Hijackthis start niet, ook niet na rename - Privacy en beveiliging

vrijdag 18 juli 2008 16:50

Acties:

Topicstarter

Ik kreeg zojuist via email een aanbieding van NOD32 (Virusscanner) voor een goedkope verlenging van mijn abonnement. Toen ik op de link klikte om naar hun site te gaan, crashte mijn browser. Een andere browser crashte ook.

Oeps, dacht ik, dit heb ik al eens eerder meegemaakt: een of ander beest dat naast alle andere nare dingen die hij doet ook nog eens op een slimme manier de gebruikelijke methoden ondergraaft waarmee je je machine weer schoon kan krijgen. Ik heb getracht met Hijackthis een log te maken, maar Hijackthis wil niet starten, ook niet - zoals meestal wordt geadviseerd - als je hijackthis.exe een andere naam geeft.

Mijn systeem heeft nu de volgende verschijnselen:

1. Alle browsers crashen als ik probeer een bekende anti virus site te bereiken
2. Kladblok en Word crashen als ik probeer een (oud) hijackthis log te openen
3. Hijackthis start niet op, ook niet als het bestand hernoemd is.
4. Een scan met Spyware Doctor levert niets op, alleen soms de Trojan.popuper.

Heeft iemand een idee wat een nuttige volgende stap kan zijn?

Hartelijk dank,

Harrie

vrijdag 18 juli 2008 16:54

Acties:

SinergyX

____(>^^(>0o)>____

Weet je zeker dat het een link 'naar hun site' was?
Maw, niet toevallig op een phising site terecht gekomen die wat kwaadaardigs heeft geinstalleerd?

(wel je PC al een safe-mode reboot gegeven?)

[ Voor 13% gewijzigd door SinergyX op 18-07-2008 16:55 ]

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

vrijdag 18 juli 2008 17:46

Acties:

AW_Bos

Liefhebber van nostalgie... 🕰️

Wat staat er in je hosts-file al ik vragen mag?

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

vrijdag 18 juli 2008 17:47

Acties:

Verwijderd

Kijk eens of HiJackFree wel wil starten.

Je kunt daarmee ook een HijackThis compatible log maken.

vrijdag 18 juli 2008 18:43

Acties:

Har

Topicstarter

SinergyX schreef op vrijdag 18 juli 2008 @ 16:54:
Weet je zeker dat het een link 'naar hun site' was?

Daar ga ik voorlopig wel vanuit omdat het gedrag zo karakteristiek is. Hij doet dit met meerdere sites.

En weet je wat het allersterkst is: als ik deze thread (dus alleen deze) op mijn geïnfecteerde PC open, dan.......... crasht mijn browser ook. Er draait dus ergens iets dat heel gericht bezig is om reparatie van al dit onheil tegen te gaan.

Spybot draait nu, misschien vindt die iets.

Harrie

vrijdag 18 juli 2008 18:44

Acties:

Verwijderd

Zet je meest recente backup terug

vrijdag 18 juli 2008 19:32

Acties:

Har

Topicstarter

Ik ben weer een stapje verder. Handig programmaatje, dat Spybot. Hij heeft een Trojan gevonden die Spyware Doctor niet kon vinden (Win32.BHO.je) en die keurig verwijdert.

Verder ben ik een .dll op het spoor gekomen in mijn startup lijst, met de fraaie naam adbcbebbefca.dll Dit is een echte etter. Hij wordt door Winlogon geladen en kan dus niet gewist worden omdat hij gelockt is. Ik heb getracht hem met unlocker vrij te krijgen, maar dan crasht mijn gehele systeem. Toen dacht ik slim te zijn door de opstart sleutels in het register te wissen. Maar die worden er meteen weer in teruggezet en er ontstaat een leuk gevecht tussen deze .dll en Spybot die herinstallatie probeert tegen te gaan.

Ik heb dus nog meer één optie over: booten van een CD en kijken of ik bij mijn C: schijf kan komen om zo die .dll te killen. Ik heb dit echter nog nooit gedaan en ook uit de site van bootdisk.com word ik niet veel wijzer.

Kan iemand me hiermee helpen. Ik wil dus dat Windows XP laadt vanaf een CD zodat mijn C: schijf geheel ongelockt is.

P.S. Ik bedenk me net dat ik een gespiegelde NTFS drive als C: drive heb. Nu kan ik natuurlijk wel vanaf een floppy of een CD booten maar dan worden de noodzakelijke drivers voor m'n gespiegelde C:drive niet geladen. Als ik dan een file verwijder, krijg ik misschien ongelijke schijven en heb ik een probleem als ik weer opstart vanaf C:

Ik moet mijn vraag dus veranderen:

1. Hoe kill ik een .dll die door Winlogon wordt geladen?
2. Hoe verwijder ik een bestand dat door Winlogon wordt gelockt?
3. Hoe verwijder ik register sleutels van een proces dat zichzelf bewaakt?

[ Voor 20% gewijzigd door Har op 18-07-2008 20:24 ]

vrijdag 18 juli 2008 19:38

Acties:

Verwijderd

Je kunt spybot toch ook laten scannen bij boot. Dus voordat je shell geladen wordt. Dan moet je 'm weg kunnen gooien.

vrijdag 18 juli 2008 19:45

Acties:

Verwijderd

Met VundoFix krijg je die adbcbebbefca.dll weg.

Kijk maar hier hoe ze het gedaan hebben met het pmnlm.dll bestand.
Volgens hetzelfde principe zou je dan ook adbcbebbefca.dll weg moeten kunnen halen.

vrijdag 18 juli 2008 19:47

Acties:

Har

Topicstarter

Verwijderd schreef op vrijdag 18 juli 2008 @ 19:38:
Je kunt spybot toch ook laten scannen bij boot. Dus voordat je shell geladen wordt. Dan moet je 'm weg kunnen gooien.

Ja, maar deze .dll heb ik op het oog gevonden. Hij is zeer verdacht en wordt niet automatisch door Spybot herkend. Alle pogingen hem te killen zijn gestrand omdat Winlogon hem lockt en hij daarna gewoon vanuit memory alle pogingen om hem te verwijderen tegengaat.

Ik heb bij de opties van Spybot gekeken, maar ik zie er geen een bij die je in staat stelt om een van te voren aangegeven registry sleutel voor het laden van de shell (en Winlogon) te verwijderen.

Harrie.

vrijdag 18 juli 2008 19:51

Acties:

Har

Topicstarter

SinergyX schreef op vrijdag 18 juli 2008 @ 16:54:
Weet je zeker dat het een link 'naar hun site' was?

Nu weet ik het zeker. Ik heb op mijn laptop even doorgeklikt en kom dan keurig op de site van Spicylemon / Nod32.nl uit.

Harrie

vrijdag 18 juli 2008 19:54

Acties:

Verwijderd

Even wat tussendoor: als je wat wilt toevoegen na je laatste post in het topic, kun je je post editten ipv een 2e posts er onder te zetten. Dat is een stuk overzichtelijker voor de mensen. En je hoeft ook je naam niet onder elke post te zetten. We kunnen zo natuurlijk ook zien wat je naam is want die staat er altijd bij linksboven

vrijdag 18 juli 2008 20:03

Acties:

Har

Topicstarter

Verwijderd schreef op vrijdag 18 juli 2008 @ 19:54:
Even wat tussendoor: als je wat wilt toevoegen na je laatste post in het topic, kun je je post editten ipv een 2e posts er onder te zetten. Dat is een stuk overzichtelijker voor de mensen. En je hoeft ook je naam niet onder elke post te zetten. We kunnen zo natuurlijk ook zien wat je naam is want die staat er altijd bij linksboven

1. Doe ik
2. (Naam) vind ik beleefd, maar ik zal het niet meer doen als het je stoort.

Bedankt (oeps, wilde ik weer mijn naam schrijven)

zaterdag 19 juli 2008 04:27

Acties:

Verwijderd

http://www.softwarepatch.com/software/moveonboot.html

Zulke tooltjes kunnen ook wel eens soelaas bieden.

zaterdag 19 juli 2008 13:16

Acties:

Har

Topicstarter

Verwijderd schreef op zaterdag 19 juli 2008 @ 04:27:
http://www.softwarepatch.com/software/moveonboot.html

Zulke tooltjes kunnen ook wel eens soelaas bieden.

Bedankt voor de tip. Ik ben ernaar aan het kijken. Wat ik mij afvraag is het volgende: ik heb een Intel moederbord, met Raid spiegeling ingesteld in de Bios. Windows XP moet hiervoor een aparte driver laden om erbij te kunnen. Denk jij dat de Raid normaal benaderbaar is (dus zonder spiegelfouten waarbij de ene schijf wel wordt gewijzigd en de andere niet):

1. Vanuit een DOS boot
2. Vanuit een utility als moveonboot dat vóór het laden van Windows zijn werk doet

Bedankt.

Net ontdekt: Ook moveonboot slaagt er niet in dit bestand op zijn planningslijst te krijgen zodat het bij de volgende boot kan worden verwijderd. Er komt een foutboodschap die zegt dat het bestand in gebruik is. Ik moet je zeggen dat ik steeds meer respect heb voor de boef die dit geprogrammeerd heeft. Tot nu toe is geen enkele methode in staat gebleken ook maar iets te kunnen uitrichten tegen deze .dll.

Ik heb inmiddels ook een mail gestuurd naar Microsoft zelf om te kijken of zij nog iets weten. Mocht ik een nuttig antwoord krijgen dan zal ik dat hier posten.

[ Voor 29% gewijzigd door Har op 19-07-2008 13:28 ]

zaterdag 19 juli 2008 14:37

Acties:

Verwijderd

Heb je HiJackFree nu geprobeert?
Als je die wel kunt starten dan kun je makkelijk het laden van die dll uitschakelen en na een reboot het bestand verwijderen.

Anders in het register zoeken naar die bewuste dll, de run entry verwijderen en opnieuw opstarten.

Nog een optie is FileAssassin (zit ook in Malwarebytes' Anti-Malware).

zaterdag 19 juli 2008 21:40

Acties:

Har

Topicstarter

Verwijderd schreef op zaterdag 19 juli 2008 @ 14:37:
Heb je HiJackFree nu geprobeert?
Als je die wel kunt starten dan kun je makkelijk het laden van die dll uitschakelen en na een reboot het bestand verwijderen.

Anders in het register zoeken naar die bewuste dll, de run entry verwijderen en opnieuw opstarten.

Nog een optie is FileAssassin (zit ook in Malwarebytes' Anti-Malware).

Zomaar!!! Je hebt me gered.

1 Hijackfree zag de .dll niet eens. (Spybot wel)
2. (Register zoeken) had ik al gedaan, maar de keys werden onder mijn ogen weer aangemaakt.
3. Maar FileAssassin kilde hem wel, zij het met enige moeite. Hij zei eerst dat hij opnieuw op moest starten om de .dll te kunnen wissen, maar na het opstarten was de .dll nog aanwezig. Maar,.... nu kon hij wel gewoon onder windows gewist worden. Daarna opnieuw opgestart en nu konden ook de registry keys worden verwijderd.

Deze .dll was dus de kern van het probleem. Mijn browser stort nu niet meer af als ik een antivirus-gerelateerde site probeer te bereiken, hijackthis start weer en het logfile van hijackthis wordt weer gewoon door kladblok geopend.

Malwarebytes' Anti-Malware is trouwens een uistekend programma want hij haalde er nog een paar infecties uit die door andere programma's over het hoofd waren gezien.

Al met al heb ik weer veel geleerd, en wil ik jullie hartelijk danken voor de nuttige tips.

zaterdag 19 juli 2008 22:09

Acties:

Verwijderd

En wat hebben we nu geleerd? Juist ja .. maak regelmatig backups. Zodat je die terug kunt zetten ipv een paar dagen te kloten.

zaterdag 19 juli 2008 22:28

Acties:

Har

Topicstarter

Verwijderd schreef op zaterdag 19 juli 2008 @ 22:09:
En wat hebben we nu geleerd? Juist ja .. maak regelmatig backups. Zodat je die terug kunt zetten ipv een paar dagen te kloten.

Ik wist niet dat het de taak was van een moderator om moraliserende opmerkingen te maken. Met backuppen en terugzetten heb je immers twee opties:

1. C: schijf, OS updates en applicaties opnieuw installeren daarna databestanden terugzetten vanuit de backup
2. Ook de C: schijf vanuit backup terugzetten

Optie 1 had me denk ik meer tijd gekost. Optie 2 heeft het risico dat je malware weer vrolijk terugzet. Uit mijn omzwervingen bleek immers dat Spyware Doctor, noch Nod32, noch Spybot in staat waren alle infecties te herkennen en te verwijderen. Uiteindelijk was er nog een vierde pakket nodig om mijn systeem weer schoon te krijgen (hoop ik dan maar).

Ik heb er in ieder geval veel van geleerd en dat is in Nederland toegestaan.

zaterdag 19 juli 2008 22:43

Acties:

Verwijderd

Als jij meer tijd kwijt bent met het herinstallen van zaken dan heb je gewoon geen recente backup. Weet je wat recent wil zeggen?

