Last van stealth backdoor rootkit - Windows clients

zondag 22 februari 2015 07:11

Acties:

0 Henk 'm!

Topicstarter

Ik had in 2013 last van dat via Windows Update een geinfecteerde update binnenkwam, Norton gaf toen aan dat er een VMWare virus was, hier werd een service van uitgeschakeld, zodat het niet meer werkte (VMWare) en het virus updates zichzelf ook.

En mijn Norton account met wachtwoorden lijst was, gehacked, iemand kon alles meelezen wat ik typte.

En na een herinstallatie van Windows kwam het gelijk binnen.

Commerciele producten zien het niet.

Alleen gmer een speciale rootkit scanner.

Het komt bij mee met een .net client update deze zijn ook geinfecteerd.

Ik heb het op meerdere systemen.

Ineens was het verdwenen, niet met met gmer te vinden op alle systemen.

En nu (2015) is mijn nieuwe HP laptop weer geinfecteerd.

Het lijkt ook of iemand met veel verstand van Windows een insider, het virus herprogrammeerd.

Hoe kan je zien wat er uitgevoerd word en hoe kan je zien wat er voor netwerk verkeer is en het sniffen?

Ik heb wel is gehoord van een Linux systeem er tussen zetten, maar daar heb ik niet zo veel verstand van.

Heeft iemand een idee hoe dit in Windows op te lossen is?

[ Voor 8% gewijzigd door mderoo75 op 22-02-2015 09:40 . Reden: Foutje over VmWare ]

zondag 22 februari 2015 07:47

Acties:

0 Henk 'm!

Nobby

Nuts!

Wat is een gmer? Hoe kom je er bij dat Windows Updates en een .net update binnenkomt?

Hoe weet je dat je dit backdoor virus hebt?

From all the things I have lost, I miss my mind the most - Ozzy
Uitvindingen zijn niets anders dan betere middelen naar een slechter doel - Berry van Aerle
Het uitzetten van je pc is als het dooddrukken van een muis, dat doe je niet zo makkelijk.

zondag 22 februari 2015 08:04

Acties:

0 Henk 'm!

Kalief

GMER is een 'rootkit detector and remover'.
http://www.gmer.net/#faq

Dat een rootkit via Windows Update binnenkomt lijkt me onwaarschijnlijk,
tenzij *.windowsupdate.com via bijvoorbeeld het hosts-bestand wordt omgeleid naar een ander ip-adres.

@mderoo75 plaats eens een screenshot van het GMER scherm waarin de rootkit-detectie staat.
(GMER zou trouwens de rootkit zelf moeten kunnen verwijderen.)

Niemand wordt Kalief in plaats van de Kalief!

zondag 22 februari 2015 09:35

Acties:

0 Henk 'm!

mderoo75

Topicstarter

Heb een foto met met iPhone gemaakt, beetje wazig, maar je kan zien dat het threads zijn en in het .net 4.0 framewerk iets mee mis is.

En der net was er ook een MBR infectie aanwezig, maar door het recoveren van het systeem is die weg.

Afbeeldingslocatie: http://www.mdrs.nl/Gmer/Gmer_Thumb.jpg

En kijk anders voor de grote versie op http://www.mdrs.nl/Gmer/Gmer.jpg

[ Voor 22% gewijzigd door mderoo75 op 22-02-2015 09:42 . Reden: Foto toegevoegd ]

zondag 22 februari 2015 09:57

Acties:

0 Henk 'm!

hendrikjan

VOORMALIG STUNTMAN

Misschien een screen cap maken, dit is niet te lezen, hier staat hoe http://windows.microsoft....re-print-screen=windows-8

[ Voor 4% gewijzigd door hendrikjan op 22-02-2015 10:00 ]

zondag 22 februari 2015 10:14

Acties:

0 Henk 'm!

mderoo75

Topicstarter

Nou foto nu met Ipad gemaakt en die heeft een betere camera...

En zie dat ie met Windows update bezig waar een virus of een bedreiging in zit...

Systeem is net gerecovered dus een host file probleem lijkt mij niet zo waarschijnlijk

Zie post boven, vooral de grote foto, niet de thumb die is wazig

En met nog een update komt ie zelfs as verdacht (suspucious)

Afbeeldingslocatie: http://www.mdrs.nl/Gmer/Gmer2_Thumb.jpg

En kijk anders voor de grote versie op http://www.mdrs.nl/Gmer/Gmer2.jpg

[ Voor 177% gewijzigd door mderoo75 op 22-02-2015 10:53 . Reden: Nieuwe foto gemaakt met Ipad ]

zondag 22 februari 2015 12:06

Acties:

0 Henk 'm!

Lustucru

26 03 2016

mderoo75 schreef op zondag 22 februari 2015 @ 09:35:
[...]beetje wazig, maar je kan zien dat het threads zijn en in het .net 4.0 framewerk iets mee mis is.[...]

