download. trojan in taskmgr.exe of toch niet? - Privacy en beveiliging

donderdag 17 maart 2005 14:16

Acties:

1. Controleer de kabel!

Topicstarter

Dit meldt een pc van mijn collega regelmatig op willekeurige tijdstippen: (~ 1x per dag)

Afbeeldingslocatie: http://img240.exs.cx/img240/2351/virusmelding6cq.png

Affijn, besmet met een trojan. Maar als norton iets meent te vinden zou hij dit dus moeten scannen bij een volle scan --> niets dus. Taskman.exe is ook origineel van microsoft (vergeleken met pc waar dit niet optreedt.). Behalve deze popup zijn er geen verschijnselen behalve trage shutdown.

Dus ik hijackthis erover gehaald en na vergelijk met een goede pc houd ik dit over: (commetaar van mezelf erin, regels zie ook in goede pc staan zondermeer verwijderd.)

code:

Logfile of HijackThis v1.97.7
Scan saved at 13:38:46, on 17-03-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

*C:\WINNT\System32\nutsrv4.exe      => onderdeel mks
*d:\Program Files\Reflection\rtsserv.exe ==> refection is geinstalleerd
*D:\Program Files\Beeldschermtachograaf\Bstmon.exe ==> draait inderdaad hoort zo. 
*C:\WINNT\system32\svchost.exe 
*C:\WINNT\system32\taskmgr.exe       => hier klaagt norton dus over, ook al draaid deze niet. 
*C:\Program Files\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
*C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
*C:\Program Files\WinZip\WINZIP32.EXE
*D:\DOCUME~1\xxxxx\LOCALS~1\Temp\HijackThis.exe


*O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
*O4 - HKLM\..\Run: [NuTCSetupEnviron] D:\MKS\bin\ncoeenv.exe  ==> mks draaaid op deze pc
*O4 - HKLM\..\Run: [bstacho] "D:\Program Files\Beeldschermtachograaf\Bstmon.exe"
*O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
*O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
*O9 - Extra button: Related (HKLM)
*O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
*O14 - IERESET.INF: START_PAGE_URL=http://xxxxx => inderdaad.de.homepage naar intranet. 
*O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
*O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab

Verwijzingen naar mijn werkgever/accounts maar gemangled.

Uiteraard ben ik nu op die pc nog het een en ander aan het scannen, tijdelijk even KAV & Microsoft anty spyware beta erop staan. het plaatje hierboven is dus enkel met norton corperate actief op het systeem.

De pc is in het verleden werkelijk besmet met een trojan downloader, maar volgens goed verwijderd met hijackthis. De symptomen zijn in iedergeval verdwenen. Pc hangt (net als 99% van de PC's hier) aan het internet via een proxy, en niet op andere manieren.

Nog ideeen? ( pc reinstallen is geen goede optie

, daarvoor zijn de klachten te klein. )

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

donderdag 17 maart 2005 15:36

Acties:

pasta

Ondertitel

Ik neem aan dat je Kaspersky met Extended Bases gebruikt? Zo ja, dan neem ik ook nog even aan dat je een volledige scan hebt gedaan? Verder zou het natuurlijk kunnen dat die taskmgr.exe melding een False Positive is. Scan het bestand eens op Jotti's online malware scan, misschien dat nog een andere virusscanner het bestand detecteert. Komt er zowel uit de scan en de scan bij Jotti niets uit? Dan heb je waarschijnlijk te maken met een false-positive. Mail het bestand dan eens naar Norton, misschien dat ze het dan corrigeren in een volgende update.

Signature

donderdag 17 maart 2005 15:47

Acties:

leuk_he

1. Controleer de kabel!

Topicstarter

taskmgr.exe heb ik door jotti gehaald. (vergeten in TS). Levert niets convcreets op. Maar die is denk ik juist niet het probleem. Iets anders lijk taskmgr.exe te willen aanpassen en dit onderschept Norton?

Maar een false positive op een taskmgr.exe zou toch wel heel vreemd zijn.

Ben inderdaad de pc nog verder aan het doorscannen met wat andere virus scanners. Maar tot nu toe niets gevonden.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

donderdag 17 maart 2005 15:51

Acties:

Verwijderd

Ik neem aan dat je SAV tijdelijk hebt uitgeschakeld?
Als SAV loopt zal toegang tot de file geblokkeerd worden.

donderdag 17 maart 2005 16:03

Acties:

leuk_he

1. Controleer de kabel!

Topicstarter

Gevonden met een extra deep scan.

De a in taskmgr.exe was geen a maar een of andere unicode karakter. en Ja, realtime scan /onaccess scan zijn inderdaad allemaal even uitgezet, want die conflicteren nogal met elkaar. (nu klaagt hij daar weer over

.

Ik snap het niet helemaal, maar het is wel schoon gepoetst. (blijkbaar overblijfsel van vorige besmetting die niet meer werd opgestart, maar wel gescand? )

[ Voor 14% gewijzigd door leuk_he op 17-03-2005 16:13 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.