BSOD bij aansluiten N70 --> system32:lzx32.sys

deWit schreef op woensdag 20 december 2006 @ 22:03:
Het probleem:
Het krijgen van BSOD's met de volgende melding:

code:

1	system32:lzx32.sys

Fout, blablabla, je kent het wel.

Nee. Er staat nog meer relevante info bij dan alleen een driver

Bij het opnieuw opstarten ben ik de volgende tegengekomen:

code:

1	Fout in services.exe, statuscode -1073741819

Vervolgens geeft het scherm aan dat de PC afgesloten wordt binnen de minuut door NT AUTHRITY\SYSTEM.

Na nog een paar keer gefrustreerd op reset geramt te hebben, kreeg ik bij het opnieuw opstarten de melding: Windows is hersteld van een ernstige fout. Hierin worden:
szAppName.exe en szModName.exe genoemd. Precieze fout weet ik niet.

Wanner komt dit voor:
Gek genoeg elke keer als ik probeer m'n Nokia N70 te verbinden met m'n USB kabel. Ik gebruik de meest recente versie van Nokia's PC suite. Op het moment dat ik hem erin klik, hoor ik nog het wel bekende "hardware gevonden" deuntje. Vervolgens bevriest m'n scherm en komt er een BSOD aanzeilen. Dit heeft altijd gewerkt.

Tsja, lastig te zeggen, staat er niks in je event log?

Wat heb ik al geprobeerd:
Uiteraard heb ik alle foutmeldingen opgeschreven en door google heen gehaald. De resultaten die ik vind spreken elkaar nogal tegen. Zo word system32:lzx32.sys in verband gebracht met een rootkit. Echter als ik naar de files, of registerkeys op zoek ga, vindt ik helemaal niets.

Als je 'rootkit' ook even door google heen had gehaald, was je uitgekomen op een pagina met uitleg en was jou duidelijk geworden dat bestanden van een rootkit meestal niet erg goed te vinden zijn. Dat is namelijk de bedoeling van je rootkit, logisch dat je niks vindt dus. Dat is even iets waar je naar moet kijken, het beste is al je wachtwoorden te veranderen en die machine zo snel mogelijk te formatteren en van een nieuwe Windows-installatie te voorzien.

Haal ik de statuscode -1073741819 door goolgle heengehaald. Dan wordt het in verband gebracht met allerhande virussen. Op deze pagina wordt gesproken over verwijderprogramma van ms. Geprobeerd, maar vindt geen resultaat. sfc /scannow geeft wel wat meldingen over bestanden die missen, deze zijn teruggezet.

Verder draai ik Avast Antivirus, versie 4.7. Virusdefinities zijn van 20-12-06. Spybot geeft ook geen resultaten.

En nu?
Goede vraag, ik heb echt geen idee waar het aan kan liggen. Op een of andere manier wil het met die telefoon niet echt gaan lukken. Gewoon werken op de PC is overigens wel gewoon mogelijk. Deze post komt vanaf de pc met het probleem.

offtopic:
Twijfel of dit wel het juiste subforum is...

Gewoon werken op die PC zou ik niet meer doen. Dat het in verband gebracht wordt met virussen is best logisch als ik naar de rest van je post kijk. Het juiste subforum? Ik denk het wel


Edit: Als ik de link naar Symantec even volg, zie ik het volgende:

Creates the following hidden alternate data streams:

%Windir%\System32:lzx32.sys

Hier wordt ook al aangegeven dat het hidden is. Een alternate data stream is niet te vinden met de Windows zoekfunctie, maar als het goed is kan je het bestand gewoon openen met een texteditor. Het lastige aan een ADS is echter dat je deze niet kan verwijderen. Je moet het originele bestand verwijderen om van de ADS af te zijn. Dat is nogal vies bij deze, aangezien die aan iets kritisch hangt

Sowieso zijn bakken waar een rootkit op zit / heeft gezeten niet meer te vertrouwen en je doet er nogmaals dus goed aan zo snel mogelijk dat ding leeg te gooien.

Edit2:

Uses advanced Rootkit techniques to hide the registry subkeys it creates and to prevent access to the alternate data streams file. It hooks MSR_SYSENTER code and patches several area of Windows Kernel to change the functioning of the following APIs:

ZwOpenKey
ZwEnumerateKey
ZwQueryKey
ZwCreateKey
ZwSaveKey
ZwDeviceIoControlFile
ZwQuerySystemInformation
ZwInitializeRegistry

A.K.A. het bestand is toch niet te openen met een texteditor, zoals ik zei (wat je daarmee anders hoogstens kon doen was het bestand leegmaken en weer opslaan). Ook kan je in het register geen verwijzingen vinden, omdat deze verborgen worden.

Attempts to hide itself from applications that contain one of the following strings:

RootkitRevealer
BlackLight
Rkdetector
gmer.exe
endoscope.EXE
DarkSpy
Anti-Rootkit

Niet. lief.

Alters the correct functioning of the following system modules used for network communications to bypass firewalls and to perform network packet manipulations:

tcpip.sys
wanarp.ss
ndis.sys

Niet vertrouwen, formatteren! Waarschijnlijk onderschept het bepaald netwerkverkeer.

May hijack web navigation and redirect HTTP traffic.

Waardeloos. Waarschijnlijk kan je geen schoonmaaktooltjes downloaden.

Acts as a covert proxy on the compromised computer.

May also be used to send spam emails through the computer.

[ Voor 26% gewijzigd door DataGhost op 20-12-2006 22:25 ]

Je weet niet wat er verder allemaal geinstalleerd is. Wie weet is ondertussen ook een andere rootkit op je PC geinstalleerd, terwijl jij je veilig waant. Je kan het wellicht wel opschonen, maar zo'n systeem is nooit meer te vertrouwen. Ga er ook vanuit dat al je wachtwoorden bij iemand anders dan jou bekend zijn, veranderen dus.

Edit: Vooral omdat de bestanden gewoon verborgen zijn voor jou kan je ook nooit weten of het verwijderen succesvol is geweest. Zoals je hebt kunnen zien kon hijackthis helemaal niks vreemds vinden op jouw PC.
Het is trouwens ook nog maar de vraag of je BSOD-probleem opgelost zou zijn na het verwijderen.

[ Voor 32% gewijzigd door DataGhost op 20-12-2006 23:07 ]

deWit schreef op woensdag 20 december 2006 @ 23:16:
Ach, ik heb zojuist de PC even geformatteerd. Toch nog even die rootkit-controle eroverheengehaald. Deze geeft niets aan. Dan gaan we straks maar alle windows + avast updaten, alle (belangrijke) wachtwoorden veranderen, en dan kijken we morgen wel verder. Ben het nu helemaal zat ermee.

Maar hoe zit het nu met files op een andere partitie? Veilig weer te gebruiken of niet? If not, dat zou zwaar zuigen....

Dat weet ik niet. Ik zou geen enkel bestand van die partitie aanraken en er eerst een volledig uptodate virusscanner overheen halen. Dan zit je redelijk safe

Er zijn wel programmaatjes waarmee je de ADS kan vinden.
Bijvorbeeld op http://www.diamondcs.com....e=archive&id=ntfs-streams
En verder zijn er ook removal utilities (bijv http://packetstormsecurity.org/NT/ads_cat.zip, waar een remove exe ergens in zit)
Misschien dat je daar wat mee kunt.
Vroegah was Mark Russinovich de guru op dit gebied met sysinternals.com. Hij werkt tegenwoordig bij Microsoft, maar al zijn speledingetjes zijn daar ook nog te vinden. www.microsoft.com/technet/sysinternals/default.mspx