/u/61403/crop58bff192a74cb_cropped.png?f=community)
Ik heb de laatste dagen problemen tijdens het afsluiten van mijn pc
Deze blijft hangen op een programma "sample.exe"
Het eigenaardige is dat ik het programma niet terugvind in de processlist. niet met de standaard taskmanager of met processview
Spybot en Adaware vonden geen problemen (ok 4 tracking cookies)
een search op de hd naar sample.exe, geen resultaat
een search in de registry, geen resultaat
google had het over een nimda virus. ik heb beide tooltjes van symantec gedraaid deze vinden niks
Nou heb ik wel een idee waar dit vandaan komt
een keygen .. (ja dom)
ik zal de hash geven, MD5: 194e4ab76c6da6e7efb7a4edf9a3aab4
deze word door jottiscan/bit9 als malicious aangekaart
maar hoe hrijg ik dit nou weg ?
ik heb hem nog een keer losgelaten in een vm, met regmon en filemon, maar ik vind geen duidelijke bewijzen dat iets wegschrijft
Real life heb ik hem opgestart, een tweede keer kan tenslotte ook geen kwaad meer. En daar die ik dat ie met z'n fikken aan de instelingen van mcaffee zit te ruiken.
link naar rootkit plaatje (duidelijker)
maar nu zit ik een beetje vast
Deze blijft hangen op een programma "sample.exe"
Het eigenaardige is dat ik het programma niet terugvind in de processlist. niet met de standaard taskmanager of met processview
Spybot en Adaware vonden geen problemen (ok 4 tracking cookies)
een search op de hd naar sample.exe, geen resultaat
een search in de registry, geen resultaat
google had het over een nimda virus. ik heb beide tooltjes van symantec gedraaid deze vinden niks
Nou heb ik wel een idee waar dit vandaan komt
een keygen .. (ja dom)
ik zal de hash geven, MD5: 194e4ab76c6da6e7efb7a4edf9a3aab4
deze word door jottiscan/bit9 als malicious aangekaart
maar hoe hrijg ik dit nou weg ?
ik heb hem nog een keer losgelaten in een vm, met regmon en filemon, maar ik vind geen duidelijke bewijzen dat iets wegschrijft
Real life heb ik hem opgestart, een tweede keer kan tenslotte ook geen kwaad meer. En daar die ik dat ie met z'n fikken aan de instelingen van mcaffee zit te ruiken.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
| Logfile of HijackThis v1.97.7
Scan saved at 22:04:04, on 4-4-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Program Files\BT Common Client\btomosrv.exe
C:\Program Files\Exel Remote Client\VPN Client\cvpnd.exe
C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireSvc.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireTray.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\MDM.EXE
C:\Documents and Settings\fish\Desktop\procexp.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\fish\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tweakers.net/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192*;10.*;
O1 - Hosts: dailer
O2 - BHO: (no name) - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IE7Pro\IE7Pro.dll
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Program Files\FlashGet\jccatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - d:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [AeXAgentLogon] C:\Program Files\Altiris\Altiris Agent\AeXAgentActivate.exe /logon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: McAfee Desktop Firewall Tray.lnk = C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireTray.exe
O8 - Extra context menu item: &Download All with FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Download with FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: IE7pro Preferences (HKLM)
O9 - Extra 'Tools' menuitem: IE7pro Preferences (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37893.2281018519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = [WEG]
O17 - HKLM\Software\..\Telephony: DomainName = [weg
O17 - HKLM\System\CCS\Services\Tcpip\..\{A420E0F7-5D72-4872-889C-6BDA6F45E79C}: NameServer = 192.168.1.100
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = [weg] |
link naar rootkit plaatje (duidelijker)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| HKLM\SECURITY\Policy\Secrets\SAC* 29-9-2003 13:16 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 29-9-2003 13:16 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Hewlett-Packard\Version Control\HPRevisionManagement\hpdkbu.exe\ComponentXmlPath 25-12-2006 22:34 261 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 6-4-2008 20:08 80 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\dwFilesScanned 6-4-2008 20:08 4 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\szLastScanned 6-4-2008 20:08 130 bytes Windows API length not consistent with raw hive data. C:\Documents and Settings\All Users\Application Data\Network Associates\Common Framework\AgentEvents\20080406201301435000005FC.txml 6-4-2008 20:13 1.10 KB Hidden from Windows API. C:\Documents and Settings\All Users\Application Data\Network Associates\Common Framework\AgentEvents\20080406203547639000005FC.txml 6-4-2008 20:35 1.03 KB Hidden from Windows API. C:\Documents and Settings\fish\Local Settings\Temporary Internet Files\Content.IE5\2LHRD47R\LeftNavHover[1].gif 6-4-2008 20:11 82 bytes Hidden from Windows API. C:\Documents and Settings\fish\Local Settings\Temporary Internet Files\Content.IE5\6Z4GSMIV\ads[2] 6-4-2008 20:36 3.70 KB Hidden from Windows API. C:\Documents and Settings\fish\Local Settings\Temporary Internet Files\Content.IE5\Q81FULRN\ads.htm 6-4-2008 20:36 4.38 KB Hidden from Windows API. C:\Documents and Settings\fish\Local Settings\Temporary Internet Files\Content.IE5\R54N9NTB\forumdfc25f94[1].htm 6-4-2008 20:14 43.58 KB Hidden from Windows API. C:\Documents and Settings\fish\Local Settings\Temporary Internet Files\Content.IE5\ULLIXO0A\ads[6].htm 6-4-2008 20:14 5.20 KB Hidden from Windows API. C:\Documents and Settings\fish\Local Settings\Temporary Internet Files\Content.IE5\ZIIL6731\1286130[1].htm 6-4-2008 20:36 27.49 KB Hidden from Windows API. C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 6-4-2008 20:10 64.00 KB Visible in Windows API, but not in MFT or directory index. |
maar nu zit ik een beetje vast
[ Voor 24% gewijzigd door Fish op 06-04-2008 21:31 ]
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
:strip_icc():strip_exif()/u/113929/Wolverine.jpg?f=community)
tnx
:strip_icc():strip_exif()/u/1158/twister-icon-nw.jpg?f=community){kind=icon}
