:strip_exif()/u/16117/lucky-luke.gif?f=community)
[note: de volgorde van acties in onderstaande tekst is mogelijk wat vaag. Ik heb het verhaal grotendeels geschreven terwijl ik bezig was. Mocht er iets niet duidelijk zijn, vraag dan gerust 
Omdat ik al heel wat geprobeerd heb en het een nogal lang verhaal is geworden vrees ik voor weinig reacties. Als je al de moeite wilt nemen om er even doorheen te kijken, zou het geweldig zijn. Ik heb alle acties hieronder puur op gezond verstand / faq / eerdere topics gedaan en heb niet erg veel ervaring met het opzoeken en verwijderen van virussen. Mogelijk heb ik de meest logische detectieprogramma's nog niet gedraait.]
Gister heeft een familielid op zijn (winxp pro) computer een programma geactiveerd dat er voor zorgt dat die computer een groot aantal smtp (tegen de honderd per seconde) verbindingen maakt naar diverse mailproviders over de wereld. Daar is die avond meteen een waarschuwing van de provider achteraan gekomen. Ik kwam die avond zelf terug van vakantie en heb toen de computer offline gehaald en ben vandaag wat wezen rondzoeken.
analyse:
Naar eigen zeggen heeft hij een bestand geactiveerd dat iets deed en vervolgens verdween. Hij heeft zelf een aantal dingen weg kunnen halen met adaware, maar wist niet precies meer wat. Momenteel is zijn processeslist en msconfig clean. Ik kan deze desgewenst posten in een hijackthis log, maar omdat de pc meteen weer begint met spam versturen, houd ik die pc liever nog even zonder netwerk.
Onder procexp vind ik 2 services die ik niet ken. Deze worden beide gestart in een aparte instantie van svchost. Het gaat hier om: ldrsvc en NtmlSvc. (Deze heb ik beiden gedisabled in services.msc
Met tcpview kon ik achterhalen dat het endpoint van de smtp verbindingen ligt bij een programma 'protector.exe' in %windir%\system32. Dit bestand is niet zichtbaar (met hidden/system files aan) in de explorer en kan ik ook niet verwijderen. (Het bestand bestaat wel; als ik een bestand probeer aan te maken met dezelfde naam, geeft hij de melding dat er al een bestand met die naam bestaat. In een command shell gebeurd hetzelfde.
Met wat speurwerk hebben we de file waar het mee begonnen was opnieuw kunnen vinden. Ik heb deze door de jottiscan (http://virusscan.jotti.org/) heen gehaald en vond de volgende lijst met malware:
Hierna heb ik nog spybot gedraait. Deze vond behalve een lading tracking cookies en andere irrelevante zooi Torpig. Behalve keylogging / datagathering aspecten bied deze een kwaadwillende gebruiker ook volledige toegang tot het systeem
-- deze kon wel door spybot zelf verwijderd worden.
Om het iets groter aan te pakken heb ik er kaspersky nog overheen gehaald en die vond nog een aantal virussen: de generieke 'invader' de volgende specifieke virussen:
Zoeken op wopla.ac geeft een hint naar een mogelijk geinstalleerde rootkit, 'rootkit.foop'. Het bestand waar die inzit is ntio256.sys in de windows\system32 directory. Deze is intussen verwijderd en ik heb handmatig referenties naar dit bestand uit het register gesloopt (er stonden er 2 onder hklm\software\microsoft\windows nt\controlset0x\services\. Controlset is hierbij 8 en 9.
op dezelfde manier heb ik hier ook referenties naar de NtmlSvc verwijderd uit oa het opstarten van de net services voor svchost.
conclusie / acties:
Bovenstaande 'services' geven te denken dat het gaat om trojan downloader 'BackDoor-Icug', (http://vil.nai.com/vil/content/v_142500.htm) en/of Vundo (http://www.symantec.com/s...docid=2004-112111-3912-99).
Naar aanleiding van dit en de jottiscan heb ik een vundo en een virtumonde fix gedraait. Deze vonden beiden niets. De namen van de trojandroppers met de diverse namen die virusscanners aangaven zeggen mij ook niet veel. Ik heb een aantal namen door google heen gehaald, maar vond geen matches met protector.exe of het smtp spam probleem. (protector.exe zelf bestaat trouwens al niet meer na al deze acties. Het endpoint van de smtp verbindingen is volgens tcpview intussen kav (kaspersky) zelf geworden en blijft dat zelfs na het verwijderen van alle gequarintine'de bestanden en backups. Na het volledig uninstallen van kav is het endpoint 'services.exe (in de win32 directory en voor zover ik kon zien de originele)
Aangezien ik het bestand verder niet kon zien, vrees ik een rootkit; Als ik nou kan achterhalen wat hiermee is gedaan, kan ik misschien nog alle sporen wissen. Ik zou liever geen complete reinstall doen als ik het kan voorkomen.
