Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[XP] Malware heeft restanten achtergelaten ofzo.

Pagina: 1
Acties:

donderdag 7 mei 2009 13:05

Acties:
  • Dekar3
  • Registratie: November 2008
  • Laatst online: 14-11 02:01

Dekar3

Topicstarter
Ik had gisteren wat malware verwijderd wat zich voordeed als windows bestanden. Maar nu zit ik te kijken in Hijackthis en zie ik daar 2 entries nog wat er niet thuis hoort volgens mij.
1. O23 - Service: Automatisch Updates (wuauserv) - Unknown owner - C:\WINDOWS\
2. O23 - Service: Intelligente achtergrondsoverdrachtservice (BITS) - Unknown owner C:\WINDOWS\
Ik had al geprobeerd deze entries te verwijderen, maar ze bleven terugkomen zelfs in Veilige Modus.
Overigens heb ik ook op andere Windows XP computers gekeken en daar waren deze entries niet te vinden. Automatische updates zelf staat ook uit trouwens.

Enig idee of het kwaad kan? De malware bestanden zelf zijn al weg, maar deze entries wil ik het liefst ook kwijt zijn als het inderdaad kwaadaardige entries zijn.

donderdag 7 mei 2009 13:09

Acties:
  • Herko_ter_Horst
  • Registratie: November 2002
  • Niet online

Herko_ter_Horst

N.m.

[ Voor 91% gewijzigd door Herko_ter_Horst op 07-05-2009 13:09 ]

"Any sufficiently advanced technology is indistinguishable from magic."

donderdag 7 mei 2009 13:11

Acties:
  • FireDrunk
  • Registratie: November 2002
  • Laatst online: 29-11 11:17

FireDrunk

Probeer eens een volledige pc scan met Malwarebytes Anti-Malware. Dat programma haalt bij mij echt alle restanten weg...

Even niets...

donderdag 7 mei 2009 13:14

Acties:
  • Dekar3
  • Registratie: November 2008
  • Laatst online: 14-11 02:01

Dekar3

Topicstarter
Yup, heb ik al gedraaid, die vind geen bestanden meer. Alleen die 2 entries krijg ik niet weg.

Ik heb net ook even in services gekeken.

Automatische Updates is gelinkt naar een uitvoerbaar bestand:
%fystemroot%\system32\scvhost.exe -k netscvs
(fystemroot is geen typfout. Het staat er echt zo)
De intelligente achtergrondsoverdrachtservice linkt ook daar naar toe.

Het is wel duidelijk dat die 2 dingen verandert zijn. Maar wat ik ook doe, ik krijg de melding dat ik geen toegang heb. Zelfs in veilige modus.

[ Voor 5% gewijzigd door Dekar3 op 07-05-2009 13:15 ]

donderdag 7 mei 2009 13:15

Acties:
  • ds75
  • Registratie: December 2002
  • Niet online

ds75

*oops , te laat*

[ Voor 90% gewijzigd door ds75 op 07-05-2009 13:15 ]

donderdag 7 mei 2009 13:18

Acties:
  • Dekar3
  • Registratie: November 2008
  • Laatst online: 14-11 02:01

Dekar3

Topicstarter
Voordat ik het vergeet, hier zijn de infecties die Malwarebytes gisteren gevonden had:
Worm.Koobface
Trojan.Agent
Trojan.Vundo
Trojan.Vundo.H
Trojan.BHO
Het kwam echt heel snel binnen op de computer en binnen een paar minuten zat de Windows folder en weet ik veel wat al vol met die bestanden. Maar malwarebytes heeft het volledig opgeschoond en de bestanden verwijdert. (ook virusscanner gedraaid)

Maar toch is het duidelijk nog niet volledig weg. Alleen kan ik verder zelf niks doen eraan nu. Daarom probeer ik er nu dus achter te komen om dit te fixen.

[ Voor 15% gewijzigd door Dekar3 op 07-05-2009 13:19 ]

donderdag 7 mei 2009 13:26

Acties:
  • Icephase
  • Registratie: Mei 2008
  • Laatst online: 21:09

Icephase

Alle generalisaties zijn FOUT!

Dekar3 schreef op donderdag 07 mei 2009 @ 13:14:
Yup, heb ik al gedraaid, die vind geen bestanden meer. Alleen die 2 entries krijg ik niet weg.

Ik heb net ook even in services gekeken.

Automatische Updates is gelinkt naar een uitvoerbaar bestand:

[...]


(fystemroot is geen typfout. Het staat er echt zo)
De intelligente achtergrondsoverdrachtservice linkt ook daar naar toe.

