[Malware] Remote admin verwijderen - Privacy en beveiliging

vrijdag 30 april 2004 09:59

Acties:

Topicstarter

Sinds vanmorgen heb ik naast mijn klok in de taakbalk een icoontje staan. dit icoontje blijkt te horen bij het programma remote admin (www.radmin.com). uit deze website blijkt dat dit een programma is om andere pc's over te nemen. Ik heb het programma echter niet zelf geinstalleerd. Ik krijg het ook niet meer verwijderd.
Ik draai windows xp pro en heb het volgende al geprobeerd:

via configuratie scherm > software naar onbekende programmas zoeken
scannen op virussen
scannen op adware
register doorzoeken
hdd doorzoeken

Ik heb hier een router staan met ingebouwde firewall die alles zoe moeten blokken.
Heeft iemand enig idee hoe ik dit programma weg krijg?? Het is geen prettig gevoel dat iemand misschien met je mee kan kijken.

I do what I like and I like what I do

vrijdag 30 april 2004 10:03

Acties:

Verwijderd

download hijackthis en zet in ieder geval de bijbehorende opstart reg code uit, zodat het programma niet op blijft starten.

vrijdag 30 april 2004 10:04

Acties:

Buzz_Lightyear

To infinity and beyond!

Ben je zelf beheerder van deze PC (administrator?), zo ja...dan zou je in principe elke programma moeten kunnen verwijderen.
Controleer of er ook ander user accounts zijn aangemaakt op je pc en laat HijackThis eens een log maken (kijk of je iets ongebruikelijks ziet)

edit:
als je admin bent -> begin met Run -> msconfig en alles wat met Radmin te maken heeft wegvinken

[ Voor 24% gewijzigd door Buzz_Lightyear op 30-04-2004 10:12 ]

An Explanation of l33t Speak

vrijdag 30 april 2004 10:04

Acties:

Verwijderd

Sowieso als je het trayicon nog ziet dan zou het wel een noob zijn die dat op je pc gezet heeft, dit kan je gewoon uitschakelen door de remote administrator service uit te schakelen, msconfig.
Of dit bij uitvoeren (path ff veranderen) c:\winnt\system32\r_server.exe /uninstall /silence

vrijdag 30 april 2004 10:10

Acties:

appelkoek

Topicstarter

Verwijderd schreef op 30 april 2004 @ 10:03:
download hijackthis en zet in ieder geval de bijbehorende opstart reg code uit, zodat het programma niet op blijft starten.

Heb hijackthis gedownload maar kon niets bijzonders vinden. in het register was ook niets te vinden onder radmin, remote en admin.

I do what I like and I like what I do

vrijdag 30 april 2004 10:11

Acties:

appelkoek

Topicstarter

Verwijderd schreef op 30 april 2004 @ 10:04:
Sowieso als je het trayicon nog ziet dan zou het wel een noob zijn die dat op je pc gezet heeft, dit kan je gewoon uitschakelen door de remote administrator service uit te schakelen, msconfig.
Of dit bij uitvoeren (path ff veranderen) c:\winnt\system32\r_server.exe /uninstall /silence

Als ik dit commando uitvoer zegt hij dat hij het bestand niet kan vinden.

I do what I like and I like what I do

vrijdag 30 april 2004 10:13

Acties:

appelkoek

Topicstarter

Buzz_Lightyear schreef op 30 april 2004 @ 10:04:
Ben je zelf beheerder van deze PC (administrator?), zo ja...dan zou je in principe elke programma moeten kunnen verwijderen.
Controleer of er ook ander user accounts zijn aangemaakt op je pc en laat HijackThis eens een log maken (kijk of je iets ongebruikelijks ziet)

edit:
als je admin bent -> begin met Run -> msconfig en alles wat met Radmin te maken heeft wegvinken

Ik ben inderdaad zelf beheerder, maar om het programma ter verwijderen moet ik het wel eerst kunnen vinden. msconfig had ik ook al geprobeerd. vergeten te vermelden

[ Voor 6% gewijzigd door appelkoek op 30-04-2004 10:15 ]

I do what I like and I like what I do

vrijdag 30 april 2004 10:14

Acties:

Verwijderd

Ik verwacht dat Radmin niet het enige is wat er op je pc geïnstalleerd is geworden.
Zou toch graag eens een HijackThis log zien hier, tussen [code] tags svp.

Titel wat aangepast.

vrijdag 30 april 2004 10:16

Acties:

Dennahz

Life feels like hell should.

Zoek eens op het bestand r_server.exe en voer dan het commando dat forzatio zei uit met het goede path.

Twitter

vrijdag 30 april 2004 10:18

Acties:

appelkoek

Topicstarter

Verwijderd schreef op 30 april 2004 @ 10:14:
Ik verwacht dat Radmin niet het enige is wat er op je pc geïnstalleerd is geworden.
Zou toch graag eens een HijackThis log zien hier, tussen [code] tags svp.

Titel wat aangepast.

hier het log

code:

Logfile of HijackThis v1.97.7
Scan saved at 10:17:01, on 30-4-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Sophos SWEEP for NT\ICMON.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Microsoft Office\Office\1043\msoffice.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\adobe.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\system32\winsys.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\regedit.exe
E:\Downloads\Apps\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nu.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Program Files\Panicware\Pop-Up Stopper Pro\CCHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Pa&nicware Pop-Up Stopper Pro - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Program Files\Panicware\Pop-Up Stopper Pro\popuppro.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - Global Startup: InterCheck Monitor.LNK = C:\Program Files\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12992a5eb767e728b105/netzip/RdxIE601.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38068.6146064815
O16 - DPF: {A7798D6C-C6B5-4F26-9363-F7CDBBFFA607} (download Class) - http://www.gigex.com/ActiveX/vxpspeeddelivery.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

I do what I like and I like what I do

vrijdag 30 april 2004 10:19

Acties:

appelkoek

Topicstarter

BrEeZeR schreef op 30 april 2004 @ 10:16:
Zoek eens op het bestand r_server.exe en voer dan het commando dat forzatio zei uit met het goede path.

kan bestand niet vinden.

I do what I like and I like what I do

vrijdag 30 april 2004 10:22

Acties:

Verwijderd

Je hebt regedit zelf geopend?

C:\WINDOWS\system32\winsys.exe
C:\WINDOWS\system32\adobe.exe

Zou je die eens kunnen submitten?
Die zien er allebei niet echt heel legit uit.

vrijdag 30 april 2004 10:26

Acties:

wildhagen

Blablabla

Ik zou die twee files ook graag willen hebben (adres in profile en sig)

Ik ben zelf RemoteAdmin ook vaak tegengekomen. Vaak is de machine dan gehacked. Zou je eens kunnen kijken of er ook vreemde services draaien?

Virussen? Scan ze hier!

vrijdag 30 april 2004 10:31

Acties:

appelkoek

Topicstarter

Verwijderd schreef op 30 april 2004 @ 10:22:
Je hebt regedit zelf geopend?

[...]

Zou je die eens kunnen submitten?
Die zien er allebei niet echt heel legit uit.

ik heb regedit inderdaad zelf geopend. Hoe werkt dat submitten precies? noob op gebied van forums

I do what I like and I like what I do

vrijdag 30 april 2004 10:33

Acties:

Verwijderd

appelkoek schreef op 30 april 2004 @ 10:31:
[...]

ik heb regedit inderdaad zelf geopend. Hoe werkt dat submitten precies? noob op gebied van forums

Onderaan mijn post(of die van wildhagen), heb je een signature staan.
Bij mij is dat 'submit een virus', klik daar op en verstuur de betreffende files via mail.

vrijdag 30 april 2004 10:45

Acties:

Verwijderd

code:

adobe.exe   packed  TeLock  10:42:27
adobe.exe   is infected with a virus not-a-virus:RiskWare.RemoteAdmin.RAdmin.21 10:42:28
winsys.exe  packed  PE_Patch    10:42:30
winsys.exe  packed  UPX 10:42:30
winsys.exe  is infected with a virus not-a-virus:RiskWare.FTP.Serv-U.3017   10:42:31

Niet zo fraai dus, denk dat een format de beste optie is.
Zorg er daarna voor dat je je bak uptodate houdt, met zowel patches als AV.

Sophos is nou niet echt heel sterk mbt. backdoors, dan kun je nog beter een gratis alternatief installeren.

offtopic:
wildhagen: Kan McAfee TeLock decrypten?

vrijdag 30 april 2004 10:49

Acties:

appelkoek

Topicstarter

Verwijderd schreef op 30 april 2004 @ 10:45:
Niet zo fraai dus, denk dat een format de beste optie is.
Zorg er daarna voor dat je je bak uptodate houdt, met zowel patches als AV.

Sophos is nou niet echt heel sterk mbt. backdoors, dan kun je nog beter een gratis alternatief installeren.

offtopic:
wildhagen: Kan McAfee TeLock decrypten?

Beetje jammerlijk allemaal. kost weer een hoop tijd maar is niet anders. bedankt voor de moeite allemaal. $_/-\o_$

I do what I like and I like what I do

vrijdag 30 april 2004 10:51

Acties:

wildhagen

Blablabla

wildhagen: Kan McAfee TeLock decrypten?

Ja, geen probleem, mits "Scan compressed files" aan staat, in recente versies is dat default het geval, alleen in hele oude versies stond dat default uit. Recent voorbeeld is Netsky.J, is ook tElock-packed, en die heb ik een paar keer voorbij zien komen in onze management-tool (niet vaak, maar toch wel een enkele keer).

appelkoek: helaas zijn de twee file die ik ontvangen heb 0 bytes groot... zie mijn reply op je mail.

Ach ja, Radmin en Serv-U, de twee meest gebruikte tools door hackers... ik zie ze zeer regelmatig... en dan hoop ik voor jou dat de derde partij die ik dan vaak zie, Hackerdefender, er niet op staat. Da's een rootkit, die verbergt allerlei running processes, files, keys etc. Als je die hebt opgelopen helpt er nog maar één ding: volledige cleane herinstallatie.

[ Voor 13% gewijzigd door wildhagen op 30-04-2004 10:53 ]

Virussen? Scan ze hier!

vrijdag 30 april 2004 10:58

Acties:

appelkoek

Topicstarter

na verwijderen van de twee bestanden en een herstart staat het icoontje niet meer in mijn taakbalk. Betekend dit dat hij ook daadwerkelijk niet meer draait?

I do what I like and I like what I do

vrijdag 30 april 2004 10:59

Acties:

wildhagen

Blablabla

Waarschijnlijk wel, maar als je gehacked hebt (en alle tekenen wijzen er wel op), weet je nooit wat zo'n hacker nog meer uitgevreten heeft...

Virussen? Scan ze hier!

vrijdag 30 april 2004 12:40

Acties:

Verwijderd

Remote admin (of radmin) is geen malware of trojan. Lijkt me ook sterk dat een hacker dit installeert (en zeker als hij de kennis bezit om door een router te geraken).

Hoogst waarschijnlijk iemand anders geweest die fysiek aan jou pc heeft gezeten.

Misschien omdat de pc bioj jou thuis gedeeld wordt door andere huisgenoten ofwel iemand van je kameraden die echt wel suckt als wannebie hacker of scriptkiddie

vrijdag 30 april 2004 12:45

Acties:

wildhagen

Blablabla

Verwijderd schreef op 30 april 2004 @ 12:40:
Remote admin (of radmin) is geen malware of trojan.

Dat klopt, in principe is het een legitieme tool, maar het word zéér vaak door hackers geinstalleerd. Hetzelfde geld voor ServU: in principe volledig legitiem, maar word váák misbruikt. Andere bekende tool is DameWare: legaal, maar word vaak door hackers gebruikt. Nog een voorbeeldje nodig? WinVNC/RealVNC: idem dito, legaal, maar heel vaak misbruikt.

Lijkt me ook sterk dat een hacker dit installeert

Helaas voor jou, maar het gebeurt maar al te vaak wel degelijk.

Net als hackers vaak ServU installeren, of fake-GINA's, of keyloggers, of andere backdoors.

[ Voor 9% gewijzigd door wildhagen op 30-04-2004 12:46 ]

Virussen? Scan ze hier!

zaterdag 1 mei 2004 20:19

Acties:

Verwijderd

Verwijderd schreef op 30 april 2004 @ 10:45:
code:
1
2
3
4
5
adobe.exe   packed  TeLock  10:42:27
adobe.exe   is infected with a virus not-a-virus:RiskWare.RemoteAdmin.RAdmin.21 10:42:28
winsys.exe  packed  PE_Patch    10:42:30
winsys.exe  packed  UPX 10:42:30
winsys.exe  is infected with a virus not-a-virus:RiskWare.FTP.Serv-U.3017   10:42:31
Niet zo fraai dus, denk dat een format de beste optie is.
Zorg er daarna voor dat je je bak uptodate houdt, met zowel patches als AV.

Sophos is nou niet echt heel sterk mbt. backdoors, dan kun je nog beter een gratis alternatief installeren.

offtopic:
wildhagen: Kan McAfee TeLock decrypten?

Om nou meteen te gaan formateren gaat wel ver, ik zelf heb vrij veel ervaring in dit soort aanvallen, en hoe het in zijn werk gaat.
Als het nog niet opgelost is, wil ik je best helpen om het dus wel op te lossen, Serv-u , radmin en evt. extra backdoors te killen, en kijken hoe de hackers dus binnen is gekomen, en wanneer.

zaterdag 1 mei 2004 20:24

Acties:

Verwijderd

Verwijderd schreef op 01 mei 2004 @ 20:19:
[...]

Om nou meteen te gaan formateren gaat wel ver, ik zelf heb vrij veel ervaring in dit soort aanvallen, en hoe het in zijn werk gaat.

Hoezo gaat het wat ver?
Het is niet voor niets de mening van zo ongeveer elke AV expert.

zaterdag 1 mei 2004 20:30

Acties:

Spockz

Live and Let Live

beetje offtopic,

maar ik heb Serv-U draaien als ftp-server. dus nu ben ik hackable oid?

C'est le ton qui fait la musique. | Blog | @linkedin
R8 | 18-55 IS | 50mm 1.8 2 | 70-200 2.8 APO EX HSM | 85 1.8

zaterdag 1 mei 2004 20:31

Acties:

wildhagen

Blablabla

Pic_Art schreef op 01 mei 2004 @ 20:30:

maar ik heb Serv-U draaien als ftp-server. dus nu ben ik hackable oid?

Nee. Of liever gezegd: niet meer hackable dan je zou zijn zonder ServU.

Hackers zetten vaak ServU op een gehackede PC, om daar dan allerlei warez/pic/etc op te hosten.

Ze komen dus niet binnen via ServU, ze zetten het alleen op de PC.

Virussen? Scan ze hier!

zaterdag 1 mei 2004 20:44

Acties:

Verwijderd

wildhagen schreef op 01 mei 2004 @ 20:31:
[...]

Nee. Of liever gezegd: niet meer hackable dan je zou zijn zonder ServU.

Nouja, dat ligt er maar net aan..
5.0.0.0 bevat een ernstig lek waardoor je zeker meer hackable bent.

Maar dat geldt natuurlijk voor alle software, kijk maar naar BlackIce/Witty.

zaterdag 1 mei 2004 20:45

Acties:

Spockz

Live and Let Live

Aha, gelukkig maar.

Iemand zei dus dat mensen die mochten inloggen bij mij dat die dan het hele zaakje konden overnemen ofzo. Maar dat is dus niet zo.

C'est le ton qui fait la musique. | Blog | @linkedin
R8 | 18-55 IS | 50mm 1.8 2 | 70-200 2.8 APO EX HSM | 85 1.8

maandag 3 mei 2004 04:20

Acties:

Verwijderd

Verwijderd schreef op 01 mei 2004 @ 20:24:
[...]

Hoezo gaat het wat ver?
Het is niet voor niets de mening van zo ongeveer elke AV expert.

Radmin is niets anders dan een remote desktop programma waarbij je evt de remote pc kan beheren met een shell en/of een remote "desktop."

Serv-u is zo gevonden, gekillt en verwijderd. Verder gooi je er even fport overheen om te kijken of er nog verdachte programma's runnen op een bepaalde poort. ( Extra backdoor van hacker, of 2e ftp server bijvoorbeeld.)

En om daar nou meteen een complete format overheen te gooien is gewoon overdreven.

wildhagen schreef op 01 mei 2004 @ 20:31:
[...]

Nee. Of liever gezegd: niet meer hackable dan je zou zijn zonder ServU.

Hackers zetten vaak ServU op een gehackede PC, om daar dan allerlei warez/pic/etc op te hosten.

Ze komen dus niet binnen via ServU, ze zetten het alleen op de PC.

Fout, zoals post hierboven al ergens stond, in de versies van 4.0.0.0 tot 5.0.0.0 is er een ernstige fout ontdenkt die het mogelijk maakt om een pc over te nemen.

Download gewoon even de nieuwste versie van Serv-u, of zet MDTM even uitzetten, als er nu een aanval op je gedaan word crasht alleen serv-u. Wees verstandig en zet anonymous access uit!

maandag 3 mei 2004 10:47

Acties:

Verwijderd

Verwijderd schreef op 03 mei 2004 @ 04:20:
[...]

Radmin is niets anders dan een remote desktop programma waarbij je evt de remote pc kan beheren met een shell en/of een remote "desktop."

Het wordt niet zomaar als riskware beschouwd..

En om daar nou meteen een complete format overheen te gooien is gewoon overdreven.

/me mompelt iets over stealthmeuk, ja dat wordt nog steeds gebruikt.

maandag 3 mei 2004 11:48

Acties:

DutchTSE

en hoe kom je er dan achter of je stealthed zooi hebt of niet

en wat zijn goede programma's voor je pc om eens te laten scannen (nou heb ut ut niet over viruscanner en firewall, maar over progs die speciaal op backdoors scannen enz)

maandag 3 mei 2004 12:45

Acties:

Dennahz

Life feels like hell should.

Verwijderd schreef op 03 mei 2004 @ 10:47:
[...]

Het wordt niet zomaar als riskware beschouwd..

[...]

/me mompelt iets over stealthmeuk, ja dat wordt nog steeds gebruikt.

Erm, Radmin is een prima programma toch? Dat het nou gebruikt wordt voor minder leuke doeleinden.. tja kan gebeuren maar het werkt prima en is voor zover ik weet best veilig

Twitter

Pagina: 1

Reageer