[blaster variant?] virusscan + hijackthis vind niks! - Privacy en beveiliging

dinsdag 22 februari 2005 13:28

Acties:

What's in a bottle?

Topicstarter

Ik heb een laptop, die geinfecteerd is met een virus.

Volgens mijn (router)firewall logs (en netstat bevestigd dat), probeert de laptop verbindingen naar buiten te openen, op poort 135.

Dat zou wijzen op een blaster variant, maar zowel mijn virusscanner (mcafee full updated) en hijackthis kunnen niks vinden!

dit is de hijackthis log:

code:

Logfile of HijackThis v1.99.1
Scan saved at 13:23:01, on 22-2-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\RealVNC\WinVNC\winvnc.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Network Associates\VirusScan\VsStat.exe
C:\Program Files\Network Associates\VirusScan\Vshwin32.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\Avconsol.exe
C:\WINNT\Explorer.EXE
C:\Program Files\DELL\AccessDirect\dadapp.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\DELL\AccessDirect\DadTray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINNT\system32\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\System32\Isass.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Common Files\Network Associates\On Demand Scanner\Scan32\SCAN32.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\administrator.domein\Local Settings\TEMP\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DadApp] C:\Program Files\DELL\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\system32\Isass.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {D83C1BD1-DCBB-11D4-9425-0050BF33FA6E} (CycloScopeLite Control) - http://www.cyclomedia.nl/download/components/CycloScopeLite.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = **************
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = **************
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = **************
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = **************
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\winvnc.exe" -service (file missing)

ook de blaster removal tool vind niks.
heb ondertussen al SP4 geinstalleerd, zodat hij niet meer geinfecteerd kan raken, maar hoe krijg ik dit (onbekende!?) virus eraf?

dinsdag 22 februari 2005 13:31

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Vaak gemaakte fout. Hijack This vindt helemaal niets, dat moet je zelf doen.

In dit geval staat de (een) boosdoener op regel 32 en 51.

[ Voor 3% gewijzigd door Jazzy op 22-02-2005 13:33 ]

Exchange en Office 365 specialist. Mijn blog.

dinsdag 22 februari 2005 13:32

Acties:

LuCarD

Certified BUFH

Port 135 wordt ook gebruikt door windows.

http://grc.com/port_135.htm

Programmer - an organism that turns coffee into software.

dinsdag 22 februari 2005 13:34

Acties:

Verwijderd

Dat zou wijzen op een blaster variant,

Niet noodzakelijk.

heb ondertussen al SP4 geinstalleerd

SP4 dicht het RPC/DCOM of LSASS lek niet hoor.

MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Is het niet eens tijd om je computer fatsoenlijk te updaten?

Draai je VNC bewust?

Het is de bedoeling dat je je HT log bekijkt, HT zelf zegt helemaal niets.

C:\WINNT\System32\Isass.exe

Scan die file eens hier: http://www.kaspersky.com/scanforvirus.html

dinsdag 22 februari 2005 13:35

Acties:

GeleFles

What's in a bottle?

Topicstarter

LuCarD schreef op dinsdag 22 februari 2005 @ 13:32:
Port 135 wordt ook gebruikt door windows.

http://grc.com/port_135.htm

jup, maar meer als 10 connecties/seconde, naar oplopende IP adressen lijkt me niet gezond

ik ga die tip hierboven eens bekijken!

dinsdag 22 februari 2005 13:36

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Typisch geval van WORM_BROPIA.M

Exchange en Office 365 specialist. Mijn blog.

dinsdag 22 februari 2005 13:41

Acties:

GeleFles

What's in a bottle?

Topicstarter

Verwijderd schreef op dinsdag 22 februari 2005 @ 13:34:
Scan die file eens hier: http://www.kaspersky.com/scanforvirus.html

helaas, het bestand is gewoon clean...

VNC draai ik idd bewust, zodat ik vanaf afstand rotzooi eraf kan gooien

(ik zit nu niet fysiek achter de bewuste laptop)

dinsdag 22 februari 2005 13:43

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Heb je wel degene genomen die ik aanwees, dus degene die begint het een hoofdletter i?

Exchange en Office 365 specialist. Mijn blog.

dinsdag 22 februari 2005 13:49

Acties:

Verwijderd

RonnieB82 schreef op dinsdag 22 februari 2005 @ 13:41:
[...]

helaas, het bestand is gewoon clean..

zeker dat je de goede hebt gescand? - isass.exe, niet Lsass.exe
Het is in elk geval duidelijk dat isass.exe malware is, je kan daarom overwegen de sample te submitten naar het viruslab.

dinsdag 22 februari 2005 13:51

Acties:

GeleFles

What's in a bottle?

Topicstarter

Jazzy schreef op dinsdag 22 februari 2005 @ 13:43:
Heb je wel degene genomen die ik aanwees, dus degene die begint het een hoofdletter i?

grrr, kijk ik er nog overheen ook! dacht eerst idd met een I, maar die zag ik niet staan, dus de L gepakt... (die was uiteraard virusvrij)
degene met de hoofdletter i was dus ook hidden (vandaar dat ik er overheen keek).

heb hem verwijderd, ben nu aan het rebooten!
(nu hopen dat ie niet terugkomt

)

dinsdag 22 februari 2005 13:54

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

RonnieB82 schreef op dinsdag 22 februari 2005 @ 13:51:
[...]

grrr, kijk ik er nog overheen ook! dacht eerst idd met een I, maar die zag ik niet staan, dus de L gepakt... (die was uiteraard virusvrij)
degene met de hoofdletter i was dus ook hidden (vandaar dat ik er overheen keek).

heb hem verwijderd, ben nu aan het rebooten!
(nu hopen dat ie niet terugkomt )

Klik dan even op de link die ik je gaf, daar staat precies in waar hij zich nestelt en wat hij doet. Je zult dus op zijn minst die twee registersleutels moeten weghalen.

Kijk verder je log nog eens goed door, let goed op bekende namen die op een rare lokatie staan (zoals C:\WINNT\svchost.exe ipv. C:\WINNT\system32\svchost.exe) en andere verdachte zaken. Denk niet te snel dat het er allemaal wel prima uit ziet. Kijk maar hoe snel je bijvoorbeeld over deze heen kijkt, terwijl hij nota bene 2 keer in het log staat.

@Schouw: doe anders even F5 voordat je gaat posten.

[ Voor 3% gewijzigd door Jazzy op 22-02-2005 13:55 ]

Exchange en Office 365 specialist. Mijn blog.

dinsdag 22 februari 2005 13:55

Acties:

Verwijderd

RonnieB82 schreef op dinsdag 22 februari 2005 @ 13:51:
[...]

heb hem verwijderd, ben nu aan het rebooten!
(nu hopen dat ie niet terugkomt )

Dat is ontzettend onverstandig, je weet zga. niets over de malware.
De write-up waar jazzy naar verwijst gaat niet over jouw malware, check de benaming maar eens.

Zomaar een file (permanent) deleten zonder dat je de payload weet is echt verschrikkelijk onverstandig, als je correct wil handelen ben je nu verplicht om de zooi te formatteren en al je PSW's te veranderen.