Rootkit? Trojans keren iedere dag terug

Enkele dagen geleden besloot ik, zoals ik wel eens vaker doe, wat Torrents binnen te halen. Helaas was ik dit keer wat ongeduldig en besloot ik af te wijken van de reguliere websites en ergens anders torrents binnen te halen.

Het begon op 16 oktober. Ik besloot de Bittorrent maar af te sluiten, want het was toch al laat en wilde gaan slapen. Even later kreeg ik plots een pop-upje van MSE. Hij zou een trojan hebben gevonden? En korte tijd later een ''wachtwoorddief'', beter bekend als een keylogger?

Ik besloot na verwijdering eens de bron te bezoeken van deze rommel:
C:\Users\Chris\AppData\Local\Temp
C:\Users\Chris\AppData\Local\Imvdsoft
C:\Users\Chris\AppData\Local\Elnntion
Belangrijk detail de mappen zijn gemaakt tussen 1:00 en 1:30.

Dit vertrouwde ik dus totaal niet en ik liet een scan van MBAM lopen. En ja hoor:

Een lading aan nog méér troep.Uiteindelijk alles verwijderd met MBAM en besloot de computer maar uit te zetten, want ''alles is nu toch verwijderd''. Ik had zelf overigens hier ook al de torrent en inhoud verwijderd.

De volgende ochtend, 17 oktober, niets aan de hand in de eerste instantie. Ik had een update van Adobe Flashplayer en begon aan mijn standaard routine 's ochtends op de computer. Maar ik had toch een nare smaak over gehouden aan de ontrust een dag eerder. Dus ik besloot de mijn pc even handmatig te controleren. Echter, misschien wat stom wellicht, deed ik dat pas na een dagje gamen.

En ja hoor,de mapjes ''Elnntion'' en ''Imvdsoft'' waren terug met hun bijbehorende ellende. Ook draaide er een vreemd proces in mijn taakbeheer, namelijk ''tmpABE8.exe''.
Het eerste wat ik deed was de internet verbinding verbreken. Tenslotte, als er een keylogger op staat kan of een RAT o.i.d. kan die niets meer dacht ik bij mezelf.
Vervolgens weer MBAM flink tekeer laten gaan en hij had weer het een ander verwijderd. Weer precies dezelfde .exe in de mapjes. Echter viel het mij weer op, de mapjes waren pas na 1:00 's nachts aan gemaakt. Ik besloot naast MBAM en MSE ook eens Hitman Pro te draaien. Deze gaf na de scan van MBAM groen licht. Opnieuw zette ik mijn pc maar uit gezien het tijdstip.

De volgende ochtend startte ik mijn pc opnieuw op maar zonder internetkabel, ik wilde eerst de boel zelf bekijken alvorens hij weer op het netwerk mocht. Uiteraard maakte ik hierbij opnieuw gebruik van MSE, MBAM en een nieuwe, ADWCleaner. Die laatste vroeg na afloop om een herstart en hierna begon de ellende pas echt.

Overigens melde MBAM dit keer wel iets nieuws, hij vond namelijk iets op de boot sector:


Mijn pc wilde niet meer normaal opstarten. Het logonscherm was minutenlang een zwart scherm met cursor. Waarna ik mijn pc zelf nog maar eens een herstart gaf. Uiteindelijk kreeg ik na het biosscherm een lange rij met de letter ''H'' te zien.

Na wat geklooi met systeemherstel uiteindelijk mijn pc weer aan de praat gekregen. Na wat de forums te hebben door gekeken besloot ik een scan te doen met TDSSkiller. En deze vond inderdaad iets. Rootkit verwijderd, deze droeg de naam ''Rootkit.Boot.Cidox.b''.

Nadat ik deze had verwijderd heb een volledige scan of twee gedraaid met MBAM. Meermalen mijn PC herstart, Hitman Pro mijn pc laten onderzoeken, ADWCleaner laten onderzoeken en nogmaals TDSSkiller. Allen vonden niets meer. Later die avond werden er ook geen mapjs meer aangemaakt. Ik dacht dus echt dat ik safe was.

Maar niets is minder waar.. Zojuist, of nou ja, inmiddels al 2 uur geleden, heb ik de mapjes weer aangetroffen. En weer met de zelfde trojans. Echter vind TDSSkiller dit keer niets.

Ik heb dus een vermoeden dat ergens een of ander lek zit. Maar hoe moet ik nu verder? Ben toch best wanhopig nu.

Overigens heb ik hier een overzicht in niet chronologische volgorde van de meldingen van de verschillende scanners, Imgur link
Wat mij trouwens ook opviel, mijn host file is veranderd naar een beschrijfbaar .txt bestandje. En ook had ik plots wat vreemde startprogramma's erbij, die overigens ook iedere keer terugkeren rond 1 uur. Overdag zijn ze er niet.

Edit: Ik zie nu ook dat de wijziging aan de host file op hetzelfde moment plaatsvind als het aanmaken van de mapjes.


