Blokkade xs4all torpig sinowal

Sinowal is een heel vervelend virus. Het verstopt zich in de MBR en kan zo de boel opnieuw infecteren. Tevens kunnen niet alle AV producten de besmette MBR vinden, het virus bewaard namelijk de oude MBR en toont die aan AV producten.

Toch zou Hitman Pro en TDDSKiller het virus moeten kunnen vinden en opruimen. Heb je ooit wat gevonden in de beide netwerken?

Je zou eventueel nog off-line kunnen scannen met iets als Kapersky Rescue Disk. Maar als de andere tools niets vonden denk ik dat er weinig te vinden valt.

Een idee in deze is ook om elke PC voor scannen uit het netwerk te halen. Na scannen (en eventueel schoonmaken) deze apart te zetten. Pas als je klaar bent met scannen en alle PC's schoon zijn deze weer aansluiten. Zo kan je eventuele besmettingen van schone machines voorkomen.

Check ook alle verwijderbare media. USB sticks kunnen ook een bron van herbesmetting zijn. Formatteer ze wanneer het kan. Controleer ook je back-up media. Straks herstel je het virus vanuit een back-up.

Mocht je echt niets vinden in je netwerk kijk dan eens of misschien de buren zich toegang hebben verschaft. Mogelijk lift iemand mee op je wifi en heeft die de infectie.

DNAxtreme schreef op dinsdag 04 juni 2013 @ 20:22:
Toch krijg ik altijd clear logs bij hitman pro. Tddskiller komt alleen met false positives.. Xs4all stelt voor om savonds pc's aan te laten en te gaan loggen met de fritzbox modem.. Is dat een goede optie?

Je kan dat doen. Je moet dan loggen welke PC (intern IP adres) contact probeert te zoeken met de C&C servers van Sinowal. Dan kan je de boosdoener vinden.

Maar je weet dus zeker dat je geen ongenode gasten op je netwerk hebt? Of niet toevallig een medewerker die zijn eigen laptop op het netwerk aansluit?

Ook bij verschillende klanten meegemaakt, lang leve de particuliere lijnen die ze kozen. Heb ten alle tijden het virus te pakken gekregen met TDSSkiller. Let er wel op, kreeg hem alleen te pakken in veilige modus.

Is er wifi? verander de code dan. Grote kans dat er iemand langs komt die dit veroorzaakt.

Of iemand die zn prive-laptop danwel zakelijke laptop af en toe in het netwerk hangt op de zaak....en niet aanwezig is op het moment dat jij komt scannen?
Been there done that

edit:

Wat ook een manier is, de firewall uitgaand compleet dichttimmeren, logging op deny rule aanzetten en dan analyseren wat er allemaal naar buiten wil communiceren. Als je dan ook weet waar je naar moet zoeken (even kijken wat die virussen precies doen) dan zou je ook de verdachte kunnen opsporen.
Deze methode levert wat overlast op, maar minder dan geen internet

[ Voor 51% gewijzigd door Oogje op 05-06-2013 16:23 ]

Wat je evt nog even kan proberen is het programma Combofix, wel even een herstel puntje maken

Laatst ook gehad bij een klant. Geen enkel programma kon het vinden.
Abuse centre gaf aan dat het virus bekend staat dat het naar vreemde IP's wil connecten.
Daarom heb ik op de switch de poort waarop de gateway ( firewall of modem ) aangesloten zat, gemirrord naar de poort van mijn laptop waar WireShark op draait.

Wireshark laten draaien, en binnen 2 uur had ik de pc gevonden