[Trojan]Spyware Striker (automatische installatie) - Privacy en beveiliging

donderdag 26 januari 2006 17:58

Acties:

Topicstarter

Ik heb afgelopen week veel last gehad van Spyware Strike, een trojan die zich voordoet als anti-spyware programma.
Toen het gezeur begon vertrouwde ik het al niet, want ik had niets geinstalleerd. Het programma bleek met wat moeite te verwijderen te zijn. De meeste anti-spyware programma's konden het verwijderen.

Echter bleef het zichzelf installeren. Na elke schoonmaakactie, zelfs in veilige modus, kwam er een icoontje in de systray terug en gaf de volgende melding:
Afbeeldingslocatie: http://stuff.juriansluiman.nl/1.jpg

Afbeeldingslocatie: http://stuff.juriansluiman.nl/1.jpg

Zoals je ziet is het icoontje van windows-update.
Naast dat FF langer duurde om op te starten, andere programma's trager werden is de melding ook irritant. Elke actieve spyware scanner merkte ook dat om de zoveel tijd er automatisch weer geprobeerd werd Spyware Strike te installeren.

Antivirus&spyware programma's
Wat ik geprobeerd heb:

Spybot S&D
Microsoft Anti spyware
Ewido
Kaspersky AV
Ad-ware 6
Spyware Doctor
XsoftSpy

Mijn HijackThis logfile
Mijn HJthis log ziet er dan als volgt uit:

code:

Logfile of HijackThis v1.99.1
Scan saved at 17:35:46, on 26-1-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\Acrobat.exe
C:\DOCUME~1\Jurian\LOCALS~1\Temp\Adobelm_Cleanup.0001
C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOCUME~1\Jurian\LOCALS~1\Temp\Adobelm_Cleanup.0001
C:\Program Files\Trillian\trillian.exe
C:\Documents and Settings\Jurian\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.nl/
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WhatPulse] C:\Program Files\WhatPulse\WhatPulse.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [SunTray] C:\Program Files\Mozilla Sunbird\SunTray.exe
O4 - HKCU\..\Run: [ThunTray] C:\Program Files\Mozilla Thunderbird\thunTray.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132492858999
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1132496182765
O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\Program Files\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Program Files\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mysql - Unknown owner - C:\Program Files\xampp\mysql\bin\mysqld-nt.exe" "--defaults-file=C:\Program Files\xampp\mysql\bin\my.cnf" mysql (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

Manueel verwijderen
Er blijkt niet heel veel te vinden zijn (ook op GoT niet), maar hier wordt beschreven wat je weg moet gooien. Dit heb ik gedaan (tenminste, van de registrykeys die bestonden, niet alles stond in mijn registry), maar werkte dus ook niet

Elk spyware programma vind dus wel Spyware Strike, maar kan dat windows-update ding niet wegkrijgen. Het vreemdste is, is dat ook in safe-mode dit terugkomt.
Ik heb geen idee hoe ik dit kan verwijderen. Een verse installatie is natuurlijk wel mogelijk, maar liever niet.

Dus: hoe krijg ik dit weg? Weet iemand dit? Ik heb natuurlijk wel een backup schijf en kan de hele zooi weer installeren. Maar ik heb natuurlijk liever mijn huidige windows installatie zonder virus/spyware.
_{Het maakt het nog extra leuk dat dit dus mijn eerste virus op win xp is, en dat draai ik nu al een jaar}

[ Voor 3% gewijzigd door mithras op 26-01-2006 21:59 ]

donderdag 26 januari 2006 18:02

Acties:

P5ycho

http://www.geekstogo.com/forum/index.php?showtopic=91482

12x 280Wp ZW, 12x 280Wp ZO, Zubadan SHW80YAA 8kW, Zehnder Q450 ERV

donderdag 26 januari 2006 18:27

Acties:

usgaap

offtopic:
Hulde voor de duidelijke startpost

Ik zie dat je Ewido al hebt geinstalleerd. Er is dus duidelijk iets wat bij het opstarten van Windows blijft terugkeren. Wellicht kun je met Process Explorer zien welke processen dat zijn (DLL-tjes). Dat zou dus gezien jouw verhaal ook in "Safe Mode" gebeuren. Probeer die services te stoppen en daarna te deleten tesamen met eventuele bestanden in C:\Program Files oid.

Er zou in jouw register eigenlijk wel een verwijzing moeten staan naar deze services aangezien ze terugkomen bij het opstarten. Zoiets als dit:

O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system32\irr6l59s1.dll
O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll

Dit zijn voorbeelden van malafide DLL-tjes die zichzelf blijven hernoemen bij het verwijderen. Probeer te kijken of je dit soort services kan vinden en deleten. Hopelijk lukt het je.

Helaas staat er imo niets raars in je HijackThis post.

[ Voor 4% gewijzigd door usgaap op 26-01-2006 18:28 ]

donderdag 26 januari 2006 18:30

Acties:

Sassie

Zie anders ook deze topics:
[rml][ XP] Spywarestrike kan niet verwijderd worden[/rml]
Virusmelding, Wat te doen?

Misschien handig om eerst even de instructies die P5ycho linkte uit te voeren en daarna evt nog een hijackthis-log ter controle. Probeer iig smitrem eens.

donderdag 26 januari 2006 21:15

Acties:

mithras

Topicstarter

ik heb dus alleen gezocht op GoT naar 'Spyware strike' en krijg dingen over lag in CounterStrike. Heb nooit gezocht naar 'SpywareStrike' als een woord

. In ieder geval heeft misschien toch iets geholpen. Ik ben nu bezig met een Panda-scan, die had ik nog niet geprobeerd. Echter zie ik nu al dat icoontje niet meer, en ook de melding is weg, evenals het installatieproces van Spyware Strike. Waarschijnlijk is het dan toch gelukt via de methode die P5ycho aangaf.

Heel erg bedankt

offtopic:
@ usgaap1976: ja, ik heb een hekel aan mensen die niet duidelijk zijn in hun TS. Daarom probeer ik het altijd zo duidelijk & volledig mogelijk weer te geven. Iets waarvan ik vind dat elke GoT'ter wel mag doen, sommige topics te zien

(absoluut niet direct bedoeld hoor)

donderdag 26 januari 2006 21:58

Acties:

mithras

Topicstarter

Dan heb ik eigenlijk verder nog een vraag over een actief anti-spyware programma. Voor virussen gebruik ik nu Kaspersky, en dat bevalt zeker goed. Echter heeft Spybot naar ik weet geen functie om op de achtergrond rustig te draaien en een melding geven wanneer dat nodig is.

Op dit moment heb ik nog Microsoft Antispyware (beta) aanstaan én Ewido. Echter wil ik graag naar een scanner. Welke is aan te bevelen? Microsoft gaf wel vaak goede meldingen toen SpywareStrike zich wilde installeren. Echter lijkt Ewido meer te vinden. Zijn er anderen die zeker zo goed zijn en minder aan performance nodig hebben?

pasta schreef op donderdag 26 januari 2006 @ 23:16:

offtopic:
Mithras86, zou je in het vervolg gebruik willen maken van de [afbeelding]-knop als je de laatste bent die gereageerd heeft binnen 24 uur, het staat anders zo kickerig.

Hoe dan ook, Kaspersky heeft AFAIK toch een behoorlijk goede Trojan detectie. Check je real-time scan settings eens. Ook kun je extended bases aanzetten.

/edit: sorry pasta, won't happen again

En ik heb idd gelijk vanaf het begin dat ik KAV gebruikte de extended database gebruikt, vond dat wel zo veilig

[ Voor 38% gewijzigd door mithras op 27-01-2006 08:19 ]

donderdag 26 januari 2006 22:24

Acties:

usgaap

Volgens mij heeft Spybot wel zo'n "op de achtergrond draaiend" programma, Teatimer.

Maar het geniet niet mijn voorkeur, Microsoft Antispyware en ZoneAlarm genieten mijn voorkeur. ZoneAlarm gebruikt ongeveer 18 Mb aan geheugen maar dat is inclusief Firewall, virusscanner en Spamfilter

donderdag 26 januari 2006 23:16

Acties:

pasta

Ondertitel

offtopic:
Mithras86, zou je in het vervolg gebruik willen maken van de Afbeeldingslocatie: http://gathering.tweakers.net/global/templates/tweakers/images/icons/edit.gif

Afbeeldingslocatie: http://gathering.tweakers.net/global/templates/tweakers/images/icons/edit.gif

-knop als je de laatste bent die gereageerd heeft binnen 24 uur, het staat anders zo kickerig.

Hoe dan ook, Kaspersky heeft AFAIK toch een behoorlijk goede Trojan detectie. Check je real-time scan settings eens. Ook kun je extended bases aanzetten.

Signature

vrijdag 27 januari 2006 06:56

Acties:

JeroenNietDoen

Ik ben gisteravond gepakt door hetzelfde stukkie Spyware. Er werd direct een programma geinstalleerd genaamd Spysherrif die dezelfde systray meldingen gaf als hierboven.

Tevens knalde hij er 16 virussen op en hielp hij mijn WinXP Prof zodanig om zeep dat ik taskmanager niet meer kon starten etc.

Na veilige modus te draaien en Norton 2006 te laten scannen was alles verwijderd. Echter keyapps van Windows waren gewoon onklaar gemaakt.

Ik ben maar gewoon gaan formatteren en ben zojuist klaar met de installatie.

vrijdag 27 januari 2006 06:58

Acties:

Verwijderd

Het gaat om de WMF exploit waarop deze troep geinstalleerd wordt.

Zoeken naar WMF patch.

_{maar dat was al bekend}

vrijdag 27 januari 2006 12:56

Acties:

pasta

Ondertitel

Verwijderd schreef op vrijdag 27 januari 2006 @ 06:58:
Het gaat om de WMF exploit waarop deze troep geinstalleerd wordt.

Zoeken naar WMF patch.

_{maar dat was al bekend}

Die malware was er al voor de WMF-exploit bekend wordt. De exploit bood alleen een nieuwe manier om spywaresherrif / spysherrif te verspreiden.

Signature

Pagina: 1

Reageer