Toon posts:

[Explorer.exe]Inbraak poging

Pagina: 1

Acties:

700 views sinds 30-01-2008
Reageer

woensdag 7 september 2005 20:41

Acties:

bye bye c'est fini

Topicstarter

Hoi tweakers,

Weer iets vreemds; bij het opstarten van My Documents en bij het aanspreken van een specifieke partitie (F in mijn geval) krijg ik constant van mijn firewall een melding dat er een inbraak poging is geblokkeerd; doel: C:\Windows\Explorer.EXE
Vervolgens krijg ik een foumelding en moet explorer.exe worden gestopt en gereboot... kom de partitie dus niet binnen...
In de log van de FW staat dan: Invalid Instruction Suspicious call instruction in process... Action Denied

Ook zijn er een aantal poorten open gezet terwijl deze eerst gewoon dicht stonden...
waaronder de poorten voor smtp en pop3. ze staan niet vermeld in NAT.
135, 139, 25, 445, 110, 1027 en 1042 wat een poortscanner tot nu toe gevonden heeft.
Ik gebruik Kerio Personal Firewall, op zich gooit deze de boel goed op slot, tot eergisteren.
Updates van anti-spyware zijn ineens niet meer te downloaden, virusscanner Symantec Corporation Edition vindt niks. Aangezien er een paar instellingen in IE zijn gewijzigd (pop-up blocker uit) heb ik ook specifiek naar Zoton gezocht met de special remove tool van Symantec. Maar niks gevonden...

Ook HT geeft geen vreemde zaken, ik kan geen verbinding leggen met de server van HT voor updates. Het lijkt wel of het spookt, op het bureaublad verdwijnen snelkoppelingen en de arange icons by wijzigt zichzelf, ik heb het standaard op naam staan, na een paar minuten staat deze op een andere volgorde. Voor de rest zie ik geen rare services op de achtergrond draaien; ik kan ze allemaal plaatsen en degene die ik niet ken vind ik met Google als veilig.

Windows Updates werkt niet en ActiveX werkt ook niet bij online virusscanners...
Zit er echt niks anders op dan een c:/format?

woensdag 7 september 2005 21:28

Acties:

Heb je al geprobeerd in veilige modus op te starten en dan een virusscanner te draaien?

This too shall pass
Debian | VirtualBox (W7), Flickr

woensdag 7 september 2005 21:31

Acties:

bye bye c'est fini

Topicstarter

Ja, sorry; ik draai al mijn scans standaard in VM... ik zie opeens dat er ook een Dynamic DNS is aangemaakt voor een client in mijn modem... dat heb ik verwijderd, nu blijft poort 1034 gesloten...

woensdag 7 september 2005 21:45

Acties:

Ik neem aan dat je xp draait trouwens? Als je in veilige modus bent opgestart, kan je dan niet hijack this downloaden en draaien?
Of anders bij de buren/op je werk ff halen.
Kan je met een verouderde versie geen interessante dingen zien?

Staan er misschien dingen in je windows event log die kunnen helpen?

[ Voor 14% gewijzigd door Sallin op 07-09-2005 21:47 ]

This too shall pass
Debian | VirtualBox (W7), Flickr

woensdag 7 september 2005 21:56

Acties:

Oh die ja!

Mijn vermoeden is dat je een trojan te pakken hebt

Tip, zonder reclame te maken:
Kijk eens naar de volgende virusscanner:
kijk eens op www.nod32.com en download de trial versie (of om mijn part koop je em) Draai deze in veilige modus en je zult verstelt staan wat symantec heeft laten liggen. Voor het scannen wel even de maximale opties aanzetten, dus advanced heuristics, other malware programs. enzzz... Symantec even uitzetten tijdens het scannen, anders krijg je van die nare loops in scannen.

Mijn ervaring: sommige computers doen het echt niet meer en meestal staat er een up to date virusscanner op. Toch vind nod32 nog ongelovelijk veel virussen en trojans....zelfs zonder de nieuwste virusdefinities. Nod32 was ook de enige virusscanner die via advanced heuristics de bekende zotob aanval herkende voordat de definities geupdate waren!!!!!

Ik ben er erg enthousiast over, jullie ook?

donderdag 8 september 2005 09:16

Acties:

bye bye c'est fini

Topicstarter

Sallin schreef op woensdag 07 september 2005 @ 21:45:
Ik neem aan dat je xp draait trouwens? Als je in veilige modus bent opgestart, kan je dan niet hijack this downloaden en draaien?
Of anders bij de buren/op je werk ff halen.
Kan je met een verouderde versie geen interessante dingen zien?

Staan er misschien dingen in je windows event log die kunnen helpen?

Ja ik heb op die internetbak XP Pro sp2 up to date, laatste update was dinsdag geinstalleerd
Ben ook vrij strikt met de beveiliging van het systeem...
Ik heb op de site van HT gekeken en ik heb de meeste recenste versie, ik vond het alleen vreemd dat HT geen connectie kon bouwen met hun server; fw staat voor ht open.

Nee er staan geen noemenswaardige zaken in; heb de log uitvoerig bekeken en er staan geen rare services/hijack-trolls/spyware troep op.

Event viewer geeft een foutmelding, een of andere Indexering service wat niet kan opstarten en synchronisatie met internettime, maar dat heb ik express zelf geblokkeerd... daar kijk ik vanavond wel even naar...

donderdag 8 september 2005 09:26

Acties:

bye bye c'est fini

Topicstarter

Get!em schreef op woensdag 07 september 2005 @ 21:56:
Mijn vermoeden is dat je een trojan te pakken hebt

Tip, zonder reclame te maken:
Kijk eens naar de volgende virusscanner:
kijk eens op www.nod32.com en download de trial versie (of om mijn part koop je em) Draai deze in veilige modus en je zult verstelt staan wat symantec heeft laten liggen. Voor het scannen wel even de maximale opties aanzetten, dus advanced heuristics, other malware programs. enzzz... Symantec even uitzetten tijdens het scannen, anders krijg je van die nare loops in scannen.

Mijn ervaring: sommige computers doen het echt niet meer en meestal staat er een up to date virusscanner op. Toch vind nod32 nog ongelovelijk veel virussen en trojans....zelfs zonder de nieuwste virusdefinities. Nod32 was ook de enige virusscanner die via advanced heuristics de bekende zotob aanval herkende voordat de definities geupdate waren!!!!!

Ik ben er erg enthousiast over, jullie ook?

Bedankt voor de tip, hij heeft een paar uur staan scannen afgelopen nacht, uiteindelijk een trojan downloader gevonden in een of ander archief op mijn gedownloade software partitie... jammer hij gaf alleen niet de specifieke pad naar het programma cq archief/plaats... als je weet dat deze partitie 120 gb is dan snap je dat ik niet weet waar ik dan precies moet gaan zoeken... voor de rest deed ie er niks mee, het programma gaf aan dat ie wat gevonden, vervolgens werd er gezegd dat ik een backup moest maken

de trojan heeft ie dus mooi laten staan, voor de rest heeft ie niks gevonden.

Ik snap nu ook wel waarom symantec niks gevonden heeft, die scant alleen de installatie van Windows, C:\system en program files enzo... zal em vanavond ook laten kijken of ie deze trojan ook kan vinden in de software partitie... vreemd dat Nod32 niks met de trojan gedaan heeft, een tegenvaller dus ook gelijk een afknapper lijkt mij?

donderdag 8 september 2005 09:56

Acties:

Ik denk dat je eerder richting een rootkit moet gaan denken dan naar een trojan.