Wopla.ac lijkt trouwens de uiteindelijke boosdoener. De beschrijving van dit virus geeft hints naar het installeren van een rootkit en het sturen van spam.
Het probleem lijkt heel veel op deze. Na een hoop scan en zoek adviezen heeft die zijn pc uiteindelijk toch maar gereformat. Misschien komen we hier verder? Mijn dank is groot
edit: voor het revealen van rootkits heb ik nog de blacklight rootkit eliminator gedraait, maar deze kon geen hidden files / processes vinden.
Daarnaast nog gezocht naar alternate datastreams in bestanden met de scanner van hijackthis.
Waar kan ik verder nog naar kijken?
Omdat ik al heel wat geprobeerd heb en het een nogal lang verhaal is geworden vrees ik voor weinig reacties. Als je al de moeite wilt nemen om er even doorheen te kijken, zou het geweldig zijn. Ik heb alle acties hieronder puur op gezond verstand / faq / eerdere topics gedaan en heb niet erg veel ervaring met het opzoeken en verwijderen van virussen. Mogelijk heb ik de meest logische detectieprogramma's nog niet gedraait.]
Gister heeft een familielid op zijn (winxp pro) computer een programma geactiveerd dat er voor zorgt dat die computer een groot aantal smtp (tegen de honderd per seconde) verbindingen maakt naar diverse mailproviders over de wereld. Daar is die avond meteen een waarschuwing van de provider achteraan gekomen. Ik kwam die avond zelf terug van vakantie en heb toen de computer offline gehaald en ben vandaag wat wezen rondzoeken.
analyse:
Naar eigen zeggen heeft hij een bestand geactiveerd dat iets deed en vervolgens verdween. Hij heeft zelf een aantal dingen weg kunnen halen met adaware, maar wist niet precies meer wat. Momenteel is zijn processeslist en msconfig clean. Ik kan deze desgewenst posten in een hijackthis log, maar omdat de pc meteen weer begint met spam versturen, houd ik die pc liever nog even zonder netwerk.
Onder procexp vind ik 2 services die ik niet ken. Deze worden beide gestart in een aparte instantie van svchost. Het gaat hier om: ldrsvc en NtmlSvc. (Deze heb ik beiden gedisabled in services.msc
Met tcpview kon ik achterhalen dat het endpoint van de smtp verbindingen ligt bij een programma 'protector.exe' in %windir%\system32. Dit bestand is niet zichtbaar (met hidden/system files aan) in de explorer en kan ik ook niet verwijderen. (Het bestand bestaat wel; als ik een bestand probeer aan te maken met dezelfde naam, geeft hij de melding dat er al een bestand met die naam bestaat. In een command shell gebeurd hetzelfde.
Met wat speurwerk hebben we de file waar het mee begonnen was opnieuw kunnen vinden. Ik heb deze door de jottiscan (http://virusscan.jotti.org/) heen gehaald en vond de volgende lijst met malware:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
| Scan taken on 11 Aug 2007 19:29:00 (GMT) A-Squared Found nothing AntiVir Found TR/Crypt.XPACK.Gen, BAT/ConHook.Z ArcaVir Found Trojan.Inject.Cv Avast Found Win32:Vundo-gen46 AVG Antivirus Found Downloader.Generic5.PUR, Downloader.Generic5.OYD BitDefender Found Adware.Virtumonde.GGD, BehavesLike:Trojan.WinlogonHook, Trojan.Downloader.Agent.BIO, Trojan.ConHook.X (probable variant) ClamAV Found Trojan.Conhook CPsecure Found Troj.W32.Dialer.qn Dr.Web Found Trojan.Virtumod, Trojan.Mezzia.68 F-Prot Antivirus Found nothing F-Secure Anti-Virus Found not-a-virus:AdWare.Win32.Virtumonde.jp (4, 1, 400), Trojan.Win32.Dialer.qn, Trojan.Win32.Inject.cv Fortinet Found nothing Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.Virtumonde.jp, Trojan.Win32.Dialer.qn, Trojan.Win32.Inject.cv NOD32 Found probably a variant of Win32/TrojanDownloader.ConHook, a variant of Win32/TrojanDownloader.Small.NUS (probable variant) Norman Virus Control Found nothing Panda Antivirus Found Trj/Downloader.PTL Rising Antivirus Found Virus.Dos.HLLP.Den.8563, Worm.Mail.Win32.Zhelatin.hd Sophos Antivirus Found Mal/Dropper-E, Mal/DowAdv-B VirusBuster Found Adware.Vundo.P.Gen, Trojan.DL.Loadadv.Gen.2 VBA32 Found Trojan.Win32.Inject.cv |
