Toon posts:

Virus? rootkit? Of is Windows raar aan het doen?

Pagina: 1
Acties:

vrijdag 18 juni 2010 11:24

Acties:
  • NitroX infinity
  • Registratie: Januari 2002
  • Laatst online: 00:42

NitroX infinity

Topicstarter
Sinds gisteren heb ik problemen, waar ze vandaan komen weet ik niet; geen rare sites ofzo bezocht of op een andere manier afgeweken van mijn surfgedrag.

Symptomen:
- iexplore.exe staat twee tot drie keer als proces in taakbeheer, niet onder mijn gebruikersnaam maar als SYSTEM. Wanneer ik deze beëindig komen ze vanzelf terug (IE is niet mijn standaard browser).
- Het geluid wordt uitgezet. Als ik het weer aanzet via volumeregeling dan wordt het na een poosje automatisch weer uitgezet.

Scannen met Housecall van TrendMicro levert 2 rootkits op; smss.exe en services.exe in C:\System Volume Information\Microsoft\.

Na het repareren van deze twee rootkits kan ik de iexplore.exe's beëindigen zonder dat ze terugkomen en het volume wordt ook niet meer aangepast.

Herstart ik de computer echter, dan is de boel weer terug.

HijackThis log;
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:10:47, on 18-6-2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\System Volume Information\Microsoft\services.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\System Volume Information\Microsoft\smss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\ATI\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\ATI\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - c:\program files\shareaza\razawebhook32.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinBar] C:\Program Files\WinBar\WinBar.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Download with &Shareaza - res://c:\program files\shareaza\razawebhook32.dll/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe

--
End of file - 4846 bytes

Wie herkent deze problemen en kan mij helpen aan een oplossing?

Graphene; a material that can do everything, except leave the lab. - Asianometry

vrijdag 18 juni 2010 11:29

Acties:
  • Raven
  • Registratie: November 2004
  • Niet online

Raven

Marion Raven fan

Heb je al bij msconfig (tab opstarten) gekeken wat er allemaal opgestart wordt?
Je kan daar ook even alles uitvinken en kijken of dat helpt, dan alles 1 voor 1 weer aanvinken en dan vind je hopelijk de boosdoener :)

[ Voor 57% gewijzigd door Raven op 18-06-2010 11:30 ]

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde

vrijdag 18 juni 2010 11:36

Acties:
  • NitroX infinity
  • Registratie: Januari 2002
  • Laatst online: 00:42

NitroX infinity

Topicstarter
Ik zie daar zo niets vreemds bij staan. Alles uitvinken en 1 voor 1 weer aanvinken is mij iets teveel werk en bewaar ik wel voor de op-een-na-laatste mogelijkheid (laatste is herinstalleren van Windows).

Graphene; a material that can do everything, except leave the lab. - Asianometry

vrijdag 18 juni 2010 11:38

Acties:
  • The_Greater
  • Registratie: Februari 2001
  • Laatst online: 11-11 14:09

The_Greater

Stuur de volgende bestand(en) eens op naar de onderliggende links :
C:\System Volume Information\Microsoft\services.exe
C:\System Volume Information\Microsoft\smss.exe
- eventueel ook deze -
C:\WINDOWS\system32\services.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE

En laat deze scannen :
http://virusscan.jotti.org/nl
http://analysis.avira.com/samples/index.php

Installeer ook even de free version van Avira.

Working in the IT : "When you do things right, people won't be sure you've done anything at all"

vrijdag 18 juni 2010 11:38

Acties:
  • Xaero
  • Registratie: November 2007
  • Laatst online: 12-11 10:35

Xaero

NitroX infinity schreef op vrijdag 18 juni 2010 @ 11:36:
Ik zie daar zo niets vreemds bij staan. Alles uitvinken en 1 voor 1 weer aanvinken is mij iets teveel werk en bewaar ik wel voor de op-een-na-laatste mogelijkheid (laatste is herinstalleren van Windows).
Gewoon alles uit mikken. Kijken of het probleem dan weg is. Weet je in ieder geval zien waar het probleem zich ongeveer afspeelt :)

vrijdag 18 juni 2010 11:38

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 12-11 13:09

DiedX

NitroX infinity schreef op vrijdag 18 juni 2010 @ 11:36:
Ik zie daar zo niets vreemds bij staan. Alles uitvinken en 1 voor 1 weer aanvinken is mij iets teveel werk en bewaar ik wel voor de op-een-na-laatste mogelijkheid (laatste is herinstalleren van Windows).
je kan aangeven dat je alle non-MS zaken wil hebben? :?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

vrijdag 18 juni 2010 11:45

Acties:
  • NitroX infinity
  • Registratie: Januari 2002
  • Laatst online: 00:42

NitroX infinity

Topicstarter
The_Greater schreef op vrijdag 18 juni 2010 @ 11:38:
Stuur de volgende bestand(en) eens op naar de onderliggende links :
C:\System Volume Information\Microsoft\services.exe
C:\System Volume Information\Microsoft\smss.exe
- eventueel ook deze -
C:\WINDOWS\system32\services.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE

En laat deze scannen :
http://virusscan.jotti.org/nl
http://analysis.avira.com/samples/index.php
Dat werkt dus niet want je mag van Windows niet in die map kijken. Ook niet in safe mode.

Graphene; a material that can do everything, except leave the lab. - Asianometry

vrijdag 18 juni 2010 11:48

Acties:
  • Xaero
  • Registratie: November 2007
  • Laatst online: 12-11 10:35

Xaero

NitroX infinity schreef op vrijdag 18 juni 2010 @ 11:45:
[...]
Dat werkt dus niet want je mag van Windows niet in die map kijken. Ook niet in safe mode.
Heb je hier iets aan?:))

vrijdag 18 juni 2010 11:59

Acties:
  • The_Greater
  • Registratie: Februari 2001
  • Laatst online: 11-11 14:09

The_Greater

NitroX infinity schreef op vrijdag 18 juni 2010 @ 11:45:
[...]
Dat werkt dus niet want je mag van Windows niet in die map kijken. Ook niet in safe mode.
Je kunt er rechten op zetten dat je het wel in de map mag?

Working in the IT : "When you do things right, people won't be sure you've done anything at all"

vrijdag 18 juni 2010 12:07

Acties:
  • NitroX infinity
  • Registratie: Januari 2002
  • Laatst online: 00:42

NitroX infinity

Topicstarter
Okee, rechten heb ik aangezet en de bestanden gescand.

Eigenschappen van de bestanden zelf;

Beschrijving: File Loader
Copyright: Copyright (C) 2008 Black Internet, Inc.
Oorspronkelijke bestandsnaam: Loader.exe

Er staan bij de eigenschappen op het tabblad 'versie' twee entries genaamd 'Bible' welke de volgende waarden hebben:
15:12 And when the sun was going down, a deep sleep fell upon Abram;and, lo, an horror of great darkness fell upon him.
25:19 And these are the generations of Isaac, Abraham's son: Abrahambegat Isaac: 25:20 And Isaac was forty years old when he took Rebekahto wife, the daughter of Bethuel the Syrian of Padanaram, the sisterto Laban the Syrian.
Via jotti.org krijg ik de volgende resultaten:
AVG: Downloader.Generic9.CDFL
AntiVir: TR/Click.Cycler.ajsx.1
F-Secure: Trojan-Clicker.Win32.Cycler.ajsx
Kaspersky: Trojan-Clicker.Win32.Cycler.ajsx
NOD32: Win32/TrojanDownloader.Unruy.BT

de rest vindt niets.