Of is je DNS server niet aangepast ((of je hosts-file (C:\windows\system32\drivers\etc\hosts)) waardoor je diverse updates en sites niet meer kunt binnenhalen?

donderdag 8 september 2005 10:13

Acties:

Oh die ja!

taXoudanT schreef op donderdag 08 september 2005 @ 09:26:
[...]
vreemd dat Nod32 niks met de trojan gedaan heeft, een tegenvaller dus ook gelijk een afknapper lijkt mij?

Ehm, je hebt em dan toch wel gelijk op delete of quarantine gedrukt? Dan haaltie em weg. (dus nooit op leave drukken. in plaats daarvan op quarantine en venster sluiten) In de logs van nod32 kun je alle gevonden virussen vinden.
Kijk in de scanner log, dan zie je een rood getalletje staan alstie iets gevonden heeft. Op dubbelklikken en je ziet de complete log + pad waar virus stond.

Jammer dat het je niet verder geholpen heeft.
Ik weet het verder ook niet.
Wat ik nog zou doen is hitmanpro draaien in veilige modus (installeren op andere computer, alle updates downloaden en dan de map kopieren naar deze computer, zie handleiding op hitmanpro.nl).

donderdag 8 september 2005 11:45

Acties:

bye bye c'est fini

Topicstarter

frickY schreef op donderdag 08 september 2005 @ 09:56:
Ik denk dat je eerder richting een rootkit moet gaan denken dan naar een trojan.

Of is je DNS server niet aangepast ((of je hosts-file (C:\windows\system32\drivers\etc\hosts)) waardoor je diverse updates en sites niet meer kunt binnenhalen?

Ik heb/had een server draaien inderdaad, maar die heb ik offline gegooid. hij hangt wel aan mijn netwerk thuis maar die staat dus uit. Dit is niet het systeem dat geinfecteerd is. Vanavond even het netwerk op rootkits scannen, bedankt voor de tip!! Verder fungeerde de server puur als interne fileserver zonder dns, heeft een paar dagen als ftp server met filezilla server gewerkt...

donderdag 8 september 2005 11:49

Acties:

bye bye c'est fini

Topicstarter

Get!em schreef op donderdag 08 september 2005 @ 10:13:
[...]

Ehm, je hebt em dan toch wel gelijk op delete of quarantine gedrukt? Dan haaltie em weg. (dus nooit op leave drukken. in plaats daarvan op quarantine en venster sluiten) In de logs van nod32 kun je alle gevonden virussen vinden.
Kijk in de scanner log, dan zie je een rood getalletje staan alstie iets gevonden heeft. Op dubbelklikken en je ziet de complete log + pad waar virus stond.

Jammer dat het je niet verder geholpen heeft.
Ik weet het verder ook niet.
Wat ik nog zou doen is hitmanpro draaien in veilige modus (installeren op andere computer, alle updates downloaden en dan de map kopieren naar deze computer, zie handleiding op hitmanpro.nl).

Ik kreeg alleen de optie Leave, dus kon niks deleten cq in qarantaine stoppen... ik zal in de log kijken of ik het desbetreffende pad kan traceren, thanks! Hitmanpro was een van de applicaties die geen updates kon binnenhalenn... heb em wel laten scannen maar vond geen geweldige spyware... enkel wat registervermeldingen die niet echt extreem schadelijk zijn... bedankt voor je hulp en moeite!

donderdag 8 september 2005 11:58

Acties:

bye bye c'est fini

Topicstarter

Oh ja Nod32 gaf ook een waslijst met files/mappen waar ie niet in kon omdat de toegang geweigerd werd/is.
In totaal ging het om zo'n 80 a 100 vermeldingen... ik kan me voorstellen dat applicaties van S&D en adaware enzo een scanner niet zomaar toelaten tot hun qaraintainemappen? Maar mappen van windows zelf moet ie toch wel binnen kunnen komen? Met name Windows mappen werden de toegang geweigerd... 'password protected' gaf ie aan...

donderdag 8 september 2005 15:49

Acties:

