Laptop verzend massa's spam - Privacy en beveiliging

zondag 28 september 2008 11:39

Acties:

Master of the Edit-button

Topicstarter

Een tijdje terug is de laptop van m'n vriendin geinfecteer geraakt met spyware en wat virussen.
Nu heb ik de machine toen helemaal schoon geveegd met Spybot Search&Destroy, Avast Antivirus en Process Explorer
Alles leek goed, maar ze nam het ding weer mee en hoewel het meeste weg blijkt te zijn is er toen ze thuis kwam toch nog weer iets opgedoken.

Avast heeft een uitgaande email scanner (sensitivity op high) en die komt constant met meldingen over suspicious messages. In de system tray (bij de klok) staat ook constant een icoontje die niet van een van haar programma's is.
Zodra haar netwerkverbinding ge-disabled wordt verdwijnt het, wanneer ze verbinding maakt issie er weer.
Meestal is er ook een proces te vinden dan een nummer.exe is, maar die is er schijnbaar niet altijd.
Alssie er is, dan is het genoeg om dat proces te killen en de lokatie van de exe op te zoeken en te deleten. Uiteindelijk komt dat dan toch weer terug en begint de boel weer.

Helaas kan ik niks meer vinden met Avast Antivirus en Spybot. Heeft iemand toevallig tips wat ik nog kan proberen?

Iemand een Tina2 in de aanbieding?

zondag 28 september 2008 11:43

Acties:

lier

MikroTik nerd

Tja...tips...

Scannen met alles waar je aan kan komen ?
Herinstallatie ?

Eerst het probleem, dan de oplossing

zondag 28 september 2008 11:43

Acties:

RedHat

Dit soort virussen zijn er in heel veel soorten / maten.
Misschien disabled het je virusscanner wel (al dan niet zichtbaar).

Ook verwijderen heeft geen zin want hij reproduceerd zichzelf.

Vaak is de beste oplossing dan ook clean install. Dit soort systemen zijn vaak niet meer te vertrouwen als je geen goede 'fix' kan vinden. Een goede fix kun je vaak alleen vinden als je de naam van het virus weet. Maar dit soort virussen zijn er in heel veel soorten en maten volgens mij.

Misschien dat andere tweakers een oplossing hebben. Ik ben benieuwd.

zondag 28 september 2008 11:44

Acties:

Cave_Boy

Vaak zitten dit soort virussen lekker diep in je Windows register en ben je er vaak sneller en beter af om te schoon schippen.

Het komt vaak voor dat een virus niet meer gevonden wordt omdat deze dan zichzelf onzichtbaar maakt voor de virusscanner.

Wat je kan doen is nog eens kijken welk virus het is daar de verwijder handleding van zoeken en dan in de veilige modus alles nalopen.

Was wat traag...

zondag 28 september 2008 11:44

Acties:

strandbal

Was het maar zo'n feest.

Allereerst: Pas op met dat ding aan het netwerk hangen. Providers vinden het nooit zo fijn als jij massa's spam verstuurt, en zouden je automatisch kunnen blokkeren. (XS4all bijvoorbeeld doet dit).

Verder: Kijk met Sysinternals Autoruns eens of je verdachte opstartprogramma's tegenkomt. Processen die je niet vertrouwt kun je door http://virusscan.jotti.org heenhalen en eventueel verwijderen.

Hier stond een dode link.

zondag 28 september 2008 11:45

Acties:

McKaamos

Master of the Edit-button

Topicstarter

Het probleem is dat er geen tijd is voor een clean install. Ze heeft het ding nodig voor school, morgen moet het ding weer met haar mee naar huis.

Edit:
Sja, ik kan zelf poort26 wel even blokkeren op m'n server. Das niet zo'n probleem

[ Voor 24% gewijzigd door McKaamos op 28-09-2008 11:47 ]

Iemand een Tina2 in de aanbieding?

zondag 28 september 2008 11:47

Acties:

Knaak

It's me, Mario!

Documenten backuppen en format/recovery gebruiken? Als je zelf al aangeeft dat het verwijderen, scannen etc niets uithaalt zal het probleem toch wel wat ingewikkelder zijn.

Als het "process" nu een gewoone naam zou hebben kan je erop los googlen, maar in dit geval lijkt het me zinloos.

[edit] Als hij morgen al weer gebruikt moet worden, is het dan geen optie om nu alvast alles te backuppen.. mocht het dan verder misgaan heb je iig je documenten en kan je later format C:/ doen.

[ Voor 25% gewijzigd door Knaak op 28-09-2008 11:49 ]

zondag 28 september 2008 11:47

Acties:

lier

MikroTik nerd

McKaamos schreef op zondag 28 september 2008 @ 11:45:
Het probleem is dat er geen tijd is voor een clean install. Ze heeft het ding nodig voor school, morgen moet het ding weer met haar mee naar huis.

Dus...in plaats van advies aan te nemen ga je hier eisen stellen. Even duidelijk: het is het probleem van je vriendin (en dus van jou). Als hierboven meerdere malen een herinstallatie genoemd wordt, is dat omdat deze mensen ervaring hebben met dit soort situaties. Een herinstallatie kost helemaal niet zo veel tijd, volgens mij moet je hem morgen zo compleet schoon aan je vriendin mee kunnen geven.

Eerst het probleem, dan de oplossing

zondag 28 september 2008 11:51

Acties:

Knaak

It's me, Mario!

lier schreef op zondag 28 september 2008 @ 11:47:
[...]

Dus...in plaats van advies aan te nemen ga je hier eisen stellen. Even duidelijk: het is het probleem van je vriendin (en dus van jou). Als hierboven meerdere malen een herinstallatie genoemd wordt, is dat omdat deze mensen ervaring hebben met dit soort situaties. Een herinstallatie kost helemaal niet zo veel tijd, volgens mij moet je hem morgen zo compleet schoon aan je vriendin mee kunnen geven.

Inderdaad, even een 2-10 dvd's branden met all het noodzakelijke wat je wilt bewaren duurt hooguit een uur. Daarnaast kost herinstall + updates van WinXP zo'n 2,5uur. Daarna kan je alle programma's + goede scanner erop gooien en dan pas, voorzichtig alle documenten terug zetten.

zondag 28 september 2008 11:51

Acties:

DataGhost

iPL dev

Je kan met process explorer zien door welk proces dat nummer.exe gestart wordt.

zondag 28 september 2008 11:51

Acties:

McKaamos

Master of the Edit-button

Topicstarter

lier schreef op zondag 28 september 2008 @ 11:47:
[...]

Dus...in plaats van advies aan te nemen ga je hier eisen stellen. Even duidelijk: het is het probleem van je vriendin (en dus van jou). Als hierboven meerdere malen een herinstallatie genoemd wordt, is dat omdat deze mensen ervaring hebben met dit soort situaties. Een herinstallatie kost helemaal niet zo veel tijd, volgens mij moet je hem morgen zo compleet schoon aan je vriendin mee kunnen geven.

Ja, ik ga eissen stellen.
Er is simpelweg geen tijd voor een clean install, dus wil ik tips hoe ik die troep er af kan krijgen. Dat is ook waar ik om heb gevraagd.

Daarnaast is een re-install geen advies, maar een atoombom op een probleem dat vast wel anders opgelost kan worden.
En ja, een re-install kost wel zoveel tijd, want ik zou dan naar het andere eind van het land moeten gaan om haar Windows CD op te halen. Daarnaast staat er erg veel software op die opnieuw geinstalleerd zou moeten worden, plus een netwerk access tool van haar school die ik niet bij de hand heb.

Iemand een Tina2 in de aanbieding?

zondag 28 september 2008 11:52

Acties:

kamstra

ipso iure

hoe lang kan je over een clean install doen...t is zondagochtend man

2 uurtjes werk en je hebt weer een fatsoenlijk werkende klapjap...

Huh..?? Neuh...bedankt | Qui habet aures audiendi audiat

zondag 28 september 2008 11:53

Acties:

McKaamos

Master of the Edit-button

Topicstarter

kamstra schreef op zondag 28 september 2008 @ 11:52:
hoe lang kan je over een clean install doen...t is zondagochtend man

2 uurtjes werk en je hebt weer een fatsoenlijk werkende klapjap...

Dus even voor de duidelijkheid:

Clean install is geen optie ivm bovengenoemde redenen

DataGhost schreef op zondag 28 september 2008 @ 11:51:
Je kan met process explorer zien door welk proces dat nummer.exe gestart wordt.

Interessant, dan moet ik ff kijken waar die optie zit... Thanks!

[ Voor 27% gewijzigd door McKaamos op 28-09-2008 11:55 ]

Iemand een Tina2 in de aanbieding?

zondag 28 september 2008 11:54

Acties:

kamstra

ipso iure

ok, whatever...
in dat geval: hijackthis etc eroverheen, online scan, is t dan nog niet weg...pech gehad

Huh..?? Neuh...bedankt | Qui habet aures audiendi audiat

zondag 28 september 2008 11:56

Acties:

DataGhost

iPL dev

McKaamos schreef op zondag 28 september 2008 @ 11:53:
[...]

Interessant, dan moet ik ff kijken waar die optie zit... Thanks!

Mja, dat is dus een apart tooltje he, niet zomaar taakbeheer ofzo. Standaard zie je een soort van 'tree' van processen en daarmee is het vrij snel duidelijk.

zondag 28 september 2008 13:48

Acties:

McKaamos

Master of the Edit-button

Topicstarter

DataGhost schreef op zondag 28 september 2008 @ 11:56:
[...]

Mja, dat is dus een apart tooltje he, niet zomaar taakbeheer ofzo. Standaard zie je een soort van 'tree' van processen en daarmee is het vrij snel duidelijk.

Ja, process explorer toch? die ken ik wel, ff zoeken waar die functie zit iig.

Iemand een Tina2 in de aanbieding?

maandag 29 september 2008 14:46

Acties:

lier

MikroTik nerd

Ben toch wel benieuwd of je vriendin vandaag met een schone laptop naar school kon...

Eerst het probleem, dan de oplossing

maandag 29 september 2008 14:48

Acties:

McKaamos

Master of the Edit-button

Topicstarter

Nope, helaas. Ik heb uiteindelijk terug kunnen tracen naar services.exe en kwam daar niet meer verder, helaas

Iemand een Tina2 in de aanbieding?

maandag 29 september 2008 14:53

Acties:

Verwijderd

je zegt dat er geen tijd is voor een herinstallatie , maar als je vriendin de laptop mee naar school neemt, en um daar aan het netwerk hangt en probeert spam te versturen dan zal ze toch een keer op het matje moeten komen, je zal de afweging moeten maken, als je laptop crasht dan moet je ook helemaal opnieuw beginnen

maandag 29 september 2008 15:04

Acties:

Sassie

Zoals al eerder geopperd in dit topic: kijk eens even of je via Process Explorer iets kunt vinden of maak anders een log met hijackthis (je kunt het als eerste schifting al laten analyseren op www.hijackthis.de, als je er verder dan niet uitkomt kun je je log ook hier posten). Wanneer je verdachte bestanden/processen op het spoor bent: laat ze dan analyseren door http://virusscan.jotti.org of http://www.virustotal.com/.

[ Voor 17% gewijzigd door Sassie op 29-09-2008 15:06 ]

maandag 29 september 2008 15:05

Acties:

Noork

Kun je niet even een portscan doen? Wellicht staat er een leuk proxy geval op geinstalleerd.

maandag 29 september 2008 15:23

Acties:

McKaamos

Master of the Edit-button

Topicstarter

Racer, ik kan geen re-install doen. Ik heb de CD niet.

Hijack This levert niks op, portscan niet gedaan maar wel Netstat gebruikt om processen te achterhalen.
Komende week komt de CD mee en dan install ik opnieuw.
Afgelopen weekend was re-install iig geen optie ivm afwezigheid CD.

Iemand een Tina2 in de aanbieding?

maandag 29 september 2008 15:27

Acties:

trinite_t

Als er een Windows productcode onder op laptop staat (volgens mij op alle laptops met windows), dan kun je gewoon een "illegaal" gedownloade versie gebruiken voor de (legale) installatie, zorg alleen dat je dan geen corporate versie download.

The easiest way to solve a problem is just to solve it.

maandag 29 september 2008 15:33

Acties:

Snake

Los Angeles, CA, USA

-leer lezen-

[ Voor 96% gewijzigd door Snake op 29-09-2008 15:42 ]

Going for adventure, lots of sun and a convertible! | GMT-8

maandag 29 september 2008 15:40

Acties:

trinite_t

offtopic:
Daarom zei ik ook GEEN corporate

,
die werkt namelijk niet met de code onder op de laptop. Maar circuleren wel veel in het illegale cirquit.

[ Voor 8% gewijzigd door trinite_t op 29-09-2008 15:42 ]

The easiest way to solve a problem is just to solve it.

maandag 29 september 2008 15:59

Acties:

McKaamos

Master of the Edit-button

Topicstarter

Mjah, dat had misschien een kopietje wel had voldaan, maar je komt regelmatig versies tegen die zijn aangepast met b.v. nLite. Daar heb ik dan weer geen trek in.
Ik heb destijds (ongeveer een jaar terug) ook wel een install schijfje gemaakt met nLite met alle drivers er in. Scheelt een hoop tijd bij een re-install, maja die zit bij de originele disk in het hoesje en de image heb ik niet meer.

Anyway, het moet nu maar even wachten helaas.

Iemand een Tina2 in de aanbieding?

maandag 29 september 2008 19:19

Acties:

Charlie932

Haal er ook even Anti Malware overheen. Wel eerst de defs updaten tijdens de setup!

Het leven is net een dolfijn...... meestal dol, maar soms ook fijn.

maandag 29 september 2008 21:12

Acties:

FezzFest

Dus download eventjes HijackThis op je bureaublad, start het programma op, accepteer de licentie, en klik op 'Do a system scan and save a logfile'.

Na een scan van ongeveer eenminuut, zal er uiteraard een logje tevoorschijn komen.
Als je bang bent om hem op internet aan te sluiten steek je er een memorystick, cd, dvd, diskette, whatever in en zet je de logfile over naar een andere PC.

Als het waar is dat het virus de virusscanner uitzet, start dan eens op met een Live CD met Linux, en installeer er een virusscanner in, en laat die scannen.

Je kan ook een LiveCD met ingebouwde virusscanner gebruiken, zoals deze van BitDefender. Of installeer ClamAV in bv. Ubuntu.

Voor verdachte bestanden bestaan er nog VirusTotal en Jotti's Malware Scan.

Voor online scanners, kijk naar bv. TrendMicro HouseCall en Kasperky Online Scanner.

Hoop dat je er iets mee bent.