Hierna heb ik nog spybot gedraait. Deze vond behalve een lading tracking cookies en andere irrelevante zooi Torpig. Behalve keylogging / datagathering aspecten bied deze een kwaadwillende gebruiker ook volledige toegang tot het systeem
-- deze kon wel door spybot zelf verwijderd worden. Om het iets groter aan te pakken heb ik er kaspersky nog overheen gehaald en die vond nog een aantal virussen: de generieke 'invader' de volgende specifieke virussen:
- trojan.wopla.ac, trojan.win32.dialar.qn trojan-proxy.win32.wopla.ac worm.win32.vb.an backdoor.win32.agent.alm
Zoeken op wopla.ac geeft een hint naar een mogelijk geinstalleerde rootkit, 'rootkit.foop'. Het bestand waar die inzit is ntio256.sys in de windows\system32 directory. Deze is intussen verwijderd en ik heb handmatig referenties naar dit bestand uit het register gesloopt (er stonden er 2 onder hklm\software\microsoft\windows nt\controlset0x\services\. Controlset is hierbij 8 en 9.
op dezelfde manier heb ik hier ook referenties naar de NtmlSvc verwijderd uit oa het opstarten van de net services voor svchost.
conclusie / acties:
Bovenstaande 'services' geven te denken dat het gaat om trojan downloader 'BackDoor-Icug', (http://vil.nai.com/vil/content/v_142500.htm) en/of Vundo (http://www.symantec.com/s...docid=2004-112111-3912-99).
Naar aanleiding van dit en de jottiscan heb ik een vundo en een virtumonde fix gedraait. Deze vonden beiden niets. De namen van de trojandroppers met de diverse namen die virusscanners aangaven zeggen mij ook niet veel. Ik heb een aantal namen door google heen gehaald, maar vond geen matches met protector.exe of het smtp spam probleem. (protector.exe zelf bestaat trouwens al niet meer na al deze acties. Het endpoint van de smtp verbindingen is volgens tcpview intussen kav (kaspersky) zelf geworden en blijft dat zelfs na het verwijderen van alle gequarintine'de bestanden en backups. Na het volledig uninstallen van kav is het endpoint 'services.exe (in de win32 directory en voor zover ik kon zien de originele)
Aangezien ik het bestand verder niet kon zien, vrees ik een rootkit; Als ik nou kan achterhalen wat hiermee is gedaan, kan ik misschien nog alle sporen wissen. Ik zou liever geen complete reinstall doen als ik het kan voorkomen.
Wopla.ac lijkt trouwens de uiteindelijke boosdoener. De beschrijving van dit virus geeft hints naar het installeren van een rootkit en het sturen van spam.
Het probleem lijkt heel veel op deze. Na een hoop scan en zoek adviezen heeft die zijn pc uiteindelijk toch maar gereformat. Misschien komen we hier verder? Mijn dank is groot
edit: voor het revealen van rootkits heb ik nog de blacklight rootkit eliminator gedraait, maar deze kon geen hidden files / processes vinden.
Daarnaast nog gezocht naar alternate datastreams in bestanden met de scanner van hijackthis.
Waar kan ik verder nog naar kijken?
Localhost is where the heart is
:strip_icc():strip_exif()/u/17599/vlag.jpg?f=community)
/u/38607/crop563536a9aac26_cropped.png?f=community)
:strip_icc():strip_exif()/u/49652/HomerInBlack2.jpg?f=community)
:strip_icc():strip_exif()/u/91018/dgtw.jpg?f=community)
:strip_exif()/u/10069/neutron1.gif?f=community)
:strip_icc():strip_exif()/u/192890/brain.jpg?f=community)
:strip_icc():strip_exif()/u/93067/icon.jpg?f=community){kind=icon}
anders weet je in elk geval welk proces geinfecteerd is.
:strip_icc():strip_exif()/u/204552/crop5f061f1e94305.jpeg?f=community)
:strip_icc():strip_exif()/u/75828/sid.jpg?f=community)
. Omdat dit de PC vertraagde en spelletjes onmogelijk werden zeker....