Spyware: bestand met 'hijackthis'/'spybot' wordt verborgen? - Privacy en beveiliging

woensdag 23 juni 2004 18:54

Acties:

Verwijderd

Topicstarter

Ben er achter gekomen dat er wat spyware of andere zooi op mn pc rondslingerde.. dus maar ff gaan verwijderen.

Dit heb ik al verwijderd: (met adaware / spybot / hijackthis)

svchost.exe (dit veranderde mn startpagina om de 5 sec, en zorgde ervoor dat regedit en andere programmas meteen afgesloten werden)
Module32 (dit was een keylogger die er ook nog op stond)

Maar nu heb ik nog 1 probleem over.. een redelijk irritant probleem..

iedere keer als ik een bestand hernoem naar iets wat:

"spybot" of "hijackthis" bevat.. dan kan ik hem niet meer terugvinden (met cmd/explorer/ftpserver)

bestanden kan ik niet verwijderen.. maar mappen kan ik wel in als ik ze handmatig ingeef...

bij het opstarten zie ik even snel op het bureaublad "hijackthis.log" staan, maar dan verdwijnt het heel snel weer.

ik denk dus dat het een of ander programma is wat die dingen verbergt.. maar ik kan er maar niet achterkomen wat dat is.. iemand een idee?

woensdag 23 juni 2004 18:58

Acties:

Hexyl

is svchost.exe niet iets van windows zelf?

woensdag 23 juni 2004 19:00

Acties:

Freee!!

Trotse papa van Toon en Len!

Phant0m schreef op 23 juni 2004 @ 18:58:
is svchost.exe niet iets van windows zelf?

Ja, maar er is malware die die naam aanneemt en op een iets andere plaats op de harde schijf gaat staan.

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

woensdag 23 juni 2004 19:00

Acties:

Verwijderd

Topicstarter

Phant0m schreef op 23 juni 2004 @ 18:58:
is svchost.exe niet iets van windows zelf?

wel die in c:\windows\system32 staat..

maar die andere niet..

woensdag 23 juni 2004 19:01

Acties:

Spider.007

* Tetragrammaton

Spyware mag in BV

Kijk meteen hier even naar: [rml][ Howto] Spyware scannen en opruimen[/rml]

WOS > BV
Spyware? > Spyware: bestand met 'hijackthis'/'spybot' wordt verborgen? *

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

woensdag 23 juni 2004 19:02

Acties:

DFS

laat maar

[ Voor 92% gewijzigd door DFS op 23-06-2004 19:03 ]

woensdag 23 juni 2004 19:04

Acties:

wildhagen

Blablabla

iedere keer als ik een bestand hernoem naar iets wat:

"spybot" of "hijackthis" bevat.. dan kan ik hem niet meer terugvinden (met cmd/explorer/ftpserver)

Uhoh....

Dat kán een rootkit zijn (bijvoorbeeld HackerDefender), die bedienen zich namelijk (o.a.) ook van dit soort trucjes, die verbergen processen, regkeys, ports, files etc...

Zit die PC in een netwerk met nog een andere PC? Zo ja, kan je van die tweede PC eens proberen of je de files op PC1 wel kan zien. Zo nee, dan is het (waarschijnlijk) geen rootkit, zo ja: oeps...

Overigens kán het natuurlijk wel 'gewone' spyware zijn, daar durf ik niets van te zeggen.

[ Voor 14% gewijzigd door wildhagen op 23-06-2004 19:06 ]

Virussen? Scan ze hier!

woensdag 23 juni 2004 19:08

Acties:

Verwijderd

Topicstarter

wildhagen schreef op 23 juni 2004 @ 19:04:
[...]

Uhoh....

Dat kán een rootkit zijn (bijvoorbeeld HackerDefender), die bedienen zich namelijk (o.a.) ook van dit soort trucjes, die verbergen processen, regkeys, ports, files etc...

Zit die PC in een netwerk met nog een andere PC? Zo ja, kan je van die tweede PC eens proberen of je de files op PC1 wel kan zien. Zo nee, dan is het (waarschijnlijk) geen rootkit, zo ja: oeps...

Overigens kán het natuurlijk wel 'gewone' spyware zijn, daar durf ik niets van te zeggen.

vanaf een andere pc via een share kan ik die bestanden WEL zien..
vanaf mn eigen pc via diezelfde share zie ik ze NIET..

woensdag 23 juni 2004 19:10

Acties:

wildhagen

Blablabla

Oké, da's iig een goed teken.

Maar kan je HijackThis wel downloaden, opslaan onder een andere willekeurige naam, en dan wel draaien?

Zo ja, doe dat eens, en post je log hier. Houd hierbij uiteraard wel de richtlijnen van dit forum aan.

Virussen? Scan ze hier!

woensdag 23 juni 2004 19:13

Acties:

Verwijderd

Topicstarter

code:

Logfile of HijackThis v1.97.7
Scan saved at 19:12:33, on 23-6-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
C:\Program Files\mysql\bin\mysqld-nt.exe
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\NetLimiter\NetLimiter.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\JawsSystems\Jaws PDF Creator\PDFClient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Serv-U\ServUTray.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\mysql\bin\winmysqladmin.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Ethereal\ethereal.exe
D:\asd.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Program Files\FlashGet1.5b\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHG~1.5B\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [PDFCreatorClient] C:\Program Files\JawsSystems\Jaws PDF Creator\PDFClient.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ServUTrayIcon] C:\Program Files\Serv-U\ServUTray.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Startup: WinMySQLadmin.lnk = C:\Program Files\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet1.5b\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet1.5b\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Research (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/08f04d60fc084c01dd05/netzip/RdxIE601.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38004.2997916667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9366C0DB-F8A5-4BFB-B874-E3A78EB4B946}: NameServer = 10.0.0.138

woensdag 23 juni 2004 19:15

Acties:

Spider.007

* Tetragrammaton

[q=http://gathering.tweakers.net/forum/list_messages/879039]• Markeer de regels in je HijackThis logfile aan de hand van een sterretje waarover je twijfels hebt.

Het niet volgen van deze stappen zal sluiten van je topic tot gevolg hebben - naast deze regels geldt het Stappenplan uiteraard ook nog gewoon.

GoT is geen helpdesk bedoeld om je logs neer te gooien

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

woensdag 23 juni 2004 19:17

Acties:

Verwijderd

Topicstarter

Spider.007 schreef op 23 juni 2004 @ 19:15:
[...]

GoT is geen helpdesk bedoeld om je logs neer te gooien

nee.. maar ik heb nergens twijfels over.. ik heb al meerdere keren de logs bekeken.. programmas opgezocht op internet.. entrys waarvan ik twijfelde verwijderd..

woensdag 23 juni 2004 19:19

Acties:

wildhagen

Blablabla

Hmm, ik moet zeggen dat ik niet 1 vreemde entry in die log kan vinden, het ziet er brandschoon uit... vaag!

Virussen? Scan ze hier!

woensdag 23 juni 2004 19:22

Acties:

Verwijderd

hm, wat is die ASD.exe, zoektoch op google levert volgende link op:
http://www.eaglewatch.nl/...ns-2002/Virus-Annod-B.htm

Ik neem aan dat servU hoort te draaien ?

Wat meestal wel handig is, is om alle bekende applicaties (ook die in de traybar) even af te sluiten voordat je zo'n hijackthis log maakt. Dat maakt het wat duidelijker wat er wel en niet hoort te draaien

[ Voor 44% gewijzigd door Verwijderd op 23-06-2004 19:25 ]

woensdag 23 juni 2004 19:22

Acties:

Verwijderd

Topicstarter

wildhagen schreef op 23 juni 2004 @ 19:19:
Hmm, ik moet zeggen dat ik niet 1 vreemde entry in die log kan vinden, het ziet er brandschoon uit... vaag!

Ik heb ook meerdere scervices gestopt om het resultaat daarvan te bekijken.. maar dat heeft ook geen nut..

Met ethereal zie ik ook geen verdachte traffic..

woensdag 23 juni 2004 19:23

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 23 juni 2004 @ 19:22:
hm, wat is die ASD.exe, zoektoch op google levert volgende link op:
http://www.eaglewatch.nl/...ns-2002/Virus-Annod-B.htm

misschien vergeten er bij te zeggen.. die asd.exe is de locatie van hijackthis.exe

woensdag 23 juni 2004 19:24

Acties:

Mike Jarod

Ik zo niets geks, maar dit valt me wel op:

wuauclt - wuauclt.exe - Process Information

Process File: wuauclt or wuauclt.exe
Process Name: AutoUpdate for WindowsME
Description: Background process responsible for updates to Windows ME. Whenever you connect to the Internet, Wuauclt checks the Microsoft web site for updates to Windows ME.
Company: Microsoft Corp.
System Process: Yes
Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): No
Common Errors: N/A

Uhmm hij heeft XP? Gooi 'm eens door http://virusscan.jotti.dhs.org om zeker te zijn?

woensdag 23 juni 2004 19:26

Acties:

Verwijderd

Mike Jarod schreef op 23 juni 2004 @ 19:24:
Ik zo niets geks, maar dit valt me wel op:

[...]

Uhmm hij heeft XP? Gooi 'm eens door http://virusscan.jotti.dhs.org om zeker te zijn?

Yep, ik had ergens gelezen dat deze er alleen mag zijn indien WU draait of op een antwoord wacht oid.
zie hier: http://www.sophos.com/virusinfo/analyses/trojcultb.html

[ Voor 10% gewijzigd door Verwijderd op 23-06-2004 19:27 ]

woensdag 23 juni 2004 19:27

Acties:

wildhagen

Blablabla

Mike Jarod schreef op 23 juni 2004 @ 19:24:
Ik zo niets geks, maar dit valt me wel op:

[...]

Uhmm hij heeft XP? Gooi 'm eens door http://virusscan.jotti.dhs.org om zeker te zijn?

Zelfs ik met Windows Server 2003 heb die wuauclt.exe

En mijn tweede doos met XP heeft die file ook, evenals een testdoos met ook XP.

Die file zal dus wel OK zijn, het artikel klopt niet lijkt me.

Virussen? Scan ze hier!

woensdag 23 juni 2004 19:27

Acties:

Verwijderd

Topicstarter

Mike Jarod schreef op 23 juni 2004 @ 19:24:
Ik zo niets geks, maar dit valt me wel op:

[...]

Uhmm hij heeft XP? Gooi 'm eens door http://virusscan.jotti.dhs.org om zeker te zijn?

Ik heb hem al eerder uitgeschakeld.. maar dat had geen nut.. het icoontje verdwijnt uit de taakbalk.. het is dus de echte windows updater

code:

 File:       wuauclt.exe
Status:     
OK
 
AntiVir     
No viruses found (2.46 seconds taken)
BitDefender     
No viruses found (2.58 seconds taken)
ClamAV  
No viruses found (5.33 seconds taken)
F-Prot Antivirus    
No viruses found (1.77 seconds taken)
F-Secure Anti-Virus     
No viruses found (3.67 seconds taken)
Kaspersky Anti-Virus    
No viruses found (4.18 seconds taken)
McAfee VirusScan    
No viruses found (3.48 seconds taken)
Norman Virus Control    
No viruses found (5.66 seconds taken)

woensdag 23 juni 2004 19:30

Acties:

Mike Jarod

Ok alle opties proberen he

_{grrr @ liutilities}

woensdag 23 juni 2004 19:38

Acties:

Verwijderd

Topicstarter

Mike Jarod schreef op 23 juni 2004 @ 19:30:
Ok alle opties proberen he _{grrr @ liutilities}

woensdag 23 juni 2004 19:39

Acties:

Verwijderd

Probeer anders eens met filemon: http://www.sysinternals.com/ntw2k/source/filemon.shtml
te kijken welk process die bestandsnamen aanpast etc.

(op die zelfde site is ook een wat geavanceerdere process viewer te dowloaden)

[ Voor 23% gewijzigd door Verwijderd op 23-06-2004 19:40 ]

woensdag 23 juni 2004 19:40

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 23 juni 2004 @ 19:39:
Probeer anders eens met filemon: http://www.sysinternals.com/ntw2k/source/filemon.shtml
te kijken welk process die bestandsnamen aanpast etc.

mja die crasht dus bij het opstarten.. ook al log ik in als de Administrator user

en ik ben er nog steeds niet wachten waarom

woensdag 23 juni 2004 19:42

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 23 juni 2004 @ 19:39:
Probeer anders eens met filemon: http://www.sysinternals.com/ntw2k/source/filemon.shtml
te kijken welk process die bestandsnamen aanpast etc.

(op die zelfde site is ook een wat geavanceerdere process viewer te dowloaden)

owja.. dat wilde ik nog gaan doen.. maar is mn gedachte voorbij gevlogen denk..

nu kom ik tot de 3e naam die niet is toegestaan door dit 'iets'

"procexp"

ook die bestanden verdwijnen

woensdag 23 juni 2004 19:45

Acties:

Verwijderd

lijkt als of er een hook op je systeem zit, die filenames afvangt, deze hook zou ook de oorzaak kunnen zijn dat die filemon crashed. Eens ff kijken of we een 'hooklister' kunnen vinden.

woensdag 23 juni 2004 19:47

Acties:

Mike Jarod

Hardop denkend: potentieel draait er nog een proces dat dit veroorzaakt, maar dat je niet ziet in de taskmanager / HT. Dus is dit een hidden proces

Weet iemand een proggie om hidden processen te bekijken? Via google vond ik deze maar heb geen flauw idee of dat een fatsoenlijk progsel is.

edit: Of doet Process Explorer dat ook? Hidden processen.

[ Voor 9% gewijzigd door Mike Jarod op 23-06-2004 19:52 ]

woensdag 23 juni 2004 19:48

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 23 juni 2004 @ 19:45:
lijkt als of er een hook op je systeem zit, die filenames afvangt, deze hook zou ook de oorzaak kunnen zijn dat die filemon crashed. Eens ff kijken of we een 'hooklister' kunnen vinden.

Aan zoiets dacht ik ook.. ik had al ergens anders iets gelezen over dat diezelfde keylogger die ik had bestanden weghaalde... die had dat opgelost door spybot.. maar mij is dat niet gelukt..

woensdag 23 juni 2004 19:51

Acties:

Verwijderd

Topicstarter

ik ga straks weer verder met kijken.. nu eerst voetbal en dat soort dingen

woensdag 23 juni 2004 20:21

Acties:

Verwijderd

Misschien dat je hier wat mee kan vinden: http://www.rootkit.com/project.php?id=15
echter ik zit er niet op te wachten om iets van die site te gaan draaien op m'n computer.

of mischien iets als: http://www.download-freew...-Utilities.php?Type=14165

Of probeer hier eens mee te kijken:
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

[ Voor 42% gewijzigd door Verwijderd op 23-06-2004 23:26 ]

woensdag 23 juni 2004 23:39

Acties:

BoGhi

Kun je hiermee een overzicht van je lopende processen krijgen: http://www.beyondlogic.or...ocessutil/processutil.htm?

Programmers don't die. They GOSUB without RETURN

donderdag 24 juni 2004 17:59

Acties:

Verwijderd

Topicstarter

Oke ik ben er eindelijk van af...

het was dus wel zon rootkit genaamd hackerdefender...

voor andere mensen.. check dit eens:

http://www.computing.net/...wwboard/forum/105302.html

Pagina: 1

Reageer