 2005 22:53

Acties:

0 Henk 'm!

Verwijderd

Ik lees net dit en dit. Ziet er zo op het eerste gezicht wel heel simpel uit. Heeft iemand dit al geprobeerd? Ben eigelijk wel benieuwd of dit werkt.

[ Voor 18% gewijzigd door Verwijderd op 03-06-2005 23:02 ]

zaterdag 4 juni 2005 11:08

Acties:

0 Henk 'm!

Verwijderd

als je eerst ATTRIB -R in de DOSmode typt, kan je system.ini gewoon deleten.
En verder voor bovenstaand bericht: dit werkt perfect.

Heb gisteren een paar uurtjes gekloot, maar mijn pc is weer clean. Tips om mijn zoon zover te krijgen dat ie die MSN-troep niet ongegeneerd aanklikt, zijn welkom!

[ Voor 102% gewijzigd door Verwijderd op 05-06-2005 16:15 ]

zaterdag 4 juni 2005 11:17

Acties:

0 Henk 'm!

ParaNoiMia

Gisteren een PC van een klant gefixed. Ik ben begonnen met de Rootkit Revealer, waardoor ik erachter kwam dat deze rootkit aanwezig was.

Vervolgens de hosts file opgeschoond en daarna [rml]Schouw in "[ GenCTurK] sirh0t rootkit"[/rml] gevolgd. Systeemherstel uitgezet, gezorgd dat alle mappen in de systeemherstel weg waren, temp mappen opgeschoond en het zag er goed schoon uit toen ik weer met de rootkit revealer keek.

Overigens vond Kaspersky op die machine meer dan 2000 besmette objects (waarvan het merendeel in de systemrestore stond)

[ Voor 14% gewijzigd door ParaNoiMia op 04-06-2005 11:18 ]

zaterdag 4 juni 2005 11:19

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op woensdag 01 juni 2005 @ 13:42:
Ik heb dus ook deze GencTurk-zooi te pakken dankzij klik-grage familieleden.

Het programma Rootkit Revealer van de vorige pagina in deze draad gaf bij mij in de honderd discrepanties. Waaronder cruciale mappen en bestanden als \windows\system32 en \windows\system en \windows\system.ini, die allemaal te boek stonden als "Hidden from Windows API". Zwaar klote dus. Het leuke is wel dat ik de mappen in ieder geval via cmd.exe kon benaderen, door gewoon "cd windows\system32" te typen. Maar dat was het enige proof-of-life van de mappen (en natuurlijk het feit dat WindowsXP nog redelijk draaide). System.ini gaf helemaal geen teken van leven en reageerde ook niet op "type system.ini" of iets dergelijks.

In de Rootkit Revealer lijst stonden ook vier andere *verdachte* bestanden te boek als "Hidden from Windows API", te weten:
\windows\system32\wkssvc32.exe
\system.exe
\system.ini (nee, niet het bestand in windows\system.ini)
\system.sys

Maar deze vier bestanden waren dus totaal onzichtbaar vanuit Windows XP.

De wanhoop nabij heb ik toen een oude Windows ME bootdisk uit de kast gevist en daarmee de computer opgestart. Gelukkig bleek toen alles weer zichtbaar. Ik heb toen de bovengenoemde vier bestanden gewist en de computer opnieuw normaal opgestart. En wat bleek? Alle vermiste bestanden en mappen zijn weer terug en ik heb ik Rootkit Revealer nog maar vier discrepanties (volgens mij van Deamon-tools, maar dat terzijde). Zelfs de gruwelijke GencTurk registry entries zijn verdwenen.

Ik weet eigenlijk niet of ik het moet vertrouwen, want het is een beetje een te spontaan vertrek van de nu al legendarische GencTurk. Ik bedoel, kan het zijn dat het is opgelost door de bovengenoemde vier bestanden te verwijderen?

Mijn specs:
WinXP Pro SP1 (NL)
Amd Tbird, 384 Ram

Beste lezers: dit werkt dus echt. Lang leve mijn WIN98 opstartdiskette!!
als je system.ini niet kunt verwijderen, dan eerst in de dosprompt: ATTRIB -R en dan enter. Vervolgens kun je 'm verwijderen.

zaterdag 4 juni 2005 12:34

Acties:

0 Henk 'm!

MarElo

Ik zie je wel!

hier stond iets wat al eerder was vermeld

sorry

[ Voor 87% gewijzigd door MarElo op 04-06-2005 12:40 ]

zaterdag 4 juni 2005 16:12

Acties:

0 Henk 'm!

Thexder

Ook ik ben getroffen (door m'n eigen domme schuld) door de problemen die in deze topic beschreven zijn.

Een vriend van mij wees me op dit Nu.nl artikel en nu ben ik bezig de aanwijzingen uit te voeren die Kaspersky op zijn/haar website heeft geplaatst.

Inmiddels ben ik bezig m'n hele pc te scannen met KAV Personal, maar ten eerste vindt het programma alleen maar virussen en verwijdert het programma alleen de besmette objecten - hij desinfecteerd helemaal géén bestanden, is dat normaal? En ten tweede heeft KAV Personal 'berekent' dat deze totale scan wellicht tot vannacht ca. 2 uur kan gaan duren (en ik ben met die KAV-scan vanmiddag om 13:00 uur mee begonnen - dat wordt dan 13 uur lang scannen!), dat kan toch niet de bedoeling zijn dat dat zo lang duurt??

zaterdag 4 juni 2005 16:17

Acties:

0 Henk 'm!

Verwijderd

Inmiddels ben ik bezig m'n hele pc te scannen met KAV Personal, maar ten eerste vindt het programma alleen maar virussen en verwijdert het programma alleen de besmette objecten - hij desinfecteerd helemaal géén bestanden, is dat normaal?

Het gaat hier om Trojans, niet om virussen. Dus ja, dat is normaal.
Er worden geen bestanden geïnfecteerd, er zijn alleen kwaadaardige bestanden.

(en ik ben met die KAV-scan vanmiddag om 13:00 uur mee begonnen - dat wordt dan 13 uur lang scannen!), dat kan toch niet de bedoeling zijn dat dat zo lang duurt??

Is er een ander proces actief dat flink wat cpu cycles gebruikt?
Kan natuurlijk ook nog zo zijn dat de schatting niet klopt.

zaterdag 4 juni 2005 17:56

Acties:

0 Henk 'm!

Verwijderd

Dankzij de vele tips in deze thread heb ik mijn computer weer helemaal op de rails. Ik wil iedereen dan ook hartelijk bedanken!

Het enige stukje dat ik hier niet gevonden heb, is de oplossing voor het probleem dat sommige mensen geen andere systemen meer kunnen benaderen via het LAN. De oplossing daarvoor is o.a. te vinden op http://support.microsoft.com/?kbid=842715

In het kort komt het hier op neer...
- start RegEdit via START >> Uitvoeren
- ga naar HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
- verander de instelling AutoShareServer van 0 naar 1
- verander de instelling AutoShareWks van 0 naar 1
- ga naar HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters
- verander de instelling TransportBindName van blanco naar \Device\
- sluit RegEdit en reboot je computer
Daarna werkte mijn netwerk weer gewoon.

Een andere deeltje van de puzzel, dat wel eerder in de thread genoemd is, maar best nog wel even benadrukt mag worden, is het probleem dat de mappen SYSTEM en SYSTEM32 op sommige systemen niet meer te zien zijn.
De oplossing daarvoor is het verwijderen van 3 ONZICHTBARE bestanden uit de root van de C-schijf. Het gaat daarbij om de bestanden system.ini, system.sys en system.exe. Nadat die bestanden verwijderd zijn komen je System-mappen weer te voorschijn. Ik heb de bestanden verwijderd door te boten met een Win98SE bootfloppy (te downloaden van www.bootdisk.com), maar dat werkt alleen bij FAT. Er zullen ongetwijfeld nog wel andere tooltjes zijn om die onzichtbare bestanden te verwijderen (bijv. WinEdit.exe?)

zondag 5 juni 2005 13:25

Acties:

0 Henk 'm!

Verwijderd

ik heb tot kort geleden ook last gehad van GencTurk. heb met behulp van ccleaner en Hijackthis het van de computer afgehaald. hoewel ik helemaal niet ecdhniesch ben is het me toch gelukt.

nu heb ik weer een ander probleem: ik heb 3 pc's verbonden in een netwerk, maar sinds ik met ccleaner en hijackthis GencTurk heb verwijderd, kan ik de andere pc's neit meer in de werkgroep vinden... hoe kan dit? ook kunnen de andere pc's neit meer gebruik maken van de gedeelde printer.

weet iemand hoe dit opgelost kan worden?

groetjes

Guido

zondag 5 juni 2005 13:46

Acties:

0 Henk 'm!

Verwijderd

zoals gewoonlijk kijk ik weer eens niet goed en staat de oplossing voor mijn probleem boven mijn post.... alle problemen zijn weg..

guido

maandag 6 juni 2005 15:18

Acties:

0 Henk 'm!

Verwijderd

Ik dacht dat alles opgelost was, maar nadat ik wat langer met mijn systeem gewerkt had, moest ik constateren dat er toch nog één verschil was met de toestand voordat ik GenCTurk had opgelopen: ik kreeg heel vaak timeouts op Internet (Pagina niet gevonden) en als ik dan op Verversen drukte kwam de pagina alsnog. Tevens ging het ophalen van de E-mail vaak fout. Na een paar pogingen lukte het dan toch steeds wel, maar ja, handig is anders.

Ik heb toen in het register zitten zoeken naar TimeOuts op TCP/IP en kon in eerste instantie niets vinden dat echt fout was. Door echter de instellingen te vergelijken met die van een ander systeem dat wel goed werkte, bleek dat op mijn systeem een 20-tal extra keys in het register voorkwamen die op het andere systeem niet bestonden. Ik heb toen voor alle zekerheid even dat gedeelte van het register geëxporteerd en daarna alle "overbodige" keys verwijderd. Na rebooten bleek mijn Internet weer als vanouds te functioneren.

De overbodige (en waarschijnlijk foute) keys stonden in de sectie
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Let op: ga niet zo maar keys verwijderen uit je register als je niet weet wat je aan het doen bent. Maak altijd eerst een backup!

dinsdag 7 juni 2005 18:54

Acties:

0 Henk 'm!

Verwijderd

Lees dit eens. :

http://users.telenet.be/marcvn/spyware/1920974.htm

woensdag 8 juni 2005 17:13

Acties:

0 Henk 'm!

Spiller

Ik heb de bovenstaande link van jizznuts gevolgd en daardoor zijn er veel files verwijderd, maar ik heb nog steeds af en toe dat mijn browser de pagina niet kan vinden en de kleuren in winamp/msn zijn nog gefucked (roze schermpjes)..

Edit: Origineel geschreven door j0r.

[ Voor 8% gewijzigd door Spiller op 08-06-2005 17:41 ]

Ioniq 5 P45

woensdag 8 juni 2005 17:23

Acties:

0 Henk 'm!

Verwijderd

Dat bericht was dus van mij, op iemand anders' account.. heb verder eigenlijk geen last meer van het virus, ook die honderden bad files.exe zijn verwijderd met avast boot-scan. Maar die kleuren zijn niet ok en die browser blijft ook maar problemen met internet houden.. Hopen op een removal tool, ze kunnen toch niet nog heel lang daarmee wachten aangezien er alleen al op die forum enige oplossingen gevonden zijn.. zou beetje matig van de a/v-mensen zijn

woensdag 8 juni 2005 23:27

Acties:

0 Henk 'm!

Suepahfly

Een leuk weetje over deze GencTurk.

Er bestaat ook een anti-trojan van GencTurk (gopost op het Turkse CHIP forum) door een user met de naam (je raad het al) GencTurk.
Van dat forum:

- This program was made for testing, it has a good reputation.
- I think this program is the first program ever that use a never used (before) technique.
- It even remove's trojanfile's that have the same filename as the system files.
- It removes ProRat 1.9 and other (unknowed/undected) varriants which is hard too remove, fast and eazy without any problems.
- It enable's Windows Firewall ve The Windows Security Center.
- And when it finishes it reboots Windows..

* The program removes all startup file's (all methods), so your configuration can change!
* System Tray icons can disappear!
* The program's that you want too run on startup can't run on windows startup anymore!

Ik heb het zelf niet geprobeerd, aangezien ik het niet vertrouw en ik heb hier ook geen test systeem staan. Dus als een tweaker de moeite neemt om het uit te proberen ben ik zeer benieuwd.

Ook betwijfel ik og het dezelde GencTruk is.

donderdag 9 juni 2005 10:08

Acties:

0 Henk 'm!

Verwijderd

Suepathfly ,ik heb die "anti"-trojan gedownload en door kaspersky laten checken en t'was al prijs.Ik ga het nu op een testmachine laten draaien en k'zal zien wat resultaat is.

donderdag 9 juni 2005 12:30

Acties:

0 Henk 'm!

Sfynx

Als een dergelijk iets als Administrator op je systeem gedraaid heeft is het wat mij betreft gewoon data backuppen, harddisk wipen en opnieuw beginnen. Je kan cleanen, fixen en scannen wat je wilt, je kan je eigen systeem niet meer vertrouwen.

donderdag 9 juni 2005 22:52

Acties:

0 Henk 'm!

ejtnaj

Ik heb inmiddels de removal tool van Kaspersky uitgevoerd en weg virus, tegelijk ook een paar andere virussen die ik blijkbaar al had (woops hehe) van mijn pc afgegooid.

Ik vertrouw die 'anti-trojan' niet. Ik kreeg die virus via ergens op (hayattan.com) en daar in een forum stond precies dezelfde tekst, dat het een of ander antitrojan is.

En zowiezo: "This program was made for testing, it has a good reputation." Jaja. Als iets reputatie heeft dan hoef je dat er niet bij te zetten, vind ik.

donderdag 9 juni 2005 23:08

Acties:

0 Henk 'm!

Verwijderd

Die 'anti-trojan' verwijdert alle RUN keys, niet echt aan te raden dus.
KAV: Trojan.Win32.Delf.jv

vrijdag 10 juni 2005 13:26

Acties:

0 Henk 'm!

Verwijderd

Welke removal tool lazygun? Link please

zaterdag 11 juni 2005 13:26

Acties:

0 Henk 'm!

Stylax

j0r, in dit artikel: http://www.kasperskylab.nl/FAQ/4012202.htm
Daar staat de link naar deze removal tool: http://www.kasperskylab.n...2.HacDef.ad_uninstall.reg
Als ik jou was zou ik gewoon het hele artikel doorlezen, er staan namelijk ook instructies in.

Edit:
http://users.telenet.be/marcvn/spyware/1920974.htm is nog nuttiger!

[ Voor 13% gewijzigd door Stylax op 11-06-2005 18:50 ]

Pagina: 1

Reageer