[Win2k] HackerDefender hxdefdrv.sys malware.WORM_JUBON.A - Privacy en beveiliging

vrijdag 7 mei 2004 10:22

Acties:

Topicstarter

Help!

Ik ben gister nacht tot half 4 bezig geweest om er vanaf te komen.. het lukt niet!!

deze informatie heb ik verzameld met scans in SAFE MODE:

Bij online scan:
HouseCall has found and cleaned a malware.WORM_JUBON.A
Dit vond hij maar 1 keer.. daarna niet meer!

En Norton antivirus vind dit steeds *en verwijderd het:
hxdefdrv.sys c:\winnt
http://securityresponse.s...ackdoor.hackdefender.html

Scan Control Dumped @ 01:28:42 07-05-04
Suspicious Filename: Dual extensions
File: c:\documents and settings\administrator\local settings\temprad79dad.tmp.com

Positive identification (DLL): Keylog.HotKeysHook (dll) (Possible Keylog DLL)
File: c:\winnt\system32\h@tkeysh@@k.dll

Maar het komt steeds terug!! Ik heb echt geen idee waar het vandaan komt!
Er is geen Hxdef* te vinden op mijn hele hardeschijf!

in NORMAL MODE sluit dit virus mijn Norton antivirus af, regedit sluit het af en nog wat dingen..

Tijdens het opstarten (voordat je kan inloggen maar wel al in windows zit) is m'n pc ook hard aan het ratellen (harder dan voorheen) en wordt er zelfs naar m'n floppy disk gekeken!

Ik ben ten einde raad!! Ik wil het eraf hebben, maar hoe??

Ik draai win2k en heb gister SP4 en wat andere updates gedownload.

Kan iemand me helpen??

[ Voor 20% gewijzigd door Mir op 07-05-2004 10:28 ]

vrijdag 7 mei 2004 10:27

Acties:

wildhagen

Blablabla

Hackerdefender is een rootkit. Met andere woorden: die verbergt files, processes en poorten. Die zie je dus niet in Taskmanager, explorer/verkenner etc. En nee, die zie je ook niet in Safe Mode...

Meestal komen ze binnen omdat je bijvoorbeeld een of andere securitypatch niet hebt geinstalleerd, of andere dingen niet goed heb ingesteld qua security.

Als je gehacked bent door HackerDefender helpt er helaas nog maar één ding: een volledige herinstallatie.

[ Voor 5% gewijzigd door wildhagen op 07-05-2004 10:28 ]

Virussen? Scan ze hier!

vrijdag 7 mei 2004 10:30

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Welk bestandssysteem heb je? Eventueel kan je vanaf bootdiskette of -CD werken. Of NAV zelf booten van CD. Al zal het ws. weinig helpen - na een dergelijke infectie zou ik toch voor de format gaan.

Naast de instructies op http://securityresponse.s...ackdoor.hackdefender.html - ik neem aan dat je je internetverbinding er uit hebt getrokken tijdens het verwijderen?

offtopic:
Help! --> [Win2k]

edit:

Hoi wildhagen

[ Voor 5% gewijzigd door F_J_K op 07-05-2004 10:31 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 7 mei 2004 10:31

Acties:

Mir

Topicstarter

Argh, serieus?

Maar kan ik gewoon een windows installatie over mijn huidige heengooien?
maw: moet ik formateren of kan ik gewoon over de huidige heen installeren?

En behoudt ik dan mijn instellingen etc.?

vrijdag 7 mei 2004 10:32

Acties:

Mir

Topicstarter

Jep,

ik had geen connectie met het internet bij NAV scan.

OEF... een format?

En ik heb er ook nog een D: schijf bij.. is deze ook besmet??

Heb NTFS btw

[ Voor 39% gewijzigd door Mir op 07-05-2004 10:38 ]

vrijdag 7 mei 2004 10:37

Acties:

Mir

Topicstarter

wildhagen schreef op 07 mei 2004 @ 10:27:
En nee, die zie je ook niet in Safe Mode...

Maar waarom kan hij in Safe mode niet mijn NAV afsluiten dan? (Of: Waarom doet hij dat niet?)

en ik zie idd hxdefdrv.sys niet staan, maar NAV vind hem wel!

[ Voor 13% gewijzigd door Mir op 07-05-2004 10:40 ]

vrijdag 7 mei 2004 19:53

Acties:

Mir

Topicstarter

Vanavond iemand??

zondag 6 juni 2004 02:06

Acties:

Verwijderd

H@tkeysH@@k.dll wordt door gametrainers geplaatst in je system directory. Waarom weet ik niet. Is zonder problemen te verwijderen met Spybot - Search & Destroy.

Echter, eerstvolgende keer dat je trainer runt, staat hij er weer!

zondag 6 juni 2004 12:13

Acties:

Verwijderd

Verwijderd schreef op 06 juni 2004 @ 02:06:
H@tkeysH@@k.dll wordt door gametrainers geplaatst in je system directory. Waarom weet ik niet. Is zonder problemen te verwijderen met Spybot - Search & Destroy.

Echter, eerstvolgende keer dat je trainer runt, staat hij er weer!

Die trainer in kwestie bevat dan ws. een fijne trojan.

vrijdag 13 augustus 2004 11:45

Acties:

Verwijderd

Ik heb dit virus en bijbehorende problemen ook.

Betekend dit dat alleen de c: is besmet?

zondag 15 augustus 2004 22:21

Acties:

Verwijderd

doet niet heel veel verschrikkelijks,
is hoofdzakelijk een keylogger.

zondag 15 augustus 2004 23:21

Acties:

Verwijderd

Verwijderd schreef op 15 augustus 2004 @ 22:21:
doet niet heel veel verschrikkelijks,
is hoofdzakelijk een keylogger.

Als je niet weet waar het over gaat, zeg dan niets.

Know your malware!
Zoek maar eens op HackerDefender/HacDef, de mogelijkheden gaan zo ver als de fantasie van diegene die er gebruik van maakt.

Format is the only way to go.

maandag 16 augustus 2004 00:47

Acties:

Verwijderd

Verwijderd schreef op 15 augustus 2004 @ 23:21:
[...]
Know your malware!
Zoek maar eens op HackerDefender/HacDef, de mogelijkheden gaan zo ver als de fantasie van diegene die er gebruik van maakt.

Format is the only way to go.

ik dacht dat nav die in safe mode kon verwijderen. of er moet toch een of ander antivruspakket zijn dat dit kan verwijderen? (sorry, mijn ervaring met gebruik van antivirus is gestopt bij ingebruikname win2000)

handmatig verwijderen kan, maar het wordt een moeilijke speurtocht.
je hebt toch toevallig geen hxdef100.ini of andere ini ergens op je schijf staan?
dit bestand toont je de weg naar welke service gestopt dient, en welke drivers & bestanden er verborgen zijn of bekijk even Getting Rid Of Windows Rootkits. format is the most sure, but not the only way to go

maandag 16 augustus 2004 10:50

Acties:

Verwijderd

Gewoon ff rootkitremover gebruiken daarna scannen en je zou weer kunnen gaan ;]

Mocht je hem niet kunnen vinden heb ik die remover wel ergens voor je

maandag 16 augustus 2004 11:02

Acties:

cutter

Wannabe i7 fanboy

Verwijderd schreef op 16 augustus 2004 @ 10:50:
Gewoon ff rootkitremover gebruiken daarna scannen en je zou weer kunnen gaan ;]

Mocht je hem niet kunnen vinden heb ik die remover wel ergens voor je

Dan weet je nog niet of alles echt weg is. In zo'n extreem geval: alles opnieuw installeren, al je wachtwoorden wijzigen. Ik zou geen risico meer willen nemen na zo'n heftige inbreuk op de integriteit van je systeem.

maandag 16 augustus 2004 12:06

Acties:

wildhagen

Blablabla

Verwijderd schreef op 16 augustus 2004 @ 00:47:
[...]

bekijk even Getting Rid Of Windows Rootkits. format is the most sure, but not the only way to go

Bekijk de URL eens die je zelf geeft, die zegt al veel: schijnzekerheid.

Je weet NOOIT wat de hacker, naast HackerDefender of andere rootkits, nog meer heeft gedaan.

Ik zou NOOIT met een rootkit-compromised PC verder werken, al kreeg ik 1000 euro gratis.

En ALS je toch door wilt werken zou ik NOOIT bankieren op zon machine, NOOIT wachtwoorden intikken, NOOIT vertrouwelijke documenten opslaan, NOOIT belangrijke zaken op zo'n systeem doen.

Je kan heel koppig doen, wat je wil. Maar als je PC met een rootkit getroffen is kan je NOOIT meer zeker zijn van die installatie.

Virussen? Scan ze hier!

maandag 16 augustus 2004 12:38

Acties:

cutter

Wannabe i7 fanboy

Met wildhagen, en ik zou ook NOOIT de wachtwoorden meer gebruiken die ik op wat voor manier dan ook gebruikt had op of via dat systeem.

Pagina: 1

Reageer