Virus probeert te verbinden met Tsjechisch IP - Privacy en beveiliging

zaterdag 20 juli 2013 19:30

Acties:

Topicstarter

Beste Tweakers,

Mijn ouders hebben een probleem met hun laptop waar ik wel wat hulp bij kan gebruiken!
Een proces op de laptop van mijn ouders probeert voortdurend verbinding te maken met het volgende ip:

82.208.40.3

Ik heb MalwareBytes een tijdje los gelaten op de laptop (volledige scan) maar helaas kon MalwareBytes niks vinden

. Wel heb ik de internetlogs te voorschijn kunnen halen en daar kon ik wel het een en ander wijs uit maken.

2013/07/20 11:09:51 +0200 TIBEN (null) IP-BLOCK 82.208.40.3 (Type: outgoing, Port: 49304, Process: sppextcomobj.exe)
2013/07/20 11:10:07 +0200 TIBEN Edwin & Jacqueline IP-BLOCK 82.208.40.3 (Type: outgoing, Port: 49310, Process: sppextcomobj.exe)
2013/07/20 11:12:11 +0200 TIBEN (null) MESSAGE Starting protection
2013/07/20 11:12:11 +0200 TIBEN (null) MESSAGE Protection started successfully
2013/07/20 11:12:11 +0200 TIBEN (null) MESSAGE Starting IP protection
2013/07/20 11:12:13 +0200 TIBEN (null) MESSAGE IP Protection started successfully
2013/07/20 11:12:52 +0200 TIBEN (null) IP-BLOCK 82.208.40.3 (Type: outgoing, Port: 49166, Process: sppextcomobj.exe)
2013/07/20 11:13:00 +0200 TIBEN Edwin & Jacqueline IP-BLOCK 82.208.40.3 (Type: outgoing, Port: 49167, Process: sppextcomobj.exe)
2013/07/20 11:24:34 +0200 TIBEN Edwin & Jacqueline MESSAGE Executing scheduled update: Daily
2013/07/20 11:24:41 +0200 TIBEN Edwin & Jacqueline MESSAGE Scheduled update executed successfully: database updated from version v2013.07.19.09 to version v2013.07.20.03
2013/07/20 11:24:41 +0200 TIBEN Edwin & Jacqueline MESSAGE Starting database refresh
2013/07/20 11:24:42 +0200 TIBEN Edwin & Jacqueline MESSAGE Stopping IP protection
2013/07/20 11:24:42 +0200 TIBEN Edwin & Jacqueline MESSAGE IP Protection stopped successfully
2013/07/20 11:24:44 +0200 TIBEN Edwin & Jacqueline MESSAGE Database refreshed successfully
2013/07/20 11:24:44 +0200 TIBEN Edwin & Jacqueline MESSAGE Starting IP protection
2013/07/20 11:24:46 +0200 TIBEN Edwin & Jacqueline MESSAGE IP Protection started successfully
2013/07/20 13:53:45 +0200 TIBEN (null) IP-BLOCK 82.208.40.3 (Type: outgoing, Port: 49938, Process: sppextcomobj.exe)
2013/07/20 13:55:06 +0200 TIBEN Edwin & Jacqueline IP-BLOCK 82.208.40.3 (Type: outgoing, Port: 49955, Process: sppextcomobj.exe)
2013/07/20 14:10:13 +0200 TIBEN Edwin & Jacqueline MESSAGE Starting database refresh
2013/07/20 14:10:13 +0200 TIBEN Edwin & Jacqueline MESSAGE Stopping IP protection
2013/07/20 14:10:13 +0200 TIBEN Edwin & Jacqueline MESSAGE IP Protection stopped successfully
2013/07/20 14:10:16 +0200 TIBEN Edwin & Jacqueline MESSAGE Database refreshed successfully
2013/07/20 14:10:16 +0200 TIBEN Edwin & Jacqueline MESSAGE Starting IP protection
2013/07/20 14:10:17 +0200 TIBEN Edwin & Jacqueline MESSAGE IP Protection started successfully
2013/07/20 14:18:49 +0200 TIBEN Edwin & Jacqueline MESSAGE Stopping IP protection
2013/07/20 14:18:49 +0200 TIBEN Edwin & Jacqueline MESSAGE IP Protection stopped successfully
2013/07/20 14:18:49 +0200 TIBEN Edwin & Jacqueline MESSAGE Protection stopped
2013/07/20 14:35:02 +0200 TIBEN Edwin & Jacqueline MESSAGE Starting protection
