[winmedia.exe] backdoor?

Hallo,
Mijn situatie: hardware firewall in modem, software firewall van sygate, alleen netwerk adressen worden toegelaten alsmede MAC adressen.
Uiteraard is de zwakke plek dat je wel wilt mailen en browsen, dus vooruit, xs4all IP waar ik op zit zelf mag ook in en uit paketten sturen :-)

Normaal start ik op met 1 account op win xp home, hoef geen password in te vullen, windows rent dus in 1 keer door naar bureau blad.

Nu was de laatste tijd om de haverklap winmedia.exe actief en de sygate firewall was dan weg, afgesloten, niet actief, niet resident.

Een uurtje terug had ik ineens een opstart met 2 namen, ipv gewoon doorstarten in win xp home. 1 er van was de normaal niet zichtbare : Admin account.

Gelijk heb ik alle passwords veranderd in de modem, firewall en win account.

Hackers IP adres is: 84.61.75.67

ik heb alle updates van win xp home, dat gaat automatisch.
McAfee AV scan en MS spyware + S&D vonden niets.

[ Voor 15% gewijzigd door notsonewbie op 04-03-2006 15:19 ]

pasta schreef op zaterdag 04 maart 2006 @ 16:20:
[...]

Euh, hij zegt niet dat ie niet gezocht heeft, dat hoeft verder niet te betekenen dat ie het wel gedaan heeft. Zou je in het vervolg zulke opmerkingen achterwege willen laten?

Maar inderdaad, [google=winmedia.exe] geeft als eerste link al aan dat het een mogelijke Rbot variant zou zijn, namelijk Rbot.BDO aldus Zone Labs.

Scan het bestand eens op Jotti's online malware scan om te kijken wat andere AV's er van zeggen. Vervolgens kan je 1 van deze AV's gebruiken om het bestand te ontsmetten (mits het malware gerelateerd is)

Bedankt voor de links.
Ik ging er foutief van uit dat winmedia iets met de bestanden van windows zelf van doen had.
Hij zit in de windows root en dan onder /help verborgen, maar zichtbaar vanwege 'view hidden files' settings m.b.t. de mappen.
Verwijderen gaat niet, de online scan site server is 100% belast.
Ik zal nu dus in veilige modus starten met F8 en kijken of ie dan wel gedelte kan worden.
Ook is er een winmedia_reste file, die zal ik re-namen.
Uiteindelijk effect meld ik hier weer, bedankt zo ver.

Bor de Wollef schreef op zaterdag 04 maart 2006 @ 17:04: En op basis van welke informatie weet jij het ip adres van de hacker? Grote kans dat dat ook gewoon een gehacked doosje is als die van jou.

Het was dus al 3 dagen aan de gang... )(@*$_)@%$
In de log echter EN de laatste keer dat ik wist dat winmedia dus niet standaard windows is, zag ik dat bij elke winmedia connectie dat IP adres.
Dat ook dit een onwetende gebruiker is...? ja dat zal ook wel kunnen dan denk ik.

Er is overigens maar 1 goede recovery van een hack: complete reinstall van het systeem. Je mag namelijk verwachten dat een (goede) (h)cracker ook zaken heeft aangepast die niet zo in het oog springen en welke je dus mogelijk niet zult vinden.

Ik heb het register van 5 dagen terug er in gezet. de oudste winmedia melding is 4 dagen oud.

Verder wel de vreemde eer gehad een versie op de pc te hebben die mcafee en 2 spybot software paketjes niet zagen.

Inmiddels:
In veilige modus heb ik uit de windows dri /help winmedia en andere winmedia bestanden (zoals winmedia_reset.exe) kunnen verwijderen. pfweeeew

En het mooie van verbindings icoon in start balk, alsmede de visuele uiting van sygate firewall, kan je zien of er data heen en weer gaat en welke module dat doet, zo zag ik dus en controleerde dat IP nummer. Alleen dat nummer klooide met winmedia en na een bezoekje van die heb ik nu een opstart-stop met -2- ipv 1 naam zoals voorheen.

Nu ja het ljikt opgelost, bedankt allemaa!