Hopeloos of laatste redmiddel? - Privacy en beveiliging

woensdag 16 februari 2005 19:10

Acties:

Verwijderd

Topicstarter

Bij gebrek aan inspiratie is dit wat ik op een internationaal forum schreef:

ok here's the deal;

I have a virus/spy/malware you name it, that is getting on my nerves for 3 days now...

Among others, these names have already come up with ad-aware and mcafee and online scanners: exploit-mihtredir.gen, poebot.gen, mydoom.L@mm and most importantly SDBOT.WORM.GEN.J
Now i know this is not a virus forum, but a malware forum, nevertheless you guys are my last resort. I'm not totally new with manually reversing virusses so here'e what i've done already:

1. deleted all temp int. files and cookies
2. safe mode scan and virus removal with fully updated mcafee
3. safe mode registry search for svhost & svchost. Removed all svhost entries and I believe all other non standard malicious entries accompanied!!!
4. Turned off system restore
5. online scans with; trend micro, mcafee and panda
6. a mydoom fix

Now sometimes (for example after deleting malicious registry keys in safe mode and deleting svhost.exe from the system folder) mcafee detects the file svhost.exe and/or the virus called sdbot.worm.gen.j... It succesfully removes it but it keeps on coming back. If i switch off my windows XP firewall my computer start to use much of it's capacity and most of the time crashes, furthermore it is impossible to open the taskmanager. If firewall is up, my pc is acting normal... It therefore has something to do with the virus connecting to the web and maybe using my comp. for distibution of files (Mirc). In my taskmanager there are 4 svchosts running, 1 of which has a significantly higher cpu usage...I've read numerous posts and solutions to my problems and some have come close, but none worked in the end. The problem just reoccurs!!

Please oh please help me out here....

Ow and when i now scan my registry (after having deleted every entry with svhost) it still find svhost. It is in the following location: hkey_users\"big nummer with digits and letters"\software\microsoft\search assistant\Acmru\5603

Especiall the whole SEARCH ASSISTANT part worries me....

Kijk maar of jullie er iets mee kunnen,

alvast ontzettend bedankt!!!

woensdag 16 februari 2005 19:48

Acties:

Pendaco

Vogon Poetry FTW!

om te beginnen;
die search assistant is een normaal onderdeel van windows, heeft te maken met de zoekfunctie binnen win (xp), en staat ook op andere plekken binnen je register.
Alleen kan hetgene wat hierin wordt gezet, goede schuilplaats

, wel kwaad.

Heb je al anti spyware software gebruikt?

zo nee, begin daar dan ook eens mee (een goed bundeltje daarvoor kun je vinden op http://www.hitmanpro.nl)

en heb je hijack this! al eens gebruikt? post daar anders eens een log van
(zie de FAQ)

heb je ook gecontroleerd wat er aan programma's opstart? (in je services of msconfig)

woensdag 16 februari 2005 20:20

Acties:

Verwijderd

Topicstarter

heb ik allemaal idd gedaan ik zal voor de zekerheid nog even een hijack log posten en misschien een ad-aware log...Heb ook al verscheidene spyware removers gebruikt. Services heb ik ook gecheckt, niets vreemd aan de hand...Ik zal ff m'n hijack log posten

woensdag 16 februari 2005 20:21

Acties:

Verwijderd

Topicstarter

M'n log:

Logfile of HijackThis v1.99.0
Scan saved at 20:22:10, on 16-2-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.40607\aspnet_admin.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\ctfmon.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.traxsource.com/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.co...-us/4,0,0,83/mcinsctl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by2fd.bay2.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.m...eb_site.cab?1101833189935
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...com/housecall/xscan53.cab
O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - http://hotsearchbar.com/toolbar2/winhot32.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.co...n-us/1,0,0,20/mcgdmgr.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.co...an/2,0,0,4427/mcfscan.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: McAfee.com McShield - Unknown - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

woensdag 16 februari 2005 20:24

Acties:

Verwijderd

Topicstarter

Ik denk overigens dat de oplossing niet zomaar te bedenken is maar dat je daar echt even iets over moet lezen...(ik i.i.g. wel hehe) Wat dat betreft heb ik met al helemaal sufk gegoogled op "svhost", "svchost" en "sdbot.worm.gen.j"

woensdag 16 februari 2005 20:27

Acties:

CyberThijs

Even je log laten analyseren op hijackthis.de (tip! voor iedereen!), hier vind je de resultaten: http://www.hijackthis.de/...a3f34d84eb0bc35ccc9f.html

Ik zou al die nasty's eruit smijten en die onbekende 'ns goed analyseren... al vrees ik dat het virus er niet tussen zit (of is dit net goed nieuws?)

woensdag 16 februari 2005 20:31

Acties:

rapture

Zelfs daar netwerken?