2013/07/20 14:35:02 +0200 TIBEN Edwin & Jacqueline MESSAGE Protection started successfully
2013/07/20 14:35:02 +0200 TIBEN Edwin & Jacqueline MESSAGE Starting IP protection
2013/07/20 14:35:04 +0200 TIBEN Edwin & Jacqueline MESSAGE IP Protection started successfully
2013/07/20 15:32:00 +0200 TIBEN (null) MESSAGE Starting protection
2013/07/20 15:32:00 +0200 TIBEN (null) MESSAGE Protection started successfully
2013/07/20 15:32:00 +0200 TIBEN (null) MESSAGE Starting IP protection
2013/07/20 15:32:02 +0200 TIBEN (null) MESSAGE IP Protection started successfully
2013/07/20 15:34:17 +0200 TIBEN (null) IP-BLOCK 82.208.40.3 (Type: outgoing, Port: 49167, Process: sppextcomobj.exe)
2013/07/20 15:35:21 +0200 TIBEN Edwin & Jacqueline IP-BLOCK 82.208.40.3 (Type: outgoing, Port: 49176, Process: sppextcomobj.exe)
2013/07/20 15:36:55 +0200 TIBEN (null) MESSAGE Starting protection
2013/07/20 15:36:55 +0200 TIBEN (null) MESSAGE Protection started successfully
2013/07/20 15:36:55 +0200 TIBEN (null) MESSAGE Starting IP protection
2013/07/20 15:36:57 +0200 TIBEN (null) MESSAGE IP Protection started successfully
2013/07/20 15:37:27 +0200 TIBEN (null) IP-BLOCK 82.208.40.3 (Type: outgoing, Port: 49185, Process: sppextcomobj.exe)
2013/07/20 15:40:56 +0200 TIBEN Edwin & Jacqueline IP-BLOCK 82.208.40.3 (Type: outgoing, Port: 49193, Process: sppextcomobj.exe)
2013/07/20 15:45:01 +0200 TIBEN (null) MESSAGE Starting protection
2013/07/20 15:45:01 +0200 TIBEN (null) MESSAGE Protection started successfully
2013/07/20 15:45:01 +0200 TIBEN (null) MESSAGE Starting IP protection
2013/07/20 15:45:03 +0200 TIBEN (null) MESSAGE IP Protection started successfully
2013/07/20 15:45:25 +0200 TIBEN (null) IP-BLOCK 82.208.40.3 (Type: outgoing, Port: 49192, Process: sppextcomobj.exe)
2013/07/20 15:46:14 +0200 TIBEN Edwin & Jacqueline IP-BLOCK 82.208.40.3 (Type: outgoing, Port: 49198, Process: sppextcomobj.exe)
2013/07/20 15:46:57 +0200 TIBEN Edwin & Jacqueline MESSAGE Stopping IP protection
2013/07/20 15:46:57 +0200 TIBEN Edwin & Jacqueline MESSAGE IP Protection stopped successfully
2013/07/20 15:46:57 +0200 TIBEN Edwin & Jacqueline MESSAGE Starting IP protection
2013/07/20 15:46:59 +0200 TIBEN Edwin & Jacqueline MESSAGE IP Protection started successfully
2013/07/20 15:48:31 +0200 TIBEN Edwin & Jacqueline MESSAGE Stopping protection
2013/07/20 15:48:31 +0200 TIBEN Edwin & Jacqueline MESSAGE Protection stopped successfully
2013/07/20 15:48:31 +0200 TIBEN Edwin & Jacqueline MESSAGE Starting protection
2013/07/20 15:48:31 +0200 TIBEN Edwin & Jacqueline MESSAGE Protection started successfully
2013/07/20 15:48:32 +0200 TIBEN Edwin & Jacqueline MESSAGE Stopping IP protection
2013/07/20 15:48:32 +0200 TIBEN Edwin & Jacqueline MESSAGE IP Protection stopped successfully
2013/07/20 15:48:33 +0200 TIBEN Edwin & Jacqueline MESSAGE Starting IP protection
2013/07/20 15:48:34 +0200 TIBEN Edwin & Jacqueline MESSAGE IP Protection started successfully
2013/07/20 15:48:34 +0200 TIBEN Edwin & Jacqueline MESSAGE Stopping IP protection
2013/07/20 15:48:34 +0200 TIBEN Edwin & Jacqueline MESSAGE IP Protection stopped successfully
2013/07/20 15:48:35 +0200 TIBEN Edwin & Jacqueline MESSAGE Starting IP protection
2013/07/20 15:48:37 +0200 TIBEN Edwin & Jacqueline MESSAGE IP Protection started successfully

Nu heb ik een al wat onderzoek gedaan en het blijkt dat op het IP (dat zich vestigt in Tsjechië) een hoop nepdomeinen zijn geregistreerd (bron)
Volgens MalwareBytes is sppextcomobj.exe de boosdoener. Terwijl dit een onderdeel van Microsoft is die gewoon in de juiste map staat waar hij hoort. Uit voorzorg heb ik toch dat bestand verwijdert via Kasperky Resque Disk en vervolgens de laptop laten opstarten in Windows 8. En nog steeds probeert het proces te verbinden met hetzelfde IP, terwijl ik het proces verwijderd heb en dus niet meer op de computer staat.
Verder heb ik het IP geblock in DD-WRT, zodat het zeker niks meer kan versturen vanaf ons netwerk.
[img=http://s22.postimg.org/3u54hp6q5/Bureaublad.jpg]

Met vriendelijke groet,
Niels Tiben

zaterdag 20 juli 2013 21:12

Acties:

ebia

Formatteren die handel. Je weet nooit 100% zeker of een bepaalde removal tool ook alles weg haalt, dus ik zou het zekere voor het onzekere nemen.

zaterdag 20 juli 2013 21:15

Acties:

ndonkersloot

ebia schreef op zaterdag 20 juli 2013 @ 21:12:
Formatteren die handel. Je weet nooit 100% zeker of een bepaalde removal tool ook alles weg haalt, dus ik zou het zekere voor het onzekere nemen.

Dit.

Formateren en lekker schoon beginnen.

Fujifilm X-T3 | XF16mm f/2.8 | XF35mm f/2.0 | Flickr: ndonkersloot

zondag 21 juli 2013 00:10

Acties:

Verwijderd

Scan eens met een goed antivirus programma.
Probeer uit te vinden welke data het programma wil verzenden.

Natuurlijk kun je formatteren en opnieuw beginnen. Maar als hetzelfde probleem zich dan weer vooordoet, kun je vrolijk weer gaan formatteren en zo blijf je lekker bezig.

Je kunt hier een heleboel informatie vinden over malware die met dat ip-adres communiceerde en je kunt ook zien welk programma die malware wel of niet detecteerde;
https://www.virustotal.co.../82.208.40.3/information/

zondag 21 juli 2013 00:15

Acties:

Verwijderd

Formateren. Dan ben je tenminste zeker dat het weg is.
Tip: updates (van Windows, Flash, Java en Adobe reader) goed bijhouden! Kan met Secunia PSI.

zondag 21 juli 2013 00:17

Acties:

Verwijderd

http://housecall.trendmicro.com/nl/index.html

http://www.bleepingcomputer.com/download/combofix/

zondag 21 juli 2013 17:43

Acties:

nielstiben

Topicstarter

Ik zal dan toch denk ik gaan voor het formatteren (voor alle zekerheid Killdisk & vervolgens install van W8) ,aangezien ik Kasperky (lijkt me soortgelijk aan TrendMicro House Call) ook al vanaf een cd'tje heb laten booten en en volle scan heb laten draaien. Java installeer ik überhaupt al nooit meer, simpelweg omdat ik (en mijn ouders) het nooit gebruiken en ik slechte ervaringen heb qua veiligheid. Die Secunia PSI van @Kev0 kan ik wellicht wel gebruiken, thx hiervoor!
@zomaar Ik kan zien dat het txt bestandjes zijn, maar niemand hier weet wat er instaat helaas.
Dus met...

Formatteren (Killdisk) en schone installatie van Windows
Antivirus (Microsoft Security & MBAM) up-to-date
Overige software (flash etc) up-to-date
Windows up-to-date

...Is de kans klein om mogelijke herhaling??

zondag 21 juli 2013 18:00

Acties:

3dfx

nielstiben schreef op zondag 21 juli 2013 @ 17:43:

Dus met...
Formatteren (Killdisk) en schone installatie van Windows
Antivirus (Microsoft Security & MBAM) up-to-date
Overige software (flash etc) up-to-date
Windows up-to-date
...Is de kans klein om mogelijke herhaling??

Nee, je weet niet hoe groot de kans op herhaling is. Je kunt alles nog zo goed beveiligen, maar de computer wordt nog steeds 'bestuurd' door je ouders en niet door jezelf

Hoe hebben ze het namelijk voor elkaar gekregen dat die malware op de computer kwam?
Bezoeken ze bepaalde sites die het mogelijk serveren, installeren ze 'vage' software of bekende software maar van vage bronnen, klikken ze op alles "ok" of "volgende" zonder goed te lezen waar het over gaat etc.

Nog een kleine toevoeging op je op zich goede stappenplan: maak een apart admin-account aan en voor je ouders een account met beperkte rechten.
Niet dat het dan 100% dicht zit, maar het werpt wel een extra drempel op voor evt. malware, én voor je ouders om alles maar klakkeloos te installeren (bewust of onbewust).
En/of UAC op hoogste standje zetten bij "gebruikersaccounts".

zondag 21 juli 2013 18:03

Acties:

Ricepuppet

Iva_Bigone schreef op zondag 21 juli 2013 @ 18:00:
[...]Nog een kleine toevoeging op je op zich goede stappenplan: maak een apart admin-account aan en voor je ouders een account met beperkte rechten.
Niet dat het dan 100% dicht zit, maar het werpt wel een extra drempel op voor evt. malware, én voor je ouders om alles maar klakkeloos te installeren (bewust of onbewust).
En/of UAC op hoogste standje zetten bij "gebruikersaccounts".

Dit heb ik uiteindelijk ook gedaan bij de PC van mijn moeder; dit heeft maar kort gewerkt, aangezien meerdere programma's toen begonnen te zeiken dat ze constant geupdate moesten worden, maar geen admin rights hadden.

Mocht ik alsnog ten tonele verschijnen om alleen het wachtwoord in te tikken. Ik heb haar gewoon Ubuntu gegeven; sindsdien hoor ik geen klachten of vragen meer van haar

🇳🇱 A Youtube channel about gaming: customizing consoles, mini documentaries and tech videos | www.fistbumpbros.com

zondag 21 juli 2013 18:13

Acties:

nielstiben

Topicstarter

Mijn ouders gaan het niet redden met Ubuntu helaas. Zover ik weet bezoeken mijn ouders geen gevaarlijke websites en klikken ze niet op alles wat los en vast zit. Verder stond er niet veel software op de computer. Alleen Microsoft office en nog wat programma's voor het werk. Ze gebruiken gewoon Internet Explorer. Kan het niet komen door FB? Mijn moeder is namelijk helemaal verslaafd aan Candy Crush

zondag 21 juli 2013 18:27

Acties:

Ricepuppet

Internet Explorer + Facebook games

Wat dacht je van Firefox met Adblock, FB Purity en Ghostery. En misschien wat goedkope spelletjes van 3 euro in de Media Markt bak.

Overigens is er zat te vinden in de Ubuntu Marketplace wat veilig draait op het OS, zonder overige crap.

Serieus, think about it

🇳🇱 A Youtube channel about gaming: customizing consoles, mini documentaries and tech videos | www.fistbumpbros.com

zondag 21 juli 2013 18:43

Acties:

NSG

Je weet niks!

Wat een onzin, om hiervoor een nieuwe installatie te doen..

-Heb je alvorens je Malwarebytes hebt laten scannen de databases geüpdatet ?
-Opstartprogramma's gecheckt (ook in register)?
-Niks raars te zien aan netwerkadapter instellingen?
-Host file is clean?

Naast MBAM is er nog genoeg andere software die het proberen waard zijn, voorbeeld:
Malwarebytes Anti-Rootkit
Hitman Pro
RogueKiller
Combofix

zondag 21 juli 2013 18:48

Acties:

Pwigle

Enes_81 schreef op zondag 21 juli 2013 @ 18:43:
Wat een onzin, om hiervoor een nieuwe installatie te doen..

Een beetje rootkit is niet te detecteren, ook al verwijder je dit virus - hoe weet je zeker dat alle malware weg is?
Ik zou die PC niet gebruiken als ik ergens mijn wachtwoord moet intikken, of wat dacht je van internet bankieren?

zondag 21 juli 2013 19:01

Acties:

nielstiben

Topicstarter

Ik heb MalwareBytes Anti-Rootkit ook al geprobeerd, zonder resultaat.

zondag 21 juli 2013 19:05

Acties:

Releases

Ja maar!

Heb zelf altijd wel goed resultaat met ESET Online scanner.

zondag 21 juli 2013 19:19

Acties:

nielstiben

Topicstarter

RogueKiller vind alleen iets onder het tablat 'register'
8 resultaten met als Key Type HJ POL, HS MENU, HJ DESK
Heeft dit er iets mee te maken?

maandag 22 juli 2013 12:29

Acties:

LnC

The offending line...

Probeer eens te scannen met MBAM in veilige modus zonder netwerk.

maandag 22 juli 2013 12:57

Acties:

Turdie

Wellicht heb je hier iets aan:
License to Kill: Malware Hunting with the Sysinternals Tools

In deze sessie op TechEd geeft Mark Russinovich uitleg hoe je met de Sysinternals tools malware kunt opsporen en verwijderen.

Heb je ook al de file even geupload naar virustotal.org, dan zie je of het echt een virus is. Je zou ook is gewoon een keertje met Windows Defender kunnen scannen.

Wat ik me ook afvraag, hoe je weet dat ip 82.208.40.3 malafide is? En wat is het probleem precies met hun internet?

[ Voor 97% gewijzigd door Turdie op 22-07-2013 13:08 ]

maandag 22 juli 2013 13:39

Acties:

LnC

The offending line...

shadowman12 schreef op maandag 22 juli 2013 @ 12:57:
Wat ik me ook afvraag, hoe je weet dat ip 82.208.40.3 malafide is? En wat is het probleem precies met hun internet?

Zie hier op de site van Malwr.com en Urlquery.net

maandag 22 juli 2013 16:14

Acties:

nielstiben

Topicstarter

Hallo weer iedereen!

Ik zit nu weer op de laptop van mijn ouders, met een schone installatie van Windows 8.
@LnC MBAM had ik tevens ook al uitgevoerd in veilige modes.
@shadowman12 Het probleem is nu verholpen, maar wel bedankt hoor voor de link!
Met een schone installatie is de kans veel kleiner dat er eventueel malware achterblijft. Bovendien hebben mijn ouders niet heel veel programma's zodat het geen dagen in beslag neemt om alles opnieuw te installeren. Verder ga ik kijken naar Secunia PSI (tip van @kev0) om de boel een beetje up-to-date te houden.

Ik wil hier iedereen hier bedanken voor jullie inzet en voor de hulp!

M.v.g
Niels Tiben