Toon posts:

[W2k] + [Virus] Kan proces niet killen

Pagina: 1
Acties:

donderdag 18 maart 2004 14:37

Acties:

Verwijderd

Topicstarter
ik heb de laptop van een familielid ter reparatie aangeboden gekregen :-)
"hij is wel traag".

de machine is TOTAAL overgenomen vermoed ik (hij had een brief van zijn provider gekregen dat vanaf zijn machine spam verstuurd werd) win2K met admin account zonder password, geen firewall, oude AV en kabelmodem. Lekkerrr dus.

Ding blijkt te 'flatlinen' en kan task manager niet eens starten (die wordt gekilled, door een virus). Slim geweest door taskmgr.exe te hernoemen naar test.exe en die wordt niet herkend door (een van) virussen en blijft wel draaien. NAV geinstalleerd met recente AV-file, maar ook die wordt gekilled (had ik wel verwacht).

Handmatig met google alle processen doorgelopen en 10 spies/virussen tegengekomen. 7 daarvan gekilled, 3 laten zich niet killen (msdef.exe, svchos1.exe en wintemp.exe). Machine is nog steeds aan het flatlinen, dus minstens een van deze drie zorgt daarvoor lijkt me.

Hoe kan ik deze processen killen? (nodig om NAV te kunnen draaien)

donderdag 18 maart 2004 14:39

Acties:
  • job
  • Registratie: Februari 2002
  • Laatst online: 10:03

job

als je de taskmanager hebt draaien, kan je de processen toch gewoon sluiten?
sorry, snap het al :)

heb je al geprobeert om in veilige modus op te starten, en dan de boel af te sluiten.
heb je al iets gedraait als adaware/spybot...

[ Voor 53% gewijzigd door job op 18-03-2004 14:42 ]

donderdag 18 maart 2004 14:42

Acties:

Verwijderd

Al de nieuwste Stinger van McAfee er overheen geknalt
Is gratis te downen op http://vil.nai.com/vil/averttools.asp#001

Schouw heeft een goed punt!!

En update die windhoos doos gelijk, wel virus scanner maar geen updates = Besmet

[ Voor 33% gewijzigd door Verwijderd op 18-03-2004 14:52 ]

donderdag 18 maart 2004 14:47

Acties:

Verwijderd

Waarom probeer je dit ding nog aan de gang te krijgen?
Om 'mee te spelen' kan ik me er nog iets bij indenken, maar ik hoop toch niet dat je het ding wil teruggeven zonder een format.

Het is echt _ontzettend_ onverstandig niet te formatten na:
-zoveel infecties
-er een backdoor in het spel is geweest

In dit geval zelfs beide...

De kans dat er iets opstaat wat jij niet kan vinden is groot, een format is echt aanbevolen.

En doe dan na die format dan direct wat aan de beveiliging aub.

donderdag 18 maart 2004 14:54

Acties:

Verwijderd

Topicstarter
tnx.. wat een response!

mbv task manager end process/end process tree "failed" allebei op deze 3 resterende processen (heb dat zelf nog nooit gezien). Spybot en NAV heb ik erop gezet maar draaien nu niet.

gelijk dat een format eigenlijk noodzakelijk is! (ik zag dat mIRC geinstalleerd is, er IRC scriptjes aanwezig zijn en dat er zelfs een ASSEMBLY directory op de machine staat :-))

machine is van mijn schoonvader die de laptop mocht houden na zijn pensioenering, met alle software van zijn oude werkgever. een format betekent dus alles opnieuw kopen etc. Je mag raden wie dan de install mag doen, en vanaf dat moment is ondergetekende verantwoordelijk 8) Ben dus erg gemotiveerd om andere manieren eerst te proberen. misschien oude werkgever eens vragen om een nieuwe image...

ik ga wat downloaden en dat proberen.

[ Voor 16% gewijzigd door Verwijderd op 18-03-2004 14:56 ]

donderdag 18 maart 2004 14:57

Acties:

Verwijderd

Zeg je schoonvader maar dat het gewoonweg onverantwoord is om met deze install verder te gaan.
Ik snap dat je er geen zin in hebt, maar die moet je dan maar maken..
Image zou idd ook nog wel kunnen.

donderdag 18 maart 2004 14:59

Acties:

Verwijderd

schoonvaders pc sexdailer heaven >:)

donderdag 18 maart 2004 15:02

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Kleine titel edit :)

Je zou eigenlijk eens moeten proberen een nieuwe user aan te maken (via net user in een cmd prompt bijvoorbeeld), en hiermee in te loggen.

Verder - download eens de pstools (www.sysinternals.com) om met pskill alsnog die processen af te schieten. Wel 1 ding - zorg er voor dat die PC niet aan internet hangt :)

donderdag 18 maart 2004 16:48

Acties:

Verwijderd

Topicstarter
er staan idd heeeel wat vage bestanden op die pc, maar weet vrij zeker dat die niet van hem zijn.

hang dat ding ook niet aan mijn lan, anders wordt zo nog mijn ip geblocked door andere isp's als spammer :-) wel lastig omdat ik nu geen win update kan draaien

stinger hielp, 7 verwijderd. die 3 processen houden nog wat tegen, zal pskill eens proberen. zal ook eens een andere user aanmaken. wil ook netwerknaam veranderen, enne.... kwam ook nog tegen dat winfilesharing openstaat... duszzz

donderdag 18 maart 2004 16:59

Acties:

Verwijderd

Topicstarter
pskill meld doodleuk dat die processen gekilled zijn, maar in real life helaas pindakaas. naam of PID maakt niet uit, ze blijven draaien (voorzover ik kan zien ook geen nieuwe instantie ofzo want pid verandert niet).

iemand nog een idee om deze processen te killen...?

donderdag 18 maart 2004 17:11

Acties:

Verwijderd

Kan je niet in safe mode opstarten en dan de bestanden verwijderen die je wilt killen verwijderen anders hernoemen?

kijk ff met regedit of er het een en ander in de key "run once" staat.
ene hijackthis is een goede reg scanner die dat sort rotzooi er wel voor je uit filterd
hier te downen http://download.com.com/3000-2144-10227352.html

[ Voor 55% gewijzigd door Verwijderd op 18-03-2004 17:16 ]

vrijdag 19 maart 2004 12:44

Acties:
  • No13
  • Registratie: Januari 2001
  • Laatst online: 10:19

No13

/me was here

pak iets als knoppix of andere live-cd (bootdisk?) geval om de files handmatig te moven/renamen/verwijderen dan ben je daar vast vanaf...

vrijdag 19 maart 2004 13:14

Acties:
  • WimB
  • Registratie: Juli 2001
  • Laatst online: 30-03-2024

WimB

Maak in veilige modus eens een Hijack This log en post deze eens. Misschien is daar wat op te vinden.

maandag 22 maart 2004 19:37

Acties:

Verwijderd

Topicstarter
ik ben nog wel zover gekomen om hijjack te downloaden, maar daarna kwam een hamer en beitel meer van pas ;) heb besloten om 'verstandig' te zijn en de hele machine leeg te maken. Risico was inderdaad te groot om te denken dat het mogelijk was de machine clean te maken.

Alhoewel ik erg graag wilde weten wat er precies draaide, kostte het iets teveel tijd. Gisteren de boel opnieuw ingericht en voor zover ik weet dichtgetimmerd. Thanks voor de hulp!

dinsdag 23 maart 2004 12:24

Acties:
  • Bokkie
  • Registratie: April 2000
  • Niet online

Bokkie

What the hell are you?

Verwijderd schreef op 22 maart 2004 @ 19:37:
ik ben nog wel zover gekomen om hijjack te downloaden, maar daarna kwam een hamer en beitel meer van pas ;) heb besloten om 'verstandig' te zijn en de hele machine leeg te maken. Risico was inderdaad te groot om te denken dat het mogelijk was de machine clean te maken.

Alhoewel ik erg graag wilde weten wat er precies draaide, kostte het iets teveel tijd. Gisteren de boel opnieuw ingericht en voor zover ik weet dichtgetimmerd. Thanks voor de hulp!
wat er draaide?
denk onder andere

- 'n netsky
- 'n beagle
- 'n Blaster
- 1 of meerder trojans
- waarschijnlijk nog wat meer wormen

:) had laatst'ook zo'n bak, stinger eroverheen gegooid, na het vinden van 5 wormen en 2 trojans, op 5% van de scan meteen maar de geformateerd en opnieuw gedaan. Zulke dingen moet je niet willen repareren :)

| Respect to the man in the icecream van! |
| i'm not completely useless, I can be used as a bad example! |

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq