Rustock spambot verwijderen

zaterdag 25 september 2010 22:18

Acties:

0 Henk 'm!

Topicstarter

Ik zit met mijn handen in het haar; ik kom er niet meer uit.
Sinds begin deze week heb ik last van een spambot in het computer netwerk hier.
Ik heb het meerdere keren al geprobeerd te verwijderen, maar toch blijf ik terug komen in de vele blacklists.
-Bij de eerste blacklisting heb ik de PC gescanned met Nod32 waarvan ik dacht dat die het probleem zou geven.
-Bij de 2de keer heb ik alle PCs in het netwerk gescanned met Nod32 (3 computers) en AVG (2 andere computers).
-Bij de 3de keer heb ik alles gescanned met Spybot Search and Destroy.
Bij elke scan is er wel meer troep verwijderd, maar de spambot nog niet.

Nu was het internet af en toe ook vreselijk traag. Normaal zou ik de 90MBit moeten halen, nu kon ik nauwelijks een pagina openen (meerdere minuten om bijv. Google te openen). Toen ik een PC uitzette waarvan ik verwachte dat die het veroorzaakte, knalde de snelheid weer terug naar de oude speed. Ik gok dat deze PC op dat moment spam aan het versturen was, wat de verlaging van de snelheid zou verklaren.

Na ik een idee had welke PC het probleem was, heb ik deze volledig gescanned volgens deze tutorial (hier kwam ik op uit toen ik googlede op een oplossing voor deze spambot): http://forums.majorgeeks.com/showthread.php?t=35407 . Nu durf ik nog niet te zeggen dat de spambot weg is.

Beste Tweakers, hoe kom ik nu van deze spambot af? Dit is de 6de dag dat ik hier mee bezig ben, en ik kom er zonder hulp niet meer uit.

BVD,
-Remco

zaterdag 25 september 2010 22:23

Acties:

0 Henk 'm!

FireWood

Begin eerst met de uitgaande poort 25 te blokkeren, zodat er geen mail verzonden kan worden.
Daarna zal ik een ethereal eens tevoorschijn halen, zodat je snel kan achterhalen welk IP-adres het probleem is. Indien het er meerdere zijn, kun je waarschijnlijk vanuit gaan dat de spambot zichzelf intern door je netwerk verspreidt.

Noobs don't use "F1", Pro's do, but they can't find the information they needed

zaterdag 25 september 2010 22:29

Acties:

0 Henk 'm!

Remco3

Topicstarter

Ik denk dat ik het wel voormekaar kan krijgen om die poort in de router te blokkeren. Maar van het 2de heb ik nog geen kaas gegeten. Kun je me wat op weg helpen?

zaterdag 25 september 2010 22:36

Acties:

0 Henk 'm!

leuk_he

1. Controleer de kabel!

Remco3 schreef op zaterdag 25 september 2010 @ 22:29:
Ik denk dat ik het wel voormekaar kan krijgen om die poort in de router te blokkeren. Maar van het 2de heb ik nog geen kaas gegeten. Kun je me wat op weg helpen?

etherreal heet tegenwoordig wireshark.

je installeert het en kijkt wat voor verkeer een pc stuurt. Ook op een normale pc is dit een shitload, maar op een geinfecteerde pc zie je dus veeel veeel meer. maar als je uitgaande mail (poort 25) ziet weet je dat je nog niet klaar bent.

Als je desinfecteren kun je overingens hiackthis gebruiken. echter Rustock is zo te lezen een rootkit, dus je moet scannen vanaf een niet geinfecteerde omgeving. (bootdvd ofzo)

Na 6 dagen ga je overigens niet meer scannen en aanrommelen, maar je herformateerd de betreffende PC. het feit dat het netwerk sneller wordt als je hem uitzet zegt genoeg, en ik vermoed dat het gedrag van de gebruiker van die pc jou meer duidelijk maakte dan norotan antivirus.

[ Voor 28% gewijzigd door leuk_he op 25-09-2010 22:40 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

zaterdag 25 september 2010 22:40

Acties:

0 Henk 'm!

Dysmael

FireWood schreef op zaterdag 25 september 2010 @ 22:23:
Begin eerst met de uitgaande poort 25 te blokkeren, zodat er geen mail verzonden kan worden.
Daarna zal ik een ethereal eens tevoorschijn halen, zodat je snel kan achterhalen welk IP-adres het probleem is. Indien het er meerdere zijn, kun je waarschijnlijk vanuit gaan dat de spambot zichzelf intern door je netwerk verspreidt.

In fatsoenlijke firewalls kan je door enkel poort 25 te blokkeren al gelijk de boosdoender achterhalen. Wireshark op alle werkstations draaien is een beetje overkill als je ook in de firewall-logs al gelijk geblokkeerd verkeer terug kan vinden.

zaterdag 25 september 2010 22:43

Acties:

0 Henk 'm!

Remco3

Topicstarter

Ik kan niet de optie vinden om een uitgaande poort te blokkeren in mijn router. Maar als ik de reactie van leuk_he lees lijkt het me handig om die eerst nog even open te laten, om het verkeer te checken.

Ik ben nu Wireshark aan het downloaden, ik ben benieuwd.

Als je desinfecteren kun je overingens hiackthis gebruiken. echter Rustock is zo te lezen een rootkit, dus je moet scannen vanaf een niet geinfecteerde omgeving. (bootdvd ofzo)

Wat bedoel je precies? Ik snap je formulering niet helemaal.

Na 6 dagen ga je overigens niet meer scannen en aanrommelen, maar je herformateerd de betreffende PC.

Dat hou ik achter de hand als last resort. Ik vind het vreselijk alles weer te moeten herinstalleren, terugzetten, etc.

zaterdag 25 september 2010 23:04

Acties:

0 Henk 'm!

leuk_he

1. Controleer de kabel!

Remco3 schreef op zaterdag 25 september 2010 @ 22:43:

Wat bedoel je precies? Ik snap je formulering niet helemaal.

een rootkit kun je niet scannen.

quote: http://en.wikipedia.org/wiki/Rootkit
A rootkit is software that enables continued privileged access to a computer, while actively hiding its presence from administrators by subverting standard operating system functionality or other applications. T

b.v. Als je de file die het virus bevat probeerd te lezen zal de rootkit een onschulidge file aan de scanner geven.

Er zijn wat manieren...
http://www.windowsreferen...ion-software-for-windows/

Veel van die tools maken een bootdisk(CD?DVD) aan waarvan je boot, zodat je kunt scannen als het virus (nog) niet draait.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

zaterdag 25 september 2010 23:17

Acties:

0 Henk 'm!

Remco3

Topicstarter

Ok.
Dus eerst de PC met de spambot lokaliseren en dan het ding verwijderen.
Wireshark werkt vreselijk ingewikkeld. Ik krijg het voormekaar een lijst van al het verkeer te krijgen, maar ik heb geen idee of dit al het verkeer in het netwerk is, en hoe ik het kan filteren op mail-verkeer.

RolfLobker schreef op zaterdag 25 september 2010 @ 22:40:
[...]

In fatsoenlijke firewalls kan je door enkel poort 25 te blokkeren al gelijk de boosdoender achterhalen. Wireshark op alle werkstations draaien is een beetje overkill als je ook in de firewall-logs al gelijk geblokkeerd verkeer terug kan vinden.

Dit lijkt me dan toch de beste manier. Maar het is me nog niet gelukt een uitgaande poort te blokkeren in de firewall van de router.
Iemand enig idee waar het dan zou staan? Heb elk tab nu al eens aangeklikt maar heb het nog niet gevonden: http://puu.sh/edr

zaterdag 25 september 2010 23:27

Acties:

0 Henk 'm!

leuk_he

1. Controleer de kabel!

Remco3 schreef op zaterdag 25 september 2010 @ 23:17:

Dit lijkt me dan toch de beste manier. Maar het is me nog niet gelukt een uitgaande poort te blokkeren in de firewall van de router.
Iemand enig idee waar het dan zou staan? Heb elk tab nu al eens aangeklikt maar heb het nog niet gevonden: http://puu.sh/edr

Ik vermoed dat je het (na een kleine scan van de manual van dat apparaat) het met acces control list kan.

http://www.sitecom.com/do...9-Full-Manual-English.pdf

Je kunt ook die PC voorlopig helemaal blokkeren daar, wel zo verstandig voor de rest van internet.

Je zou ook een outgoing firewall op die pc kunnen activeren voor al het verkeer

vista:

http://articles.techrepub...100-10878_11-6098592.html

[ Voor 16% gewijzigd door leuk_he op 25-09-2010 23:31 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

zaterdag 25 september 2010 23:34

Acties:

0 Henk 'm!

burne

Mine! Waah!

Remco3 schreef op zaterdag 25 september 2010 @ 23:17:
Wireshark werkt vreselijk ingewikkeld. Ik krijg het voormekaar een lijst van al het verkeer te krijgen, maar ik heb geen idee of dit al het verkeer in het netwerk is, en hoe ik het kan filteren op mail-verkeer.

'dst port tcp 25'

zou genoeg moeten zijn als filter-expressie. Uitgaande mail is altijd verkeer naar poort 25.

I don't like facts. They have a liberal bias.

zaterdag 25 september 2010 23:36

Acties:

0 Henk 'm!

Remco3

Topicstarter

Ik heb het voormekaar om voor alle PCs die op de benedenverdieping te staan ports te blocken. Alleen kan ik geen specifieke poorten kiezen. Als ik deze block nu activeer, slaat het internet af op de PCs hier.
http://puu.sh/edv

zaterdag 25 september 2010 23:43

Acties:

0 Henk 'm!

leuk_he

1. Controleer de kabel!

Remco3 schreef op zaterdag 25 september 2010 @ 23:36:
Ik heb het voormekaar om voor alle PCs die op de benedenverdieping te staan ports te blocken. Alleen kan ik geen specifieke poorten kiezen. Als ik deze block nu activeer, slaat het internet af op de PCs hier.
http://puu.sh/edv

startpoort=25 eindpoort =25 (en niet verbaast zijn als je geen mail meer kunt versturen)

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

zaterdag 25 september 2010 23:53

Acties:

0 Henk 'm!

Remco3

Topicstarter

leuk_he schreef op zaterdag 25 september 2010 @ 23:43:
[...]

startpoort=25 eindpoort =25 (en niet verbaast zijn als je geen mail meer kunt versturen)

Ik kon de getallen alleen aanpassen toen ik het protocol naar TCP veranderde. Zal voor jullie wel heel logisch zijn, voor mij niet

Nu is het de computer die ik verdenk van het spamsturen weer aansluiten op het netwerk (heb de ethernetkabel even eruit gehaald), en kijken of in de log van de router blokkeringen van poort 25 wordt aangegeven?

zondag 26 september 2010 14:04

Acties:

0 Henk 'm!

Remco3

Topicstarter

Ok, de log van de router geeft dit:
http://puu.sh/emD
Heel af en toe zit er dus een outgoing iets bij, maar voor de rest alleen incomming dingen die geblokkeerd worden. Wat betekent dit voor mij?

zondag 26 september 2010 21:12

Acties:

0 Henk 'm!

Dysmael

Dit is allemaal 'incoming' en dus niet echt interessant. Dit zijn standaard meldingenen eigenlijk. Focus je alleen even op 'outgoing' verkeer en dan voornamelijk op poort 25.

zaterdag 2 oktober 2010 18:56

Acties:

0 Henk 'm!

Remco3

Topicstarter

Heb even de logs nagekeken, en er staat nergens dat er een outgoing port 25 iets wordt geblocked. Ik heb net het filter in de router zijn firewall uitgezet. Nu ben ik via Wireshark aan het kijken of er iets op port 25 gebeurd.

burne schreef op zaterdag 25 september 2010 @ 23:34:
[...]

'dst port tcp 25'

zou genoeg moeten zijn als filter-expressie. Uitgaande mail is altijd verkeer naar poort 25.

Dit invoeren als filter werkt niet bij mij in Wireshark, dus ik gebruik dit als filter:
tcp.port == 25
Tot nu toe is er niks gevonden.

zondag 3 oktober 2010 19:57

Acties:

0 Henk 'm!

Gammo

Het verwijderen van Rustock zal niet zo'n probleem zijn, zodra we weten op welke pc het zit.

In het netwerk zitten dus maar 5 pc's? We kunnen elke pc dan wel even individueel bekijken, als Wireshark geen uitkomst biedt.

Voer a.u.b. het volgende programma eens uit op alle pc's in het netwerk. Post de inhoud van de 5? logbestanden allemaal in je volgende bericht, en zorg ervoor dat je ze nummert ofzo, zodat we naderhand nog weten welk logje bij welke pc hoort (heel belangrijk!).

Download de GMER Rootkit Scanner hier of hier. Sla het programma op je bureaublad op.

Dubbelklik op GMER.exe.

Indien je een waarschuwing krijgt over rootkitactiviteiten en je gevraagd wordt of dat je een volledige scan uit wilt voeren, klik dan op NO.
In het rechtse gedeelte zie je verschillende items die aangevinkt zijn. Zorg ervoor dat de volgende items UITgevinkt zijn:
- IAT/EAT
- Schijven/partities buiten de systeempartitie (meestal C:\)
- Show All

Afbeeldingslocatie: http://www.geekstogo.com/misc/guide_icons/GMER_instructions.jpg

Klik vervolgens op de [Scan]-knop en wacht totdat de scan klaar is. Dit kan wel even duren, dus heb geduld.
Klik op de de [Save ...]-knop als de scan voltooid is, en geef het logbestand de volgende naam: "ark.txt"
Sla het logbestand een handige plaats op, zoals bijvoorbeeld het bureaublad.

**Opgelet**
Deze scan geeft vaak 'false positives'. Onderneem zelf geen acties met dit programma, ook niet bij een "<--- ROOKIT"-regel!
Kopieer en plak de inhoud van dit logbestand in je volgende bericht.

dinsdag 26 oktober 2010 14:35

Acties:

0 Henk 'm!

Remco3

Topicstarter

Ben wat laat met reageren omdat ik niet veel tijd in handen had.
Ik heb het programma gmer gedownload, alleen ziet de interface er niet uit als in het plaatje.
Afbeeldingslocatie: http://puu.sh/lnk

Valt er gewoon in deze opstelling te scannen?

woensdag 27 oktober 2010 05:19

Acties:

0 Henk 'm!

JvW

On my way home...

Dat lijkt toch aardig op de interface in de post van Gammo123?
Ik ben benieuwd naar de uitkomsten van de scan en de vervolgacties trouwens. Zelf ben ik geneigd me aan te sluiten bij de eerdere tip om de boel te formatteren. Natuurlijk is dat veel werk, maar je bent nu ook al 6 dagen bezig. In 6 dagen kun je best wel een paar PC's opnieuw installeren en configureren.

“What could I say to you that would be of value, except that perhaps you seek too much, that as a result of your seeking you cannot find.” - Hermann Hesse

woensdag 27 oktober 2010 05:29

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

Je was inderdaad al lang klaar geweest met een reinstall.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

woensdag 27 oktober 2010 15:57

Acties:

0 Henk 'm!

Remco3

Topicstarter

MediJack schreef op woensdag 27 oktober 2010 @ 05:19:
Dat lijkt toch aardig op de interface in de post van Gammo123?

Dingen die uitgevinkt/aangevinkt moeten worden zijn greyed out.

Marzman schreef op woensdag 27 oktober 2010 @ 05:29:
Je was inderdaad al lang klaar geweest met een reinstall.

Snap nooit echt de fetish van veel computerliefhebbers om de boel te reinstallen als het booten trager begint te worden of als er iets niet helemaal pluis meer is. Ben zelf echt heel lang bezig voor ik alles weer bij het oude heb.

donderdag 28 oktober 2010 02:22

Acties:

0 Henk 'm!

TaraWij

Als je 64 bit hebt gaat GMER niet werken, sterker nog, je zal dan ook hoogstwaarschijnlijk geen rootkit hebben.

Je hebt alleen nog maar wat scans gedaan en nog niet gekeken wat er eigenlijk allemaal opstart, dus...

Autoruns downloaden, uitvoeren, als hij klaar is kan je het opslaan als een .arn bestand en online zetten.
Vink niet zo maar zelf de eerste de beste dingen uit, in tegenstelling tot andere simpele tools laat dit alles zien...

Snap nooit echt de fetish van veel computerliefhebbers om de boel te reinstallen als het booten trager begint te worden of als er iets niet helemaal pluis meer is. Ben zelf echt heel lang bezig voor ik alles weer bij het oude heb.

Er is inderdaad totaal geen nood aan herinstalleren tenzij je met zware corruptie zit in je Registry of SFC,
voor de rest is alles traceerbaar en dus ook op te lossen. AutoRuns, ProcMon Boot Logging, XPerf, ... :-)

Om maar twee voorbeelden te geven die je systeem boot kunnen vertragen (die je in zo'n trace kan zien):

http://www.mvps.org/winhelp2002/hosts.htm
De verzameling Adobe Fonts van een Adobe product.

[ Voor 43% gewijzigd door TaraWij op 28-10-2010 02:30 ]

vrijdag 12 november 2010 22:13

Acties:

0 Henk 'm!

Remco3

Topicstarter

Ben ik weer

Die scanlogs van Autoruns hier neerzetten neem ik aan?

Remco onder: http://puu.sh/pJF
Remco boven: http://puu.sh/pJH
Cynthia: http://puu.sh/pJI
Eric: http://puu.sh/pJJ

Hoop dat jullie er wat mee kunnen!

zaterdag 13 november 2010 16:55

Acties:

0 Henk 'm!

TaraWij

Geen idee, het loopt hier vrij mis...

Welke versie van Autoruns gebruik je?
Kan je een ander formaat eventueel proberen?

http://content.screencast...493cc/2010-11-13_1652.png

zaterdag 13 november 2010 17:53

Acties:

0 Henk 'm!

Remco3

Topicstarter

TaraWij schreef op zaterdag 13 november 2010 @ 16:55:
Geen idee, het loopt hier vrij mis...

Welke versie van Autoruns gebruik je?
Kan je een ander formaat eventueel proberen?

http://content.screencast...493cc/2010-11-13_1652.png

De versie die je gelinkt hebt. Als je het niet voormekaar krijgt te openen, zal ik ze wel heruploaden in .txt formaat.

zaterdag 13 november 2010 20:27

Acties:

0 Henk 'm!

TaraWij

Ah, dezelfde laatste versie als mij, raar... Doe dan maar in .txt.

zondag 14 november 2010 17:03

Acties:

0 Henk 'm!

Remco3

Topicstarter

TaraWij schreef op zaterdag 13 november 2010 @ 20:27:
Ah, dezelfde laatste versie als mij, raar... Doe dan maar in .txt.

http://puu.sh/qc7
Gezipped, alles in .txt formaat.

maandag 15 november 2010 00:42

Acties:

0 Henk 'm!

TaraWij

Nota: "File not found" kan in veel gevallen foutief zijn en de bestanden bestaan dus mogelijk wel!

"Remco onder" zie ik bij de drivers (onderste entry daarvan):

X6va001 -- File not found: C:\Users\Remco\AppData\Local\Temp\001F760.tmp

Kleine boosdoener maar, in veilige modus in Autoruns uitvinken en het bestand verwijderen.

"Remco boven" is clean.

"Cynthia" heeft het wel erg zitten, ook bij de drivers:

catchme -- File not found: C:\Users\Cynthia\AppData\Local\Temp\catchme.sys
ccqovpofwibpxqex -- File not found: C:\Windows\system32\drivers\ccqovpofwibpxqex.sys
cfeuocvptysmwrmb -- File not found: C:\Windows\system32\drivers\cfeuocvptysmwrmb.sys
cupqrcmpimksrtmc -- File not found: C:\Windows\system32\drivers\cupqrcmpimksrtmc.sys
cvqnknrotcqbiohx -- File not found: C:\Windows\system32\drivers\cvqnknrotcqbiohx.sys
cwpfwtqptddmvhkt -- File not found: C:\Windows\system32\drivers\cwpfwtqptddmvhkt.sys
cxyxcbipddrciavt -- File not found: C:\Windows\system32\drivers\cxyxcbipddrciavt.sys
dsibkxrrbtntbxmu -- File not found: C:\Windows\system32\drivers\dsibkxrrbtntbxmu.sys
dwprodqxpwixemxd -- File not found: C:\Windows\system32\drivers\dwprodqxpwixemxd.sys
eddtryniipdrftun -- File not found: C:\Windows\system32\drivers\eddtryniipdrftun.sys
ehtpdwxpxqdbtcve -- File not found: C:\Windows\system32\drivers\ehtpdwxpxqdbtcve.sys
fxqxcrrdltfxespt -- File not found: C:\Windows\system32\drivers\fxqxcrrdltfxespt.sys
jcxrvsiftmbboyph -- File not found: C:\Windows\system32\drivers\jcxrvsiftmbboyph.sys
jqxtmwrcvodyxxjn -- File not found: C:\Windows\system32\drivers\jqxtmwrcvodyxxjn.sys
jrqpiwnswvkexqxo -- File not found: C:\Windows\system32\drivers\jrqpiwnswvkexqxo.sys
jyqoidckbopcibgt -- File not found: C:\Windows\system32\drivers\jyqoidckbopcibgt.sys
misokahvqwvxfeeu -- File not found: C:\Windows\system32\drivers\misokahvqwvxfeeu.sys
msjictsmoixptmjp -- File not found: C:\Windows\system32\drivers\msjictsmoixptmjp.sys
myprxpyyrmqbxuew -- File not found: C:\Windows\system32\drivers\myprxpyyrmqbxuew.sys
pbwrsamsfoeidpbx -- File not found: C:\Windows\system32\drivers\pbwrsamsfoeidpbx.sys
pivbvxemiywshjit -- File not found: C:\Windows\system32\drivers\pivbvxemiywshjit.sys
pmdpmxtefptsbprx -- File not found: C:\Windows\system32\drivers\pmdpmxtefptsbprx.sys
qbibjyrdoiubrtfp -- File not found: C:\Windows\system32\drivers\qbibjyrdoiubrtfp.sys
qexmwnbixvttipsf -- File not found: C:\Windows\system32\drivers\qexmwnbixvttipsf.sys
qmkeixrsqipjbivu -- File not found: C:\Windows\system32\drivers\qmkeixrsqipjbivu.sys
qpdvxigbfptrsptv -- File not found: C:\Windows\system32\drivers\qpdvxigbfptrsptv.sys
qupiqtiyvrbygift -- File not found: C:\Windows\system32\drivers\qupiqtiyvrbygift.sys
sntpqkrcilpyyoer -- File not found: C:\Windows\system32\drivers\sntpqkrcilpyyoer.sys
srirbpitcvobxmii -- File not found: C:\Windows\system32\drivers\srirbpitcvobxmii.sys
swdonifwbkpbwnvs -- File not found: C:\Windows\system32\drivers\swdonifwbkpbwnvs.sys
tncxxajvpjeptpsb -- File not found: C:\Windows\system32\drivers\tncxxajvpjeptpsb.sys
vwepeiptfvpypcur -- File not found: C:\Windows\system32\drivers\vwepeiptfvpypcur.sys
wbofptxsoxojbuwg -- File not found: C:\Windows\system32\drivers\wbofptxsoxojbuwg.sys
xfbhmstojuxterbn -- File not found: C:\Windows\system32\drivers\xfbhmstojuxterbn.sys

Denk dat je best deze eerst aanpakt:
- Internet uitpluggen, opstarten in veilige modus.
- Met Autoruns de entries verwijderen.
- De boven vermelde bestanden verwijderen.
- Full system virus scan, just to be sure.
(Probeer op datum te sorteren, dan zouden ze samen moeten komen te staan)

Opnieuw opstarten in de gewone modus en zien of ze weg zijn in Autoruns, indien niet... Herinstallatie.

"Eric", ook hij heeft wat zitten...

Onder HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell dien je in veilige modus "explorer.exe" terug te zetten als waarde, nu start hij namelijk twee andere dingen mee op, verwijder die ook:
- C:\RECYCLER\S-1-5-21-6501914217-9767315600-018775567-2819\yv8g67.exe
- C:\Users\fts\AppData\Roaming\ufxw.exe

Hopelijk heb je hier geen hardnekkige variant die het zelfs terugzet als je in veilige modus opnieuw opstart...

Gevolgd door hetzelfde verhaal als bij Cynthia, maar wel minder hardnekkig, ze staan onder Run i.p.v. Drivers:

aavl5 -- File not found: C:\Windows\system32\fa2qlaa1.exe
aavvp -- File not found: C:\Windows\system32\kkffappkkf.exe
avvpf9 -- File not found: C:\Windows\system32\v1ffaavkkf.exe
kaav1p -- File not found: C:\Windows\system32\fpf9aavp9k.exe
kfvvqf -- File not found: C:\Windows\system32\fvvqffaav.exe
kkfaav -- File not found: C:\Windows\system32\vvpp6aavk.exe
kkffa -- File not found: C:\Windows\system32\favkaa1k0ff.exe
kkfvvpf -- File not found: C:\Windows\system32\ppkaav1pk.exe
lbq0l -- File not found: C:\Windows\system32\q2gbqq1bbv.exe
pkkfvv1 -- File not found: C:\Windows\system32\pkkfvvpf9.exe
tnni0 -- File not found: C:\Windows\system32\nd5y1niyy1i.exe
uuoojzz -- File not found: C:\Windows\system32\euuoeez1.exe
vppkaa -- File not found: C:\Windows\system32\1kaav1p.exe
xxsi0 -- File not found: C:\Windows\system32\cxn98icx.exe

Zo... Einde van de rit, khoop dat je met deze informatie iets bent.

In veilge modus kan je normaal gezien van de meeste entres afraken in Autoruns en de meeste bestanden verwijderen, desnoods met Unlocker. Met Process Monitor kan je nagaan hoe entries en bestanden terug aangemaakt worden...

In ieder geval, veel succes!

[ Voor 100% gewijzigd door TaraWij op 15-11-2010 01:07 ]

maandag 15 november 2010 01:10

Acties:

0 Henk 'm!

TaraWij

Remco3 schreef op zaterdag 02 oktober 2010 @ 18:56:
Dit invoeren als filter werkt niet bij mij in Wireshark, dus ik gebruik dit als filter:
tcp.port == 25
Tot nu toe is er niks gevonden.

De gesuggereerde "dst port tcp 25" is een Capture filter, de "tcp.port == 25" is een Display filter.

Daar lag de verschil in werking.

Maar verder functioneren ze natuurlijk qua filteren hetzelfde, enkel op een ander niveau...

vrijdag 19 november 2010 17:43

Acties:

0 Henk 'm!

Remco3

Topicstarter

Bedankt Tom.
Ik besloot om Cynthia's PC eerst onder hande te nemen.
Autoruns laat inderdaad dat lijstje van bestanden zien dat jij hierboven gepost hebt. In Autoruns kan ik alleen Catchme (catchme -- File not found: C:\Users\Cynthia\AppData\Local\Temp\catchme.sys) verwijderen. De andere bestanden uit dat lijstje kunnen niet verwijderd worden omdat ze 'niet bestaan'. Toen ik ze handmatig uit de map wilde verwijderen, stonden ze daar ook niet in. Verborgen bestanden en systeembestanden worden weergegeven.
Enig idee?

vrijdag 19 november 2010 21:18

Acties:

0 Henk 'm!

TaraWij

Je kan ook rechterknop doen op de entries in Autoruns en dan Jump To gebruiken,
dan gaat die naar het register waar je de respectievelijke sleutels kan verwijderen.

zondag 21 november 2010 15:29

Acties:

0 Henk 'm!

Baserk

Remco3 schreef op zaterdag 25 september 2010 @ 22:18:
Ik zit met mijn handen in het haar; ik kom er niet meer uit.

Remco3 schreef op woensdag 27 oktober 2010 @ 15:57:
Snap nooit echt de fetish van veel computerliefhebbers om de boel te reinstallen als het booten trager begint te worden of als er iets niet helemaal pluis meer is. Ben zelf echt heel lang bezig voor ik alles weer bij het oude heb.

Remco3 schreef op vrijdag 19 november 2010 @ 17:43:
Bedankt Tom.
...
Enig idee?

Nu, bijna 2 maanden verder, nog steeds van mening dat je met een verse install langer bezig zou zijn geweest?

Romanes eunt domus | AITMOAFU

zondag 21 november 2010 15:44

Acties:

0 Henk 'm!

TaraWij

Zelf vind ik dat verse installaties tijdverspilling zijn voor I.T. professionals,
echter zijn ze voor de meer gewone gebruikers een must bij zo'n situaties.

[ Voor 3% gewijzigd door TaraWij op 21-11-2010 15:46 ]

zondag 21 november 2010 16:05

Acties:

0 Henk 'm!

burne

Mine! Waah!

TaraWij schreef op zondag 21 november 2010 @ 15:44:
Zelf vind ik dat verse installaties tijdverspilling zijn voor I.T. professionals,

Als je professional bent kun je ook je backups goed oplossen, neem ik aan. Een herinstallatie hier is twee tot tien minuten voor het OS, keertje rebooten (90 seconden), en een restore starten. Hoe lang die duurt hangt van de klant af maar hou het op minder dan een uur voor de doorsnee klant. Een keer handmatig puppet er overheen om de config goed te zetten (30 seconden), rebooten en de klant is weer in de lucht. Tien minuten werk, met een uurtje wachttijd erbij, voor een volledige reinstall, desgewenst op andere hardware.

I don't like facts. They have a liberal bias.

zondag 21 november 2010 18:10

Acties:

0 Henk 'm!

Remco3

Topicstarter

Baserk schreef op zondag 21 november 2010 @ 15:29:
Nu, bijna 2 maanden verder, nog steeds van mening dat je met een verse install langer bezig zou zijn geweest?

Dit is nogsteeds minder werk dan alles terug bij het oude te brengen

Zal binnenkort even kijken naar je suggestie Tom.

zondag 21 november 2010 18:39

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

Remco3 schreef op zondag 21 november 2010 @ 18:10:
[...]

Dit is nogsteeds minder werk dan alles terug bij het oude te brengen Zal binnenkort even kijken naar je suggestie Tom.

Wat voor rare installatie heb je dan als dat twee maanden duurt om in te stellen? Maar misschien eens een image maken wat je zo terug kan zetten anders na een verse reinstall. Dan kost het maar een paar minuten.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

zondag 21 november 2010 18:42

Acties:

0 Henk 'm!

Verwijderd

Remco3 schreef op zondag 21 november 2010 @ 18:10:
Dit is nogsteeds minder werk dan alles terug bij het oude te brengen

... dat... geloof ik toch niet echt, als ik zo vrij mag zijn. Als het je echt 2 maanden kost om je PC / installatie geoptimaliseerd te krijgen dan doe je het toch echt verkeerd.

zondag 21 november 2010 20:03

Acties:

0 Henk 'm!

TaraWij

burne schreef op zondag 21 november 2010 @ 16:05:
[...]

Een herinstallatie hier is twee tot tien minuten voor het OS, keertje rebooten (90 seconden), en een restore starten. Hoe lang die duurt hangt van de klant af maar hou het op minder dan een uur voor de doorsnee klant. Een keer handmatig puppet er overheen om de config goed te zetten (30 seconden), rebooten en de klant is weer in de lucht. Tien minuten werk, met een uurtje wachttijd erbij, voor een volledige reinstall, desgewenst op andere hardware.

Dan vind ik het toch sneller om even iets uit te vinken dan meer dan een uur aan een herinstallatie te spenderen.

Verwijderd schreef op zondag 21 november 2010 @ 18:42:
[...]

... dat... geloof ik toch niet echt, als ik zo vrij mag zijn. Als het je echt 2 maanden kost om je PC / installatie geoptimaliseerd te krijgen dan doe je het toch echt verkeerd.

Veel mensen die de boel herinstalleren willen hun boot terug snel, een back-up gaat hier niet bij helpen.

Dus, dan spenderen ze heel wat tijd om alles weer proper en naar gewenst te krijgen.

Maar opnieuw, dan draai ik toch liever even XPerf van de Windows Performance Toolkit dan 2 maanden werk...

[ Voor 36% gewijzigd door TaraWij op 21-11-2010 20:07 ]

zondag 21 november 2010 20:31

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

TaraWij schreef op zondag 21 november 2010 @ 20:03:

Veel mensen die de boel herinstalleren willen hun boot terug snel, een back-up gaat hier niet bij helpen.

Dus, dan spenderen ze heel wat tijd om alles weer proper en naar gewenst te krijgen.

Maar opnieuw, dan draai ik toch liever even XPerf van de Windows Performance Toolkit dan 2 maanden werk...

Hun boot terug snel? Je bedoelt de opstarttijd? Kun je daar serieus twee maanden aan spenderen? Ik kan er me niks bij voorstellen, ik zet een image terug, haal wat vinkjes weg bij het opstarten en schakel wat services uit maar als je weet welke ben je daar zo mee klaar en als je daarna een ghostimage maakt hoef je het nooit meer te doen.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

zondag 21 november 2010 20:35

Acties:

0 Henk 'm!

Verwijderd

TaraWij schreef op zondag 21 november 2010 @ 20:03:
Dus, dan spenderen ze heel wat tijd om alles weer proper en naar gewenst te krijgen.

2 maanden is geen optimaliseren. 2 maanden is beunhazen tot alles bij volslagen willekeur samenvalt en goed werkt.

Vanaf een blank leibord neemt het mij welgeteld... een aantal uren. Geen dagen, geen weken, geen maanden. Uren.

zondag 21 november 2010 21:40

Acties:

0 Henk 'm!

burne

Mine! Waah!

TaraWij schreef op zondag 21 november 2010 @ 20:03:
Dan vind ik het toch sneller om even iets uit te vinken dan meer dan een uur aan een herinstallatie te spenderen.

Niet lullig bedoeld, maar het 'even uitvinken' van je spambot blijkt toch behoorlijk tegen te vallen, vind je niet?

I don't like facts. They have a liberal bias.

zondag 21 november 2010 22:03

Acties:

0 Henk 'm!

TaraWij

Verwijderd schreef op zondag 21 november 2010 @ 20:35:
[...]

2 maanden is geen optimaliseren. 2 maanden is beunhazen tot alles bij volslagen willekeur samenvalt en goed werkt.

Vanaf een blank leibord neemt het mij welgeteld... een aantal uren. Geen dagen, geen weken, geen maanden. Uren.

Volgens mij quote je verkeerd, want je eerste alinea slaagt nergens op en je tweede is een grote leugen.

En tja... Uren, kheb het zelf over minuten of zelfs seconden, nog steeds sneller dan dat onnodig gepruts.

Als er wat stof op je tafel valt ga je toch ook niet heel je kamer herinrichten?

burne schreef op zondag 21 november 2010 @ 21:40:
[...]

Niet lullig bedoeld, maar het 'even uitvinken' van je spambot blijkt toch behoorlijk tegen te vallen, vind je niet?

Volgens mij verwar je mij met iemand anders, want ik heb hier totaal geen probleem mee.

Marzman schreef op zondag 21 november 2010 @ 20:31:
[...]

Hun boot terug snel? Je bedoelt de opstarttijd? Kun je daar serieus twee maanden aan spenderen? Ik kan er me niks bij voorstellen, ik zet een image terug, haal wat vinkjes weg bij het opstarten en schakel wat services uit maar als je weet welke ben je daar zo mee klaar en als je daarna een ghostimage maakt hoef je het nooit meer te doen.

Wat heeft het nut van die image terugzetten dan nog? Inderdaad, overbodig...

Een installatie is verder dynamisch, dus een ghost image maken helpt niet echt...

[ Voor 52% gewijzigd door TaraWij op 21-11-2010 22:12 ]

zondag 21 november 2010 22:23

Acties:

0 Henk 'm!

Baserk

TaraWij schreef op zondag 21 november 2010 @ 22:03:
En tja... Uren, kheb het zelf over minuten of zelfs seconden, nog steeds sneller dan dat onnodig gepruts.

Als er wat stof op je tafel valt ga je toch ook niet heel je kamer herinrichten?

Wat heeft het nut van die image terugzetten dan nog? Inderdaad, overbodig...

Een installatie is verder dynamisch, dus een ghost image maken helpt niet echt...

De stof is blijkbaar erg hardnekkig niet?
Lijkt meer op stortbeton (als we nu toch met metaforen gaan beginnen) dat men blijkbaar niet weg krijgt met een borsteltje. Misschien om dat een borsteltje niet voldoet?
Of zeg jij; 'goed blijven borstelen, komt goed'?

Wat betreft de dynamische installatie, er is toch zoiets als 'incremental backups' of bedoel je wat anders?

Romanes eunt domus | AITMOAFU

zondag 21 november 2010 22:27

Acties:

0 Henk 'm!

Verwijderd

TaraWij schreef op zondag 21 november 2010 @ 22:03:Volgens mij quote je verkeerd, want je eerste alinea slaagt nergens op en je tweede is een grote leugen.

Waar zie jij welke leugen? Volgens ben jij nu degene die toch echt aan het misquoten is.

Over dat andere punt - lees de topic nu eens terug en let daarbij op hoe lang het gehele proces nu al aan het nemen is en kom daarna nog eens terug om je eigen bizarre bericht te herevalueren.

TaraWij schreef op zondag 21 november 2010 @ 22:03:
En tja... Uren, kheb het zelf over minuten of zelfs seconden, nog steeds sneller dan dat onnodig gepruts.

Ik had het over een fresh install. Dat was de namelijk het verband - dat zelfs een verse installatie minder lang zou hebben genomen dan het nu al neemt (weer die 2 maanden en weer - lees eens terug en trek dingen niet zondermeer zomaar uit hun verband, graag, dank je).

TaraWij schreef op zondag 21 november 2010 @ 22:03:
Als er wat stof op je tafel valt ga je toch ook niet heel je kamer herinrichten?

Nee, en dit is de laatste keer dat ik dit ga zeggen: ik sprak zuiver over een fresh install en hoe lang die zou moeten nemen. Maar, weet je... het is allemaal triviaal gelul eigenlijk.

maandag 22 november 2010 01:41

Acties:

0 Henk 'm!

TaraWij

Baserk schreef op zondag 21 november 2010 @ 22:23:
[...]

De stof is blijkbaar erg hardnekkig niet?
Lijkt meer op stortbeton (als we nu toch met metaforen gaan beginnen) dat men blijkbaar niet weg krijgt met een borsteltje. Misschien om dat een borsteltje niet voldoet?
Of zeg jij; 'goed blijven borstelen, komt goed'?

Wat betreft de dynamische installatie, er is toch zoiets als 'incremental backups' of bedoel je wat anders?

Gaat wel weg met een borsteltje, ik heb er namelijk geen last van na even een vinkje uit te zetten.

En dan heb ik het niet over HijackThis...

Incrementele back-ups, maar dan zet je gewoon het probleem wat jullie 'oh zo moeilijk' vinden weer terug!

Met een enkele back-up in het begin haal je het ook niet, want daar ben je na een jaar niets meer mee...

Verwijderd schreef op zondag 21 november 2010 @ 22:27:
[...]
Waar zie jij welke leugen? Volgens ben jij nu degene die toch echt aan het misquoten is.

Over dat andere punt - lees de topic nu eens terug en let daarbij op hoe lang het gehele proces nu al aan het nemen is en kom daarna nog eens terug om je eigen bizarre bericht te herevalueren.

Lees je vorig bericht eerst eens door, en lees daarna de kleine moeite die maar nodig is om dit op te lossen...

En als je het te moeilijk vind om te lezen: Programma starten, uitvinken, klaar! Duurt heus niet zo lang...

Ja, waarom zou je alles opnieuw gaan installeren als het al weg is na een betrekkelijk eenvoudige operatie?

Verwijderd schreef op zondag 21 november 2010 @ 22:27:
Ik had het over een fresh install. Dat was de namelijk het verband - dat zelfs een verse installatie minder lang zou hebben genomen dan het nu al neemt (weer die 2 maanden en weer - lees eens terug en trek dingen niet zondermeer zomaar uit hun verband, graag, dank je).

Net zoals je vorige bericht, over welke 2 maanden heb je het nou? Niet die van mij in ieder geval...

Dier een tijdspanne van een week, dat is dan besteed aan drukte/vakantie/ziekte dus de actie zelf is veel korter.

En eens geleerd doe je het sneller dan een e-mail sturen...

Stop met dingen uit het verband te trekken, dat zal de discussie heel wat bevorderen.

Verwijderd schreef op zondag 21 november 2010 @ 22:27:
Nee, en dit is de laatste keer dat ik dit ga zeggen: ik sprak zuiver over een fresh install en hoe lang die zou moeten nemen. Maar, weet je... het is allemaal triviaal gelul eigenlijk.

Ja, trivaal want installeren duurt LANG, en uitvinken duurt KORT.

[ Voor 7% gewijzigd door TaraWij op 22-11-2010 01:48 ]

maandag 22 november 2010 01:52

Acties:

0 Henk 'm!

burne

Mine! Waah!

Wat is dat toch voor onnozel geneuzel over vinken?

Ben je niet gewoon een topic aan het kapen? Wat hebben jouw vinken te maken met rustock?

Spambot is reinstall en anders wachten tot je ISP je afsluit. Denken dat je slimmer bent dan de makers van rustock is zelfmisleiding.

I don't like facts. They have a liberal bias.

maandag 22 november 2010 02:12

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

De TS is voorlopig al twee maanden bezig met uitvinken wat dit ook moge zijn, dus misschien krijgt hij je uitleg niet helemaal goed door als het een paar minuten werk is.

Als je installatie na een jaar totaal anders is maak je een keer een nieuwe image, maar bij mij valt het wel mee hoor. Je haalt wat updates binnen en je installeert wat programma's die er nog niet in staan en dat is het en dat is echt geen uren werk. Niemand heeft het over een image terugzetten met spambot, dat slaat nergens op natuurlijk.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

maandag 22 november 2010 04:41

Acties:

0 Henk 'm!

Verwijderd

Remco3 schreef op zondag 21 november 2010 @ 18:10:
Dit is nogsteeds minder werk dan alles terug bij het oude te brengen

Naar aanleiding van:

Baserk schreef op zondag 21 november 2010 @ 15:29:
Nu, bijna 2 maanden verder, nog steeds van mening dat je met een verse install langer bezig zou zijn geweest?

Is het zo duidelijk over welke 2 maanden ik spreek, TomWij? Als het nu nog niet duidelijk is dan zal het wel nooit duidelijk worden. Ik ben in ieder geval klaar met je, veel plezier er nog mee, kerel. En blijf van de lijm af. Ofzo.

maandag 22 november 2010 19:20

Acties:

0 Henk 'm!

alt-92

ye olde farte

En toen kwam er een olifant met een grote snuit en die blies dit verhaaltje uit.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1

Dit topic is gesloten.

Onderwerpen