Edit2: Nog wat leuks gevonden in veilige modus:

[ Voor 3% gewijzigd door Dynaw op 20-10-2014 03:40 ]

Het is echt een .txt. geworden. Normaal gesproken heeft het het type ''bestand'', niet tekstdocument.
Verder kon ik de hostfile zomaar bewerken, geen administrator voor nodig.

Overigens staan de verborgen en verborgen systeembestanden al zichtbaar, extensies ook.

Toen ik net mijn pc opstartte kreeg al ik direct te maken met drie trojans, die overigens alle drie op de zelfde plek zouden moeten zitten.
Ik ben dus weer naar de standaard mappen gaan kijken waar zich dit voordoet, en ja hoor:

In C:\ProgramData\Microsoft\Secure\Icons vond ik tmp8101.tmp. In deze map zitten overigens ook 2 .dll files die ik niet kan verwijderen omdat deze in gebruik zijn. In veilige modus lukt mij dit ook niet.
Het gaat dan om deze .dll files:

Al bestaat deze mapping normaal gezien al niet? Ik heb hem namelijk niet in mijn VMware Windows 7.

Verder verschijnen de trojans direct op mijn PC zodra hem verbind met het internet. Zo niet, dan is die is er niets aan de hand. Wanneer ik mijn pc met het internet verbind in via de veilige modus met netwerk opties is er ook niets aan de hand.

Ter controle, mijn instellingen:




Niets vreemds, lijkt mij?

Ik heb nu ook de host file vervangen door die van mijn VMware Windows 7. De inhoud van mijn vorige hostfile was overigens ook gewoon normaal.

@johnkeates, Ik ga de software nu nog eens draaien. Resultaat zal ik toevoegen aan deze post.

Nadat ik de scans heb gedraaid, vroeg d'r een om een herstart. Nu krijg ik na het logon scherm een mooi zwart scherm wat verder niets doet. Overigens had geen van allen iets gevonden. Systeemherstel werkt nu ook niet meer.

Ik ben bang dat ik maar voor een complete herinstallatie moet gaan, kennelijk zit er zo diep op.

@Mijzelf, op het moment dat normaal Windows zou starten kreeg ik de letter ''H'' te zien in een lange rij onder elkaar.

Edit: Recenter herstelpunt genomen, kan nu wel normaal op m'n pc.
Edit2: met de unlocker tool de .dll's kunnen verwijderen. Maar gezien mijn pc het nu wel weel ''normaal'' doet, maak ik eerst een backup alvorens ik ga testen of het nu wél in orde is.

[ Voor 22% gewijzigd door Dynaw op 20-10-2014 13:22 ]

LnC schreef op maandag 20 oktober 2014 @ 13:29:
Zoals F_J_K al aangaf, formateer (grondige versie) en installeer een nieuwe Windows.
Maar als dit niet mogelijk is, dan kan je nogmaals aan de slag met de eerdere tools.
Heb je trouwens met TDSSKiller alle scan opties aangezet (alle opties aan vereist een reboot van je systeem)? Ik kan dat niet herleiden of je dat wel of niet gedaan had uit je screenshots.

Loop ook eens msconfig door bij opstarten en haal daar de boosdoeners (indien aanwezig) weg. Doe hetzelfde met de services (vink verberg alle MS services aan) die met de malware / rootkits te maken hebben.

Mocht je nog meer hulp nodig hebben, trek dan maar aan "de bel".

Ik heb TDSSkiller met alle scan opties laten scannen, die kwam zojuist clean naar voren. De msconfig is ook clean.

Ik besef mezelf inderdaad ook dat een backup niet heilig is op dit moment maar dat is nog altijd beter dan alle data verliezen. Ik de data zal in ieder geval komen op een fysieke aparte HDD.

De uitspraak van E-vix lijkt mij nog vrij aannemelijk, gezien het telkens terugkeert zelfs wanneer ik alles verwijder.

Kaspersky Rescuedisk heeft inmiddels al het een en ander gevonden wat de vorige scanners niet hebben gevonden. Wat is overigens geadviseerd hierbij? Een volledige scan van alles draaien?

Verse Windows installatie opgezet. Hoe kan ik controleren of ik nu écht clean ben?

johnkeates schreef op maandag 20 oktober 2014 @ 17:21:
Door te kijken of je nu nog steeds malware hebt...

Dat snap, maar is één van bovenstaande tools dan voldoende om te controleren? Gezien de malware zich pas rond 1 uur 's nachts bij mij meldt en de dag daarop bij het opstarten.

Ben inmiddels ''virusvrij'' sinds afgelopen maandag 18:50. Sindsdien is alles in orde, er gebeuren geen vreemde dingen meer, alle scans zijn nu standaard groen en belangrijker, heb m'n les je geleerd over back-uppen. Ik wilde al maanden een backup HDD aanschaffen, nooit van gekomen.

Een eventuele image trekken is wellicht dan ook geen slecht idee nee. Ontzettend bedankt voor alle hulp in ieder geval.