Spyware blokkeert Firewall, enz - Privacy en beveiliging

dinsdag 7 maart 2006 11:58

Acties:

Verwijderd

Topicstarter

Ik heb heel ongehoord een crack gedownload waarbij tevens allemaal spyware, malware, en virussen werden losgelaten. De crack werkt. Maar de rest doet ook zijn best

Vol geautomatiseerd startte het ene proces het andere op.

Wat heb ik zelf al gedaan?
Ik heb zo snel mogelijk geprobeerd om bepaalde processen (in mijn system tray etc) te stoppen. Daarna ging de pc vanzelf uit. Ik voelde aan dat het een geforceerde herstart was. Dus heb ik hem naar de veilige modus verwezen. Daar zoveel mogelijk verdachte bestanden die rond dat tijdstip geinstalleerd waren verwijderd.

Belangrijke bestanden waren:
paytime.exe
spysherif
archi.exe
notepad.exe
mousepad.exe

Tevens heb ik een aantal dingen uit het regeister verwijderd (vooral bij currentverion\run\ stonden wat verwijzingen). Daarna heb ik de pc weer opgestart en ben ik anti spyware programma's gaan downloaden en laten draaien. Onder andere:

smitrem
Spybot Search & Destroy
Ewido Anti-malware 3.5

Ewido haalde voor mij een hoop dingen naar voren.
Zo was het bestand 'C:\windows\system32\archi.exe' elke keer geladen. Het bestand was ook moeilijk te verwijderen (ook in veilige modus eerst niet). Maar later is dit wel weer gelukt (met Ewido). Ewido geeft tevens aan dat het geinfecteerd is met Dropper.Smal.alp (Risk=High).

Andere bestanden
C:\windows\system32\pptp16.dll (Backdoor.Haxdoor.gz)
C:\windows'system32\qz.dll (Backdoor.Haxdoor.gz)
C:\windows'system32\__delete_on_reboot__archi.dll (Downloader.Small.chs)
C:\windows'system32\__delete_on_reboot__archi.dll (Dropper.Small.alp

Inmiddels zijn deze bestanden verwijderd.

Problemen
1) Bij het opstarten meld hij dat hij het bestand archi.exe niet kan vinden. (die heb ik natuurlijk verwijderd). Nu ben ik op zoek naar waar het bestand wordt aangeroepen.
Ewido zegt:
archi.exe <|> File\SystemIni\ <|> explorer.exe C:\windows32\archi.exe
Maar het enige dat in de c:\windows\system.ini staat is:

; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app850.FON
EGA80WOA.FON=EGA80850.FON
EGA40WOA.FON=EGA40850.FON
CGA80WOA.FON=CGA80850.FON
CGA40WOA.FON=CGA40850.FON

Waar kan ik de verwijzing dan wél vinden en verwijderen?!

2) Als in configuratiescherm 'Windows Firewall' wilt benaderen krijg ik de melding: "De instellingen van Windows Firewall kunnen vanwege een onbekend probleem niet worden weergegeven." En dan kom ik niet verder. Ik verwacht dat mijn Firewall uitgezet is om zo trojans een open deur te bieden. Maar ik wil hem nu echt wel weer eens activeren.
Hoe kom ik weer in mijn firewall instellingen? Desnoods geforceerd

3) We hebben een multi-user xp systeem. Maar op dit moment kan er maar één persoon nog ingelogd zijn op het systeem. Pas als de ingelogde afmeld, dan kan een ander inloggen.