Zou het kunnen dat een deel van de paniek wordt veroorzaakt omdat je thread (draad, procesdeel) verwart met threat (dreiging)?

De oever waar we niet zijn noemen wij de overkant / Die wordt dan deze kant zodra we daar zijn aangeland

zondag 22 februari 2015 12:11

Acties:

0 Henk 'm!

Kalief

Een MSI is bedoeld om wijzigingen in je systeemfiles aan te brengen, dat is op zich dus geen bedreiging.
Met alle andere regels is niets aan de hand, ze staan er in omdat GMER ziet dat ze draaien, niet omdat ze verdacht zijn.
Wacht tot de updates klaar zijn, restart, run de quick scan nog een keer en kijk dan of er in de lijst regels
staan met ***hidden*** op <- rootkit er in.

Niemand wordt Kalief in plaats van de Kalief!

zondag 22 februari 2015 12:33

Acties:

0 Henk 'm!

nachtnet

even om alles nog eens uit te sluiten: gebruik je een originele dvd om jouw windows mee te installeren? of heb je een iso van het net geplukt? in een niet officiele zou eventueel een root kit kunnen zitten.

verder zou ik met lustrucru & kalief meegaan in het geen echte zorgen maken

zondag 22 februari 2015 12:42

Acties:

0 Henk 'm!

Croga

The Unreasonable Man

TS;

Ik zie in je screenshots geen enkele aanleiding om aan te nemen dat je een rootkit hebt, of dat er zelfs maar iets verdachts op je systeem gebeurt.

Het enige wat je ziet is welke zaken er allemaal uitgevoerd worden op je PC op de achtergrond. Dit zijn allemaal gewoon normale activiteiten voor een update run. Dat er iets als "suspicious" aangemerkt wordt is niet raar; je bent de kernel van Windows aan het updaten, natuurlijk is dat twijfelachtig. Maar zolang er niet staat dat er een gevaar is, is er niets aan de hand.

Storm in een glas water. Gewoon negeren en door gaan met leven, er is namelijk niets aan de hand.

zondag 22 februari 2015 14:43

Acties:

0 Henk 'm!

Thralas

Croga schreef op zondag 22 februari 2015 @ 12:42:
TS;

Ik zie in je screenshots geen enkele aanleiding om aan te nemen dat je een rootkit hebt, of dat er zelfs maar iets verdachts op je systeem gebeurt.

Vooropgesteld dat ik je scepsis deel, lijkt het me niet onredelijk om uit te zoeken WAAROM GMER die verdachte threads detecteert.

Ik kan echter nergens vinden op basis waarvan die detectie plaatsvindt; misschien kun je onder Windows zien of een thread 'native' is, of gespawned door een ander proces?

Zelfs dan zijn er voldoende 'legitieme' redenen om code te injecteren, AV/antimalware op userlandniveau komt nog wel eens voor..

tl;dr geen paniek, maar als iemand nog weet te beredeneren wat die thread view überhaupt voorstelt, shoot.

zondag 22 februari 2015 15:22

Acties:

0 Henk 'm!

r44

mderoo75 schreef op zondag 22 februari 2015 @ 12:37:

Er staat namelijk geen code op de laptop

Dus geen installatie vanaf een cd, die ik wel heb.

Volgens mij kan je wel vanaf een cd installeren.
Als het goed is staat de code in de BIOS en wordt dan automatisch uit de bios gehaald.

44

zondag 22 februari 2015 16:07

Acties:

0 Henk 'm!

Croga

The Unreasonable Man

Thralas schreef op zondag 22 februari 2015 @ 14:43:
Vooropgesteld dat ik je scepsis deel, lijkt het me niet onredelijk om uit te zoeken WAAROM GMER die verdachte threads detecteert.

wélke verdachte threads!?

Er zijn twee screenshots. In de eerste is helemaal niets verdachts (alleen een lijst van threads die op dat moment lopen. Het feit dat daarbij niet vermeld staat dat ze gevaarlijk zijn betekend dat ze ongevaarlijk zijn). In de tweede is één thread "suspicious". Zoals al gezegd; dat is niet raar; het is een Windows Update thread, een thread die aanpassingen aan het besturingssysteem doet en dat is per definitie "suspicious". Nogsteeds helemaal niets om je zorgen over te maken dus.

zondag 22 februari 2015 16:31

Acties:

0 Henk 'm!

mderoo75

Topicstarter

Maar Gmer is geen thread monitorings programma!

