[xp] systeem zendt spam/trojan - Privacy en beveiliging

dinsdag 27 februari 2007 08:43

Acties:

Topicstarter

Het probleem begon met een XP systeem dat tot de nok toe vol zat met virussen (Enkele namen:Proxy.Wopla.AC17, Crypt.XPack.gen, Proxy.Agent.DF15, Hijack.Explor.1797, Spambot, Rootkit.gen, etc etc etc)
Na herhaardelijk diverse antivirus en antispyware programma's over het systeem te halen leek het redelijk schoon. (Anti-vir, hitman pro and Adaware SE alleen)

Een hijackthis laat dit zien:

code:

Logfile of HijackThis v1.99.1
Scan saved at 8:28:39, on 27-2-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Symantec\Ghost\ngserver.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\ThreadMaster\ThreadMast.exe
C:\Program Files\TightVNC\WinVNC.exe
C:\Program Files\Symantec\Ghost\bin\dbserv.exe
C:\Program Files\Symantec\Ghost\bin\rteng7.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
L:\download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nijkamp.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: MSNM System - {A646CE7E-951E-44d1-B93C-F7136DA41E58} - C:\WINDOWS\ielocales.dll
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RDS\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RDS\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Program Files\IBM\Client Access\Emulator\pcssnd.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BOINC - Unknown owner - C:\Program Files\BOINC\boinc.exe" -daemon (file missing)
O23 - Service: Opdracht op afstand iSeries Access for Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: Intel(R) Desktop Utilities Service (iHCService) - OSA Technologies, Inc. - C:\Program Files\Intel\IDU\IDUServ.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: ieupdater (Microsoft IE Updater) - Unknown owner - C:\Documents and Settings\joop\~tmp0374.exe (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec Corporation - C:\Program Files\Symantec\Ghost\bin\dbserv.exe
O23 - Service: Symantec Ghost Win32 Configuration Server (NGServer) - Symantec Corporation - C:\Program Files\Symantec\Ghost\ngserver.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Thread Master (ThreadMaster) - http://threadmaster.tripod.com  -  threadmaster@europe.com - C:\WINDOWS\system32\ThreadMaster\ThreadMast.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\TightVNC\WinVNC.exe" -service (file missing)

Lijkt mij opzich wel in orde.

Maar het systeem blijft spam scannen! Het beestje zit gelukkig wel achter een linux firewall waar ik al het smtp verkeer in z'n geheel blokkeer. een tcpdump laat zien dat het systeem met alle macht probeerd spam (of trojans) naar buiten te sturen.

Wat kan ik nog meer doen?

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

dinsdag 27 februari 2007 09:05

Acties:

_eXistenZ_

Modbreak:Reageer fatsoenlijk en behulpzaam of reageer niet:)

[ Voor 83% gewijzigd door pasta op 27-02-2007 13:15 ]

There is no replacement for displacement!

dinsdag 27 februari 2007 09:07

Acties:

Verwijderd

oops.... verkeerde.

[ Voor 90% gewijzigd door Verwijderd op 27-02-2007 09:08 ]

dinsdag 27 februari 2007 09:11

Acties:

carlino

GoT Mama

ik gebruik wel eens het programma advanced uninstaller pro. Daarmee krijg ik andere zooi wat ik er niet vanaf gegooid krijg er af.. En heb je wel eens in taakbeheer gekeken naar bepaalde processen die draaien en die vreemd zijn. Kill ze en scan dan nog eens. Weet zeker dat je er meer vind

18-12-2007 Zijn Dominique en Marleen geboren! - 21-06-2007 Zijn ik en mijn ventje een stel!

dinsdag 27 februari 2007 09:21

Acties:

Verwijderd

Als je echt wilt onderzoeken waar het aan ligt:
Je kunt met de volgende tool veel meer informatie krijgen over de processen die draaien:

process explorer

er staat er dan vast wel eentje tussen die via poort 25 een en ander probeert te versturen

Ik denk echter dat het sneller en zekerder is om opnieuw te installeren...

dinsdag 27 februari 2007 09:24

Acties:

Barrycade

Through the...

Ik ga mee met _eXistenZ_
1. UTP uit de router
2. Windows XP CD-tje er in
3. wilt u formatteren?
4. ja
5. opnieuw installeren.
6. SP2 installeren
7. Antivirus installeren
8. UTP aansluiten
9. Updates geforceerd downloaden
10. klaar

dinsdag 27 februari 2007 09:54

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

^^ Eens met bovenstaande. Het kan natuurlijk wel leerzaam zijn om een poging te wagen het op te schonen en om te leren hoe en wat (koop bijv. de laatste c't). Maar dat systeem wil je nooit meer serieus gebruiken en zeker niet op het internet laten

WOS -> BV

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 27 februari 2007 10:58

Acties:

Keiichi

Topicstarter

Ik ga Process Explorer wellicht eens proberen, kijken of daarmee iets beter te zien is.

Ik had al wel Taskinfo van Iarsn gebruikt, maar kon niet actief uitvinden waar de connecties van poort 25 vandaan kwamen.

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

dinsdag 27 februari 2007 11:23

Acties:

Keiichi

Topicstarter

Ik heb het nu maar opgegeven. Kreeg bij het binnenhalen van updates elke keer een BSOD 0x00..008e

Het word een formatje...

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

Pagina: 1

Reageer