[Malware] rootkit - constante traffic, niets van zichtbaar * - Privacy en beveiliging

dinsdag 24 augustus 2004 17:47

Acties:

Topicstarter

hey mensen, ik heb sinds een paar dagen een probleem, m'n internet is traag als dikke stront en veelal kon ik helemaal niets meer, kreeg timeouts etc...
Toen ik keek naar mn dataverkeer bleek die continu op 60KB down en 40KB up te staan (dat is de max upload van chello) conclusie, mijn verbinding slibte dicht...
dus ik bittorrent en al uit gezet... nogsteeds die heavy belasting, alle lopende proggies gesloten, nogsteeds, taakbeheer gekeken of er geen onbekende processen liepen, niets vreemds te vinden. hele PC gescand met Symantec Anti Virus Corporate met laatste virus definitions, niets gevonden, Ad-aware SE Personal, SpySweeper, SpyRemover, allemaal niets gevonden, ik gebruik ook Tiny Personal Firewall, ook daar staan geen rare processen in, hij laat nieteens zien dat er dataverkeer is!
ook met tcpview (systernals) zijn er geen verbindingen zichtbaar...
echter als ik IRIS gebruik (packetsniffer) blijkt dat er weldegelijk een gigantische baal data is dat naar allerlij IP's gestuurd en ontvangen wordt, de inhoud is simpel... talloze mp3 namen (die ik nieteens op m'n pc heb!)
Ik heb nu ICF ingeschakeld, die blokkeerd de upload zodat ik nog kan internetten, maar ik heb nogsteeds de 60kb downstream lopen terwijl ik dus niets op internet doe...

kent iemand dit probleem en hoe ik het kan oplossen? zoals blijkt kent symantec niets als virus en ook als spy/adware wordt er niets herkent.

bij de registry entries van run(once/services) staat niets verdachts en ook de msconfig en services.msc kan ik niet ontdekken op fouten...
ik heb weinig zin om weer opnieuw windows te installeren want ik weet het probleem niet en wellicht krijg het het met de volgende installatie weer... (backup nog niet gemaakt, net 2 weken geinstalleerd) (ook gebruik ik admuncher...)

specs:
Win Serv 2003 Enterprise
AMD 2200
512mb pc3200 dual channel
80gig maxtor... niet zo relevant voor de rest...
taakbeheer geeft bij netwerk wel een gemiddelde belasting van de adapter van 10% aan...

dinsdag 24 augustus 2004 18:00

Acties:

WimB

Post je HijackThis log eens.

dinsdag 24 augustus 2004 18:36

Acties:

deredding

Topicstarter

HijackThis:

code:

Logfile of HijackThis v1.97.7
Scan saved at 18:34:57, on 24-08-04
Platform: Unknown Windows (WinNT 5.02.3790)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\PFShared\UmxCfg.exe
C:\Program Files\Common Files\PFShared\UmxPol.exe
C:\Program Files\Tiny Firewall Pro\UmxAgent.exe
C:\WINDOWS\system32\msdtc.exe
C:\Program Files\Tiny Firewall Pro\UmxTray.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\System32\dns.exe
C:\Program Files\DriveCrypt\DcrServ.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\ntfrs.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Common Files\PFShared\umxlu.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Ad Muncher\AdMunch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\StatBar\StatBar.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Documents and Settings\Administrator.HIDK-AMD2200\Desktop\SharpReader0951\SharpReader.exe
C:\Program Files\dMSN\dMSN Messenger.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spy Sweeper\SpySweeper.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator.HIDK-AMD2200\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [DCPPaid] C:\WINDOWS\system32\DCPPaid.exe /P
O4 - HKLM\..\Run: [Ad Muncher] C:\Program Files\Ad Muncher\AdMunch.exe /bt
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AMonitor] C:\Program Files\Tiny Firewall Pro\amon.exe
O4 - HKCU\..\Run: [StatBar] C:\Program Files\StatBar\StatBar.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: VPDN_LU.exe.lnk = C:\Program Files\Symantec AntiVirus\VPDN_LU.exe
O4 - Global Startup: dMSN Messenger.lnk = C:\Program Files\dMSN\dMSN Messenger.exe
O8 - Extra context menu item: Download all by Net Transport - C:\Program Files\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - C:\Program Files\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Onderzoek (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38183.4157523148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hidk.ad
O17 - HKLM\Software\..\Telephony: DomainName = hidk.ad
O17 - HKLM\System\CCS\Services\Tcpip\..\{D488E1CE-0F39-4221-A82E-E90ECF118EFF}: NameServer = 212.142.28.66,212.142.28.130
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hidk.ad
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hidk.ad

dinsdag 24 augustus 2004 19:17

Acties:

tvdleur

ehh...okay?

wasda? regel 74, die permanent - /P en iets met paid zet me altijd tot bedenkens toe....

O4 - HKLM\..\Run: [DCPPaid] C:\WINDOWS\system32\DCPPaid.exe /P

[ Voor 11% gewijzigd door tvdleur op 24-08-2004 19:17 ]

dinsdag 24 augustus 2004 19:17

Acties:

Verwijderd

echter als ik IRIS gebruik (packetsniffer) blijkt dat er weldegelijk een gigantische baal data is dat naar allerlij IP's gestuurd en ontvangen wordt, de inhoud is simpel... talloze mp3 namen (die ik nieteens op m'n pc heb!)

You have been rooted/hacked/whatever.

ik heb weinig zin om weer opnieuw windows te installeren want ik weet het probleem niet en wellicht krijg het het met de volgende installatie weer... (backup nog niet gemaakt, net 2 weken geinstalleerd) (ook gebruik ik admuncher...)

Helaas, je zal toch weer windows opnieuw mogen installeren, systemen die op dergelijke manier comprised zijn geworden zijn, zijn niet meer te vertrouwen.

En waarom draai je nou desktop op een serverOS? Het is er niet voor gemaakt en maakt je in principe kwetsbaarder.

Kijk maar wat het je gebracht heeft.

Je kan eventueel via Linux or so de files die neergezet/gebruikt zijn achterhalen, maar helemaal opschonen kun je vergeten.
Rootkit detectors geven ook geen zekerheid, dus daar hoef je niet op te vertrouwen.

Titel aangepast.

dinsdag 24 augustus 2004 19:28

Acties:

niels_999348

C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\system32\resetservice.exe

Ziet er leuk uit

r_server zou wel eens heel goed remote-adminstrator kunnen zijn dus backdoor gevonden.

resetservice zou gebruikt kunnen worden om de serv-u service te resetten naam changen etc.

Zoek ook even op de datum van laatst aangemaakt naar de datum van r_server.exe dan vind je waarschijnlijk een hoop ervan terug.

dinsdag 24 augustus 2004 19:31

Acties:

niels_999348

Even dit opgezocht via google:
dcppaid.exe
The purpose of DCPPaid.exe is to keep reminding the user that his
DriveCrypt Plus Pack evaluation period has expired and he should now
uninstall the software. We Did not think it fair to deny him access to his
disks, or suddenly remind him that it would be unavailable pretty soon, so
we designed this reminder program, which cannot be removed without
uninstalling DriveCrypt Plus Pack. The DCPPaid file is not spyware, and we
do not use it to communicate or store anything about the user's activities.

dinsdag 24 augustus 2004 19:34

Acties:

alt-92

ye olde farte

srvany.exe hoeft ook niet te runnen op een standaard bak.

Ach ja

dat zal je leren

Volgende keer toch maar een betere (lees veiliger) internet aansluiting pakken met bijv. een router in plaats van je AD rechtstreeks aan het internet te hangen?

[ Voor 74% gewijzigd door alt-92 op 24-08-2004 19:45 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 24 augustus 2004 20:30

Acties:

tvdleur

ehh...okay?

niels_999 schreef op 24 augustus 2004 @ 19:31:
Even dit opgezocht via google:
dcppaid.exe
The purpose of DCPPaid.exe is to keep reminding the user that his
DriveCrypt Plus Pack evaluation period has expired and he should now
uninstall the software. We Did not think it fair to deny him access to his
disks, or suddenly remind him that it would be unavailable pretty soon, so
we designed this reminder program, which cannot be removed without
uninstalling DriveCrypt Plus Pack. The DCPPaid file is not spyware, and we
do not use it to communicate or store anything about the user's activities.

Weten we dat ook weer

Google is een mooi iets, isn't it

Pagina: 1

Reageer