Ik zou Knoppix Linux-bootcdrom gebruiken en f-prot gebruiken om te scannen.

woensdag 16 februari 2005 20:37

Acties:

[Jules]

Confusion in confusion

Wellicht heeft dit artikel zin? Het lijkt iig op wat je beschrijft...

Overigens is er inmiddels een nieuwere versie van Hijackthis uit met wat bugfixes...

[ Voor 27% gewijzigd door [Jules] op 16-02-2005 20:43 ]

Knowing others is to be clever.
Knowing yourself is to be enlightened.
Overcoming others requires force.
Overcoming yourself requires strength.

woensdag 16 februari 2005 20:39

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

CyberThijs schreef op woensdag 16 februari 2005 @ 20:27:
Even je log laten analyseren op hijackthis.de (tip! voor iedereen!)

Op zich een aardige tip alleen je moet er niet op vertrouwen. Ik heb nu al een paar keer gezien (ook hier op het forum) dat hij malware niet kent. Dat geeft een vals gevoel van veiligheid en daar heb je helemaal niets aan.

Mijn ervaring is dat je het beste de items met de hand na kunt lopen, wanneer je een item niet kent dan stop je hem in Google. Bijkomend voordeel is dat je er zelf ook veel van leert, na verloop van tijd zie je direkt wat ok is en wat niet.

Exchange en Office 365 specialist. Mijn blog.

woensdag 16 februari 2005 20:55

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
RayJay, welkom op GoT

Er is gezien je topicstart vast geen sprake van, maar een Engelstalige startpost komt op velen nogal "lui" over, er zijn zo heel wat mensen die dan niet meer de moeite nemen om mee te denken / te reageren. GoT is dan ook Nederlandstalig en de keuze de opmerking dat dit geen virusforum is mee copy/pasten is eeeuhm dubieus te noemen

Je zou er dan ook even aan kunnen denken om dmv. de Edit knop een NL vertaling te maken ipv. de engelse versie.

Oeh en meer ontopic is hjt.de inderdaad ook wat mij betreft net even te weinig correct en is met de hand nalopen beter. Je kan het best voor een "eerste ronde" gebruiken, maar genoeg is het zeker niet

SVHost of SVCHost? Die tweede en dan ook nog eens alleen in de juiste directory klopt wel.SVHost, of SVCHost in een andere directory: gooi ook even door Jotti's scanner om te zien wat voor naam er terugkomt.

Zomaar keys verwijderen zonder te weten wat het doet, kan trouwens eng zijn.

Verder: check even welke services er draaien etc.

Die specifieke virussen: er is met de GoT-search, Google, de virussites, etc al heel wat over te vinden en dat zal je al hebben gezien dus dat hier herhalen hoeft denk ik niet. Wel zou ik mezelf afvragen of data backuppen en dan gaan formatteren en de data als verdachte files goed scannen geen betere optie is als "men" toch al zo diep in je systeem zat.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 18 februari 2005 16:01

Acties:

Verwijderd

Topicstarter

CyberThijs schreef op woensdag 16 februari 2005 @ 20:27:
Even je log laten analyseren op hijackthis.de (tip! voor iedereen!), hier vind je de resultaten: http://www.hijackthis.de/...a3f34d84eb0bc35ccc9f.html

Ik zou al die nasty's eruit smijten en die onbekende 'ns goed analyseren... al vrees ik dat het virus er niet tussen zit (of is dit net goed nieuws?)

Gedaan, mocht niet baten....

[Jules] schreef op woensdag 16 februari 2005 @ 20:37:
Wellicht heeft dit artikel zin? Het lijkt iig op wat je beschrijft...

Overigens is er inmiddels een nieuwere versie van Hijackthis uit met wat bugfixes...

Inderdaad dit komt heel aardig in de buurt ware het niet dat de oplossing, als ik het goed begrijp, formatteren is, wat ik dus juist wilde voorkomen.

F_J_K schreef op woensdag 16 februari 2005 @ 20:55:
[ot]
SVHost of SVCHost? Die tweede en dan ook nog eens alleen in de juiste directory klopt wel.SVHost, of SVCHost in een andere directory: gooi ook even door Jotti's scanner om te zien wat voor naam er terugkomt.

Zomaar keys verwijderen zonder te weten wat het doet, kan trouwens eng zijn.

Verder: check even welke services er draaien etc.

Services had ik al gechecked, niets raars... Ik weet inmiddels wel ongeveer welke keys wel en niet in je reg. thuishoren, helemaal aan de hand van gegooglede oplossingen. Svchost ook al in de juiste directory kan volgens mij als "vulnerability" worden gebruikt en svhost is sowieso een worm/bot...

En dan nu het moment supreme..... ik ben uiteindelijk overgegaan op formatteren, alles helemaal clean geinstalleerd, NTFS geformatteerd (quick), meteen virusscanner erop, geen rare dingen meegemaakt. Ik ben een tijdje bezig en SHABAAAM; mcafee verteld me dat 't de file "svhost.exe" heeft verwijderd, omdat dit onderdeel is van 't "sdbot.worm.gen.j" virus is

Als ik nu reboot en m'n registry scan op svhost, vind 'ie i.i.g. 1 entry. Check m'n screenshot voor waar die staat!
http://img.photobucket.co...70/RayJay/Registrykey.bmp
Wederom ben ik dus ten einde raad, maar toch is alle in principe ok als m'n firewall (van windows xp) aanstaat. Op het moment dat die uit is crasht 'ie vaak, kan ik m'n taskmanager niet meer in etc.

Screener was niet helemaal lekker, de svhost entry staat in: HKEY_CURRENT_USER\Software\Microsoft\Search Asssistant\AcMru\5603

Ik hoop dat jullie er wat mee kunnen
Ray

[ Voor 5% gewijzigd door Verwijderd op 18-02-2005 16:04 ]

vrijdag 18 februari 2005 16:04

Acties:

pasta

Ondertitel

Verwijderd schreef op vrijdag 18 februari 2005 @ 16:01:Check m'n screenshot voor waar die staat!
http://img.photobucket.co...70/RayJay/Registrykey.bmp
Wederom ben ik dus ten einde raad, maar toch is alle in principe ok als m'n firewall (van windows xp) aanstaat. Op het moment dat die uit is crasht 'ie vaak, kan ik m'n taskmanager niet meer in etc.

Ik hoop dat jullie er wat mee kunnen
Ray

Zou je een grotere versie (bij voorkeur in .gif/jpg/png) willen posten, want dit is nogal lastig om te zien.

offtopic:
Je naam onder je posts is niet nodig, hier op GoT groeten we elkaar continue.

Signature

vrijdag 18 februari 2005 16:06

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Met dat plaatje kunnen we niets -> te lage resolutie (en als je een hogere neemt: doe dan ajb geen bmp want dat is onhandelbaar groot en levert geen voordeel ten opzichte van bijv. gif of png).

Ik mis een belangrijke stap in je format + reinstall verhaal: pas een internetverbinding als je helemaal uptodate bent.
• formatteren
• windows installeren van een zeker schone CD
• windows updaten (Service Pack 2, etc) zonder internetverbinding en vanaf schone CD, XP firewall aan
• nu pas de internetverbinding erin
• virusscanner installeren en updaten
• nu pas je gebackupte bestanden terugzetten, beschouw ze als besmet dus scan eerst

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 18 februari 2005 16:07

Acties:

NBK

Weercam-Avatar

Welk besturings systeem heb je? Directory structuur lijkt op XP...
Even uitgaand van XP. Heb je automatisch systeem herstel uitgezet?

Edit:
Niet alle svchost.exe entries in je register zijn meteen virussen hoor... Dat process draait normaal ongeveer 5 keer op een schone windows install.

Edit2:
Wat ik altijd doe als ik een PC heb die stikt van de virussen is de HDD uit de PC halen en deze in een gezonde PC hangen. Op deze machine kun je dan de HDD van de besmette PC scannen op virussen, spyware enzo. Dordat windows niet van die schijf is geboot is het tenminste zeker dat de files niet gelocked zijn.

Doet ie dan nog vaag is een format de beste oplossing.

[ Voor 79% gewijzigd door NBK op 18-02-2005 16:13 ]

PC's; Home; Met 8619 units als 72e geëindigd bij DPC @ SETI-classic

vrijdag 18 februari 2005 16:23

Acties:

FlipFluitketel

Frontpage Admin

Heb je je systeem ook compleet geupdate na de herinstallatie? Als je de windows-firewall uitschakelt heb je dan nog een andere firewall (in je modem/router of zo)?

edit:

Spuit 11..
Mja..F5 voor reageren is ook handig als het scherm al een kwartier open staat en ik andere dingen aan het lezen ben..

[ Voor 32% gewijzigd door FlipFluitketel op 18-02-2005 16:25 ]

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

vrijdag 18 februari 2005 19:25

Acties:

Verwijderd

Topicstarter

F_J_K schreef op vrijdag 18 februari 2005 @ 16:06:
Met dat plaatje kunnen we niets -> te lage resolutie (en als je een hogere neemt: doe dan ajb geen bmp want dat is onhandelbaar groot en levert geen voordeel ten opzichte van bijv. gif of png).

Ik mis een belangrijke stap in je format + reinstall verhaal: pas een internetverbinding als je helemaal uptodate bent.
• formatteren
• windows installeren van een zeker schone CD
• windows updaten (Service Pack 2, etc) zonder internetverbinding en vanaf schone CD, XP firewall aan
• nu pas de internetverbinding erin
• virusscanner installeren en updaten
• nu pas je gebackupte bestanden terugzetten, beschouw ze als besmet dus scan eerst

Heb in m'n vorige post gezegd dat 't plaatje idd niet helemaal lekker was, maar 't gaat om 't feit dat svhost in m'n registry staat en specifiek waar. Dat staat gewoon in m'n vorige post, vergeet die screener maar...
Verder zal ik na 't formatteren nooit zomaar m'n internetverbinding toegankelijk maken, zonder voor de nodige bescherming te hebben gezorgd. Om te updaten (zowel windows als virusscanner) heb je uiteindelijk toch je verbinding nodig, maar geloof me, dit is helemaal clean gegaan...

Ik weet, nogmaals, dat svchost een normaal windows proces is, ik wil slechts benadrukken (omdat ik 't gevoel heb dat daar 't probleem zit) dat 't ook een geinfecteerd proces kan zijn. Ik heb idd system restore uitgezet. Ik heb geen extra firewall naast die van Windows XP, maar dat neemt niet weg dat een volledig geupdate virusscanner die malicious codes niet vindt en dat m'n grootste probleem is. Na installatie heb ik uiteraard mijn systeem volledig geupdate. Het verwisselen van m'n HDD is idd misschien een optie, maar dat kost ff wat tijd...

Uiteindelijk denk ik dat ik te maken heb met een virus/bot/worm wat niet op de conventionele plekken is gestationeerd. Met conventioneel bedoel ik; beschreven door Norton en Mcafee. Misschien dat er te lang een backdoor open heeft gestaan waardoor iets of iemand genoeg tijd heeft gehad zich flink in te dekken???

Bedankt jongens,
ik blijf lezen en jullie posts waarderen

vrijdag 18 februari 2005 19:28

Acties:

Verwijderd

Topicstarter

BTW; ik heb nu een normale NTFS formattering gedaan, dus niet "quick". Daarnaast heb ik ipv mcafee nu norton (volledig geupdate) erop gezet. Net als mcafee heeft Norton ook wat herkend, ook al heet 't anders. Tot dusver heb ik nog geen probleem gehad, misschien dat Norton 'm beter/volledig heeft verwijderd...

zondag 20 februari 2005 21:31

Acties:

Verwijderd

Topicstarter

Nope, hij is terug, op andere forums weet men ook geen raad aangezien er verder weining in m'n hijack en andere logs (rkfiles bijv.) te zien is. Enfin, ik heb dus volledig geformatterd en al voor ik m'n bestanden (vanaf laptop) terugzet op de pc heb ik al te maken met dat virus...

zondag 20 februari 2005 21:44

Acties:

Verwijderd

Misschien gebruik je een opstart CD welke niet virusvrij is.
Installeer eens vanaf een andere cd zonder de netwerkkabel aan te sluiten.
Installeer je anti-virussoftware en sluit daarna pas je netwerkkabel aan.
Als het probleem pas na 2 dagen terugkomt. Is er iets wat je kortgeleden geinstalleerd hebt?

[ Voor 21% gewijzigd door Verwijderd op 20-02-2005 21:48 ]

zondag 20 februari 2005 21:46

Acties:

Verwijderd

Topicstarter

Op een ander forum werd ik gewezen op een file in m'n windows system folder genaamd "ntosrkl.exe". Naar mijn idee is deze file niet koosjer aangezien het "ntoskrnl.exe" moet zijn. Kan iemand me hier meer over vertellen?

zondag 20 februari 2005 21:47

Acties:

pasta

Ondertitel

Je kunt het bestand eens door Jotti's online malware scan halen voor de zekerheid.

Signature

Pagina: 1

Reageer