[XP] sysintnt en scorti komen steeds terug in startup*

Ik had laatst last van terugkerende onzin in mijn opstartprocedures. Nadat ik een aantal dingen had geprobeerd als adaware draaien, het register opschonen (die zooi kwam terug en ik kon files niet wegkrijgen), systeemherstel etc. kwam ik tot de conclusie dat ik maar beter windows opnieuw kon installeren. Nou kan ik natuurlijk format C:\ doen, maar dat doe ik liever niet. Ik heb nu last van een file genaamd sysintnt.exe. Die file zet zich in het register in run services en run in de local machine en ook in de current user. Deze file verdenk ik ervan mij allerlei foutmeldingen te geven. Volgens mij zorgt die file er ook voor dat ik mijn registereditor niet meer kan benaderen, tenzij ik in taakbeheer een onbekend proces uitzet. Vaak loopt taakbeheer ook vast, zodat ik opnieuw moet opstarten. Dit begint me een beetje op mijn zenuwen te werken.

Verder heb ik in mijn msconfig een opstarter scorti.exe, die ik uitvink en als ik dan eruit ga en weer msconfig opstart, dan staat dat vinkje natuurlijk weer voor dat scorti.exe. In mijn services staat ook een verdachte, namelijk ATI Hotkey Poller van een onbekende fabrikant.

Ik heb al een virusscanner, namelijk die van trend micro housecall online gedraaid, nothing came up.

Wat moet ik nou doen om er helemaal van af te komen?

De scan van Jotti van Scorti:


File: scorti.exe
Status: INFECTED/MALWARE
MD5 5af0413f5cb2131c664df589f2bbf103
Packers detected: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT
Scanner results
AntiVir Found Worm/Rbot.118784.8
ArcaVir Found Trojan.Rbot.Gen.114909.MX
Avast Found Win32:SdBot-gen22
AVG Antivirus Found IRC/BackDoor.SdBot
BitDefender Found Exploit.Based.Worm.Gen
ClamAV Found Trojan.SdBot-1201
Dr.Web Found Win32.HLLW.MyBot
F-Prot Antivirus Found W32/Spybot.NOM
Fortinet Found nothing
Kaspersky Anti-Virus Found Backdoor.Win32.Rbot.gen
NOD32 Found Win32/Rbot
Norman Virus Control Found W32/Spybot.AAUP
UNA Found Backdoor.Rbot
VBA32 Found Backdoor.Win32.Rbot.gen

De scan van sysintnt.exe:

Deze is helaas verloren gegaan. Er kwamen van een paar virusscanners berichten door dat deze file een Trojan was.
Beide bestanden heb ik verwijderd. Het probleem is nu opgelost hoop ik. Er staat in ieder geval niets meer in mijn register of in mijn running processes. Wel staat er nog een uitgevinkte vermelding van beide in mijn msconfig. Kan ik die daar op de een of andere manier helemaal weghalen? Ze starten wel niet op, maar die vermeldingen ergeren me

Bedankt voor jullie hulp allemaal

Edit:

Vergeet niet om het hele register door te zoeken naar scorti en sysintnt. Als je dat doet komen er nog verschillende verwijzingen voor naar scorti en sysintnt. Dan pas is het probleem opgelost, als je die ook nog verwijdert.

[ Voor 11% gewijzigd door Anoniem: 88373 op 06-02-2006 15:43 ]

Toch niet

Als ik opnieuw opstart dan komt het gewoon terug. Ook is er een nieuwe service, namelijk zdns1.exe wordt gemaakt in de root van C:\. Deze wordt geladen bij het opstarten.

Scorti is terug overal waar hij was en als ik niet snel bij het opstarten taakbeheer start dan zorgt een van die programma's of trojans er voor dat ik niet meer in taakbeheer of msconfig kan komen. Het lijkt er op dat alle snelstart en sneltoets programma's niet meer starten. Ook uitvoeren lijkt "gelockt".

In het register maakt hij 3 mappen in de folder Hkey local machine software microsoft shared tools msconfig / startupreg Daarin staan zdns1 in 1 map scorti in de tweede en sysintn in de derde.

HKEY_CURRENT_USER\Software\Microsoft\OLE daar staat scorti in.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*
Hierin staat scorti en sysintnt

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe

Ook scorti en sysintnt. Hierin staat ook een mrulist (ba)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Scorti, sysintnt

HKEY_USERS\.DEFAULT\Software\Microsoft\OLE
Beiden.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
Sysintnt

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
sysintnt

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
sysintnt

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa
sysintnt

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Lsa
sysintnt

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
sysintnt

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServices
sysintnt

HKEY_USERS\.DEFAULT\SYSTEM\CurrentControlSet\Control\Lsa
sysintnt

Deze heb ik allemaal verwijderd.

De scan van sysintnt:

Service load: 0% 100%

File: sysintnt.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 6c6c467f3e81a574eaf453034c526e5a
Packers detected: -
Scanner results
AntiVir Found nothing
ArcaVir Found Trojan.Rbot.Apn
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found Win32.HLLW.MyBot
F-Prot Antivirus Found nothing
Fortinet Found W32/RBot.APN!bdr
Kaspersky Anti-Virus Found Backdoor.Win32.Rbot.apn
NOD32 Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found Backdoor.Win32.Rbot.apn


Ik heb alle files ook verwijderd. Is er een manier voor die files om zich ergens te "verstoppen" zodat ze zich weer terug kunnen zetten?

Is er een manier om deze file een soort van toegang geweigerd te geven tot mijn harde schijf als hij zich weer wilt nestelen in mijn register, msconfig e.a.?

Ik denk dat de vorige keer die verwijzing van zdns1.exe in mijn register er voor zorgde dat ik alles weer terug kreeg, maar ik ben nergens meer zeker van nu. Kan het ook een service die draait zijn die mij deze files gewoon opstuurt?

Ik heb voor mijn gevoel alles verwijderd nu, dus laten we zeggen: God zegene de greep en laten we herstarten.

Ik laat jullie nog weten hoe het gegaan is.

Mijn laatste acties waren succesvol.

Het is NOG niet weg!

Ik heb alle registersleutels verwijderd. Uit mijn msconfig, uit mijn taakbeheer, zdns1.exe verwijderd, toch komt hij nog terug. Ook de files zelf heb ik natuurlijk uit mijn C:\windows\system verwijderd.

Als ik opnieuw opstart is de hele zooi weg. Als ik een dag later nog eens opstart is hij weer terug. Ik denk zelf dat het wel eens een of andere service zou kunnen zijn die scorti.exe op het web ergens opzoekt en dit bestand in C:\windows\system32 zet. Als hij er eenmaal staat dan wordt hij in msconfig gezet en op verschillende plaatsen in het register.

Of kan het ook dat er ergens een soort mirrofile staat die eigenlijk scorti.exe is, maar een andere naam heeft en die zichzelf terug kan zetten in system32 en de rest?

Hier volgen mijn services:

Naam Opstarttype Aanmelden als
Alerter Handmatig Lokale service
Apparaattoegang via menselijke interface Uitgeschakeld Lokaal systeem
Application Layer Gateway-service Handmatig Lokale service
Application Management Handmatig Lokaal systeem
Ati HotKey Poller Automatisch Lokaal systeem
Automatische updates Uitgeschakeld Lokaal systeem
ClipBook Handmatig Lokaal systeem
COM+-gebeurtenissysteem Handmatig Lokaal systeem
COM+-systeemtoepassing Handmatig Lokaal systeem
Compatibiliteit voor Snelle gebruikerswisseling Handmatig Lokaal systeem
Computer Browser Automatisch Lokaal systeem
COM-service voor IMAPI cd-branders Handmatig Lokaal systeem
DHCP Client Automatisch Lokaal systeem
Distributed Link Tracking Client Automatisch Lokaal systeem
Distributed Transaction Coordinator Handmatig Netwerkservice
DNS Client Automatisch Netwerkservice
Event Log Automatisch Lokaal systeem
Help en ondersteuning Automatisch Lokaal systeem
Helpsessiebeheer voor Extern bureaublad Handmatig Lokaal systeem
Indexing-service Handmatig Lokaal systeem
Intelligente achtergrondsoverdrachtservice Handmatig Lokaal systeem
Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) Handmatig Lokaal systeem
IPSEC-services Automatisch Lokaal systeem
Logical Disk Manager Automatisch Lokaal systeem
Logical Disk Manager Administrative-service Handmatig Lokaal systeem
Messenger Uitgeschakeld Lokaal systeem
MS Software Shadow Copy Provider Handmatig Lokaal systeem
Net Logon Handmatig Lokaal systeem
NetMeeting Remote Desktop Sharing Handmatig Lokaal systeem
Network Connections Handmatig Lokaal systeem
Network DDE Handmatig Lokaal systeem
Network DDE DSDM Handmatig Lokaal systeem
Network Location Awareness (NLA) Handmatig Lokaal systeem
NT LM Security Support Provider Handmatig Lokaal systeem
Performance Logs and Alerts Handmatig Netwerkservice
Plug and Play Automatisch Lokaal systeem
Portable Media Serial Number Service Handmatig Lokaal systeem
Print Spooler Automatisch Lokaal systeem
Protected Storage Automatisch Lokaal systeem
QoS RSVP Handmatig Lokaal systeem
Remote Access Auto Connection Manager Handmatig Lokaal systeem
Remote Procedure Call (RPC) Automatisch Lokaal systeem
Remote Procedure Call (RPC) Locator Handmatig Netwerkservice
Routing and Remote Access Uitgeschakeld Lokaal systeem
Secondary Logon Automatisch Lokaal systeem
Security Accounts Manager Automatisch Lokaal systeem
Server Automatisch Lokaal systeem
Service voor het rapporteren van fouten Automatisch Lokaal systeem
Services voor cryptografie Automatisch Lokaal systeem
Shell Hardware Detection Automatisch Lokaal systeem
Smart Card Handmatig Lokale service
Smart Card Helper Handmatig Lokale service
SSDP Discovery-service Handmatig Lokale service
System Event Notification Automatisch Lokaal systeem
System Restore-service Automatisch Lokaal systeem
Task Scheduler Uitgeschakeld Lokaal systeem
TCP/IP NetBIOS Helper Automatisch Lokale service
Telephony Handmatig Lokaal systeem
Terminal Services Handmatig Lokaal systeem
Thema's Automatisch Lokaal systeem
Uninterruptible Power Supply Handmatig Lokale service
Universele Plug en Play-apparaathost Handmatig Lokale service
Uploadbeheer Handmatig Lokaal systeem
Verbindingsbeheer voor RAS Handmatig Lokaal systeem
Verwisselbare opslag Handmatig Lokaal systeem
Volume Shadow Copy Handmatig Lokaal systeem
WebClient Automatisch Lokale service
Windows Audio Automatisch Lokaal systeem
Windows Image Acquisition (WIA) Handmatig Lokaal systeem
Windows Installer Handmatig Lokaal systeem
Windows Management Instrumentation Automatisch Lokaal systeem
Windows Time Automatisch Lokaal systeem
Windows User Mode Driver Framework Automatisch Lokale service
Wireless Zero Configuration-service Automatisch Lokaal systeem
WMI-prestatieadapter Handmatig Lokaal systeem
Workstation Automatisch Lokaal systeem

Het ziet er een beetje onprofessioneel uit, maar ik weet niet zo goed hoe ik de kolommenindeling kan exporteren.

Is een van deze services er misschien verantwoordelijk voor dat scorti.exe weer in mijn C:\windows\system32 gezet wordt en ook in mijn msconfig en register?

