Radmin niet te verwijderen/vinden - Privacy en beveiliging

dinsdag 22 maart 2005 12:52

Acties:

- gers -

Topicstarter

Op mijn PC, windows 2000 pro (up to date), staat een "kaal" icoontje (zoals linksboven in onderstaand screenshot) van Remote Administrator (radmin) waarvan ik geen idee heb hoe hij er op komt. Virusscanners (Antivir Guard en Housecall) en spywarescanners (SS&D, HijackThis) vinden niets geks.
Afbeeldingslocatie: http://home.student.utwente.nl/k.vantsant/radmin.jpg

Afbeeldingslocatie: http://home.student.utwente.nl/k.vantsant/radmin.jpg

Het About-venstertje geeft een hele rare licentie op het WWF

.

Ik heb allerlei verwijdertips op diverse fora, waaronder op www.radmin.com, gevolgd, maar die verwijzen steeds naar:
• het bestand r_server.exe dat niet op mijn PC te vinden is
• een map program files\radmin die al niet meer bestaat

. Dat was mijn eerste verwijderpoging die pas lukte in puur DOS, omdat het onder windows niet lukte.
• een Remote Admin service die ik niet heb
• inspecties met Process Explorer, die geen rare processen lijken op te leveren

Toch draait radmin nog steeds en krijg ik 'm niet weg. Als ik in het context-menu van het icoon klik op "Current connections" zijn dat er geen. De hint-message op het icoontje heeft mijn (statische) interne IP weer.
Iemand een briljant idee hoe ik dat gare ding toch wegkrijg?

Zo scherp als een voetbal!

dinsdag 22 maart 2005 12:54

Acties:

MuddyMagical

Dat ding moet een proces hebben. Laat eens zien wat voor processen heb draaien en zet erbij van waar je zeker weet wat het is...

dinsdag 22 maart 2005 12:57

Acties:

André

Analytics dude

Kijk eens met Hijackthis wat er allemaal opgestart wordt?

dinsdag 22 maart 2005 13:02

Acties:

Reptile209

- gers -

Topicstarter

Volgens Process Explorer lopen de volgende processen:

code:

Process     PID Description Company Name
AcroRd32.exe    776 Adobe Reader 6.0    Adobe Systems Incorporated
AVGNT.EXE   1548    AntiVir Guard/XP Control Program    H+BEDV Datentechnik GmbH
AVGUARD.EXE 604 Antivirus Service for Windows XP/2000/NT    H+BEDV Datentechnik GmbH
AVWUPSRV.EXE    628 AntiVir Software Update Service for Windows H+BEDV Datentechnik GmbH, Germany
BTSTAC~1.EXE    1836    Bluetooth Stack COM Server  WIDCOMM, Inc.
BTTray.exe  1600    Bluetooth Tray Application  WIDCOMM, Inc.
btwdins.exe 648 Bluetooth Support Server    WIDCOMM, Inc.
csrss.exe   184 Client Server Runtime Process   Microsoft Corporation
DPCs            n/a Deferred Procedure Calls    
Explorer.EXE    1344    Windows Explorer    Microsoft Corporation
fpdisp4.exe 1560    FinePrint 2000  FinePrint Software, LLC
HijackThis.exe  1056    HijackThis  Soeperman Enterprises Ltd.
IEXPLORE.EXE    1812    Internet Explorer   Microsoft Corporation
Interrupts  n/a Hardware Interrupts 
LEXBCES.EXE 508 LexBce Service  Lexmark International, Inc.
LEXPPS.EXE  556 LEXPPS.EXE  Lexmark International, Inc.
lsass.exe   244 LSA Executable and Server DLL (Export Version)  Microsoft Corporation
MsgPlus.exe 1588    Messenger Plus! Patchou
MSTask.exe  804 Task Scheduler Engine   Microsoft Corporation
nvsvc32.exe 712 NVIDIA Driver Helper Service, Version 52.16 NVIDIA Corporation
procexp.exe 1048    Sysinternals Process Explorer   Sysinternals
RUNDLL32.EXE    1584    Run a DLL as an App Microsoft Corporation
services.exe    232 Services and Controller app Microsoft Corporation
ServUTray.exe   2140        
smss.exe    156 Windows NT Session Manager  Microsoft Corporation
spoolsv.exe 528 Spooler SubSystem App   Microsoft Corporation
stisvc.exe  904 Still Image Devices Monitor Microsoft Corporation
svchost.exe 400 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 452 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1292    Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1192    Generic Host Process for Win32 Services Microsoft Corporation
System      8           
System Idle Pr. 0           
vsmon.exe   1848    TrueVector Service  Zone Labs Inc.
winlogon.exe    204 Windows NT Logon Application    Microsoft Corporation
WinMgmt.exe 1224    Windows Management Instrumentation  Microsoft Corporation
wisptis.exe 964 Microsoft Tablet PC Platform Component  Microsoft Corporation
zapro.exe   1656    ZoneAlarm Pro   Zone Labs Inc.

Op de scvhost-entries na kan ik volgens mij alles plaatsen en lijkt alles in orde. Kan ik meer info krijgen over de svchosts, of kan ik ze zonder al te grote puinhopen aan te richten proberen te stoppen in Process Explorer?

Zo scherp als een voetbal!

dinsdag 22 maart 2005 13:05

Acties:

Dennis

Het is een service volgens mij, dus daar zou je eens moeten kijken.

dinsdag 22 maart 2005 13:08

Acties:

Reptile209

- gers -

Topicstarter

Nog een leuke aanvulling: als ik in Process Explorer het "Find Window's Process" ding over een radmin-venster sleep, krijg ik de melding: "Unable to find the window's owning process in the current process list". Andere processen pakt 'ie wel zonder problemen.

Dennis schreef op dinsdag 22 maart 2005 @ 13:05:
Het is een service volgens mij, dus daar zou je eens moeten kijken.

In de lijst met services staat dus niets dat op radmin lijkt...

[ Voor 37% gewijzigd door Reptile209 op 22-03-2005 13:12 ]

Zo scherp als een voetbal!

dinsdag 22 maart 2005 13:15

Acties:

0xDEADBEEF

En met Sysinternals' TCPView en/of RootKitRevealer komt er ook niets tevoorschijn ?

_{@ TS: Je voert ProcExp toch wel uit als Administrator hé anders zie je niet alle processen}

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

dinsdag 22 maart 2005 13:30

Acties:

Verwijderd

nou volgens mij heb je een hack op je machine gehad.
als ik kijk naar alle active processen kijk zie ik servu staan.
schakel die eens uit en kill dan radmin eens kijken of dat helpt.

ow wat gebeurd er onder veilige modus?? tread dan ook nog aanwezig ???

dinsdag 22 maart 2005 13:33

Acties:

Reptile209

- gers -

Topicstarter

Verwijderd schreef op dinsdag 22 maart 2005 @ 13:30:
nou volgens mij heb je een hack op je machine gehad.
als ik kijk naar alle active processen kijk zie ik servu staan.
schakel die eens uit en kill dan radmin eens kijken of dat helpt.

ow wat gebuerd er onder veilige modus?? tread dan ook nog aanwezig ???

@0xDEADBEEF: uiteraard als admin

Serv-u draai ik bewust en staat al een heeeeel stuk langer in beeld dan die radmin. En als ik radmin kon killen zou ik ook weten welke files ik gemist heb en hoe ik die wegkreeg

. Ga zo safe mode eens proberen, kijken wat die te melden heeft. Zal ff updaten als ik dat gedaan heb en RootKitRevealer klaar is (is nu aan het scannen).

Update
Safe-mode leverde niets op: icoontje niet te zien.
RootkitRevealer vond wel wat grappigs: een file "raddrv.dll" in \winnt\system32 die "hidden for API" is. Die file is vanuit windows niet te zien (ook niet in safe mode), maar als ik in DOS boot wel. Dan is hij niet te verwijderen omdat hij hidden/system staat.
* Reptile209 zwengelt nu Knoppix even aan om te kijken of ik er dan wat mee kan.

[ Voor 23% gewijzigd door Reptile209 op 22-03-2005 14:06 ]

Zo scherp als een voetbal!

dinsdag 22 maart 2005 13:48

Acties:

Dothan

En als je Radmin opnieuw installeerd en daarna weer op de normale manier verwijderd? Zal dat helpen?

┏━━┓┏━━┓┏━━┓┏━━┓┏━━┓┏━━┓┏━━┓

dinsdag 22 maart 2005 14:10

Acties:

pasta

Ondertitel

Reptile209 schreef op dinsdag 22 maart 2005 @ 13:33:
[...]

@0xDEADBEEF: uiteraard als admin

Serv-u draai ik bewust en staat al een heeeeel stuk langer in beeld dan die radmin. En als ik radmin kon killen zou ik ook weten welke files ik gemist heb en hoe ik die wegkreeg . Ga zo safe mode eens proberen, kijken wat die te melden heeft. Zal ff updaten als ik dat gedaan heb en RootKitRevealer klaar is (is nu aan het scannen).

Update
Safe-mode leverde niets op: icoontje niet te zien.
RootkitRevealer vond wel wat grappigs: een file "raddrv.dll" in \winnt\system32 die "hidden for API" is. Die file is vanuit windows niet te zien (ook niet in safe mode), maar als ik in DOS boot wel. Dan is hij niet te verwijderen omdat hij hidden/system staat.
* Reptile209 zwengelt nu Knoppix even aan om te kijken of ik er dan wat mee kan.

Gooi dat bestandje eerst eens door Jotti's online malware scan, dan weet je sowieso zeker of het een onderdeel is van R-Admin.

Signature

dinsdag 22 maart 2005 14:15

Acties:

0xDEADBEEF

http://www.mac-net.com/568489.page

On infection, it drops the following files into the system folder:

* dialer.exe (this file name varies)
* raddrv.dll
* AdmDll.dll

It does not create autostart registry entries. Dialer.exe, better known as RAdmin.21 (Remote Administrator server v2.1), is actually a server component of a legitimate Remote Administrator Tool. This tool works on Windows 2000 and XP platform and runs using "Remote Administrator service" or sometimes "Net Logon Management" as its service name.

Wellicht dat die files en service aanwezig is/zijn.

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

dinsdag 22 maart 2005 15:53

Acties:

Reptile209

- gers -

Topicstarter

Kleine update, ben druk geweest:

• In winnt\system32 inderdaad zowel raddrv.dll als admdll.dll aangetroffen. In Windows zijn ze niet zichtbaar, in Knoppix en DOS wel. Bestanden gekopieerd naar een andere schijf en verwijderd uit system32.
• Bij het opstarten geeft windows nu de foutmelding "Can't load library - admdll.dll", alles werkt verder normaal. Het Radmin-icoon is nu pleite!
• Eventlog geeft nu een fout in de Smart Card en de Smart Card Helper services. Die verwijderd met scardsvr.exe /uninstall (want ik gebruik toch geen smartcards, dus who needs a service anyhow)
• De services die 0xdeadbeef noemt, bestaan geen van beiden
• De beide DLL's die ik naar D:\ verplaatst had, zijn ook daar niet te zien in windows!
• In de registry staat in HKLM\System een uitgebreide Radmin-tree. Die weggemikt (na exporteren).
• Nog een keer in DOS geboot. Beide bestanden van naam veranderd (naar resp. adm_dll.dll en rad_drv.dll) waarna ze in windows opeens wel te zien zijn. Er zit dus blijkbaar ergens een filter tussen de kernel en mij die de bestanden niet wil laten zien... Jotti's scan geeft beide files als onderdeel van Radmin, zij het dat voor adm_dll.dll ook een AVG-waarschuwing voor TR/Drop.Delf.DK.1 afgaat. Mijn scanner (AVG...) vond het uploaden ook al niet leuk.
• Radmin 2.2 geinstalleerd, die geeft een fout: kan admdll.dll niet opslaan (of iets van die strekking).
• Toch die admdll.dll maar weer in system32 gezet om van die gare foutmelding af te zijn. En natuurlijk Radmin 2.0 weer verwijderd.

Per saldo zijn nu alleen raddrv.dll en de beide Smart Card services weggehaald.

* Reptile209 gelooft het verder wel: icoontje is weg, geen raar gedrag meer zichtbaar. Reinstall volgt binnen nu en 2 maandjes toch wel een keer

.

Moet ik me nog zorgen maken, of geloven jullie het verder ook wel?

Zo scherp als een voetbal!

dinsdag 22 maart 2005 16:00

Acties:

consolefreak

als je die bestanden niet kan zien als je de naam wijzigt is er denk ik gewoon een rootkit op jouw computer geinsatleerd. formateer je pc asap en patch um up to date. Ook zou ik een (hardwarematige) firewall aanraden. en geen zonealarm aangezien "hackers" die makkelijk uit kunnen zetten.

dinsdag 22 maart 2005 16:04

Acties:

Reptile209

- gers -

Topicstarter

Van buitenaf gaat er niet heel veel gebeuren: ik zit achter een router zonder bizarre mappings. UPnP staat daar ook uit, dus dan mag het een sjiek stukje rootkit zijn dat mijn verbinding alsnog open gooit.

oh, en consolefreak: ik kan ze dus juist pas wel zien als ik de naam verander. Op de originele naam zie ik ze niet.

[ Voor 25% gewijzigd door Reptile209 op 22-03-2005 16:14 ]

Zo scherp als een voetbal!

dinsdag 22 maart 2005 16:19

Acties:

leuk_he

1. Controleer de kabel!

Die software kan uiteraard eens in de zoveel tijd ergens iets downloaden zodat het weeer helemaal vervelend gaat worden. (heet trojan downlaoder...ik neem aan dat je netwerk VANAF binnen niet dicht staat). affijn zo snel mogelijk backupen en een goede format doetn lijkt me,

Toch vervelend dat die rootkits nu in het wild vaker voorkomen.

Begrijp ik nu dat er nog een icoontje van het radmin programma stond op je desktop? Een rootkit die alles verbergt behalve radmin.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

dinsdag 22 maart 2005 16:32

Acties:

Verwijderd

Reptile209 schreef op dinsdag 22 maart 2005 @ 16:04:
Van buitenaf gaat er niet heel veel gebeuren: ik zit achter een router zonder bizarre mappings. UPnP staat daar ook uit, dus dan mag het een sjiek stukje rootkit zijn dat mijn verbinding alsnog open gooit.

Zodra je gecompromised bent, zegt een router zga niets meer.
Reverse connection en het maakt normaal gesproken niets meer uit of je een router hebt.

leuk_he schreef op dinsdag 22 maart 2005 @ 16:19:
Toch vervelend dat die rootkits nu in het wild vaker voorkomen.

Yup, mass spams bevatten nu zeer regelmatig Backdoors met volledige rootkit functionality.
Meeste AVs zijn verdedigingsloos bij infectie..

dinsdag 22 maart 2005 16:35

Acties:

dbzfan

Nee.

Ik zou als ik jou was zou ik checken op servu files, misschien is dit er 1:

WinMgmt.exe 1224 Windows Management Instrumentation Microsoft Corporation

Run even fport zou ik zeggen

[ Voor 32% gewijzigd door dbzfan op 22-03-2005 17:01 ]