Het is wel duidelijk dat die 2 dingen verandert zijn. Maar wat ik ook doe, ik krijg de melding dat ik geen toegang heb. Zelfs in veilige modus.
Normaal gesproken is het ook svchost.exe en niet scvhost.exe zoals in jouw quote. Misschien heb je daar nog iets aan? Het lijkt inderdaad op spy-/malware of een virus...

donderdag 7 mei 2009 13:32

Acties:
  • Dekar3
  • Registratie: November 2008
  • Laatst online: 14-11 02:01

Dekar3

Topicstarter
Lijkt erop dat zelfs m'n Administror rechten zijn aangepast ofzo. Ik kan totaal niks veranderen eraan. Behoorlijk hardnekkig virus. Als het zo door gaat kan ik net zo goed gewoon Windows opnieuw installeren volledig.

donderdag 7 mei 2009 13:36

Acties:
  • Herko_ter_Horst
  • Registratie: November 2002
  • Niet online

Herko_ter_Horst

Lijkt me verstandig.

"Any sufficiently advanced technology is indistinguishable from magic."

donderdag 7 mei 2009 13:38

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Nu online

_JGC_

Je kunt combofix nog proberen, vervolgens nogmaals nascannen met malwarebytes anti-malware en evt Avira. Heb nog geen PC gezien die ik niet schoongekregen heb met die 3.

donderdag 7 mei 2009 13:45

Acties:

Verwijderd

De TS heeft Hijackthis gebruikt (begrijp ik). Waren er geen bestandsnamen genoemd bij de 2 O23 "fouten"? Zover ik zie hoort Windows Update en BITS gewoon in Windows. Onder O23, services.

[edit]Beetje Spaanse les :P http://forum.softpedia.co...on/index.php/t506438.html
Dezelfde symptomen alleen gecombineerd met anderen. De rest van je Log lijkt me interessanter dus aleer we kunnen zien of er echt een probleem is :P

[ Voor 39% gewijzigd door Verwijderd op 07-05-2009 13:49 ]

donderdag 7 mei 2009 13:48

Acties:
  • Dekar3
  • Registratie: November 2008
  • Laatst online: 14-11 02:01

Dekar3

Topicstarter
Ok ik heb de entries handmatig gefixed in het register nu. (De %fystemroot% en scvhost entries) die staan nu weer goed. Nu moet ik alleen nog de machtigingen volledig herstellen voor het register, want een van mijn accounts heeft totaal geen toegang nu.

Is er een manier om een gebruiker volledig toegang te geven tot het register? Zonder dat je het 1 voor 1 moet doen voor elke sleutel.

Ik zal ook nog een keer Malwarebytes scannen. (Avira staat al te scannen)
De TS heeft Hijackthis gebruikt (begrijp ik). Waren er geen bestandsnamen genoemd bij de 2 O23 "fouten"? Zover ik zie hoort Windows Update en BITS gewoon in Windows. Onder O23, services.
klopt. Normaal gesproken hoort het normaal te zijn. Maar %fystemroot betekent dat het verandert is door een virus. Malwarebytes heeft de bestanden al verwijderd, maar de schade is er nog. Dat probeer ik dus nu te herstellen. Voor een groot gedeelte is het nu al gelukt, maar mijn Administrator rechten in het register moeten nu nog gefixt worden voor een account.

[ Voor 38% gewijzigd door Dekar3 op 07-05-2009 13:50 ]

donderdag 7 mei 2009 13:58

Acties:

Verwijderd

Ik had gewoon de belangrijkste post gemist :S Rare verwijzing naar zeker een virus of dergelijk. Zolang je de verwijzingen in je registry maar naar de goede files laat verwijzen. De rest van de Log kan nog interessant zijn ondanks dat je zelf de zekerheid hebt dat dat geen probleem kan zijn.

Wat zowieso interessant voor je zal zijn is de echte folder; in een Dos prompt "echo %fystemroot%" doen. Ik ben benieuwd. Btw, Google helpt denk ik.
Succes.

[ Voor 10% gewijzigd door Verwijderd op 07-05-2009 14:00 ]

donderdag 7 mei 2009 14:21

Acties:
  • Dekar3
  • Registratie: November 2008
  • Laatst online: 14-11 02:01

Dekar3

Topicstarter
Naja. Ik had net alles goed gezet, maar nu zijn alle rechten weer veranderd en is het weer teruggezet naar %fystemroot.

Ik ga wel formatteren. Dit virus zit echt veel te diep in het systeem.

[ Voor 30% gewijzigd door Dekar3 op 07-05-2009 14:29 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq