Ieder uur wederkerend bestand / trojan.alemod

Sinds een tijdje houdt mijn symantec antivirus ieder uur om xx:39 (plus of min een paar seconden steeds precies om het uur) de creatie van een bestand in de system restore tegen met de melding dat het trojan.alemod is en dat 'quarantine was partially successful'

Mijn probleem is dat ik niet kan achterhalen welk proces dit bestand aan probeert te maken en bovendien snap ik niet waarom het maar gedeeltelijk lukt de boel tegen te houden. Als ik zelf op die plek ga kijken bestaat er geen bestand genaamd A0000044.exe, dus m.i. is het wel degelijk volledig weggehaald en herkent de antivirus dus het proces dat de boel maakt niet.

Ik heb met een online scan van trendmicro niets gevonden, de hijackthis log bevat m.i. geen gekke zaken, mbam vindt niets en een rootkitrevealer geeft ook geen fouten aan. Als je dan gaat zoeken is alles wat ik over alemod op het net kan vinden van het type oud ouder oudst, dus dit zal waarschijnlijk een variant zijn.

Kortom, wie weet er een manier om te achterhalen welk proces dit bestand probeert te maken en daarna moet uiteraard dat proces gekilled worden.

Alle definities van antivir en mbam uiteraard bijgewerkt, system restore uitgezet, in safe mode gescanned etc, maar ik kom er niet uit. Wie heeft er tips?

En voor speciaal voor Schouw als je dit leest: wanneer komt de online scan van kaspersky weer eens terug? Ik heb geen zin om norton eraf te gooien en de trial te installeren, wil gewoon weer een online scan kunnen doen

[ Voor 0% gewijzigd door hufkes op 18-08-2010 23:10 . Reden: d != t ]

The_Greater schreef op donderdag 19 augustus 2010 @ 23:48:
Kun je combofix eens proberen?

Gedaan en daar kwam eingelijk ook niets geks uit, maar dat kwam verwacht ik ook omdat de comodo firewall wat problemen ermee had. ik zal van het weekend nog een proberen of combofix in safe mode wil draaien of anders comodo uitzetten/tijdelijk deinstallen.

Maar is er niet een programma dat bijhoudt wie wanneer iets waar op de harde schijf wegschrijft? Als ik maar een procesnaam/ID heb, dan kan ik weer verder zoeken, nu tast je echt zo ins duister hinein...

Heb ik natuurlijk ook gedaan dat googelen, maar de meeste hits die ik krijg zijn van 2006, sommige van 2008/2009, maar heel weinig recent. Bovendien verwacht ik dat het virus een totaal willekeurige naam pakt, dus dat het zoeken op die bestandsnaam weinig kans biedt op duidelijkheid. Welk suc6-verhaal was jij precies tegengekomen dan, graag een link om te kijken of ik daar wat mee kan.

Restore weggooien heb ik uiteraard ook gedaan, en terwijl de sysrestore uitstaat komt het symptoom niet voor (ongetwijfeld omdat hij dan geen rechten krijgt om daar te schrijven), maar zodra je de sysrestore weer aanzet komt het terug.

@BonPron:
Sysinternals bestaat niet meer, is nu microsoft geworden, maar ik zal eens kijken of ik daarvan een progje kan vinden die dat doet. Of heb je zo de naam ervan voor me?
Verder ben ik wel met je eens dat een format goed zou zijn, maar daarvoor heb ik even een week de tijd nodig waarin ik mij pc weer terugbreng tot compleet geinstalleerd, en die tijd heb ik nu echt niet

Proces explorer start hier zelfs standaard op, maar daar kan ik niets uithalen. DiskMon was het enige tooltje dat ik kan vinden dat diskactiviteit laat zien, maar dat is op sectorniveau, en ik heb geen idee hoe ik kan achterhalen op welke sector geschreven wordt. Filteren van die lijst is ook geen doen aangezien er natuurlijk voornamelijk zinvolle read/write acties tussen zitten, en ook die op sectorniveau worden weergegeven.

Proces monitor moet ik eens goed gaan filteren, want zo zonder filters draaien geeft veel te veel info.

Autoruns geeft wel zo ontiegelijk veel meer info dan msconfig, daar ben ik wel even mee aan het zoeken of er iets onterechts tussenstaat. Maar dank voor de tips!

DivxLover schreef op zondag 22 augustus 2010 @ 11:14:
Heb je MalWareBytes Anti Malware al eens geprobeerd?

De gangbare afkorting voor Malwarebyte's Anti Malware is MBAM, en dat heb ik zoals in de startpost staat ook zeker al geprobeerd, maar dank voor je tip.

Met process monitor kom ik niet verder dan dat cideamon op die plek bestanden aanmaakt, maar ik kan weer niet zien of dat terecht is of niet, het zouheel goed wel gewoon kunnen kloppen. De process monitor is echter nogal problematisch om t elaten draaien aangezien hij zo vel captured dat de pc er binnen de korste keren van dichtslibt. Ondanks dat het filter aanstaat, lijkt hij toch ales in zijn geheugenbuffers te willen gooien....

Ik ben nu aan het scannen met kaspersky, en wie weet dat die er iets uithaalt.

@vinnie: de door jou genoemde housecall is de naam van de onlinescanner van trendmicro zoals ik die in mijn startpost al noem, die van bitdefender kan ik inderdaad ook nog eens proberen.

Zo langzamerhand krijg ik echter het idee dat er toch een behoorlijk diepgeworteld probleem zit, dat het het veiligste is om toch maar een full install te doen... Moeten we dan volgende week maar de tijd voor maken

Bitdefender heeft ook niets gevonden..Irritant trouwens dat dat ding niet in FF werkt

[ Voor 4% gewijzigd door hufkes op 26-08-2010 13:08 ]