Het geeft verdachte activiteiten weer.

Ik neem dat Windows niet uit 10 processen bestaat, maar vele 100den als het er geen 1000den zijn. Zullen niet allemaal tegelijk actief zijn, maar dit maakt het vatbaarder voor virussen.

De systemen zijn te complex en ieder paar jaar komt er een nieuwe Windows of Linux, etc. (Major release). Hoewel Linux iets doordachtiger in elkaar zit of een mac, maar voor beide zijn ook steeds meer virussen omdat het steeds meer gebruikt word.

Vroeger met dos was het makkelijker, dan had je ongeveer 10 drivers /programma's in de config.sys en autoexec.bat staan.

Maar DOS was niet zo gebruikersvriendelijk en een gebruikersvriendelijk systeem word complexer, inclusief de gratis bugs die je er zomaar bij krijgt!

zondag 22 februari 2015 16:40

Acties:

0 Henk 'm!

Croga

The Unreasonable Man

mderoo75 schreef op zondag 22 februari 2015 @ 16:31:
Maar Gmer is geen thread monitorings programma!

Het geeft verdachte activiteiten weer.

- Is er een melding gekomen dat er iets ernstigs gevonden is? Nee, dus er is niets ernstigs gevonden.
- Zijn er verborgen threads gevonden? Nee, dus er is niets ernstigs gevonden.
- Staat er ergens dat er een rootkit gedetecteerd is? Nee, dus er is niets ernstigs gevonden.

Er staat in de FAQ ook heel erg duidelijk dat als je niet in staat bent de log zelf te interpreteren, je hem naar de maker van het programma moet sturen. Jij bent duidelijk niet in staat de log te interpreteren dus ik zou zeggen: Klim in de mail.

Bottom line: Nee, er is niets ernstigs gevonden. Nee, je hebt geen rootkit. Nee, je bent niet in gevaar.

zondag 22 februari 2015 17:01

Acties:

0 Henk 'm!

Thralas

Croga schreef op zondag 22 februari 2015 @ 16:07:
[...]

wélke verdachte threads!?

Er zijn twee screenshots. In de eerste is helemaal niets verdachts (alleen een lijst van threads die op dat moment lopen. Het feit dat daarbij niet vermeld staat dat ze gevaarlijk zijn betekend dat ze ongevaarlijk zijn).

Die lijst staat onder het tabblad rootkits/malware, en is bovendien geen uitputtende lijst van alle threads; blijkbaar is er dus een criterium voor GMER om threads daar wel of niet weer te geven.

Het feit dat je niet weet waaróm ze daar staan doet me suggereren dat je wilt weten hoe dat komt. En dat is niet omdat ik vermoed dat het iets malicious betreft (met slechts beperkte kennis van GMER zie ik verder alsnog geen 'positiever' aanwijzing), maar meer omdat je wilt kunnen verklaren waarom die entries er überhaupt staan. Als dat is omdat ze met system files in de weer zijn qua schrijfactiviteit, sure, klinkt logisch, maar tot dusver is het louter giswerk - ik kan nergens vinden welke criteria GMER hanteert, dus dan kan ik er ook geen uitspraken over doen...

In de tweede is één thread "suspicious". Zoals al gezegd; dat is niet raar; het is een Windows Update thread, een thread die aanpassingen aan het besturingssysteem doet en dat is per definitie "suspicious". Nogsteeds helemaal niets om je zorgen over te maken dus.

Dat was geen thread, maar een ander type object. Dat ze daar dan wel expliciet *** suspicious *** neerzetten, tjah...

maandag 23 februari 2015 06:45

Acties:

0 Henk 'm!

mderoo75

Topicstarter

Nou heb dat ook gedaan, het maar geemailed naar gmer...

Nu afwachten op antwoord

Maar vroeg me als anderen windows 7 (professional) installeren of ze dit ook hebben?

Maar er is wel een melding dat er rootkit/malware activiteiten zijn, anders zou dit niet in dit lijstje staan en zoals ik al eerder zei, gmer is geen process monitor, maar die geeft verdachten activeiten aan die op een rootkit kunnen lijken, maar zoals je ook zei alleen gmer weet waarom dit daar staat.

Maar snap niet dat een programmeer framework als malware in een malware overzicht te voorschijn komt. Is natuurlijk wel een ideale manier om virussen te verspreiden omdat veel applicatie die in .net geprogrammeerd zijn daar gebruik van maken en dit zich diep in windows integreerd... (Skeptisch)

En don't trust Obvious ofzo iets dergelijks...

maandag 23 februari 2015 07:09

Acties:

0 Henk 'm!

CMD-Snake

mderoo75 schreef op maandag 23 februari 2015 @ 06:45:
Maar vroeg me als anderen windows 7 (professional) installeren of ze dit ook hebben?

