zaterdag 12 februari 2011 13:22

Acties:
  • 0 Henk 'm!
  • Hanterp
  • Registratie: Januari 2003
  • Laatst online: 13-06-2021

Hanterp

Topicstarter
Ik draaide vandaag een Avira-rescue-disk na een net verwijderd virus, om zeker te zijn dat alles weg was.
Die run vond TR/Rootkit.Gen2 in mountmgr.sys en usbd.sys .
Dat zijn twee windows bestanden; kan hier geen sprake zijn van een false positive? Als ik ze laat verwijderen denk ik dat mijn systeem niet meer goed werkt.

Ik heb windows XP professional.
Graag jullie mening en advies wat te doen :)

[ Voor 4% gewijzigd door Hanterp op 12-02-2011 13:23 ]

zaterdag 12 februari 2011 13:33

Acties:
  • 0 Henk 'm!

Verwijderd

Controleer als eerste via een andere scanner of deze ze ook vind. Daarnaast kun je controleren of de digitale handtekening van het bestand klopt (eigenschappen venster).

Via sfc /scannow kun je de bestanden laten controleren en vervangen als deze "defect" zijn.

zaterdag 12 februari 2011 13:38

Acties:
  • 0 Henk 'm!
  • Hanterp
  • Registratie: Januari 2003
  • Laatst online: 13-06-2021

Hanterp

Topicstarter
Ik heb Kaspersky's rescue disk ook geprobeerd en die vond niks. MBAM en spyware-doctor ook niet.
Nu ben ik bezig met Avira in veilige mode.
Hierna doe ik SFC /scannow.

Wat kan je zien aan die digitale handtekening?

zaterdag 12 februari 2011 13:41

Acties:
  • 0 Henk 'm!
  • Nielson
  • Registratie: Juni 2001
  • Laatst online: 00:45

Nielson

Hanterp schreef op zaterdag 12 februari 2011 @ 13:38:
Wat kan je zien aan die digitale handtekening?
Of het bv echt MS bestanden zijn. Stonden de bestanden ook in de directory waar ze horen (C:\windows\system32\drivers vermoedelijk)?

zaterdag 12 februari 2011 13:42

Acties:
  • 0 Henk 'm!
  • Hanterp
  • Registratie: Januari 2003
  • Laatst online: 13-06-2021

Hanterp

Topicstarter
Ja, daar werden ze ook als Rootkit gedetecteerd.

zaterdag 12 februari 2011 13:44

Acties:
  • 0 Henk 'm!

Verwijderd

Of dit het originele bestand is of dat hij aangepast is (ongeldige handtekening).

zaterdag 12 februari 2011 13:49

Acties:
  • 0 Henk 'm!
  • Hanterp
  • Registratie: Januari 2003
  • Laatst online: 13-06-2021

Hanterp

Topicstarter
Avira veilige mode werkt het scannen in de systeembestanden alfabetisch af en hij vindt de bestanden nu niet meer, dus blijkbaar zijn ze bij de detectie verwijderd. Dat lijkt me ongewenst. Als de scan is afgelopen hoop ik dat SFC /scannow ze er weer op zet.
Ik zal dat hier straks wel posten.

zaterdag 12 februari 2011 14:25

Acties:
  • 0 Henk 'm!
  • Hanterp
  • Registratie: Januari 2003
  • Laatst online: 13-06-2021

Hanterp

Topicstarter
Ik vind het gek, maar Avira vond in veilige mode niets, terwijl de rescue-disk van Avira die bestanden een Rootkit noemde. Ik heb me daarnet trouwens vergist. Ze stonden nog wèl op mijn systeem, maar ik zocht niet in de submap drivers.
Ze hadden beide het Microsoft signature, maar ik heb voor de zekerheid toch maar even SFC /scannow gedraaid.

Ik ga nu nog eens kijken of de Rescue-disk van Avira ze nog steeds aanmerkt als rootkit.
Heeft iemand nog andere ideeën ? :)

EDIT: De Rescue-disk vond nu geen Rootkit meer. Of het er nu wel of niet gezeten heeft weet ik niet...

[ Voor 10% gewijzigd door Hanterp op 12-02-2011 14:53 ]

zaterdag 12 februari 2011 15:02

Acties:
  • 0 Henk 'm!

Verwijderd

Natuurlijk zit er een rootkit in Windows. Dat gaat ze alleen nooit toegeven.

Zelfs in Linux proberen ze (veiligheidsdiensten) om veiligheidslekken in de kernel te krijgen. Het enige probleem is dat je niet zo snel een commit in de kernel krijgt met dat soort problemen. Ik weet niet of het ooit gelukt is, maar waarschijnlijk wel.

zaterdag 12 februari 2011 16:03

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op zaterdag 12 februari 2011 @ 15:02:
Natuurlijk zit er een rootkit in Windows. Dat gaat ze alleen nooit toegeven.