Waar zit dat probleem, en hoe kan dat opgelost worden?

dinsdag 7 maart 2006 11:59

Acties:

Verwijderd

Topicstarter

HijackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 11:53:53, on 7-3-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\temper\xampplite\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\RaboCommSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HHVcdV5Sys\VC5SecS.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Sitecom\Bluetooth Software\BTTray.exe
C:\Program Files\DC++\DCPlusPlus.exe
C:\WINDOWS\system32\notepad.exe
D:\Documents and Settings\Emile\Bureaublad\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\archi.exe
O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll
O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCaptureBho Object - {7c1ce531-09e9-4fc5-9803-1c2956615786} - C:\Program Files\Google\Google Desktop Search\GoogleDesktopIE.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Bureaublad weergeven.scf
O4 - Startup: Microsoft Outlook.reg.lnk = C:\WINDOWS\regedit.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.macromedia.com
O15 - Trusted Zone: *.patrickdsp.com
O15 - Trusted Zone: *.swirve.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec....ontent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec....tent/common/bin/cabsa.cab
O16 - DPF: {689ff870-2ac0-11d5-b634-00c04faedb18} -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.c...eb_site.cab?1128017477000
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.co...an/2,1,0,4708/mcfscan.cab
O20 - Winlogon Notify: nclabydll - nclabydll.dll (file missing)
O20 - Winlogon Notify: PCANotify - PCANotify.dll (file missing)
O20 - Winlogon Notify: pptp16 - pptp16.dll (file missing)
O21 - SSODL: SysTray.Exgl - {636821FC-6F5C-2f1b-B164-E67214F678E2} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: mysql - Unknown owner - C:\temper\xampplite\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Rabo Comm Server (Srv_RaboComm) - Rabobank Nederland - C:\WINDOWS\system32\RaboCommSrv.exe
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Program Files\HHVcdV5Sys\VC5SecS.exe

dinsdag 7 maart 2006 12:03

Acties:

GH45T

Start op in veilige modus met netwerkondersteuning, laat je virusscanner an antispyware programma updaten en schakel je firewall weer in, als het niet grafisch kan dan start je de firewall service weer, ik weet alleen niet 100% zeker of je firewall dan staat ingeschakeld.

Scan je pc op virussen spyware met deugdelijke programma's, ga niet zomaar wat executables deleten.

dinsdag 7 maart 2006 12:06

Acties:

smvs

C:\WINDOWS\system32\notepad.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\archi.exe

Bovenstaande lijken me niet gezond.

Deze vind ik ook dubieus:
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll

dinsdag 7 maart 2006 12:07

Acties:

Verwijderd

Spysherrif
Kreeg ik er helemaal af door hitman pro te draaien, en daarna nog een keer ms antiwspyware.

notepad.exe is je kladblok wat open staat, lijke me vrij ongevaarlijk

Als je googled op arhci.exe, dan zie je bovenaan gelijk een remover staan!!

[ Voor 45% gewijzigd door Verwijderd op 07-03-2006 12:12 ]

dinsdag 7 maart 2006 12:18

Acties:

smvs

Verwijderd schreef op dinsdag 07 maart 2006 @ 12:07:
Spysherrif

Kreeg ik er helemaal af door hitman pro te draaien, en daarna nog een keer ms antiwspyware.
sterkte ermee
notepad.exe is je kladblok wat open staat, lijke me vrij ongevaarlijk

Als je googled op arhci.exe, dan zie je bovenaan gelijk een remover staan!!

Oh ja idd dat zijn openstaande dingen, dan lijkt me notepad ook niet zo gevaarlijk

dinsdag 7 maart 2006 12:36

Acties:

Sassie

Je zou idd Hitmanpro kunnen draaien, houd er echter wel rekening mee dat je zelf geen controle hebt over de ingebedde programma's (je kunt dus zelf niks instellen).
De andere optie is om Ad-aware, Spybot S&D, Spyware Doctor los te draaien (en zelf evt instellingen naar eigen wens aanpassen). Draai van te voren wel even een virusscanner en ruim ook even (al) je tijdelijke bestanden ed op (dat kan bijv met CCleaner).

Volgens mij kun je dit iid allemaal fixen met hijackthis:

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\archi.exe
O16 - DPF: {689ff870-2ac0-11d5-b634-00c04faedb18} -
O20 - Winlogon Notify: nclabydll - nclabydll.dll (file missing)
O20 - Winlogon Notify: PCANotify - PCANotify.dll (file missing)
O20 - Winlogon Notify: pptp16 - pptp16.dll (file missing)
O21 - SSODL: SysTray.Exgl - {636821FC-6F5C-2f1b-B164-E67214F678E2} - (no file)

Wat betreft de O20-entries:
http://castlecops.com/o20list-87.html - hoort PCAnywhere op de PC te staan?
http://castlecops.com/o20list-168.html
(laat die nclabydll.dll en pptp16.dll (als je ze nog kan vinden) eens analyseren op http://virusscan.jotti.org)
Wbt die 021-entry:
http://castlecops.com/o21list-33.html
http://www.spywareinfo.com/~merijn/htlogtutorial.html#o21

En hier zou ik nog eens nader naar kijken als ik jou was:

O4 - Startup: Microsoft Outlook.reg.lnk = C:\WINDOWS\regedit.exe

Vreemde startup-entry, is dit expres door jou zo ingesteld of weet je er niks van af?

O15 - Trusted Zone: *.macromedia.com
O15 - Trusted Zone: *.patrickdsp.com
O15 - Trusted Zone: *.swirve.com

Wat doen die in je trusted zone?

O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts

http://www.spywareinfo.com/~merijn/htlogtutorial.html#o1
Check ook ff je hostsfile, met name op de inhoud of daar niet oa anti-virus sites in 'geblokkeerd' zijn.

dinsdag 7 maart 2006 13:15

Acties:

Verwijderd

Sassie schreef op dinsdag 07 maart 2006 @ 12:36:
Je zou idd Hitmanpro kunnen draaien, houd er echter wel rekening mee dat je zelf geen controle hebt over de ingebedde programma's (je kunt dus zelf niks instellen).
[...]

Ik vindt dat juist wel makkelijk, zonder al te veel moeite gooi je er een hele reeks scans overheen, je moet alleen..

dinsdag 7 maart 2006 14:18

Acties:

Verwijderd

Topicstarter

Super! Bedankt voor deze reacties. Ik ga het eens verder uitvogelen. En houdt jullie op de hoogte

Edit: Hieronder heb ik een aantal reacties neergezet op jullie opmerkingen. Ik ben ze allemaal even langsgegaan en heb de dingen uitgevoerd (behalve notepad verwijderd

). Ik kwam nu tegen dat er VirtualBouncer op de pc staat. Daar heb ik intussen zelf 2 programma's voor gevonden die me daar van af gaan helpen. Als die klaar zijn met scanwerkzaamheden, ga ik deze pc eens rebooten

Inmiddels deze entrys gefixed met hijackthis:

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\archi.exe
O16 - DPF: {689ff870-2ac0-11d5-b634-00c04faedb18} -
O20 - Winlogon Notify: nclabydll - nclabydll.dll (file missing)
O20 - Winlogon Notify: PCANotify - PCANotify.dll (file missing)
O20 - Winlogon Notify: pptp16 - pptp16.dll (file missing)
O21 - SSODL: SysTray.Exgl - {636821FC-6F5C-2f1b-B164-E67214F678E2} - (no file)

O15 - Trusted Zone: *.macromedia.com
O15 - Trusted Zone: *.patrickdsp.com
O15 - Trusted Zone: *.swirve.com

Die heb ik zelf als trusted zone ingesteld. Lang geleden en nooit problemen mee gehad. Zeker veilige sites.

O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts

Daarin staat alleen
127.0.0.1 localhost

O4 - Startup: Microsoft Outlook.reg.lnk = C:\WINDOWS\regedit.exe
Vreemde startup-entry, is dit expres door jou zo ingesteld of weet je er niks van af?

Ja, dat is mijn eigen inbreng geweest, om bij het inloggen de standaard emailclient in te stellen.

Windows doet dat bij multi-user niet vanzelf onthouden, dus moest ik ff een registry-entry in iedere persoonlijk startup map zetten

Waarna, het wel kon.

[ Voor 64% gewijzigd door Verwijderd op 07-03-2006 14:49 ]

woensdag 8 maart 2006 10:36

Acties:

Verwijderd

Je kunt ook een online check doen:
http://hijackthis.de/index.php

woensdag 8 maart 2006 12:17

Acties:

Sassie

Verwijderd schreef op woensdag 08 maart 2006 @ 10:36:
Je kunt ook een online check doen:
http://hijackthis.de/index.php

Als je maar wel weet dat je hijackthis.de niet blind moet vertrouwen.
[rml][ HijackThis] analyzer[/rml]
[rml]pasta in "[ malware] Popups openen zich bij openen ..."[/rml]

donderdag 9 maart 2006 10:05

Acties:

Verwijderd

Topicstarter

Hoi mensen, punt 1 is opgelost, maar punt 2 en 3 niet! Na alle opgedragen oplossing uitgevoerd te hebben, denk ik dat deze dingen behoren tot de schade die mijn systeem heeft opgelopen. Weten jullie misschien hoe je deze onderdelen zou kunnen fixen/herinstalleren???

Verwijderd schreef op dinsdag 07 maart 2006 @ 11:58:
2) Als in configuratiescherm 'Windows Firewall' wilt benaderen krijg ik de melding: "De instellingen van Windows Firewall kunnen vanwege een onbekend probleem niet worden weergegeven." En dan kom ik niet verder. Ik verwacht dat mijn Firewall uitgezet is om zo trojans een open deur te bieden. Maar ik wil hem nu echt wel weer eens activeren.
Hoe kom ik weer in mijn firewall instellingen? Desnoods geforceerd

3) We hebben een multi-user xp systeem. Maar op dit moment kan er maar één persoon nog ingelogd zijn op het systeem. Pas als de ingelogde afmeld, dan kan een ander inloggen.

Waar zit dat probleem, en hoe kan dat opgelost worden?

Een ander punt dat ik tegen kwam is:

4) Iedere keer geeft de prullenbak aan dat hij vol is. Als ik naar de bodem van dat ding kijk, zie ik er niets in liggen. Doe ik 'prullenbak legen', dan wilt ie 8 items voor mij verwijderen. Als ik dat doe dan verwijderd hij die, maar de situatie blijft hetzelfde. De prullenbak zegt vol te zijn, maar is leeg, en hij wilt de 8 items weer verwijderen voor mij. (vaag he!

). Als ik zelf iets verwijder dan komt dat helaas ook niet meer in de prullenbak te staan. Hij verwijderd dat dan permanent.

Kan ik windows de prullenbak opnieuw aan laten maken?

donderdag 9 maart 2006 10:55

Acties:

Verwijderd

wat betreft de prullenbak, daarvan kan je de grootte instellen, misschien dat die aangepast is door een van de virussen? Ik dacht bij rechtermuisknop en dan eigenschappen of zoiets.. en dan de grootte aanpassen?

donderdag 9 maart 2006 11:18

Acties:

Verwijderd

Topicstarter

Was dat maar zo simpel

Staat gewoon op 10%.
Ik heb geprobeerd wat te wijzigen, maar dat loste niks op. Andere ideeen?

donderdag 9 maart 2006 11:21

Acties:

Verwijderd

Geen verborgen bestanden of systeembestanden in de prullenbak ?
Weergave ingesteld op het tonen van verborgen bestanden en mappen ?

donderdag 9 maart 2006 11:41

Acties:

Verwijderd

Topicstarter

Case Closed:

Ik heb de systeemherstel optie gebruikt die hier omschreven wordt. Alle problemen zijn opgelost, en Windows loopt weer als een zonnetje