Enig idee waar ik nou precies mee te maken heb? (En wat is de beste manier om het te verwijderen?)

Graphene; a material that can do everything, except leave the lab. - Asianometry

vrijdag 18 juni 2010 12:08

Acties:
  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

Ik zeg trojan-clicker. download maar removal tool.

All-Round nerd | iRacing Profiel

vrijdag 18 juni 2010 14:24

Acties:
  • NitroX infinity
  • Registratie: Januari 2002
  • Laatst online: 00:42

NitroX infinity

Topicstarter
Ik heb met 2 verschillende virusscanners gescand (Housecall, AVG) maar het enige wat ze vinden zijn die twee bestanden. Ze zijn te verwijderen maar komen na een herstart weer terug. Een derde virusscanner vind niets (Nod32).

Hoe los ik dit op?

Graphene; a material that can do everything, except leave the lab. - Asianometry

vrijdag 18 juni 2010 14:26

Acties:
  • Releases
  • Registratie: Maart 2009
  • Laatst online: 07:56

Releases

Ja maar!

Waar je waarschijnlijk mee te maken heb is een server.exe gelinkt aan een botnet client ofte wel een RAT (Remote Administartion Tool) Persoonlijk zou ik gewoon een herinstall doen, even een goede backup trekken en opnieuw installeren. De meest veiligste oplossing.

vrijdag 18 juni 2010 14:30

Acties:
  • Sebas1979
  • Registratie: Juni 2004
  • Laatst online: 08:19

Sebas1979

misschien stomme vraag, maar ipv een herstart na het weghalen al je PC eens een minuutje uit laten staan? troep verstopt zich misschien (ook) in je ram?

vrijdag 18 juni 2010 14:33

Acties:
  • TaraWij
  • Registratie: December 2007
  • Laatst online: 08-02 18:37

TaraWij

In veilige modus met netwerkondersteuning met AutoRuns onvertrouwbare dingen uitvinken zou ook moeten volstaan. Pas hier wel op wat je doet want in tegenstelling tot HijackThis geeft dit echt alles aan, je kan wel verificatie gebruiken wat het al heel wat aangenamer maakt om door de lijst te gaan.
Sebas1979 schreef op vrijdag 18 juni 2010 @ 14:30:
misschien stomme vraag, maar ipv een herstart na het weghalen al je PC eens een minuutje uit laten staan? troep verstopt zich misschien (ook) in je ram?
Dit gaat geen verschil geven, je mag er zeker van zijn dat er bij het opstarten geen invloed is van enige waarden die nog in het RAM zitten.

[ Voor 49% gewijzigd door TaraWij op 18-06-2010 14:38 ]

vrijdag 18 juni 2010 15:01

Acties:
  • NitroX infinity
  • Registratie: Januari 2002
  • Laatst online: 00:42

NitroX infinity

Topicstarter
De enige server.exe die op m'n schijf staat is van Pinnacle (TV kaart) en die vertrouw ik.

Autoruns heeft niet geholpen en Housecall vindt die bestanden nou ineens niet meer gevaarlijk :(

Graphene; a material that can do everything, except leave the lab. - Asianometry

vrijdag 18 juni 2010 15:04

Acties:
  • wjjkoevoets
  • Registratie: April 2006
  • Laatst online: 01-11 13:43

wjjkoevoets

Brabants Gedrocht

Dit probleem komt de laatste tijd steeds vaker voor. Vroeger waren botnet executeables een stuk vriendelijker in de zin dat ze niet zo lastig waren en de boel niet compleet overhoop haalden. Tegenwoordig zijn ze een stuk agressiever en vertonen vaak de door jou genoemde problemen. Het probleem is dat systeemprocessen vaak worden geïnfecteerd, wat in mijn ogen (wat virusscanners ook zeggen), onherstelbare schade in Windows veroorzaakt. Virusscanners kunnen die files wel cleanen, maar het blijft een brakke zooi. Je krijgt dus bestanden van Windows (vaak explorer.exe/iexplore.exe) die de echte rotzooi aansturen.

Mooi display heb ik hiervan gezien op mijn test computertje waar ik deze meuk altijd op los laat. Allereerst werden Internet Explorer en Firefox zorgvuldig gehijacked. Explorer zelf werd vervolgens onderhanden genomen. Er ontstond een situatie waarbij een geïnfecteerde Explorer meerdere gehijackte en geïnfecteerde Internet Explorer processen startte en één Firefox exemplaar. Vervolgens werd er een svchost process opgestart wat zich bevond in C:\Program Files\<iets met Windows Media ***********>.

Dit varkentje was ik wel even dacht ik, taakbeheer, kill svchost.exe, bam. Nou niet dus. Het proces was alweer gestart voordat ik hem überhaupt kon verwijderen. Ik heb vervolgens een batch bestand gemaakt die dat proces constant afsloot. Dat ging goed, ik kon hem verwijderen, maar 5 seconden na verwijdering kwam het bestand gewoon terug dankzij geïnfecteerde Internet Explorers. Het hielp ook niet echt mee dat wanneer het svchost proces weer startte, dat de CPU usage meteen naar 100% schoot.

Het is eigenlijk een soort self-sustaining systeem. Op het moment dat een virusscanner het ene bestand tackled wordt het alweer hersteld door het andere. Daarom zijn virusscanners ook zo zinloos wat mij betreft, ik gebruik ze al jaren niet meer. Geen gekke dingen doen en dan valt het allemaal wel mee.

Je kunt het wel wegkrijgen zonder een herinstallatie, maar het is en blijft half werk.

Tips voor iedereen die dit meemaakt:
- NETWERKKABEL ERUIT! (Vaak worden MSN en andere passwords meteen in een .tmp filetje gedumpt in plain-text en verstuurd, dus die kabel EIN ZWEI ERAUS! - Sowieso als je iets dergelijks binnenhaalt)
- Meteen MSN/Yahoo/Whatever passwords veranderen!
- Herinstallatie van Windows, don't bother with Systeemherstel en al die slappe meuk, want het maakt alleen maar een nog grotere rotzooi. Het spul is leuk om een bestandje o.i.d. terug te krijgen, maar "herstel" is een veel te groot woord.

Dit zijn allemaal dingen die ik heb geobserveerd. Het spul is brutaal, jat gegevens en sloopt je Windows. Herinstalleren! 8)

Of all tyrannies, a tyranny sincerely exercised for the good of its victims may be the most oppressive.

vrijdag 18 juni 2010 15:05

Acties:
  • TaraWij
  • Registratie: December 2007
  • Laatst online: 08-02 18:37

TaraWij

NitroX infinity schreef op vrijdag 18 juni 2010 @ 15:01:
De enige server.exe die op m'n schijf staat is van Pinnacle (TV kaart) en die vertrouw ik.

Autoruns heeft niet geholpen en Housecall vindt die bestanden nou ineens niet meer gevaarlijk :(
Als er echt niets in Autoruns te vinden is, kijk eens of je met RootkitRevealer en GMER iets kan doen?
wjjkoevoets schreef op vrijdag 18 juni 2010 @ 15:04:
Het probleem is dat systeemprocessen vaak worden geïnfecteerd, wat in mijn ogen (wat virusscanners ook zeggen), onherstelbare schade in Windows veroorzaakt. Virusscanners kunnen die files wel cleanen, maar het blijft een brakke zooi. Je krijgt dus bestanden van Windows (vaak explorer.exe/iexplore.exe) die de echte rotzooi aansturen.
Met sfc /scannow kan je het gewoon herstellen, daarnaast kan je met Process Explorer verifieren.
wjjkoevoets schreef op vrijdag 18 juni 2010 @ 15:04:
Dit varkentje was ik wel even dacht ik, taakbeheer, kill svchost.exe, bam. Nou niet dus. Het proces was alweer gestart voordat ik hem überhaupt kon verwijderen. Ik heb vervolgens een batch bestand gemaakt die dat proces constant afsloot. Dat ging goed, ik kon hem verwijderen, maar 5 seconden na verwijdering kwam het bestand gewoon terug dankzij geïnfecteerde Internet Explorers. Het hielp ook niet echt mee dat wanneer het svchost proces weer startte, dat de CPU usage meteen naar 100% schoot.

