Spyware kan niet gevonden worden, maar is wel actief

Een paar dagen geleden kreeg ik tijdens het surfen ineens een melding van AVG Free dat een virus geblokkeerd zou worden. Het bleek te gaan om "Digital protection" met zijn karavaan. Opmerkelijk omdat:

1. AVG free draait en een paar minuten geleden nog geupdate was. De helft werd gevonden, maar de rest werd gewoon doorgelaten.
2. Spybot S&D en Adware ook actief in de achtergrond draaide. In combinatie met een up-to-date Windows XP SP 3 met dat verouderde beveiligingstooltje van MS (ben de naam even kwijt, is nu uninstalled).
3. Ik op dat moment alleen op youtube zat en op geen enkele andere site. Ik een up-to-date versie van Opera gebruik en nooit op sites kom waar je iets dergelijks zou kunnen verwachten en ik al tijden niets geinstalleerd heb.
4. Ik het een uur later op een andere computer ook zonder enige rede kreeg. Toen met Firefox, Win7 (user account, geen admin), Avg Free, Spybot S&D (user account, geen admin).

Ik heb het volgende gedaan om het te verwijderen van beide computers:

• Rkill gedownload.
• Reboot in safe mode zonder networking.
• Rkill uitgevoerd.
• Volledige scan met Malwarebytes anti-malware en de troep verwijderd.
• Volledige scan met AVG Free (niets gevonden).
• Idem voor Spybot S&D (niets gevonden).
• Idem voor Ad-aware (niets gevonden).

Na rebooten leek alles weer te werken. Voor de zekerheid heb ik maar een licentie van Malwarebytes gekocht. Voor nog geen twee tientjes kun je er niet echt een buil aan vallen. Nadat ik de shield aangezet had werden er aan één stuk door IP's geblokkeerd. Honderden per uur terwijl met geen van bovenstaande programma's nog iets gevonden kon worden.

Ik heb toen gescand met:

• Bitdefender online (niets gevonden).
• Windows live one care (niets gevonden).
• F-secure online -> Een aantal cookies verwijderd.
• Housecall (niets gevonden).
• Hijackthis (niets bijzonders gevonden).

Verder heb ik mijn cache, temp, etc. weggegooid.

Het blokkeren van IP-adressen blijft echter gewoon doorgaan. Tevens wordt er om het uur ongeveer een scherm met een vreemde URL geopend. Het maakt niet uit welke browser ik dan open heb staan, het is bij allemaal zo, bij beide computers. Opera, Firefox en/of Iexplorer. In diegene die actief is wordt een nieuw tabblad geopend en er wordt naar een niet bestaande site gegaan. Een voorbeeld van de site vind je hieronder:

Dit soort links graag weglaten in de post

IP-adressen die worden geblokkeerd zijn er honderden. Het is minder geworden (nu 1 blokkade per kwartier in plaats van 100-en per minuut), maar het gaat nog wel door. Googlen op de IP-adressen of één van de urls heeft weinig zin, want er wordt nagenoeg niets gevonden.

Iemand suggesties?

[ Voor 3% gewijzigd door iisschots op 16-04-2010 10:56 ]

Dank voor de snelle reacties!

BoGhi
Ik krijg een hele lijst, voornamelijk mijn eigen IP-adressen (127.0.0.1, 192.168.2.2). Verder staat er in de lijst een rijtje met:

[::]:7 - [::]:0 - Listening - 1348
[::]:9 - [::]:0 - Listening - 1348
etc.

EDIT
Driver atapi.sys infected by TDSS rootkit. Volgens het tooltje zou het gecleaned worden bij reboot, maar na reboot krijg ik hetzelfde.

Op één computer werd bovenstaande rootkit dus gevonden, maar op de ander (met dezelfde problemen) niet..

Ik heb inmiddels ComboFix gedraaid. Deze heeft e.e.a. verwijderd, maar het probleem niet opgelost.

Dnomaid > TDSKiller. Ik zal deze in safe mode nog even proberen.

Lucky > Als laatste redmiddel. Wat bedoel je overigens met MBR?

[ Voor 9% gewijzigd door Verwijderd op 16-04-2010 11:12 ]

Een klein beetje offtopic, maar ik zit tegen wat deadlines aan te werken en nu alles opnieuw installeren is nog even niet aan de orde. Ik vroeg mij wel het volgende af:

1. Buiten dat het vervelend is, is eens per uur een venstertje wegklikken en IP-adressen automatisch laten blokkeren nog wel te doen. Maar loop ik verder nog bijzondere risico's? Even maar niet internetbankieren? Files extra backuppen? Iets anders?

2. Met AVG Free, Ad aware, S&D, Windows defender, MS Firewall, Router firewall, alles up to date, geen outlook en geen iexplorer heb ik mijzelf redelijk veilig gewaand. Niet dus. Zelf dacht ik er aan AVG in te ruilen voor Antivir, S&D mag blijven en MalwareBytes anti malware heeft nu Adaware en Windows defender vervangen. Zijn er nog andere maatregels die ik kan nemen?

3. Ik installeer zelden tot nooit software, heb alles legaal, download nooit warez, muziek, films, porno of wat dan ook. Waar heb ik deze rootkit vandaan?

Dnomaid > Die zal ik nog proberen, bedankt voor al jouw moeite, het wordt erg gewaardeerd.

Het probleem is nog niet verholpen. Vreemd is wel dat geen enkele scanner op Jotti een virus herkend in een van de bestanden.

Bedankt voor de replies.

Edit > Ik heb een legale pro versie, alhoewel dit misschien een mooi moment is om 7 eens aan te schaffen. Ik moet toch ooit met de tijd mee.

Baserk > Image is slim, ga ik doen. Hitman Pro had ik al geprobeerd, stond alleen niet in het lijstje. Volgens mij heb ik zo'n beetje alle scanners geprobeerd.

The_Mask > Avast ga ik nog proberen en anders toch binnenkort maar formatten.

Overigens nog een vraag. Hoe voorkom ik dit in de toekomst? Uitkijken, niets (onbetrouwbaars) downloaden e.d. deed ik al, alsmede software en anti-virus up-to-date houden. Misschien een gast account aanmaken of iets dergelijks? Ik heb daar niet zo veel verstand van. Ik wil eigenlijk gewoon alles installeren dat ik nodig heb en dan het account locken ofzo.

[ Voor 30% gewijzigd door Verwijderd op 20-04-2010 10:46 ]

Baserk > Bedankt voor de uitgebreide tips! Ik gebruik zelf Opera, omdat ik dat fijner vind werken fan FF e.d. Nou dacht ik de Opera een behoorlijk veilige browser was. Klopt dat, of zou FF qua veiligheid beter zijn? Noscript vind ik wat lastig aangezien ik zelf behoorlijk veel script.

Het is weg!

Ik heb echt alles geprobeerd: Al die scanners uit de startpost plus inmiddels TDSSKiller, Combofix, Rootrepeal, Blacklight, Hitman Pro, GMER, Windows Malicious Software Removal Tool, Antivir_Rootkit, AVG Anti-Rootkit, RU-Botted, Panda Activescan, CWShredder, Rootkitbuster, Prevx, etc.

Sommigen hadden bij voorbaat al geen zin, maar de meeste tools hoef je niet te installeren en geen van allen kan kwaad.

Na bovenstaande lijst had ik nog één keer gegoogled. Er was een site die "DR Web Cure it" adivseerde. Verder vond ik van Sophos ook nog een anti rootkit scanner. Als dit niet zou werken zou ik alles opnieuw installeren. Maar het werkte dus wel. Beiden haalden een hoop zooi weg die geen enkel ander programma zag of weg kreeg. Beide zijn gratis en kan ik dan dus ook zeker aanbevelen wanneer je last hebt van een rootkit of andere malware.

[ Voor 7% gewijzigd door Verwijderd op 27-04-2010 10:11 ]