Mijn toepassingslogboek:

Type Datum Tijd Bron Categorie Gebeurtenis Gebruiker Computer
Fout 8-2-2006 16:55:53 Userenv Geen 1090 SYSTEM CP287727-A
Fout 8-2-2006 16:55:53 Userenv Geen 1090 SYSTEM CP287727-A
Fout 8-2-2006 15:00:53 Userenv Geen 1090 SYSTEM CP287727-A
Fout 8-2-2006 15:00:53 Userenv Geen 1090 SYSTEM CP287727-A
Informatie 8-2-2006 15:00:49 EAPOL Geen 2001 n.v.t. CP287727-A
Fout 8-2-2006 14:17:40 Userenv Geen 1090 SYSTEM CP287727-A
Fout 8-2-2006 14:17:40 Userenv Geen 1090 SYSTEM CP287727-A
Informatie 8-2-2006 14:17:36 EAPOL Geen 2001 n.v.t. CP287727-A
Fout 8-2-2006 14:14:44 Userenv Geen 1090 SYSTEM CP287727-A
Fout 8-2-2006 14:14:44 Userenv Geen 1090 SYSTEM CP287727-A
Informatie 8-2-2006 14:14:42 EAPOL Geen 2001 n.v.t. CP287727-A
Fout 8-2-2006 14:08:39 Userenv Geen 1090 SYSTEM CP287727-A
Fout 8-2-2006 14:08:39 Userenv Geen 1090 SYSTEM CP287727-A
Informatie 8-2-2006 14:08:35 EAPOL Geen 2001 n.v.t. CP287727-A
Fout 8-2-2006 0:06:01 Userenv Geen 1090 SYSTEM CP287727-A
Fout 8-2-2006 0:06:01 Userenv Geen 1090 SYSTEM CP287727-A
Informatie 8-2-2006 0:05:57 EAPOL Geen 2001 n.v.t. CP287727-A
Fout 8-2-2006 0:04:25 Application Hang (101) 1002 n.v.t. CP287727-A
Fout 8-2-2006 0:03:51 Application Hang (101) 1002 n.v.t. CP287727-A

Beveiligingslogboek:

Te veel om hier neer te zetten. Als dat nodig is kan ik ze hier wel zetten.

Systeemlogboek:

Te veel om hier neer te zetten (alleen vandaag voor beiden al heel veel entries)

Ik heb echt alle stappen gevolgd die jullie mij hebben voorgesteld, maar nog komt het terug.

Ik heb met spybot mijn computer geimmuniseerd, ook dat helpt niet.

Wat kan ik nog doen? Scorti lijkt wel onuitroeibaar.

Net gedaan, mijn computer loopt vast in veilige modus met netwerkmogelijkheden (ik gebruik trend micro online virusscan).

Mijn computer is op dit moment clean, maar ik weet bijna zeker dat scorti weer terug komt. De vraag nu is hoe hij dat doet.

Volgens mij ben ik er achter, maar dat dacht ik al eerder. Het lijkt op het Sasser virus. lsass.exe loopt vast, je moet rebooten en dan als je opnieuw opstart, jawel hoor, scorti.exe all over the place.

Ook stuurde dit virus waarschijnlijk een bericht aan iedereen in mijn outlook dat ik ze een virus had opgestuurd of iets dergelijks.

Ik heb nu automatische updates dan maar aangezet en ben nu in bezit van alle nieuwste updates.

Still cauteous...

Een IRC bot. Maakt deze gebruik van een opening in een of andere service of een gedeelte van windows dat niet afgeschermd is? Wat doet een IRC bot precies?

De reden dat ik dit vraag is dat als ik die offline virusscan gedaan heb, dan kan deze IRC bot weer hetzelfde doen of niet? Ik ben nu bezig met een scan van Stop Sign online en kijk of hij alle drie de files vind. Als ik hem dan offline load moet hij zijn werk doen en dan ben ik er van af?

Welke windows update beschermt me tegen een IRC bot? Bij het installeren van de updates kreeg ik een wazige melding.

Wat is een goede offline scanner?

Ik heb net stop sign gestart. Hij vind ze wel, maar ik kom niet bij alle files. Dit komt, omdat er een map is die heet:

C:\Documents and Settings\Bloppy\Local Settings\Temporary Internet Files en dan: content ie5 en nog van alles. Er zijn echter geen mappen te vinden in deze folder. Hoe kan ik deze mappen zichtbaar maken of hoe kan ik de hele zooi in mijn temporary internet files in 1 keer laten opzouten?

Stop sign is goed, maar als ik de gevonden files wil verwijderen wil hij online gaan en me 20 bucks laten spenderen. "Gratis"

Het lijkt er op dat AVG niets vindt in de door stopsign gevonden folders.

Ik begon er genoeg van te krijgen en dus deed ik format C:\

Nou is het toch weer terug. Kan het zijn dat iemand mij "target"? Dat het een gerichte actie is tegen mijn IP adres? Of dat ik op een andere manier deze rotzooi opgestuurd krijg?

Wat kan ik doen om te voorkomen dat iemand mij via "iets" (services? svchost?) opstuurt en mijn computer weer dezelfde symptomen gaat vertonen? Kan ik een bepaalde service uitzetten? Ik heb de messenger al disabled maar waarschijnlijk zijn er meer mogelijkheden om bepaalde beveiligingslekken in windows te exploiteren.

Ik heb echt geen idee waar dit nu nog vandaan kan komen. Op dit moment is sysintnt.exe er weer en ook zdns1.exe. Mijn taakbeheer loopt weer vast en msconfig en regedit zijn gelockt.

Is er ook een manier om te kijken waar de files vandaan gestuurd worden in een of andere eventviewer?

Wat kan ik doen? Getting desperate

Ik heb maar 1 computer die verbonden is met het internet en ook aan staat. De andere heb ik nooit aanstaan. Wel heb ik nog een sweex broadband router. Kan ik met behulp van deze wellicht monitoren wie mij dit opstuurt?

C:\Documents and Settings\Hoppie\Local Settings\Temporary Internet Files\Content.IE5\U78BKTCT\sysintnt%2Cexe[1]

Een voorbeeld van wat er allemaal op mijn computer voor bestanden gemaakt worden.

Ook worden er na enige tijd enkele syshost[1].exe en syshost[2].exe etc in dat soort folders gemaakt.

Ik weet bijna zeker dat het te maken heeft met het laden van mijn services, in het bijzonder svchost en lsass

In mijn beveiligings logboek staan ook allerlei ANONYMOUS LOGON 's.

Verder hangt mijn computer na enige tijd. Mijn taakbalk verdwijnt en ik zie alleen Ierland nog als achtergrond. Taakbeheer is gelockt dan etc. Eeen restart is de enige optie dan.

Nog een leuke: mijn netwerkverbindingen zijn verdwenen. Normaal gesproken staat daar netwerkverbinding 1: eigenschappen; tcp/ip etc...

Wat is er eigenlijk wel nog normaal toegankelijk? Ik heb het idee dat er een of andere BOT of zelfs een gebruiker mij "target" omdat deze gezien heeft dat ik toegankelijk ben voor deze vorm van worm, trojan, irc bot etc.

Zou de XP firewall mij kunnen helpen?

Wie weet de oplossing?

Ik ben al verder. Ik heb Kaspersky lopen en ik heb de firewall aanstaan. Tot nu toe geen vreemd gedrag. Kan wel zeggen dat dat goed voelt na de laatste dagen.

Ik ben nu aan het proberen om service pack 1 en 2 te installeren. Hiervoor moet ik volgens windows update mijn serial nummer aanpassen:
http://support.microsoft....8874/nl?FR=1&PA=1&SD=HSCH
Is er een plaats waar dit gewoon rechtstreeks staat en waar je dit kunt aanpassen? De methode die daar staat klinkt op zijn minst gezegd vreemd. Het lijkt er op dat ik een verkeerde key ergens in moet zetten in het register en dan maar hopen dat het goed gaat of zo.
Ik heb de goede key bij de hand, weet alleen niet waar ik hem in moet vullen.

Uiteindelijk zal ik waarschijnlijk de firewall uit moeten zetten om een bepaald spel online te kunnen spelen. Dan wil ik wel maximale protectie hebben na wat er de laatste dagen gebeurd is.

Enkele regels van de firewall log:

2006-02-11 01:13:05 DROP TCP 84.25.67.11 84.25.106.211 4419 135 48 S 4099824548 0 8576 - - -
Deze komt meerdere malen voor.
2006-02-11 01:22:23 DROP TCP 84.25.64.220 84.25.106.211 3269 445 48 S 2951257489 0 64240 - - -
2006-02-11 01:30:01 DROP UDP 204.16.208.67 84.25.106.211 56980 1026 322 - - - - - - -
2006-02-11 01:30:01 DROP UDP 204.16.208.67 84.25.106.211 56982 1027 322 - - - - - - -
2006-02-11 01:47:35 DROP UDP 202.99.172.171 84.25.106.211 40917 1026 344 - - - - - - -
2006-02-11 01:47:35 DROP UDP 202.99.172.171 84.25.106.211 40920 1030 344 - - - - - - -
2006-02-11 01:47:35 DROP UDP 202.99.172.171 84.25.106.211 40921 4369 344 - - - - - - -
2006-02-11 01:47:35 DROP UDP 202.99.172.171 84.25.106.211 40921 1032 344 - - - - - - -
2006-02-11 01:47:35 DROP UDP 202.99.172.171 84.25.106.211 40922 2 344 - - - - - - -
2006-02-11 01:59:16 DROP TCP 84.25.12.79 84.25.106.211 2022 1433 48 S 830188271 0 16384 - - -
2006-02-11 01:59:19 DROP TCP 84.25.12.79 84.25.106.211 2022 1433 48 S 830188271 0 16384 - - -

2006-02-11 02:00:31 DROP TCP 84.24.95.13 84.25.106.211 1854 1433 48 S 3674570949 0 64240 - - -
2006-02-11 02:00:34 DROP TCP 84.24.95.13 84.25.106.211 1854 1433 48 S 3674570949 0 64240 - - -
2006-02-11 02:05:52 DROP UDP 60.11.125.37 84.25.106.211 34845 4257 934 - - - - - - -
2006-02-11 02:05:52 DROP UDP 60.11.125.37 84.25.106.211 34845 1033 934 - - - - - - -
2006-02-11 02:07:46 DROP UDP 212.93.39.11 84.25.106.211 31260 1026 518 - - - - - - -

De open en close heb ik niet vermeld, die zijn veilig neem ik aan. Ik ben dus op zoek naar waar dit alles vandaan gestuurd werd. Aangezien ik zelf niet weet welke van deze er wel eens verantwoordelijk voor zou kunnen zijn post ik ze hier, wellicht dat een van jullie hem er zo tussenuit pikt.

In ieder geval bedankt zo ver. Ik vond veiligheid nooit zo'n belangrijk item maar opeens staat hij bovenaan mijn lijst van priorities.

Kaspersky's real time protection against network attacks zei:
Attack via protocol UDP from address 210.235.217.217 to local port 1434 was successfully repelled 10.14 hour
Attack via protocol UDP from address 61.128.161.231 to local port 1434 was successfully repelled 15.10 hour
Object is Helkern

Kan ik hier nu iets mee?

Bijvoorbeeld de host achterhalen?

[ Voor 4% gewijzigd door Anoniem: 88373 op 11-02-2006 17:54 ]