Je hebt nu een systeem waarvan je nimmer met zekerheid kunt zeggen dat er geen bestanden zijn aangetast. Je hebt een infectie gehad en die heb je verwijderd maar zekerheid over de integriteit heb je _niet_. Als je een schijf leeggooit en een image terug zet dan heb je meer zekerheid dan een gerepareerde installatie zoals nu.

Ik heb je in dit topic flink proberen te helpen, en zodra meneer iets leest waar ie niet van gediend is en waar je mee met de neus op de feiten wordt gedrukt ga je me van moraliserende opmerkingen betichten. Je kunt beter lering trekken en vanaf nu regelmatig backups maken. Dan omzeil je dit hele gelazer. Dat is advies. Zo reageren is stank voor dank.

zondag 20 juli 2008 00:13

Acties:

Verwijderd

HarrieFrericks, mooi dat 't gelukt is.

Maar dat HiJackFree die dll niet zag lijkt mij vreemd. Had je gekeken bij; Autostarters > Listige Startups > WinLogon?

zondag 20 juli 2008 09:54

Acties:

Har

Topicstarter

Verwijderd schreef op zondag 20 juli 2008 @ 00:13:
Maar dat HiJackFree die dll niet zag lijkt mij vreemd. Had je gekeken bij; Autostarters > Listige Startups > WinLogon?

Daar heb ik uitgebreid gekekeken, zomaar, maar hij stond er echt niet bij. De enige die hem zag was Spybot Search and Destroy.

Dit was dan ook een van de lessen van deze oefening: er bestaat niet één enkele utility dat alles ziet en alles kan. Maar de twee positieve uitschieters van alle utilities die ik heb geprobeerd zijn Spybot and Malwarebytes' Anti-Malware.

Verder heb ik uitgebreid gemaild met de makers van Spyware Doctor, een commercieel programma dat regelmatig hoog scoort bij allerlei tests. De adbcbebbefca.dll was nog niet bekend en is ook op het net nog niet te vinden. Door zo uitgebreid met jullie hulp dit kreng te bevechten heb ik veel waardevolle informatie aan hen door kunnen geven, waar anderen nu ook van kunnen profiteren.

Nogmaals dank voor je doorslaggevende hulp

zondag 20 juli 2008 10:08

Acties:

Har

Topicstarter

Verwijderd schreef op zaterdag 19 juli 2008 @ 22:43:
Als jij meer tijd kwijt bent met het herinstallen van zaken dan heb je gewoon geen recente backup. Weet je wat recent wil zeggen?

Je hebt nu een systeem waarvan je nimmer met zekerheid kunt zeggen dat er geen bestanden zijn aangetast. Je hebt een infectie gehad en die heb je verwijderd maar zekerheid over de integriteit heb je _niet_. Als je een schijf leeggooit en een image terug zet dan heb je meer zekerheid dan een gerepareerde installatie zoals nu.

HlpDsk, ik blijft het fundamenteel oneens met je. De beste methode om je systeem malware vrij te krijgen vind ik nog steeds een clean install van de C: schijf, gevolgd door de laatste updates van het OS en vervolgens een herinstallatie van alle applicaties. Daarna zet je natuurlijk je eigen databestanden terug.

Ik ben het niet met je eens dat het terugzetten van een image van de C: schijf minder kans geeft op het voortbestaan van malware dan de methode die ik in deze thread heb gevolgd. Waarom? Nou, ik maak voor het dagelijkse werk gebruik van NOD32 en SpyWare Doctor with Antivirus. Toen ik met andere utilities probeerde de adbcbebbefca.dll te verwijderen, vonden die en passant nog zo'n 5 a 10 andere malwares die dus zowel door NOD32 als Spyware Doctor waren gemist. Stel je voor dat ik mijn C: schijf vanuit een image had teruggezet, en ik had niet die extra utilities gedraaid, dan waren er dus mooi een aantal fraaie malwares met de backup weer keurig teruggekomen op mijn systeem.

Mijn conclusies uit deze hele exercitie:

1. Doe liever een clean install, dan het terugzetten van een C: image. Tenminste als je echt zeker wilt zijn.
2. Gebruik naast de main-stream anti-virus en anti-malware utilities ook regelmatig andere. Ik vermoed dat je er toch al gauw 3 tot 5 moet gebruiken om enigszins zeker te zijn dat je de meerderheid van de malware wel te pakken hebt.
3. Ondanks 2. hierboven heeft elk systeem op enig moment waarschijnlijk wel enige malware erop staan. Dit is een fact of life want de malware programmeurs en hun bestrijders spelen haasje over, zoals blijkt uit het feit dat die .dll van mij nog niet bekend was.
4. Het actief achter deze malware aangaan heeft mij weer wat geleerd over hoe dit soort dingen te werk gaan en wat je ertegen kunt doen. Bovendien heb ik de informatie aan Spyware Doctor kunnen doorgeven zodat hopelijk anderen er ook weer plezier aan kunnen beleven.
5. Verder overweeg ik een wat strakkere firewall te gaan gebruiken en een registry beschermer.

zondag 20 juli 2008 20:00

Acties:

Verwijderd

Als je liever een clean install doet dan had je heel dit topic niet hoeven te openen. Die gaat er namelijk om een bestaande installatie te 'redden'. En dat wil je niet. Tegenstrijdige informatie ..

[ Voor 7% gewijzigd door Verwijderd op 20-07-2008 20:04 ]

woensdag 30 juli 2008 16:25

Acties:

kaasaanfiets

Extreme Edition of koekoek

Toevallig kwam ik dit topic tegen toen ik aan het zoeken was op google.

HIJACKTHIS start bij mij ook niet op, ik zou niet weten hoe ik hem aan de praat krijg. ik zit hier met een flybook met het het "xp security centre" spryware gebeuren
tijdens het aanmelden van xp krijg ik als achtergrond:
Warning Spyware detected on your computer!
Install an antivirus or spyware remover to clean your computer.

hier: http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=189886
en hier: http://www.antispywareoff...m/showthread.php?p=364448

Staan wel goede oplossingen denk ik, alleen die executable files doen het niet allemaal (sommige wel sommige niet)
Hitman pro loopt al helemaal in de stres spyware blaster geeft bij het opstarten al foutmeldingen en kan niet updaten.

Hoe krijg ik hijackthis aan de praat?

woensdag 30 juli 2008 16:57

Acties:

Verwijderd

Kun je niet opstarten vanaf een ander gebruikersaccount. Admin of zo

En dan de gebruikelijke antispywaretools draaien. Spybot enz.

woensdag 30 juli 2008 23:05

Acties:

kaasaanfiets

Extreme Edition of koekoek

Verwijderd schreef op woensdag 30 juli 2008 @ 16:57:
Kun je niet opstarten vanaf een ander gebruikersaccount. Admin of zo

En dan de gebruikelijke antispywaretools draaien. Spybot enz.

Dat had ik al geprobeert, maar ik kon geen account aanmaken. (had iets met domein te maken)
maar ik zal morgen even verder naar kijken

donderdag 31 juli 2008 12:25

Acties:

Sassie

Heb je al geprobeerd om in de veilige modus op te starten en te scannen?

vrijdag 1 augustus 2008 16:13

Acties:

Petervanakelyen

koekoek2003nl schreef op woensdag 30 juli 2008 @ 16:25:
Toevallig kwam ik dit topic tegen toen ik aan het zoeken was op google.

HIJACKTHIS start bij mij ook niet op, ik zou niet weten hoe ik hem aan de praat krijg. ik zit hier met een flybook met het het "xp security centre" spryware gebeuren
tijdens het aanmelden van xp krijg ik als achtergrond:
Warning Spyware detected on your computer!
Install an antivirus or spyware remover to clean your computer.

hier: http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=189886
en hier: http://www.antispywareoff...m/showthread.php?p=364448

Staan wel goede oplossingen denk ik, alleen die executable files doen het niet allemaal (sommige wel sommige niet)
Hitman pro loopt al helemaal in de stres spyware blaster geeft bij het opstarten al foutmeldingen en kan niet updaten.

Hoe krijg ik hijackthis aan de praat?

Voor je eigen problemen kan je beter een eigen topic aan maken, dat is niet alleen beleefder voor de TS van dit topic, maar zo krijg je waarschijnlijk ook meer hulp.

Somewhere in Texas there's a village missing its idiot.

vrijdag 1 augustus 2008 16:22

Acties:

mr_obb

Lakse Perfectionist

HarrieFrericks schreef op vrijdag 18 juli 2008 @ 19:32:

Ik moet mijn vraag dus veranderen:

1. Hoe kill ik een .dll die door Winlogon wordt geladen?
2. Hoe verwijder ik een bestand dat door Winlogon wordt gelockt?

Ik gebruik hiervoor de tool KillBox. Dit verwijdert een gelockt bestand en zet hem in een backup-directory. Handig tooltje.

Pagina: 1

Reageer