Nee, dan heb ik dit soort dingen niet. Nou draai ik ook niet standaard Gmer terwijl ik aan het werk ben. Wel heb ik een eigen WIM file gemaakt van Windows 7 SP1 waarin behoorlijk wat updates verwerkt zijn. Dus is een hoop patch werk al gedaan.

Maar er is wel een melding dat er rootkit/malware activiteiten zijn, anders zou dit niet in dit lijstje staan en zoals ik al eerder zei, gmer is geen process monitor, maar die geeft verdachten activeiten aan die op een rootkit kunnen lijken, maar zoals je ook zei alleen gmer weet waarom dit daar staat.

Sommige AV pakketten doen dit ook. Die willen behulpzaam zijn en je systeem beschermen tegen aanpassingen door malware. Helaas krijg je dan elke keer een melding als je zelf iets doet wat het systeem aanpast, bijvoorbeeld software installatie of updates.

Hoe weet je zo zeker dat nu iedereen met je meeleest en je gehackt bent? Zie je verdachte activiteiten op je netwerk/firewall? Verdachte activiteit op accounts ergens?

maandag 23 februari 2015 07:54

Acties:

0 Henk 'm!

Anoniem: 76151

Draai ook eens een ander AV/AR programma. Staar je niet blind op wat 1 programma zegt.

maandag 23 februari 2015 08:30

Acties:

0 Henk 'm!

mderoo75

Topicstarter

Ja heb Norton Internet Security, toch niet een hele slechte weet dat er wel betere zijn, maar dat wisselt ook. Maar vind het intuïtief werken.

En had ook spybot en mbam en trend micro geprobeerd en vele andere commerciele.

In het begin gaf Norton aan dat er een VMWare virus was, maar na een update van de data bestanden herkende die het niet meer.

En me Norton account, met telfort email was gehacked, maar dit kwam door slechte beveiligingsvragen van telfort dat je makkelijk iemand wachtwoord kon resetten.

Maar wat erger was iemand had ook het paswoord van me wachtwoorden in de cloud. en Als de cloud niet goed beveiligt, 2 laags bijvoorbeeld met een sms of ander token dan is het als je het wachtwoord weet voor iedereen toegankelijk

Me Hotmail en gmail was ook gekraakt, doordat diegene me wachtwoorden wist.

En van me ING waren ingeplande opdrachten verwijdert.

Bij mijn domein waren domeinen opgezegd.

Het leek er ook op dat iemand monitorde wat ik deed, want als ik een wachtwoord verandere werd het weer ook weer verandert.

En hoe kan ik met een UPC kabelmodem en daar aangekoppeld een Netgear router het verkeer monitoren?

[ Voor 4% gewijzigd door mderoo75 op 23-02-2015 09:46 ]

maandag 23 februari 2015 10:01

Acties:

0 Henk 'm!

CMD-Snake

mderoo75 schreef op maandag 23 februari 2015 @ 08:30:
Ja heb Norton Internet Security, toch niet een hele slechte weet dat er wel betere zijn, maar dat wisselt ook. Maar vind het intuïtief werken.

En had ook spybot en mbam en trend micro geprobeerd en vele andere commerciele.

In het begin gaf Norton aan dat er een VMWare virus was, maar na een update van de data bestanden herkende die het niet meer.

Als AV programma is mijn keuze alleen Kaspersky of F-Secure. Dat zijn zo'n beetje de beste in mijn ervaring.

En wat is een VMWare virus? Meeste malware stopt juist met werken als die ontdekt dat de host virtueel is, dit omdat veel beveiligingsonderzoekers virtuele machines met opzet besmetten om de malware te onderzoeken. Enige tijd geleden was er ook een beveiligingsonderzoeker die malware voorstelde die het besmette systeem virtueel zou gaan draaien om de boel om de tuin te leiden, maar dat was slechts theoretisch.

En me Norton account, met telfort email was gehacked, maar dit kwam door slechte beveiligingsvragen van telfort dat je makkelijk iemand wachtwoord kon resetten.

Maar wat erger was iemand had ook het paswoord van me wachtwoorden in de cloud. en Als de cloud niet goed beveiligt, 2 laags bijvoorbeeld met een sms of ander token dan is het als je het wachtwoord weet voor iedereen toegankelijk

Me Hotmail en gmail was ook gekraakt, doordat diegene me wachtwoorden wist.

En van me ING waren ingeplande opdrachten verwijdert.

Bij mijn domein waren domeinen opgezegd.

Hergebruik je veel hetzelfde wachtwoord? Het beste is om via een programma als Keepass je wachtwoorden te generen en te beheren. Dit maakt het lastiger omdat nergens je wachtwoord dan hetzelfde zal zijn. Ook kan Keepass zeer lastig te kraken wachtwoorden genereren.

Het hele verhaal is mij verder wat onduidelijk. Het lijkt mij sterk dat Windows Update geïnfecteerd is, dan had de hele wereld een probleem.

Als je echt zo twijfelt, formatteer je schijf dan met iets als DBAN en installeer Windows 7 van een originele DVD. Je kan je systeem dan patchen eventueel met iets als WSUS offline voordat je deze aan het internet hangt.

maandag 23 februari 2015 13:19

Acties:

0 Henk 'm!

mderoo75

Topicstarter

Het was een virus dat VMWare service uitgeschakeld, waardoor VMWare niet meer op start.

En het lijkt iets met het hardware id of serienummer van windows te maken te hebben.

De hacker zorgt ervoor dat ik het wel krijg op 1 of meerdere systemen en andere niet want anders had tweakers e.d. volgestaan met meldingen dat er virussen verspreid worden via windows update

maandag 23 februari 2015 17:00

Acties:

0 Henk 'm!

Anoniem: 316512

mderoo75 schreef op maandag 23 februari 2015 @ 08:30:
Ja heb Norton Internet Security, toch niet een hele slechte weet dat er wel betere zijn, maar dat wisselt ook. Maar vind het intuïtief werken.

En had ook spybot en mbam en trend micro geprobeerd en vele andere commerciele.

In het begin gaf Norton aan dat er een VMWare virus was, maar na een update van de data bestanden herkende die het niet meer.

En me Norton account, met telfort email was gehacked, maar dit kwam door slechte beveiligingsvragen van telfort dat je makkelijk iemand wachtwoord kon resetten.

Maar wat erger was iemand had ook het paswoord van me wachtwoorden in de cloud. en Als de cloud niet goed beveiligt, 2 laags bijvoorbeeld met een sms of ander token dan is het als je het wachtwoord weet voor iedereen toegankelijk

Me Hotmail en gmail was ook gekraakt, doordat diegene me wachtwoorden wist.

En van me ING waren ingeplande opdrachten verwijdert.

Bij mijn domein waren domeinen opgezegd.

Het leek er ook op dat iemand monitorde wat ik deed, want als ik een wachtwoord verandere werd het weer ook weer verandert.

En hoe kan ik met een UPC kabelmodem en daar aangekoppeld een Netgear router het verkeer monitoren?

Als ik dit soort verhalen lees zou ik jou eigenlijk gewoon willen aanraden om een expert in te huren. En Norton er asap afdonderen.

maandag 23 februari 2015 18:51

Acties:

0 Henk 'm!

ZeroCode

Woopie

mderoo75 schreef op maandag 23 februari 2015 @ 08:30:
Ja heb Norton Internet Security, toch niet een hele slechte weet dat er wel betere zijn, maar dat wisselt ook. Maar vind het intuïtief werken.

En had ook spybot en mbam en trend micro geprobeerd en vele andere commerciele.

In het begin gaf Norton aan dat er een VMWare virus was, maar na een update van de data bestanden herkende die het niet meer.

En me Norton account, met telfort email was gehacked, maar dit kwam door slechte beveiligingsvragen van telfort dat je makkelijk iemand wachtwoord kon resetten.

Maar wat erger was iemand had ook het paswoord van me wachtwoorden in de cloud. en Als de cloud niet goed beveiligt, 2 laags bijvoorbeeld met een sms of ander token dan is het als je het wachtwoord weet voor iedereen toegankelijk

Me Hotmail en gmail was ook gekraakt, doordat diegene me wachtwoorden wist.

En van me ING waren ingeplande opdrachten verwijdert.

Bij mijn domein waren domeinen opgezegd.

Het leek er ook op dat iemand monitorde wat ik deed, want als ik een wachtwoord verandere werd het weer ook weer verandert.

En hoe kan ik met een UPC kabelmodem en daar aangekoppeld een Netgear router het verkeer monitoren?

Dit lijkt wel een script uit een film haha, je bedoelt dus dat je master password in bijvoorbeeld zoiets als LastPass is gekraakt en dat je nu echt de sjaak bent? Al je wachtwoorden zijn nu bij iemand anders terecht gekomen?

Succes met het veranderen van alle wachtwoorden.