Verwijderd

Ik denk dat dit toch wel wat meer is dan een virusje. Plaats toch eens een HijackThis log, ondanks dat het updaten niet lukt. Misschien vinden wij wel iets vreemds. En het lijkt er wel op dat je systeem soms bezocht wordt door een hacker of iets dergelijks.

donderdag 8 september 2005 17:32

Acties:

bye bye c'est fini

Topicstarter

ik zal vanavond nog een keer naar de log kijken en eventueel plaatsen...

nogal een onbehagen gevoel bij windows; ik denk dat ik ook voor alleen het internetten maar een linux erop ga zetten, ik begin al die updates en scans nu toch wel een beetje spuugzat aan het vinden...
je bent met windows niet echt met je hobby - het computeren - bezig. Ook al ben je strikt met updates en scans en firewalls etc... windows blijft een open deur!

donderdag 8 september 2005 20:02

Acties:

bye bye c'est fini

Topicstarter

De log van NOD32 geeft helaas alleen vermeldingen van de programma's die het programma niet kon openen/scannen... aan het eind van de log geeft ie wel weer dat ie wat gevonden heeft, maar wat ie met de trojans gedaan heeft is zeer onduidelijk... denk gewoon laten staan dus... je moet zeker het programma eerst kopen voordat je wat kunt verwijderen?

donderdag 8 september 2005 22:46

Acties:

Oh die ja!

je zou in de scannerlog van nod32 iig de locatie vinden van de threat vinden. ( alle gelockte bestanden zijn blauw of bruin, en de threats zijn rood) Omdat sommige bestanden inderdaad als threat aangemerkt worden maar niet in de definities staan, kan nod32 ze soms niet verwijderen en moet je het zelf doen of in veilige modus. Log geeft dan de volgende tekst weer: blabla.exe - a variant of blabla virus. of probably a variant of In dat geval herkent ie ze wel, maar kent ie ze niet. Dus dan kan ie em niet cleanen. De trial versie werkt netzo als de gewone versie.

Wat betreft hitmanpro: updates downloaden op een andere computer, en dan de map updates overzetten, zie http://www.nucia.nl/forum/showthread.php?t=2778

Verder is het een erg naar probleem wat je hebt. Kan het ook een virus zijn via msn messenger? De symptomen lijken namelijk er wel op, tenminste zoals ik dat heb gezien op een andere computer hier.
Host file resetten? Verder zou ik toch eens de virusscanner en hitman in veilige modus draaien ipv VM. Kijk eens of dat ook helpt/ werkt.

suc7

donderdag 8 september 2005 23:16

Acties:

bye bye c'est fini

Topicstarter

Hier de log dan toch voor de zekerheid...

code:

Logfile of HijackThis v1.99.1
Scan saved at 11:11:22 PM, on 9/8/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\oodag.exe
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\MSI\Live Update 3\LMonitor.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\MSI\DigiCell\DigiCell.exe
C:\Program Files\IMsecure\IMsecure.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
F:\Program Files\gcasDtServ.exe
F:\Program Files\gcasServ.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [gcasServ] "F:\Program Files\gcasServ.exe"
O4 - Startup: IMsecure.lnk = C:\Program Files\IMsecure\IMsecure.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: DigiCell.lnk = C:\Program Files\MSI\DigiCell\DigiCell.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15012/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15012/CTPID.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

[ Voor 3% gewijzigd door XunFar op 08-09-2005 23:19 ]

donderdag 8 september 2005 23:25

Acties:

bye bye c'est fini

Topicstarter

Get!em schreef op donderdag 08 september 2005 @ 22:46:
je zou in de scannerlog van nod32 iig de locatie vinden van de threat vinden. ( alle gelockte bestanden zijn blauw of bruin, en de threats zijn rood) Omdat sommige bestanden inderdaad als threat aangemerkt worden maar niet in de definities staan, kan nod32 ze soms niet verwijderen en moet je het zelf doen of in veilige modus. Log geeft dan de volgende tekst weer: blabla.exe - a variant of blabla virus. of probably a variant of In dat geval herkent ie ze wel, maar kent ie ze niet. Dus dan kan ie em niet cleanen. De trial versie werkt netzo als de gewone versie.

Wat betreft hitmanpro: updates downloaden op een andere computer, en dan de map updates overzetten, zie http://www.nucia.nl/forum/showthread.php?t=2778

Verder is het een erg naar probleem wat je hebt. Kan het ook een virus zijn via msn messenger? De symptomen lijken namelijk er wel op, tenminste zoals ik dat heb gezien op een andere computer hier.
Host file resetten? Verder zou ik toch eens de virusscanner en hitman in veilige modus draaien ipv VM. Kijk eens of dat ook helpt/ werkt.

suc7

Ja, in die log heb ik zitten kijken; maar het pad naar de threats geeft ie niet weer in de log, sterker nog, die hele melding staat er niet, dus dat ie iets gevonden heeft... terwijl ie dat aan het eind van de log weer wel doet, alleen staat daar het aantal threads wat ie gevonden heeft...das nou juist het vreemde...
Hitmanpro draait nu weer wel en haalt de updates op, ook in veilige modus gedraaid; geen spyware gevonden...

donderdag 8 september 2005 23:28

Acties:

bye bye c'est fini

Topicstarter

Nu heb ik weer wat ontdekt:

F:\Program Files\gcasDtServ.exe
F:\Program Files\gcasServ.exe

Deze zijn van de anti-spyware tool van MS, enkel klopt die partitie niet... deze stond gewoon op C:
Nu zie ik dat ie verplaatst is naar de F: ?

zaterdag 10 september 2005 17:40

Acties:

Oh die ja!

ik heb je hijackthis log bekeken maar niks kunnen ontdekken.

ik kan je helaas niet verder helpen.
ik kan je verder aanraden om minder services te draaien op achtergrond (ik zie veel anti spy en ad- ware programmas draaien, dit kost veel resources) en een backup programma te draaien of bijvoorbeeld Norton GoBack. Hangt natuurlijk wel af van je eigen keuzes, maar dit zouden mijn keuzes zijn.

suc7 verder.

zaterdag 10 september 2005 17:48

Acties:

Verwijderd

maak anders ook ff een nieuw windows gebruiks account aan, weet niet of het je helpt
maar je kan het wellicht proberen

zondag 11 september 2005 20:22

Acties:

bye bye c'est fini

Topicstarter

Get!em schreef op zaterdag 10 september 2005 @ 17:40:
ik heb je hijackthis log bekeken maar niks kunnen ontdekken.

ik kan je helaas niet verder helpen.
ik kan je verder aanraden om minder services te draaien op achtergrond (ik zie veel anti spy en ad- ware programmas draaien, dit kost veel resources) en een backup programma te draaien of bijvoorbeeld Norton GoBack. Hangt natuurlijk wel af van je eigen keuzes, maar dit zouden mijn keuzes zijn.

suc7 verder.

Normaliter draaien deze services ook niet op de achtregrond; het is even vanwege de hoge 'dreiging'

Voor het internet gebruik ik een ander account met beperkte rechten... zoals er vaak wordt aangeraden.

Ik heb ook ghost draaien, de backup overgezet naar een andere pc en daar geeft ie geen problemen verder, mcafee daarop draaien en die geen geen meldingen...

Bedankt!

zondag 11 september 2005 20:23

Acties:

bye bye c'est fini

Topicstarter

Verwijderd schreef op zaterdag 10 september 2005 @ 17:48:
maak anders ook ff een nieuw windows gebruiks account aan, weet niet of het je helpt
maar je kan het wellicht proberen

Same problem...

zondag 11 september 2005 21:20

Acties:

http://virusscan.jotti.org/ dump hier de verdachte bestanden eens...
Op kaspersky.com staat tegen wordig ook een voledige online scanner. test deze eens

Grutte Pier fansels

maandag 12 september 2005 12:11

Acties:

bye bye c'est fini

Topicstarter

hessel schreef op zondag 11 september 2005 @ 21:20:
http://virusscan.jotti.org/ dump hier de verdachte bestanden eens...
Op kaspersky.com staat tegen wordig ook een voledige online scanner. test deze eens

Handige site vooral als je weet welke file geinfecteerd is, maar in mijn geval weet ik dat dus niet.
Ik heb wel wat rare bestanden geupload maar daar vond ie niks op... wederom staan scannen gisteravond, hitman pro vond wat verdachts, vroeg om een reboot vanwege een infectie en liet het weer afweten bij de startup scan. uiteindelijk in veilige modus opnieuw laten scannen, daar gaf ie geen meldingen. virusscanners in veilige modus gedaan en ook niks gevonden weer

Nu is de melding ook overgegaan op andere programma's, als ik San Andreas open, krijg ik nu ook een melding dat er een inbraak poging is geblokkeerd, hetzelfde nu ook met video-beelden... ik zie ook allemaal rare bestanden met aan het eind .avi in de naam. het zijn geen filpmjes want ze zijn niet af te spelen, deze keine bestandjes geupload naar bovengenoemde scansite maar die kon er niks verdachts in vinden...

maandag 12 september 2005 16:25

Acties:

Oh die ja!

Ik heb ook ghost draaien, de backup overgezet naar een andere pc en daar geeft ie geen problemen verder,

Als het op die andere computer geen problemen geeft, dan een andere aanpak van analyse:

Probeer je profiel van de firewall op te slaan en daarna met een schone lei te beginnen. Controleer elk programma dat naar buiten wil of naar binnen. Ook versie nummers, en andere checks!.
Of deactiveer deze firewall en installeer een andere bijvoorbeeld. Sygate Personal is een van de betere firewalls, is ook een 30 dagen trial van.

Om inkomend verkeer te misleiden in je NAT inkomende verbindingen doorverwijzen naar een niet bestaand IP in je netwerk.

maandag 12 september 2005 20:17

Acties:

bye bye c'est fini

Topicstarter

Oke, ik krijg nu een melding dat Windows Explorer naar het internet wil en het adres is 23.255.255.250 poort 1900 om het vervolgens via localhost en 127.0.0.1 te proberen via andere poorten... deze regels voor explorer.exe stonden al in de firewall alszijnde geblokkeerd...

dinsdag 13 september 2005 10:49

Acties:

bye bye c'est fini

Topicstarter

Zal dit de boosdoener zijn?

http://securityresponse.s...32.hllw.lovgate.h@mm.html

vanavond met deze tool scannen...

dinsdag 13 september 2005 11:14

Acties:

bye bye c'est fini

Topicstarter

Get!em schreef op maandag 12 september 2005 @ 16:25:
[...]

Als het op die andere computer geen problemen geeft, dan een andere aanpak van analyse:

Probeer je profiel van de firewall op te slaan en daarna met een schone lei te beginnen. Controleer elk programma dat naar buiten wil of naar binnen. Ook versie nummers, en andere checks!.
Of deactiveer deze firewall en installeer een andere bijvoorbeeld. Sygate Personal is een van de betere firewalls, is ook een 30 dagen trial van.

Om inkomend verkeer te misleiden in je NAT inkomende verbindingen doorverwijzen naar een niet bestaand IP in je netwerk.

Ik heb je tips opgevolgd, kerio gereset en alle programmas die op de c en f partitie staan opgestart en gekeken wie en wat ze op het internet willen. vrijwel alle programmas op de f partitie wilden het internet op of met een bepaald virtueel medium contact leggen. alles laten blokkeren (das nou de kracht van kerio). uitkomst: explorer.exe cracht nog steeds bij het aanspreken van f en kerio komt weer met een melding dat er een inbraakpoging is gedetecteerd.

Syagte geinstalleerd en het bleef lange tijd stil. f partitie aangesproken en explorer.exe crasht maar geen kick van sygate.

Mcafee firewall erop gegooid, begint te zeuren over kerio dat deze niet geheel was gedeinstalleerd (backup kerio); deed voor de rest helemaal niks, alle poorten stonden wagenwijd open... explorer.exe crasht alweer en wordt afgesloten en gereboot...

Alle hiervoor genoemde open poorten toegewezen aan niet bestaande interne ip-adressen in NAT... (goeie tip

) afwachten... [explorere.exe cracht nog steeds]

als ik de c partitie met windows formateer, ben ik dan ook de andere partities kwijt? nee toch, je kan toch wel een partitie aanwijzen waar ie zich moet gaan nestelen? ik ben als de dood dat ik alles op de overige partities kwijtraak als ik c ga formateren, mijn eigen site staat erop en de foto's van de kleine vanaf geboorte

dinsdag 13 september 2005 12:05

Acties:

Oh die ja!

zo te horen zijn veel progs geinfecteerd en is het idd beter om te formatteren. Bij mijn weten en ervaring gaat de partitie indeling niet verloren als je alleen c formatteerd. Maar ik durf daar niet in alle 100% zeker van te zijn. Aangezien meerdere partities geinfecteerd zijn, zou ik de nodige data backuppen ( en dus niet de programmas) en gewoon alles leeg gooien.

Is dit leeggooien nog een probleem, dan kan je eventueel als tussen oplossing windows repair doen, via booten van je windows schijf of repair disk van je windows/computer leverancier. Dit kan eventueel verlichting geven.

dinsdag 13 september 2005 13:22

Acties:

bye bye c'est fini

Topicstarter

Oke dan zit er niks anders op dan c en f te formatteren en hopen dat de backup geen infecties kent...
<wordt vervolgd>

dinsdag 13 september 2005 13:47

Acties:

Ondertitel

taXoudanT, zou je misschien gebruik willen maken van de Afbeeldingslocatie: http://gathering.tweakers.net/global/templates/tweakers/images/icons/edit.gif

Afbeeldingslocatie: http://gathering.tweakers.net/global/templates/tweakers/images/icons/edit.gif

-knop als je de laatste bent die binnen 24 uur gereageerd heeft? Het staat anders zo kickerig

Signature

dinsdag 13 september 2005 20:56

Acties:

bye bye c'est fini

Topicstarter

Partition Magic rules, the problem has been solved! f opnieuw geformateerd en klaar... geen nieuwe install van windows nodig blijkbaar...

offtopic:
Ah pasta, oke ik zie het en ik begrijp het, om een reactie te plaatsen op andere posters zal ik voortaan dan maar in het ST een reactie geven, ook zal ik voortaan afblijven van de kicktabletten voordat ik hier ga reageren

maandag 30 oktober 2006 14:30

Acties:

Verwijderd

volgens mij moet je de instellingen controleren van je Kerio firewall of aan de desbetreffende helpdesk schrijven
deze reactie komt wel wat laat, maar ik ben opzoek naar dezelfde foutmelding nadat ik IE7 heb geinstalleerd.
ps deze vraag heb ik gemaild maar nog geen reactie kregen van de Kerio-helpdesk
Wil

maandag 30 oktober 2006 14:49

Acties:

Verwijderd

sorry ik han niet gezien dat je al een oplossing had gevonden
maar op
http://www.nucia.nl/forum/showthread.php?t=17462

staat hoe de instellingen van Kerio voor inbraak poging aangepast kunnen worden
via inbraken naar HIPS en aldaar in codeinjection de bewuste IE regel invoeren

Pagina: 1

Reageer