[Dialer/Trojan] Krijg Connint-variant niet verwijderd * - Privacy en beveiliging

vrijdag 11 juni 2004 19:21

Acties:

Topicstarter

Zit dus vandaag bij een klant, deze heeft weer eens een slechte internet ervaring achter de rug...een trojan is zijn computer ingeslopen...

Het probleem is dat deze Trojan (als het er een is) zo zeldzaam is dat er op het internet vrijwel geen informatie over te vinden is. Programma's als McAfee en NAV als ook Ad-aware en SpyHunter vinden deze Trojan niet.

De gevolgen zijn als volgt: de gebruikersnaam, wachtwoord en telefoonnummer van de inbelverbinding worden gewijzigd. De gebruikersnaam wordt 'Connints0' en het telefoonnummer natuurlijk een 0906-xxxx xxx nummer. Gelukkig is deze inbelverbinding een VPN verbinding voor een Alcatel Ethernet ADSL modem dus een hoge telefoonrekening is het probleem niet. Wel natuurlijk dat elke keer als er opnieuw verbinding wordt gemaakt er van alles moet worden teruggezet.

Er zijn verschillende versies. Op het internet is er beperkt informatie te vinden over Connint10, Connint20 en Connint0 maar niks over Connints0

Op de volgende fora worden mogelijke oplossingen geboden maar deze zijn helaas voor oudere versies en werken dus niet.

http://www.computing.net/...wwboard/forum/100337.html

http://computercops.biz/postt37790.html

Google vindt een keer de vermelding Conninst0, dit is echter op de Israëlische Technet en helaas lees ik geen Hebreeuws, misschien iemand anders wel?

vrijdag 11 juni 2004 19:37

Acties:

Verwijderd

Beveiliging en Virussen - Nieuw topic starten al eens doorgelopen?
Doe dat eerst eens en post daarna eventueel je HT log.

Titel wat aangepast.

vrijdag 11 juni 2004 19:38

Acties:

BoGhi

En http://www.misec.net/? (trojanhunter)
Anders: als de tools het niet voor je doen, moet het maar handmatig. Wat staat er in de startup-locaties, wat draait er allemaal aan processen, hoe ziet je hijack-this log er uit..?

Programmers don't die. They GOSUB without RETURN

vrijdag 11 juni 2004 20:35

Acties:

Techknow

Topicstarter

HT log komt eraan, maar probleem is dus zoals te zien op http://www.computing.net/...wwboard/forum/100337.html dat er meerdere oplossingen worden aangebracht, geen van allen werken echter en TrojanHunter mocht ook niet baten.

Hoe zit het dan eigenlijk met dit soort Trojans, als Google maar één hit geeft...heel nieuw en gewoon wachten tot dat progs als TrojanHunter en Ad-aware en NAV hier iets mee kunnen?

vrijdag 11 juni 2004 22:10

Acties:

Techknow

Topicstarter

Hier is de log....

Logfile of HijackThis v1.97.7
Scan saved at 21:28:53, on 11-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton AntiVirus\OPScan.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\-eigenaar pc-\Local Settings\Temporary Internet Files\Content.IE5\UJYXSFGL\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\svchost.exe 0
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Onderzoek (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...uctl.CAB?38149.2922337963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{240DFBB8-1187-44BB-A3CE-8AC7132F5DF4}: NameServer = 194.109.104.104 194.109.6.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB951AB5-527A-4CCE-AE6F-78D282255031}: NameServer = 194.109.6.66,194.109.9.99
O17 - HKLM\System\CS1\Services\Tcpip\..\{240DFBB8-1187-44BB-A3CE-8AC7132F5DF4}: NameServer = 194.109.104.104 194.109.6.66

vrijdag 11 juni 2004 22:12

Acties:

wildhagen

Blablabla

Redelijke cleane log, ik zie maar één zeer foute entry:

code:

1	O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\svchost.exe 0

Haal die maar eens door de Jotti-scan: http://virusscan.jotti.dhs.org/

Virussen? Scan ze hier!

vrijdag 11 juni 2004 23:03

Acties:

Techknow

Topicstarter

Ja dat is dus grappig, naar die file heb ik gezocht en die staat dus niet meer op de pc. Dat zou inderdaad het probleem moeten zijn maarja, die file is dus al weg...kan deze vermelding dan nog kwaad als de file niet meer bestaat?

vrijdag 11 juni 2004 23:57

Acties:

BoGhi

Als die file echt weg is, kan die entry geen kwaad meer. Met echt weg bedoel ik dan echt, dus je moet er zeker van zijn dat je op een schone manier kijkt; ik ben niet achterdochtig of zo, maar er zou natuurlijk een rootkit geinstalleerd kunnen zijn op die PC.. Dus even booten vanaf een schone CD.

Voor de rest lijkt het schoon.. Je kunt een tools als bijvoorbeeld RegMon en/of Filemon gebruiken op het moment dat je precies wilt zien wat er gebeurt, bijvoorbeeld op het moment nadat je je oorspronkelijke inbelgegevens hersteld hebt. En zelf je processen/services op je systeem controleren, ipv op een tool-update te wachten.. of had ik dat al gezegd?

Programmers don't die. They GOSUB without RETURN

zaterdag 12 juni 2004 00:20

Acties:

Techknow

Topicstarter

hoop ik niet een rootkit, maar ik ga het inderdaad nog even extra controlleren en daarna het hele gebeuren monitoren...maarja de klant zeurt nu al dat het te duur wordt en voert dan maar liever elke dag opnieuw login en tel nr in....tja...

thx voor de tips iig

zaterdag 12 juni 2004 00:42

Acties:

BoGhi

Je kunt natuurlijk ook overwegen een goede indruk achter te laten, en zelf wat kennis op te bouwen, in ruil voor een gereduceerde rekening.. Voor hetzelfde geld zegt die klant tegen je dat je niet voldoende bekwaam bent

Programmers don't die. They GOSUB without RETURN

Pagina: 1

Reageer