Het is eigenlijk een soort self-sustaining systeem. Op het moment dat een virusscanner het ene bestand tackled wordt het alweer hersteld door het andere. Daarom zijn virusscanners ook zo zinloos wat mij betreft, ik gebruik ze al jaren niet meer. Geen gekke dingen doen en dan valt het allemaal wel mee.
Gewoon veilige modus gebuiken, je verschiet er van hoeveel mensen kei veel tijd spenderen aan hun systeem te herinstalleren terwijl je gewoon op een simpele manier het kan uitzetten en vervolgens nog eens verifieren.

Een stap verder als veilige modus niet werkt: Je kan met Autoruns nu ook offline systemen aanpassen.

Sinds ik Sysinternals heb leren kennen en ik 64 bit draai (geen rootkits) gebruik ik geen scanners meer.

[ Voor 92% gewijzigd door TaraWij op 18-06-2010 15:19 ]

vrijdag 18 juni 2010 15:09

Acties:
  • Kriebelkous
  • Registratie: Februari 2010
  • Laatst online: 02-03 13:54

Kriebelkous

Ik zou een herinstallatie uitvoeren. Als je dit direct had gedaan was je nu weer virusvrij geweest.

www.racetalk.nl

vrijdag 18 juni 2010 15:10

Acties:
  • Seth_Chaos
  • Registratie: Oktober 2003
  • Niet online

Seth_Chaos

  • Zet in msconfig alle non microsoft services en programma's uit.
  • Installeer anti-malware. (is een gratis versie van)
  • herstart de pc
  • draai anti-malware
  • leeg de windows temp directory.
  • leeg de temp internet files folder
  • Installeer en draai de microsoft anti malicious software tool
  • Draai en installeer microsoft security essentials.
  • Maak een nieuwe windows gebruiker aan en zet alle belangrijke data zoals documenten en foto's over uit je oude profiel.
  • Gooi vervolgens je oude profiel in zijn geheel weg.
  • Herstart nomaals de pc en controlleer of je pc weer normaal reageerd.

vrijdag 18 juni 2010 15:19

Acties:
  • Seth_Chaos
  • Registratie: Oktober 2003
  • Niet online

Seth_Chaos

wjjkoevoets schreef op vrijdag 18 juni 2010 @ 15:04:
Dit probleem komt de laatste tijd steeds vaker voor. Vroeger waren botnet executeables een stuk vriendelijker in de zin dat ze niet zo lastig waren en de boel niet compleet overhoop haalden. Tegenwoordig zijn ze een stuk agressiever en vertonen vaak de door jou genoemde problemen. Het probleem is dat systeemprocessen vaak worden geïnfecteerd, wat in mijn ogen (wat virusscanners ook zeggen), onherstelbare schade in Windows veroorzaakt. Virusscanners kunnen die files wel cleanen, maar het blijft een brakke zooi. Je krijgt dus bestanden van Windows (vaak explorer.exe/iexplore.exe) die de echte rotzooi aansturen.

Mooi display heb ik hiervan gezien op mijn test computertje waar ik deze meuk altijd op los laat. Allereerst werden Internet Explorer en Firefox zorgvuldig gehijacked. Explorer zelf werd vervolgens onderhanden genomen. Er ontstond een situatie waarbij een geïnfecteerde Explorer meerdere gehijackte en geïnfecteerde Internet Explorer processen startte en één Firefox exemplaar. Vervolgens werd er een svchost process opgestart wat zich bevond in C:\Program Files\<iets met Windows Media ***********>.

Dit varkentje was ik wel even dacht ik, taakbeheer, kill svchost.exe, bam. Nou niet dus. Het proces was alweer gestart voordat ik hem überhaupt kon verwijderen. Ik heb vervolgens een batch bestand gemaakt die dat proces constant afsloot. Dat ging goed, ik kon hem verwijderen, maar 5 seconden na verwijdering kwam het bestand gewoon terug dankzij geïnfecteerde Internet Explorers. Het hielp ook niet echt mee dat wanneer het svchost proces weer startte, dat de CPU usage meteen naar 100% schoot.

Het is eigenlijk een soort self-sustaining systeem. Op het moment dat een virusscanner het ene bestand tackled wordt het alweer hersteld door het andere. Daarom zijn virusscanners ook zo zinloos wat mij betreft, ik gebruik ze al jaren niet meer. Geen gekke dingen doen en dan valt het allemaal wel mee.

Je kunt het wel wegkrijgen zonder een herinstallatie, maar het is en blijft half werk.

Tips voor iedereen die dit meemaakt:
- NETWERKKABEL ERUIT! (Vaak worden MSN en andere passwords meteen in een .tmp filetje gedumpt in plain-text en verstuurd, dus die kabel EIN ZWEI ERAUS! - Sowieso als je iets dergelijks binnenhaalt)
- Meteen MSN/Yahoo/Whatever passwords veranderen!
- Herinstallatie van Windows, don't bother with Systeemherstel en al die slappe meuk, want het maakt alleen maar een nog grotere rotzooi. Het spul is leuk om een bestandje o.i.d. terug te krijgen, maar "herstel" is een veel te groot woord.

Dit zijn allemaal dingen die ik heb geobserveerd. Het spul is brutaal, jat gegevens en sloopt je Windows. Herinstalleren! 8)
Een goede virusscanner houdt virussen buiten de deur. Virussen verwijderen nadat je pc al geïnfecteerd is een heel ander verhaal. Geen virusscanner gebruiken is gewoon ronduit dom.

vrijdag 18 juni 2010 15:24

Acties:
  • TaraWij
  • Registratie: December 2007
  • Laatst online: 08-02 18:37

TaraWij

Seth_Chaos schreef op vrijdag 18 juni 2010 @ 15:19:
[...]


Een goede virusscanner houdt virussen buiten de deur. Virussen verwijderen nadat je pc al geïnfecteerd is een heel ander verhaal. Geen virusscanner gebruiken is gewoon ronduit dom.
Geen firewall en virusscanner gebruiken is intelligent als informaticus, ik geniet lekker van de resources die bij anderen worden weggenomen. Voor mij is Process Explorer, Autoruns en een beetje gezonde verstand genoeg om mijn systeem gedesinfecteerd te houden, zonder al te veel moeite en sneller dan dat mensen dit doen met een virus scanner.

Om maar te zwijgen over de voordelen van UAC, DEP, ASLR en een 64 bit installatie... Ik draai deze installatie al sinds het begin van Windows 7 zonder virus scanner en heb nog geen enkel probleem gehad en als ik al eens een virus scanner draai vind deze toch niets. :)

Neemt natuurlijk niet weg dat de gewone huis, keuken en tuin gebruiker nog nood heeft aan één, maar als informaticus die een kijk neemt op het systeem ben je toch beter af met tools waar je een direct zicht en controle mee hebt dan scanners die lang duren en niet altijd het gewenste effect hebben.

[ Voor 14% gewijzigd door TaraWij op 18-06-2010 15:28 ]

vrijdag 18 juni 2010 16:10

Acties:
  • wjjkoevoets
  • Registratie: April 2006
  • Laatst online: 01-11 13:43

wjjkoevoets

Brabants Gedrocht

TaraWij schreef op vrijdag 18 juni 2010 @ 15:05:
Met sfc /scannow kan je het gewoon herstellen, daarnaast kan je met Process Explorer verifieren.
Half werk en geen zekerheid. Microsoft's "Broncontrole" is ook niet geheel moeilijk te beïnvloeden.
TaraWij schreef op vrijdag 18 juni 2010 @ 15:05:
Gewoon veilige modus gebuiken, je verschiet er van hoeveel mensen kei veel tijd spenderen aan hun systeem te herinstalleren terwijl je gewoon op een simpele manier het kan uitzetten en vervolgens nog eens verifieren.
IMHO een hoop tijdverspilling. Een brak systeem is een brak systeem. Eenmaal gescrewed en je krijgt Windows nooit helemaal meer hetzelfde en daar stoor ik mezelf mateloos aan. Dus gewoon herinstal, wat overigens niet langer dan een half uur hoeft te duren. Allemaal prullen in veilige modus en alle andere meuk kost namelijk net zoveel tijd. Ik draai nog liever een image dan dat ik alles handmatig ga lopen herstellen en van images ben ik al niet eens fan (voor mijn eigen PC dan).

Process Explorer gebruik ik zelden. Handig programma, maar wat mij betreft overbodig als je cmd en taskmgr kent. Over virusscanners zal ik maar niets zeggen, die troep gebruik ik al zo lang niet meer.
Seth_Chaos schreef op vrijdag 18 juni 2010 @ 15:19:
[...]

Een goede virusscanner houdt virussen buiten de deur. Virussen verwijderen nadat je pc al geïnfecteerd is een heel ander verhaal. Geen virusscanner gebruiken is gewoon ronduit dom.
Ik heb een foute bewoording gebruikt denk ik. Ik ben de virusscanner van mijn PC, daar heb ik geen programma voor nodig. Virussen en al die andere meuk werken zo obvious dat iedere tweaker dat toch wel zou moeten zien. Bovendien heb ik in al mijn tijd zonder virusscanner maar één keer last gehad en dat was dankzij een lek in internet explorer (wmf exploit is wat ik me vaag kan herinneren). Goh, nou daar heb ik echt een virusscanner voor nodig gehad om me dat te melden.
TaraWij schreef op vrijdag 18 juni 2010 @ 15:24:
[...]

Geen firewall en virusscanner gebruiken is intelligent als informaticus, ik geniet lekker van de resources die bij anderen worden weggenomen. Voor mij is Process Explorer, Autoruns en een beetje gezonde verstand genoeg om mijn systeem gedesinfecteerd te houden, zonder al te veel moeite en sneller dan dat mensen dit doen met een virus scanner.

Om maar te zwijgen over de voordelen van UAC, DEP, ASLR en een 64 bit installatie... Ik draai deze installatie al sinds het begin van Windows 7 zonder virus scanner en heb nog geen enkel probleem gehad en als ik al eens een virus scanner draai vind deze toch niets. :)

Neemt natuurlijk niet weg dat de gewone huis, keuken en tuin gebruiker nog nood heeft aan één, maar als informaticus die een kijk neemt op het systeem ben je toch beter af met tools waar je een direct zicht en controle mee hebt dan scanners die lang duren en niet altijd het gewenste effect hebben.
Juist, ik mag toch verwachten dat als je actief bent, of bent geweest in de IT en dan specifiek als systeem of netwerkbeheerder dat je dan toch op zijn allerminst wel een virus/worm/trojan/andere foute meuk kunt herkennen zonder dat je daar een virusscanner voor nodig hebt. Anders ben je in mijn ogen geen systeem/netwerkbeheerder.

Overigens gebruik ik ook geen UAC, DEP en ASLR staan gewoon op standaard, omdat deze me ook niet in de weg zitten.

Voor de huis-tuin-keuken gebruiker ligt het uiteraard anders.

Of all tyrannies, a tyranny sincerely exercised for the good of its victims may be the most oppressive.

vrijdag 18 juni 2010 16:14

Acties:
  • Releases
  • Registratie: Maart 2009
  • Laatst online: 07:56

Releases

Ja maar!

Seth_Chaos schreef op vrijdag 18 juni 2010 @ 15:19:
[...]


Een goede virusscanner houdt virussen buiten de deur. Virussen verwijderen nadat je pc al geïnfecteerd is een heel ander verhaal. Geen virusscanner gebruiken is gewoon ronduit dom.
Wat is het toch fijn dat ik mijn server.exe bestanden voor botnets gewoon Fully Undected kan maken.
Succes met je virusscanner. ;) En nee, ik heb zelf geen botnet. lol

vrijdag 18 juni 2010 16:20

Acties:
  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

en heb nog geen enkel probleem gehad
hoe bedoel je naief? Je hoeft niet persee iets te merken als je geinfecteerd bent. sommige virussen zijn erop gebaseerd om zich te verbergen en stil te houden.

jij neemt aan dat je veilig bent want je hebt erg een last van. Laat ik het zo zeggen. Je hebt geen virus scanner, dus heb je nergens last van. Ga eens pro-active scanning gebruiken en gebruik hetzelfde surfgedrag nog eens, dan na een half jaar kijken hoe je systeem eruit ziet.

"assumption is the mother of all fuck-ups"

All-Round nerd | iRacing Profiel

vrijdag 18 juni 2010 17:22

Acties:
  • TaraWij
  • Registratie: December 2007
  • Laatst online: 08-02 18:37

TaraWij

Het kan zijn dat ik personen door elkaar ben aan het halen...
wjjkoevoets schreef op vrijdag 18 juni 2010 @ 16:10:
Process Explorer gebruik ik zelden. Handig programma, maar wat mij betreft overbodig als je cmd en taskmgr kent. Over virusscanners zal ik maar niets zeggen, die troep gebruik ik al zo lang niet meer.
Process Explorer bevat heel wat dingen die je niet standaard via command-line en taakbeheer kan doen en is nog vrij betrouwbaar, en kan je nog altijd een stap verder gaan en bijvoorbeeld het WPT gebruiken om te zien wat er op je systeem gebeurd.

Je moet al extreem je best doen om gericht Process Explorer en Process Monitor te gaan omzeilen, in tegenstelling tot de "Broncontrole" gebruiken die immers drivers dus dan moet je er al op kernel niveau rond gaan. Maar te zwijgen over XPerf uit WPT...