Zelfs in Linux proberen ze (veiligheidsdiensten) om veiligheidslekken in de kernel te krijgen. Het enige probleem is dat je niet zo snel een commit in de kernel krijgt met dat soort problemen. Ik weet niet of het ooit gelukt is, maar waarschijnlijk wel.
Afbeeldingslocatie: http://www.matthijs.org/files/images/aluhoedje.jpg

zaterdag 12 februari 2011 16:08

Acties:
  • 0 Henk 'm!
  • Mavamaarten
  • Registratie: September 2009
  • Laatst online: 17-09 15:02

Mavamaarten

Omdat het kan!

Verwijderd schreef op zaterdag 12 februari 2011 @ 15:02:
Natuurlijk zit er een rootkit in Windows. Dat gaat ze alleen nooit toegeven.

Zelfs in Linux proberen ze (veiligheidsdiensten) om veiligheidslekken in de kernel te krijgen. Het enige probleem is dat je niet zo snel een commit in de kernel krijgt met dat soort problemen. Ik weet niet of het ooit gelukt is, maar waarschijnlijk wel.
Leef jij op een andere planeet ? 8)7

Android developer & dürüm-liefhebber

zaterdag 12 februari 2011 16:09

Acties:
  • 0 Henk 'm!
  • laurenssie
  • Registratie: Oktober 2009
  • Laatst online: 15-08-2024

laurenssie

Verwijderd schreef op zaterdag 12 februari 2011 @ 16:03:
[...]

[afbeelding]
Niet zo heel gek gedacht..

nieuws: Windows Vista krijgt geen 'backdoor' voor overheid
nieuws: Antivirusprogramma mag geen FBI-virus doorlaten
nieuws: NSA security backdoor in Windows?

Allemaal lang geleden, maar toch, deze recente doet het aanwakkeren
nieuws: 'FBI betaalde ontwikkelaars voor achterdeur in OpenBSD-ipsec'

[ Voor 13% gewijzigd door laurenssie op 12-02-2011 16:10 ]

zaterdag 12 februari 2011 16:10

Acties:
  • 0 Henk 'm!
  • RedHat
  • Registratie: Augustus 2000
  • Laatst online: 20:43

RedHat

Zo gek is die gedachte niet :+

nieuws: 'Microsoft verspreidde trojan via Windows Update'

zaterdag 12 februari 2011 16:10

Acties:
  • 0 Henk 'm!
  • OK13
  • Registratie: Mei 2010
  • Laatst online: 05-08 18:30

OK13

Verwijderd schreef op zaterdag 12 februari 2011 @ 16:03:
[...]

[afbeelding]
offtopic.
OMG die kat is kwaad, super grappig :D

Ontopic.

Als je nu niets meer vindt dan is het goed. Als je echt zeker wilt zijn dat alles weg is is daar maar 1 manier voor... format C, reinstall Windows

zaterdag 12 februari 2011 16:31

Acties:
  • 0 Henk 'm!
  • iisschots
  • Registratie: November 2002
  • Laatst online: 17-09 10:35

iisschots

Modbreak:We hebben ons lolletje gehad. NU weer ontopic

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

zaterdag 12 februari 2011 16:33

Acties:
  • 0 Henk 'm!
  • temp00
  • Registratie: Januari 2007
  • Niet online

temp00

Als het kan ben ik lam

Als je twijfelt over een mogelijke false positive en de te scannen bestanden zijn niet zo heel erg groot, kan je altijd gebruik maken van www.virustotal.com (geen active-x, addons of andere crap nodig). Uitstekende site.

[ Voor 11% gewijzigd door temp00 op 12-02-2011 16:35 ]

♠ REPLY CODE ALPHA ♠ 9800X3D, 32GB @ 6000, 980 Pro 2TB, RTX 5070Ti, MPG271QRX OLED @ 360HZ ♠ Overwatch

zaterdag 12 februari 2011 17:05

Acties:
  • 0 Henk 'm!
  • Hanterp
  • Registratie: Januari 2003
  • Laatst online: 13-06-2021

Hanterp

Topicstarter
Ja, ik kan natuurlijk format geven en het zooitje er opnieuw opzetten.
Dat is me echter een tikje te radicaal :)
Ik heb het advies van Temp00 gevolgd en www.virustotal.com geprobeerd.
Die 42 scanners vonden bij geen van beide bestanden iets, wat ik overtuigend genoeg vindt ;)
Dan k voor de hulp allemaal!
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq