[Win7] Boljcnw.sys laat mijn systeem bsod'en

zaterdag 8 januari 2011 10:37

Acties:

0 Henk 'm!

Topicstarter

elke keer als ik de dumpfile uitlees van de crash zegt het dat boljcnw.sys windows laat crashen

de file zit in windows/system32/drivers
maar ik kan hem niet verwijderen. (bestand niet leesbaar) ,maar word wel gevonden door wndows search
ook in veilige modus kan ik hem niet verwijderen.

google search lever 0 hits op. het lijkt wel of niemand anders deze bestand op de pc heeft
ook de bekende antivirus progs laten scannen of antimalware .. ook niets.

heb ik deze file nodig? zo nee hoe kan ik deze file in godsnaam verwijderen?

zaterdag 8 januari 2011 10:47

Acties:

0 Henk 'm!

3dfx

Probeer het bestand eens te uploaden naar http://virusscan.jotti.org/
Dan wordt het bestand even door zowat alle virusscanmangels gehaald.

Het lijkt me in ieder geval een stukje malware met een willekeurig gegenereerde naam.
Wat de onmogelijkheid van het verwijderen betreft, je zou kunnen booten met een Linux Live-cd (bijv. Knoppix) en het zo verwijderen, of een programmaatje als MoveOnBoot gebruiken in Windows.

zaterdag 8 januari 2011 11:00

Acties:

0 Henk 'm!

SonyEricsson

Topicstarter

het lukt beide niet
als ik hem wil scannen zegt windows: a device attached to the system is not functioning
zelfde als ik de file selecteer met moveonboot

de file lijkt niet leesbaar te zijn , maar word elke keer wel geladen bij boot

zaterdag 8 januari 2011 12:17

Acties:

0 Henk 'm!

alt-92

ye olde farte

Microsoft Windows 7

Dat vind ik wel typisch gedrag voor een rootkit eerlijk gezegd.

>> BV

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 8 januari 2011 13:22

Acties:

0 Henk 'm!

williewonka03

alt-92 schreef op zaterdag 08 januari 2011 @ 12:17:
Dat vind ik wel typisch gedrag voor een rootkit eerlijk gezegd.

>> BV

ik ook.

heb je die linux live cd al geprobeert?

maandag 10 januari 2011 16:33

Acties:

0 Henk 'm!

serkoon

mekker.

Het klinkt inderdaad als een malware/rootkit-driver..

Meestal lukt het me wel om bestanden te hernoemen als ze niet verwijderd kunnen worden. Na een reboot is het bestand dan gewoon te verwijderen of verder te analyseren. Ook kun je proberen de permissies van de file aan te passen zodat bij het booten de file niet gelezen kan worden en de driver dus niet geladen wordt, maar dat de gebruiker wel de mogelijkheid heeft om te lezen/schrijven/verwijderen.

maandag 10 januari 2011 22:15

Acties:

0 Henk 'm!

SonyEricsson

Topicstarter

niets werkte...het programma (combofix) om die rootkit te verwijderen liet mijn pc crashen
en toen kreeg ik hem niet meer opgestart

wel via recovery console alles bestanden weten te redden, maar daarna was het over en uit.
Hij bootte niet meer in safe mode of wat dan ook.

ging de hele tijd in een loop reboot. dus maar formatje gedaan en win xp erop gezet. Windows 7 is toch niet zo lekker na een half jaar

[ Voor 5% gewijzigd door SonyEricsson op 10-01-2011 22:18 ]

maandag 10 januari 2011 22:20

Acties:

0 Henk 'm!

Mental

Over het algemeen is er dan een service aangemaakt die die file gebruikt; die kan je dan inderdaad niet makkelijk verwijderen.
Je zal eerst de service moeten disablen / verwijderen en dan kan je de file pas verwijderen.
Je kunt ook ownership op de file pakken, jezelf full control rechten geven en de file renamen en na een reboot weggooien.
Tijdens het rebooten krijg je dan waarschijnlijk wel een foutmelding dat een driver niet geladen kan worden (die .sys files icm service zijn vaak kernel drivers) maar je kunt gewoon opstarten; hierna de file wegknallen en evt nog de service verwijderen (wat opzich niet hoeft aangezien de file die hij nodig heeft niet meer bestaat).

Maargoed, hier heb je nu weinig meer aan

ps. XP is wel vele malen kwetsbaarder voor malware / virussen dan 7, dat je het vast weet

maandag 10 januari 2011 22:33

Acties:

0 Henk 'm!

SonyEricsson

Topicstarter

Mental schreef op maandag 10 januari 2011 @ 22:20:
Over het algemeen is er dan een service aangemaakt die die file gebruikt; die kan je dan inderdaad niet makkelijk verwijderen.
Je zal eerst de service moeten disablen / verwijderen en dan kan je de file pas verwijderen.
Je kunt ook ownership op de file pakken, jezelf full control rechten geven en de file renamen en na een reboot weggooien.
Tijdens het rebooten krijg je dan waarschijnlijk wel een foutmelding dat een driver niet geladen kan worden (die .sys files icm service zijn vaak kernel drivers) maar je kunt gewoon opstarten; hierna de file wegknallen en evt nog de service verwijderen (wat opzich niet hoeft aangezien de file die hij nodig heeft niet meer bestaat).

Maargoed, hier heb je nu weinig meer aan

ps. XP is wel vele malen kwetsbaarder voor malware / virussen dan 7, dat je het vast weet

ownership toekennen lukte niet.
Heb wel heel veel services uitgeschakeld(met de blackviper list) en minimaal proberen te booten
ook daarna lukte niet om de file te verwijderen.

nog nooit zo een erg stukje rootkit gezien

maandag 10 januari 2011 22:36

Acties:

0 Henk 'm!

Mental

ownership toekennen lukte niet.

Op welke manier heb je dat gedaan? ACL bewerken of daadwerkelijk de owner veranderen?
Het eerste kan namelijk pas als je het 2e gedaan hebt; het 2e werkt ten alle tijde als je lid bent van de administrators groep.

maandag 10 januari 2011 23:09

Acties:

0 Henk 'm!

SonyEricsson

Topicstarter

Mental schreef op maandag 10 januari 2011 @ 22:36:
[...]

Op welke manier heb je dat gedaan? ACL bewerken of daadwerkelijk de owner veranderen?
Het eerste kan namelijk pas als je het 2e gedaan hebt; het 2e werkt ten alle tijde als je lid bent van de administrators groep.

deed het via de takeown command in de console

Onderwerpen