Geloof me, een herinstallatie van Windows en alle toebehoren duurt heel wat langer dan een korte inspectie en vervolgens de infecties gewoon even uit te vinken.
wjjkoevoets schreef op vrijdag 18 juni 2010 @ 16:10:
Ik ben de virusscanner van mijn PC, daar heb ik geen programma voor nodig.
Inderdaad, dat is ook mijn mening... Ze scannen toch maar voor niets bij mij.
w4rguy schreef op vrijdag 18 juni 2010 @ 16:20:
[...]

hoe bedoel je naief? Je hoeft niet persee iets te merken als je geinfecteerd bent. sommige virussen zijn erop gebaseerd om zich te verbergen en stil te houden.
Veel succes met iets te schrijven dat zich voor mij verbergt... ;)

[ Voor 26% gewijzigd door TaraWij op 18-06-2010 17:38 ]

vrijdag 18 juni 2010 17:39

Acties:
  • Bazvv
  • Registratie: December 2007
  • Laatst online: 12-11 16:24

Bazvv

Nog een tip waar nu veel mensen van gaan zeggen dat het niet waar is. Zet UAC aan op de hoogste stand en gebruik gewoon internet explorer in protected mode(Beveilidge modus in nl windows). Stuk veiliger dan firefox. Reden daarvoor is dat windows 7 met UAC aan integrity levels heeft van low->medium->high->system. Hoe lager het integrity level hoe minder rechten het programma heeft.
Internet Explorer draait in level low en firefox draait in level medium. In level low kan je geen eens in je eigen profiel map schrijven. Nu heeft IE daar een truukje voor met 2 hulpprogramma's zodat je wel gewoon bestanden kan downloaden en in je download map kan opslaan. Met processexplorer kan je ook zien in welk integrity level een process draait, je moet misschien wel even een kolom toevoegen aan je view.

vrijdag 18 juni 2010 17:41

Acties:
  • TaraWij
  • Registratie: December 2007
  • Laatst online: 08-02 18:37

TaraWij

Klopt, zelf gebruik ik Chrome, die draait ook low samen met ASLR en permanente DEP,
de enigste manier dat een virus binnen raakt is als ik zelf iets download en dat apart scannen is performanter.

Symantec: Introduction - Windows Integrity Control

[ Voor 97% gewijzigd door TaraWij op 18-06-2010 17:48 ]

vrijdag 18 juni 2010 17:43

Acties:
  • wjjkoevoets
  • Registratie: April 2006
  • Laatst online: 01-11 13:43

wjjkoevoets

Brabants Gedrocht

Process Explorer bevat heel wat dingen die je niet standaard via command-line en taakbeheer kan doen en is nog vrij betrouwbaar, en kan je nog altijd een stap verder gaan en bijvoorbeeld het WPT gebruiken om te zien wat er op je systeem gebeurd.

Je moet al extreem je best doen om gericht Process Explorer en Process Monitor te gaan omzeilen, in tegenstelling tot de "Broncontrole" gebruiken die immers drivers dus dan moet je er al op kernel niveau rond gaan. Maar te zwijgen over XPerf uit WPT...

Geloof me, een herinstallatie van Windows en alle toebehoren duurt heel wat langer dan een korte inspectie en vervolgens de infecties gewoon even uit te vinken.
Uiteraard zie je met process explorer genoeg, maar met CMD en taskmgr zie je al vrij snel genoeg. Met spul als netstat enzo kom je al erg ver.

Toen ik zei Broncontrole bedoelde ik het sfc commando in CMD, dat is tenslotte Microsoft Broncontrole (Ja, ik weet dat er ook zoiets is als Broncontrole wat een beetje op taskmgr lijkt) wat nogal vrij simpel te omzeilen is. Met andere woorden sfc /scannow hoeft niet per se zuivere bestanden terug te zetten. Er blijft altijd die twijfel bij enkele systeembestanden. Op een kritiek systeem vind ik dat onacceptabel. Mijn PC is zo'n systeem.

Het simpel uitvinken van infecties vind ik te kortzichtig.
w4rguy schreef op vrijdag 18 juni 2010 @ 16:20:
[...]

hoe bedoel je naief? Je hoeft niet persee iets te merken als je geinfecteerd bent. sommige virussen zijn erop gebaseerd om zich te verbergen en stil te houden.

jij neemt aan dat je veilig bent want je hebt erg een last van. Laat ik het zo zeggen. Je hebt geen virus scanner, dus heb je nergens last van. Ga eens pro-active scanning gebruiken en gebruik hetzelfde surfgedrag nog eens, dan na een half jaar kijken hoe je systeem eruit ziet.

"assumption is the mother of all fuck-ups"
Zoals TomWij al zei: Veel succes met iets te schrijven dat zich voor mij verbergt...

[ Voor 56% gewijzigd door wjjkoevoets op 18-06-2010 17:54 ]

Of all tyrannies, a tyranny sincerely exercised for the good of its victims may be the most oppressive.

vrijdag 18 juni 2010 18:47

Acties:
  • NitroX infinity
  • Registratie: Januari 2002
  • Laatst online: 00:42

NitroX infinity

Topicstarter
Update van mijn kant; heb Windows weer opnieuw geïnstalleerd. Nou nog ff een gratis programma vinden om een image te maken en dat opnieuw installeren is ook verleden tijd :)

Graphene; a material that can do everything, except leave the lab. - Asianometry

vrijdag 18 juni 2010 18:53

Acties:
  • fender89
  • Registratie: November 2009
  • Laatst online: 07:16

fender89

Nou nog ff een gratis programma vinden om een image te maken en dat opnieuw installeren is ook verleden tijd
Hiren's boot cd kan ik aanraden :-) ( staat o.a. norton ghost op om image's te maken, gebruik het zelf ook naar alle tevredenheid)

zaterdag 19 juni 2010 21:17

Acties:
  • jota
  • Registratie: December 2000
  • Niet online

jota

NitroX infinity schreef op vrijdag 18 juni 2010 @ 18:47:
Nou nog ff een gratis programma vinden om een image te maken en dat opnieuw installeren is ook verleden tijd :)
http://www.macrium.com/reflectfree.asp

zaterdag 19 juni 2010 22:57

Acties:
  • j0ck0z
  • Registratie: Oktober 2001
  • Laatst online: 06-02 16:05

j0ck0z

Ik heb dezelfde symptomen als de topicstarter.

Ik heb dus o.a. ook meerdere iexplore.exe draaien. Bij mij zijn ook de volgende dingen aan de hand:
- e-mail accounts in windows mail allemaal weg;
- rechtermuisknop (deze computer) -> eigenschappen doet hij helemaal niet (hij sluit hem direct weer);
- gadgets van windows sidebar zijn verdwenen. Nieuwe toevoegen kan ook.
- bij MSN Messenger zijn bijvoorbeeld ook alle opgeslagen accounts verdwenen.

Overduidelijk een virus dus, maar AVG (up-to-date) geeft geen resultaten. Scan van trendmicro lijkt hij te blokkeren door een fout in het javascript?

Hoe dit virus binnengekomen is blijft een raadsel, nooit verkeerde bestanden geopend, mails of sites bezocht e.d. wat kwaad zou kunnen.

Ik ga het systeem opnieuw installeren, windows er af etc. maar waar heb ik mee te maken? :?

PB 3.2

zaterdag 19 juni 2010 23:39

Acties:
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

AVG is enkel een virusscanner, er bestaan ook nog andere soorten malware die zo'n hoop zooi kunnen veroorzaken. Daarom dat er vaak ook met tools zoals MBAM en Spybot S&D wordt gescand.

Somewhere in Texas there's a village missing its idiot.

zondag 20 juni 2010 10:53

Acties:
  • wjjkoevoets
  • Registratie: April 2006
  • Laatst online: 01-11 13:43

wjjkoevoets

Brabants Gedrocht

j0ck0z schreef op zaterdag 19 juni 2010 @ 22:57:
Ik heb dezelfde symptomen als de topicstarter.

Ik heb dus o.a. ook meerdere iexplore.exe draaien. Bij mij zijn ook de volgende dingen aan de hand:
- e-mail accounts in windows mail allemaal weg;
- rechtermuisknop (deze computer) -> eigenschappen doet hij helemaal niet (hij sluit hem direct weer);
- gadgets van windows sidebar zijn verdwenen. Nieuwe toevoegen kan ook.
- bij MSN Messenger zijn bijvoorbeeld ook alle opgeslagen accounts verdwenen.

Overduidelijk een virus dus, maar AVG (up-to-date) geeft geen resultaten. Scan van trendmicro lijkt hij te blokkeren door een fout in het javascript?

Hoe dit virus binnengekomen is blijft een raadsel, nooit verkeerde bestanden geopend, mails of sites bezocht e.d. wat kwaad zou kunnen.

Ik ga het systeem opnieuw installeren, windows er af etc. maar waar heb ik mee te maken? :?
Ik zou als ik jou was even je MSN wachtwoorden veranderen op een NIET geïnfecteerd systeem... Dikke kans dat ze namelijk fijn gejat zijn. Dat is in ieder geval wel wat dit "virus" trachtte te proberen op mijn test PCtje. Tevens waren de contextmenu's inderdaad lastig te bereiken, ze sloten vrijwel meteen weer na een rechtermuisknop klik. Erg irritant.

Kan eventueel een beveiligingslek in Windows zijn waardoor de meuk binnenkomt. Het valt trouwens op dat er de laatste tijd vaak images van software worden geïnfecteerd (vooral via Usenet. Torrents worden te snel verwijderd als deze meuk erin zut, dus waarschijnlijk niet "profitable" genoeg). Dan mount je zo'n image en dan hebben ze de installer/autorun van de software geïnfecteerd (die overigens vaak normaal lijkt te werken ;) - Maar goed oplettende mensen spotten tijdens het starten dat er snel iets gekopieerd wordt met dubieuze namen).

Tevens wil ik iedereen adviseren die hier mee te maken krijgt ook even USB stickjes te controleren, best kans dat er plots een autorun.exe op weg is geschreven ;) (Even "Verborgen bestanden weergeven" aanzetten en "Beveiligde systeembestanden verbergen" uitzetten). Het zou lullig zijn als je zon stick mee naar je werk neemt als systeembeheerder en vervolgens het halve bedrijfsnetwerk lam legt, einde van je carrière denk ik zo :+

Ze worden steeds creatiever en proberen alles maar dan ook alles te rippen. :+

EDIT: Oh ja, haal ook even je netwerkkabel uit je netwerkkaart :P

Of all tyrannies, a tyranny sincerely exercised for the good of its victims may be the most oppressive.

zondag 20 juni 2010 10:59

Acties:
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

Haal ineens je stroomkabel uit je PC :P
Maar format is eigenlijk de enige echte oplossing.

Somewhere in Texas there's a village missing its idiot.

zondag 20 juni 2010 11:12

Acties:
  • Hammetje
  • Registratie: Februari 2006
  • Laatst online: 20:48

Hammetje

Misschien even een rare opmerking, maar voor dit soort geintjes wil HitmanPro ook wel is helpen... Blijkbaar zijn jullie geen fan hiervan aangezien niemand deze noemt, maar ik heb al regelmatig bij kennissen / familie / vrienden wat trojans en andere meuk zonder problemen weten te fixen.

"Het is pas haute cuisine als het de frituurpan heeft gezien" - @VanRoyal (2021)

zondag 20 juni 2010 11:19

Acties:
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

Dan nog blijft formatteren en opnieuw installeren de beste oplossing. Zoals al eerder vermeld krijg je Windows nooit meer hetzelfde als bij een verse installatie en je weet nooit wat er nog allemaal achterblijft.

[ Voor 13% gewijzigd door Petervanakelyen op 20-06-2010 11:19 ]

Somewhere in Texas there's a village missing its idiot.

zondag 20 juni 2010 14:50

Acties:
  • TaraWij
  • Registratie: December 2007
  • Laatst online: 08-02 18:37

TaraWij

Petervanakelyen schreef op zaterdag 19 juni 2010 @ 23:39:
AVG is enkel een virusscanner, er bestaan ook nog andere soorten malware die zo'n hoop zooi kunnen veroorzaken. Daarom dat er vaak ook met tools zoals MBAM en Spybot S&D wordt gescand.
grannymark schreef op zondag 20 juni 2010 @ 11:12:
Misschien even een rare opmerking, maar voor dit soort geintjes wil HitmanPro ook wel is helpen... Blijkbaar zijn jullie geen fan hiervan aangezien niemand deze noemt, maar ik heb al regelmatig bij kennissen / familie / vrienden wat trojans en andere meuk zonder problemen weten te fixen.
Of je gaat één keer lekker snel door Autoruns en verspilt geen tijd aan trage scanners zonder meerwaarde,
de locaties waar gespecifieerd staan dat bepaalde binaries geladen moeten worden direct aanpakken is effectiever dan indirect overbodig veel te scannen, ook immunizeren heeft een vertragende werking aangezien je browser al die troep telkens moet inladen.
Petervanakelyen schreef op zondag 20 juni 2010 @ 11:19:
Dan nog blijft formatteren en opnieuw installeren de beste oplossing. Zoals al eerder vermeld krijg je Windows nooit meer hetzelfde als bij een verse installatie en je weet nooit wat er nog allemaal achterblijft.
Dat weet je wel, er zijn maar een gelimiteerd aantal plaatsen waar dingen gestart kunnen worden en verder kan je ook gewoon verifieren dat de binaries die geladen worden niet geinfecteerd zijn. Probeer maar eens de huidige ingebouwen beveiligingstechnieken te omzeilen en nog eens specifiek de gebruikte drivers voor die analyse en verificatie tools te omzeilen, dat is zo goed als onmogelijk...

[ Voor 26% gewijzigd door TaraWij op 20-06-2010 14:57 ]

zondag 20 juni 2010 15:05

Acties:
  • Sando
  • Registratie: Januari 2007
  • Niet online

Sando

Sandoichi

NitroX infinity schreef op vrijdag 18 juni 2010 @ 18:47:
Nou nog ff een gratis programma vinden om een image te maken en dat opnieuw installeren is ook verleden tijd :)
fender89 schreef op vrijdag 18 juni 2010 @ 18:53:
[...]
Hiren's boot cd kan ik aanraden :-)
:')
jota schreef op zaterdag 19 juni 2010 @ 21:17:
http://www.macrium.com/reflectfree.asp
:)

http://www.sysresccd.org/Main_Page
:D

🇪🇺 Buy from EU (GoT)

zondag 20 juni 2010 15:40

Acties:
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

TaraWij schreef op zondag 20 juni 2010 @ 14:50:
[...]


[...]

Of je gaat één keer lekker snel door Autoruns en verspilt geen tijd aan trage scanners zonder meerwaarde,
de locaties waar gespecifieerd staan dat bepaalde binaries geladen moeten worden direct aanpakken is effectiever dan indirect overbodig veel te scannen, ook immunizeren heeft een vertragende werking aangezien je browser al die troep telkens moet inladen.
Dat weet je niet. Niet alle virii zetten gewoon een autorun-waarde aan, er zijn er genoeg die willekeurig heel het register volstoppen en zichzelf aan elke executable hechten die ze tegenkomen.
Dat weet je wel, er zijn maar een gelimiteerd aantal plaatsen waar dingen gestart kunnen worden en verder kan je ook gewoon verifieren dat de binaries die geladen worden niet geinfecteerd zijn. Probeer maar eens de huidige ingebouwen beveiligingstechnieken te omzeilen en nog eens specifiek de gebruikte drivers voor die analyse en verificatie tools te omzeilen, dat is zo goed als onmogelijk...
Nee, dat weet je niet. UAC en dergelijke geven gewoon een prompt en als de gebruiker zo stom is geweest daar ja op te klikken heeft de executable gewoon admin rechten. Het omzeilen van SFC heb ik ook al vaker gezien, en als je weet dat het virus zich aan alle executables op je Windows-schijf heeft gehecht ga je die niet zomaar kunnen desinfecteren (en als het al lukt ben je langer bezig dan met een herinstallatie).

Somewhere in Texas there's a village missing its idiot.

zondag 20 juni 2010 16:01

Acties:
  • TaraWij
  • Registratie: December 2007
  • Laatst online: 08-02 18:37

TaraWij

Ik had het dan ook niet over UAC en SFC, maar over het controleren van de signature van een binary waardoor je simpelweg kan zien dat die geinfecteerd is in zowel Autoruns, Process Explorer als Process Monitor. Verder had ik het dus over DEP, ASLR en Kernel Patch Protecton, die het omzeilen zo goed als onmogelijk maken.

Dat een virus heel je registry en bestanden gaat infecteren is al een extreem geval dat vrij weinig voorkomt, in dat geval weet je wel met welke virus je te maken hebt en is de werking van die virus bekend en is opschonen gewoon een koud kunstje (eens de executables weg zijn kan het virus al niet meer draaien, vervolgens verwijzen de registry waarden naar niets meer en kunnen dan ook geen kwaad meer, eventueel nog even opkuizen met de eerste de beste registry cleaner) nog steeds sneller dan een herinstallatie van Windows en alle toebehoren.

[ Voor 3% gewijzigd door TaraWij op 20-06-2010 16:07 ]

zondag 20 juni 2010 16:24

Acties:
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

TaraWij schreef op zondag 20 juni 2010 @ 16:01:
Ik had het dan ook niet over UAC en SFC, maar over het controleren van de signature van een binary waardoor je simpelweg kan zien dat die geinfecteerd is in zowel Autoruns, Process Explorer als Process Monitor. Verder had ik het dus over DEP, ASLR en Kernel Patch Protecton, die het omzeilen zo goed als onmogelijk maken.

Dat een virus heel je registry en bestanden gaat infecteren is al een extreem geval dat vrij weinig voorkomt, in dat geval weet je wel met welke virus je te maken hebt en is de werking van die virus bekend en is opschonen gewoon een koud kunstje (eens de executables weg zijn kan het virus al niet meer draaien, vervolgens verwijzen de registry waarden naar niets meer en kunnen dan ook geen kwaad meer, eventueel nog even opkuizen met de eerste de beste registry cleaner) nog steeds sneller dan een herinstallatie van Windows en alle toebehoren.
Probleem is dat je de executables in kwestie bij dat "extreem raar geval" niet gewoon "weg" kan doen, aangezien je dan essentiele bestanden verwijderd. Je kan die uiteraard terugplaatsen met legitieme bestanden, maar dat kan dan weer niet vanuit Windows gebeuren. Om nog maar niet te spreken over modificaties die een virus in het register heeft gezet, waardoor legitieme registry-waarden controleren of het spul wel wordt uitgevoerd en anders een crash veroorzaken. Dat zal je ook niet vanuit Windows kunnen aanpassen en de eerste beste registry cleaner raakt die waarden niet aan omdat ze nog steeds als essentieel bestempeld worden.

En zelfs als je Windows uiteindelijk terug opgestart krijgt, zit je nog steeds met een Windows-versie die trager werkt dan normaal. Bij de Conficker-epidemie hier op de schoolcomputers viel het op wat voor een zooi dat ding was. Lang nog niet het ergste geval, maar geen enkele removal tool herstelde alles zoals het daarvoor was. Conficker was weg, registry gecleand, maar de PC's in kwestie bleven sloom omdat er nog vanalle verwijzingen instonden naar niet-bestaande waardes of processen 20 keer opgestart werden omdat dat noodzakelijk was ten tijde van here Conficker. Dus zelfs als je theoretisch gelijk zou hebben, wijst de praktijk jammer genoeg anders uit en kom je er zeker niet enkel met de eerste de beste registry-cleaner en autoruns.

Somewhere in Texas there's a village missing its idiot.

zondag 20 juni 2010 18:17

Acties:
  • j0ck0z
  • Registratie: Oktober 2001
  • Laatst online: 06-02 16:05

j0ck0z

j0ck0z schreef op zaterdag 19 juni 2010 @ 22:57:
Ik heb dezelfde symptomen als de topicstarter.

Ik heb dus o.a. ook meerdere iexplore.exe draaien. Bij mij zijn ook de volgende dingen aan de hand:
- e-mail accounts in windows mail allemaal weg;
- rechtermuisknop (deze computer) -> eigenschappen doet hij helemaal niet (hij sluit hem direct weer);
- gadgets van windows sidebar zijn verdwenen. Nieuwe toevoegen kan ook.
- bij MSN Messenger zijn bijvoorbeeld ook alle opgeslagen accounts verdwenen.

Overduidelijk een virus dus, maar AVG (up-to-date) geeft geen resultaten. Scan van trendmicro lijkt hij te blokkeren door een fout in het javascript?

Hoe dit virus binnengekomen is blijft een raadsel, nooit verkeerde bestanden geopend, mails of sites bezocht e.d. wat kwaad zou kunnen.

Ik ga het systeem opnieuw installeren, windows er af etc. maar waar heb ik mee te maken? :?
Ik heb voor de zekerheid ook even 2 andere PC's gescant met AVG, trendmicro, bitdefender en spybot S&D. Deze geven allemaal geen infecties weer, betekent het dat deze twee PC's wel geheel clean zijn (PC's vertonen geen symtomen als hierboven beschreven)?

Echter zat ik bij één PC even in de taskmanager te kijken. Daar stond dit process tussen: csrss.exe zonder een gebruikersnaam (gewoon leeg vakje dus) is dat normaal? PC draait op windows 7

PB 3.2

zondag 20 juni 2010 18:32

Acties:
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

Echter zat ik bij één PC even in de taskmanager te kijken. Daar stond dit process tussen: csrss.exe zonder een gebruikersnaam (gewoon leeg vakje dus) is dat normaal? PC draait op windows 7
Als je niet zeker bent, zoek dan even in "Computer" naar dat bestand en kijk of er vreemde locaties staan.
Je kan het ook altijd eens scannen op http://www.virustotal.com/

Somewhere in Texas there's a village missing its idiot.

zondag 20 juni 2010 21:35

Acties:
  • TaraWij
  • Registratie: December 2007
  • Laatst online: 08-02 18:37

TaraWij

Petervanakelyen schreef op zondag 20 juni 2010 @ 16:24:
[...]


Probleem is dat je de executables in kwestie bij dat "extreem raar geval" niet gewoon "weg" kan doen, aangezien je dan essentiele bestanden verwijderd. Je kan die uiteraard terugplaatsen met legitieme bestanden, maar dat kan dan weer niet vanuit Windows gebeuren.
Maar wel van een ander up-to-date systeem. ;)
sfc /SCANNOW /OFFBOOTDIR=C:\ /OFFWINDIR=C:\Windows
Petervanakelyen schreef op zondag 20 juni 2010 @ 16:24:
Om nog maar niet te spreken over modificaties die een virus in het register heeft gezet, waardoor legitieme registry-waarden controleren of het spul wel wordt uitgevoerd en anders een crash veroorzaken. Dat zal je ook niet vanuit Windows kunnen aanpassen en de eerste beste registry cleaner raakt die waarden niet aan omdat ze nog steeds als essentieel bestempeld worden.
Registry waarden kunnen niet controleren of het spul wel wordt uitgevoerd, dus dit moet al door een binary gebeuren. Voor een beschadigd systeem heb je systeemherstel, maar het gaat hier om infecties en niet om beschadigingen. Een infectie kan je genezen, een beschadiging aan het registry daarentegen haalt inderdaad het systeem onderuit, maar dat is niet de intentie van de schrijvers van virussen en dus weer iets heel exceptioneel.
Petervanakelyen schreef op zondag 20 juni 2010 @ 16:24:
En zelfs als je Windows uiteindelijk terug opgestart krijgt, zit je nog steeds met een Windows-versie die trager werkt dan normaal. Bij de Conficker-epidemie hier op de schoolcomputers viel het op wat voor een zooi dat ding was. Lang nog niet het ergste geval, maar geen enkele removal tool herstelde alles zoals het daarvoor was. Conficker was weg, registry gecleand, maar de PC's in kwestie bleven sloom omdat er nog vanalle verwijzingen instonden naar niet-bestaande waardes of processen 20 keer opgestart werden omdat dat noodzakelijk was ten tijde van here Conficker. Dus zelfs als je theoretisch gelijk zou hebben, wijst de praktijk jammer genoeg anders uit en kom je er zeker niet enkel met de eerste de beste registry-cleaner en autoruns.
Slecht voorbeeld, en wijst er meteen ook op waarom het handmatig op simpele wijze uitvinken beter zijn werking heeft dan scanners die er lang over doen en misschien wel het virus niet vinden. De technische details van W32.Downadup en W32.Downadup.B ook wel beter bekend als Conficker bevatten naast de velden die je al uitschakeld met Autoruns maar weinig sleutels in het registry en dat kost mij amper de tijd om deze op te kuisen, zelfs als dit in grotere mate gebeurde heb je nog steeds een removal tool.

maandag 21 juni 2010 18:50

Acties:
  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

TomWij: het kan aan mij liggen hoor, maar het lijkt mij vooral stukken makkelijker om een virusscanner te installeren. Natuurlijk kun je alles met het handje doen, maar waarom zou je?
Omdat een virusscanner CPU-tijd en geheugen snoept? En de tijd die je er zelf insteekt om virusvrij te blijven? Is dat echt goedkoper dan dat minieme beetje recources?
Het is de aard van de (gemiddelde) IT-er om lui te zijn en te automatiseren...

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

maandag 21 juni 2010 20:32

Acties:
  • TaraWij
  • Registratie: December 2007
  • Laatst online: 08-02 18:37

TaraWij

Autoruns is direct beschikbaar van http://live.sysinternals.com/autoruns.exe en de lijst is niet zo lang, Windows entries worden per standaard verborgen dus het handmatig doen is maar een betrekkelijk korte tijd.

Een virus scanner daarentegen heeft een veel hogere kans omzeilt te worden, gebruikt inderdaad te veel resources en zit dus bij heel wat I/O acties in de weg en het neemt daarnaast idd CPU-tijd en geheugen weg. De kans op virussen op een 64 bit systeem met UAC, DEP en ASLR is al vrij miniem; samen met voldoende verstand je computer gebruiken is op zich al genoeg om de boel virus vrij te houden. Ben zelf het laatste jaar geen virus tegengekomen, ook al gebruik ik mijn computer en het internet vrij intensief.

Voor een besmet systeem te desinfecteren is het handmatig zoals eerder vermeld sneller dan het uitvoeren van meerdere langdurige scans. Met het automatiseren ga ik akkoord, maar dit is ook alleen maar handig moest het de manuele tijd naderen of zelfs heel wat korter zijn, meerdere virus scanners of de oude Hitman Pro halen die tijd helaas niet. De nieuwe Hitman Pro komt wel aardig in de buurt met gebaseerd op signatures te scannen en is natuurlijk een alternatief, maar het blijft te omzeilen...

Autoruns op zich is natuurlijk op zich ook best wel te automatiseren omdat er een console versie voorzien wordt die naar bepaalde formaten (txt, csv, xml) kan exporteren, maar tot zo ver heeft nog niemand het op die manier gedaan omdat men steeds eerder nodig vind om in grotere mate op een trage manier te gaan scannen.

donderdag 19 augustus 2010 23:18

Acties:
  • heuveltje
  • Registratie: Februari 2000
  • Laatst online: 11-11 16:53

heuveltje

KoelkastFilosoof

Loop tegen hetzelfde probleem aan als de TS.
Wave word naar 0 gegooid, en iexplore geeft (al dan niet) zichtbare pop-ups. ookal gebruik ik alleen Firefox

Na veel gegoogle blijkt het om een rootkit te gaan die ""Black Internet" of whistler heet.
(http://forums.steampowere.../showthread.php?t=1358896)
Hier werd het via een banner verspreid, echter ik kom nooit op die site, en mijn java is up to date.

Probleem is bij mij is dat ik het wel kan verwijderen via fixmbr of een dergelijk progje.
Alleen om de paar weken duikt het weer opnieuw op.

Avg al een paar keer mijn hele drive laten scannen, zonder resultaat.
Windows XP opnieuw geinstalleerd, na 10 dagen was het weer raak.
Er staan wel een hele zut spellen/progjes in een losse dir die ik niet opnieuw heb geinstalleerd.
Maar AVG en AVAST vinden daar niks verdachts in

Iemand nog enig idee, waardoor ik besmet kan raken ?
Of beter gezegd, hoe ik kan voorkomen besmet te raken.

Heuveltjes CPU geschiedenis door de jaren heen : AMD 486dx4 100, Cyrix PR166+, Intel P233MMX, Intel Celeron 366Mhz, AMD K6-450, AMD duron 600, AMD Thunderbird 1200mhz, AMD Athlon 64 x2 5600, AMD Phenom X3 720, Intel i5 4460, AMD Ryzen 5 3600 5800x3d

donderdag 19 augustus 2010 23:46

Acties:
  • The_Greater
  • Registratie: Februari 2001
  • Laatst online: 11-11 14:09

The_Greater

Virus kan ook op je usbstick's autorun.inf hebben genesteld

Working in the IT : "When you do things right, people won't be sure you've done anything at all"

vrijdag 20 augustus 2010 13:48

Acties:
  • Baserk
  • Registratie: Februari 2007
  • Laatst online: 12-11 12:49

Baserk

heuveltje schreef op donderdag 19 augustus 2010 @ 23:18:
Windows XP opnieuw geinstalleerd, na 10 dagen was het weer raak.
Er staan wel een hele zut spellen/progjes in een losse dir die ik niet opnieuw heb geinstalleerd.
Maar AVG en AVAST vinden daar niks verdachts in

Iemand nog enig idee, waardoor ik besmet kan raken ?
Of beter gezegd, hoe ik kan voorkomen besmet te raken.
Gebruik Noscript tegen ergerlijke drive-by zooi, een user-account voor de dagelijkse routine (en dan Surun als je persé programma's wil draaien die admin-rechten nodig hebben), wellicht een HIPS als in het gratis programma Online Armor.
(Heb je de dir/partitie waar alle geinstalleerde spellen staan wel netjes gescand met bijv Malwarebytes'Antimalware en/of HitmanPro 3?)

En maak voor de volgende her-installatie een partitie voor XP+programma's (minus games), installeer de boel, update alles en maak dan een image hiervan.
Dan kan je iig de volgende keer in 10-15 minuten met zekerheid een schoon systeem terug zetten.

Heb je een laptop; kopieer de image naar een extra partitie (aan het einde van je HDD), dan kan je met een bootable USB-stick van het imaging programma, snel een schoon systeem terug zetten indien nodig onderweg/op vakantie/etc.

Overstappen op Windows7-64 is ook een aanrader.

Romanes eunt domus | AITMOAFU

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq