[Malware] mIRC backdoor + onvindbaar bestand * - Privacy en beveiliging

vrijdag 24 september 2004 00:26

Acties:

just boegel

Topicstarter

Bij het afsluiten van de laptop van mijn vriendin, krijgt ze sinds kort (sinds een dag of 3) een fout in de aard van 'regedit.exe DLL kan niet geinitialiseerd worden omdat windows aan het afsluiten is'.

Ik heb reeds gezocht op Google en GoT search, maar kan niet direct iets vinden.

Iemand enig idee wat het probleem zou kunnen zijn ? het is niet dat regedit blijft hangen ofzo, want mijn vriendin gebruikt dat helemaal niet (is er zelfs bang van geloof ik

), maar het lijkt wel alsof regedit.exe wil opstarten _terwijl_ de laptop afsluit.

Iemand een oplossing hiervoor ?

boegel - er zijn maar 10 soorten mensen in de wereld: diegene die het binaire stelsel kennen en diegene die het niet kennen

vrijdag 24 september 2004 00:41

Acties:

Jimbolino

troep.com

"een fout in de aard van", waarom doe je niet even de moeite om de exacte foutmelding op te zoeken?

heb je al gescanned op virussen/spyware, want ik heb zon vermoeden dat dit een virusje is

kijk ook eens voor de grap wat er allemaal in de map opstarten staat (in het startmenu) en in het register:
HKLM/software/microsoft/windows/currentversion/run +
HKCU/software/microsoft/windows/currentversion/run

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

vrijdag 24 september 2004 00:45

Acties:

Boegel

just boegel

Topicstarter

Jimbolino schreef op 24 september 2004 @ 00:41:
"een fout in de aard van", waarom doe je niet even de moeite om de exacte foutmelding op te zoeken?

heb je al gescanned op virussen/spyware, want ik heb zon vermoeden dat dit een virusje is

kijk ook eens voor de grap wat er allemaal in de map opstarten staat (in het startmenu) en in het register:
HKLM/software/microsoft/windows/currentversion/run +
HKCU/software/microsoft/windows/currentversion/run

Ik zeg een fout in de aard van omdat het kader verschijnt bij het afsluiten, en het dus maar 2 seconden ofzo zichtbaar is. De exacte foutmelding is het niet, maar alle sleutelwoorden staan er in. Een screenshot is niet mogelijk (tenzij ik mij digi cam neem), gezien het afsluiten al bezig is.

Ik heb de laptop gescand op virussen/spyware, met NAV, Adaware en Spybot.

edit:

Fout in titelbalk foutvenster:

"regedit.exe - initialisatie van DLL-bestand mislukt"

in venster zelf:

"regedit kan niet geinitialiseerd worden omdat Windows XP afgesloten wordt"

[ Voor 11% gewijzigd door Boegel op 24-09-2004 00:52 ]

boegel - er zijn maar 10 soorten mensen in de wereld: diegene die het binaire stelsel kennen en diegene die het niet kennen

vrijdag 24 september 2004 08:34

Acties:

elevator

Officieel moto fan :)

Heb je al eens in C:\Windows\System32\GroupPolicy\User\Scripts\LogOff\ gekeken ofdat er geen logoff scripts gedefinieerd zijn?

vrijdag 24 september 2004 10:59

Acties:

Boegel

just boegel

Topicstarter

Jimbolino schreef op 24 september 2004 @ 00:41:
kijk ook eens voor de grap wat er allemaal in de map opstarten staat (in het startmenu) en in het register:
HKLM/software/microsoft/windows/currentversion/run +
HKCU/software/microsoft/windows/currentversion/run

Ik heb even gekeken in het register. In de laatste map staat niets verdacht (enkel messenger en iets van windows zelf dat te maken heeft met de taalbalk zegt Google), maar in de eerste map vond ik dit:

Afbeeldingslocatie: http://studwww.ugent.be/~kehoste/problem/regedit.jpg

Afbeeldingslocatie: http://studwww.ugent.be/~kehoste/problem/regedit.jpg

Vooral die exename.exe met als titel 'blah service' lijkt me verdacht...
Een snelle lookup in Google leert me dat het iets te maken heeft met aanmelden, dus durf ik niet echt uitschakelen tot ik zeker weet dat dit geen problemen oplevert...

tega.exe heeft iets te maken met mIRC, maar als ik die verwijder dan krijg ik een error als ik op een link klik in ircspy (terwijl anders mIRC mooi gestart wordt), dus dat lijkt me het probleem niet...

Iemand die nog iets anders verdachts ziet ?

elevator schreef op 24 september 2004 @ 08:34:
Heb je al eens in C:\Windows\System32\GroupPolicy\User\Scripts\LogOff\ gekeken ofdat er geen logoff scripts gedefinieerd zijn?

Die map (GroupPolicy) is niet te vinden, en een search naar de map 'LogOff' leverde ook niets op... Dit betekent waarschijnlijk dat er geen logoff scripts gedefinieerd zijn, klopt dit ?

[ Voor 19% gewijzigd door Boegel op 24-09-2004 11:01 ]

boegel - er zijn maar 10 soorten mensen in de wereld: diegene die het binaire stelsel kennen en diegene die het niet kennen

zaterdag 25 september 2004 23:22

Acties:

Boegel

just boegel

Topicstarter

Even een kickje, en ondertussen een nieuwtje erbij:

toen ik vandaag even aan het werken was op de laptop, dan merkte ik in taakbeheer op (bij de lopende processen), dat regedit.exe zichzelf lijkt op te roepen, en daarna zichzelf direct terug afsluit. Het is misschien 1 sec zichtbaar in de lijst, verdwijnt daarna, en komt telkens (na 2 sec ofzo) terug, om dan weer te verdwijnen enz...

Volgens mij is dit verdacht te noemen, niet?

boegel - er zijn maar 10 soorten mensen in de wereld: diegene die het binaire stelsel kennen en diegene die het niet kennen

zaterdag 25 september 2004 23:55

Acties:

alt-92

ye olde farte

dude.. die service hoort daar gewoon écht niet in thuis.
Zal me niks verbazen als die dll error verschijnt omdat er bij het afmelden/afsluiten geprobeerd wordt de service of een andere reg entry weer terug te zetten.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 26 september 2004 00:56

Acties:

elevator

Officieel moto fan :)

Dit lijkt mij heel sterk op iets van spyware achtig iets - ik ga je topic dan ook verplaatsen naar Beveiliging & Virussen omdat daar de experts zitten in dit soort zaken

Windows Operating Systems >> Beveiliging & Virussen

zondag 26 september 2004 01:01

Acties:

Mike Jarod

Kijk even naar de spyware HowTo in de BV faq

Die files exename.exe en tega.exe zijn zowiezo al heel verdacht.
Online scan: http://virusscan.jotti.dhs.org

zondag 26 september 2004 10:16

Acties:

Boegel

just boegel

Topicstarter

Mike Jarod schreef op 26 september 2004 @ 01:01:
Kijk even naar de spyware HowTo in de BV faq

Die files exename.exe en tega.exe zijn zowiezo al heel verdacht.
Online scan: http://virusscan.jotti.dhs.org

De laptop werd reeds gescand met zowel Adaware als Spybot, en dat leverde bijna enkel Tracking Cookies op... De online scan zal ik zo snel mogelijk uitvoeren en hier posten...

boegel - er zijn maar 10 soorten mensen in de wereld: diegene die het binaire stelsel kennen en diegene die het niet kennen

zondag 26 september 2004 10:19

Acties:

Mike Jarod

Die online scan is niet bedoeld om je hele schijf te scannen, alleen losse files

Je kan die 2 files die ik aangaf daar scannen. De spyware howto uit de BV Faq bevat een uitgebreid stuk over het programma HijackThis, hiermee kan je in detail zien wat er allemaal gestart wordt bij het starten van Windows.

zondag 26 september 2004 21:08

Acties:

Boegel

just boegel

Topicstarter

Heb juist even de laptop gescand met HijackThis, hieronder de logfile...

Bovendien heb ik tega.exe gescand met de online virusscanner, en daar blijkt alvast een infectie in te zitten... Het vreemde is dat ik de file exename.exe nergens kan vinden, terwijl die wel in de HijackThis logfile staat, en ook vermeld wordt in het register. Een search met de Windows zoekmachine leverde niets op, en het bestand is ook niet te vinden in system32, waar tega.exe te vinden was...

Is het voldoende als ik tega.exe verwijder (en dan ook exename.exe als ik die kan vinden), of moet r meer gebeuren om die infectie weg te krijgen ?

Bovendien begon het IE op de laptop nogal vreemd te doen (raakt de ene keer wel op een website, andere keer niet, en op den duur crashte de hele boel zelfs), dus volgens mij wordt die malware met de dag actiever

HijackThis LOGFILE:

code:

Logfile of HijackThis v1.97.7
Scan saved at 20:51:24, on 26/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\carpserv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HPQ\One-Touch\OneTouch.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\windows\system32\tega.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Admin\Bureaublad\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com/info/e-center-p
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [TV Now] C:\Program Files\HPQ\Notebook Utilities\TvNow.exe /RK
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Program Files\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Internet] c:\windows\system32\tega.exe
O4 - HKLM\..\Run: [blah service] exename.exe
O4 - HKLM\..\RunServices: [blah service] exename.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: Dexia netbanking - http://netbanking.dexia.be/PC//Dynamic/Shared/Applet//DexiaIIA.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

boegel - er zijn maar 10 soorten mensen in de wereld: diegene die het binaire stelsel kennen en diegene die het niet kennen

zondag 26 september 2004 21:40

Acties:

Verwijderd

Bovendien heb ik tega.exe gescand met de online virusscanner, en daar blijkt alvast een infectie in te zitten...

Het was handig geweest als je het gezegd om welke infectie het ging, ik heb het maar even zelf opgezocht bij jotti.

Dat het mIRC-based is geloven we wel: not-a-virus:RiskWare.mIRC.5.9.1
Hmm dat is niet echt al te positief.

Nu zou ik graag willen weten wat die andere file is/doet.
Speel eens met het "attrib" command in je zogenaamed 'PATH' directories. (mbv. commandprompt)
Waarschijnlijk zal de file zich in "c:\windows" of "c:\windows\system32" bevinden.

Verder pas ik de titel wat aan.

zondag 26 september 2004 22:12

Acties:

Boegel

just boegel

Topicstarter

Verwijderd schreef op 26 september 2004 @ 21:40:
[...]

Het was handig geweest als je het gezegd om welke infectie het ging, ik heb het maar even zelf opgezocht bij jotti.

Dat het mIRC-based is geloven we wel: not-a-virus:RiskWare.mIRC.5.9.1
Hmm dat is niet echt al te positief.

Nu zou ik graag willen weten wat die andere file is/doet.
Speel eens met het "attrib" command in je zogenaamed 'PATH' directories. (mbv. commandprompt)
Waarschijnlijk zal de file zich in "c:\windows" of "c:\windows\system32" bevinden.

Verder pas ik de titel wat aan.

Ik had nochtans een screenshot gemaakt van die virusscanner, maar die ben ik er domweg vergeten bij te posten

Wat bedoel je met niet al te positief?
Dat de hele laptop besmet is, of dat ik mIRC zal moeten deïnstalleren?

Ik heb trouwens tega.exe even verwijderd uit system32, omdat mijn vriendin nog wat werk heeft op die laptop, en ik niet wil dattie nog verder onheil gaat aanrichten.
Blijkbaar is die tega.exe een onderdeel van mIRC (of heeftie iig een onderdeel van mIRC overgenomen ofzo), want als ik nu in een link klik in een zoekresultaat van ircspy.com, krijg ik een fout terwijl vroeger mIRC mooi openging op het betreffende kanaal.
Morgen kan ik onderzoeken waar die exename.exe zich juist bevindt, want nu heb ik de laptop niet bij me. Kan iemand me wel vertellen wat juist de bedoeling is van 'attrib', want daar ben ik niet vertrouwd mee.

boegel - er zijn maar 10 soorten mensen in de wereld: diegene die het binaire stelsel kennen en diegene die het niet kennen

zondag 26 september 2004 22:16

Acties:

Verwijderd

Open cmd window. (start/run/cmd)

code:

attrib /?

Dat legt alles uit.

(Die instantie van) mIRC behoort tot de kwaadaardige bestanden.
(Die instantie van) mIRC werd dus gebruikt om dingen met jouw PC te doen.

De vraag is nu wat die ene file is/doet, het waarschijnlijkst is het dat het om een (extra) backdoor gaat.

maandag 27 september 2004 09:42

Acties:

Boegel

just boegel

Topicstarter

Verwijderd schreef op 26 september 2004 @ 21:40:
[...]

Het was handig geweest als je het gezegd om welke infectie het ging, ik heb het maar even zelf opgezocht bij jotti.

Dat het mIRC-based is geloven we wel: not-a-virus:RiskWare.mIRC.5.9.1
Hmm dat is niet echt al te positief.

Nu zou ik graag willen weten wat die andere file is/doet.
Speel eens met het "attrib" command in je zogenaamed 'PATH' directories. (mbv. commandprompt)
Waarschijnlijk zal de file zich in "c:\windows" of "c:\windows\system32" bevinden.

Resultaat scan tega.exe:

Afbeeldingslocatie: http://studwww.ugent.be/~kehoste/problem/onlineVirusScanTegaSmall.jpg

Het bestand exename.exe is niet te vinden in een van de mappen die in PATH vermeld staan, en is bovendien ook niet te vinden met de Windows search (zoals ik al eerder zei).
Ik heb het bestand tega.exe voorlopig verwijderd uit system32, met als resultaat dat mIRC32 niet meer opstart bij het inloggen, of dat de regedit fout wordt weergegeven. Daar blijkt het probleem dus te liggen. Als het bestand echter verwijderd is, wil mIRC niet meer deïnstalleren, dus zal ik straks even proberen met het besmette tega.exe bestand mIRC te verwijderen en opnieuw te installeren.

Zijn er mensen die ideëen hebben hoe ik exename.exe toch kan lokaliseren ? Want het is toch erg vreemd dat dit nergens te vinden is (zoeken op 'exename' leverde ook al niets op).

[ Voor 35% gewijzigd door Boegel op 27-09-2004 09:56 ]

boegel - er zijn maar 10 soorten mensen in de wereld: diegene die het binaire stelsel kennen en diegene die het niet kennen

maandag 27 september 2004 19:07

Acties:

Mike Jarod

code:

1
2
3

O4 - HKLM\..\Run: [Internet] c:\windows\system32\tega.exe
O4 - HKLM\..\Run: [blah service] exename.exe
O4 - HKLM\..\RunServices: [blah service] exename.exe

Die waren niet echt fris, maar dat was al duidelijk denk ik

Zoals je bij de laatste regel ziet, zou er dus ook een service moeten zijn met de naam 'blah service'. Kijk dus even bij services.msc of die er tussen staat en bekijk daar de eigenschappen van. Bij de standaard Windows services zie je dan ook staan waar het bestand zich op je HD bevindt, met een beetje mazzel zie je dat ook bij de malware service.

Wat je zowiezo zou kunnen doen is 'even' Kaspersky Antivirus installeren. Op kun site kan je een gratis trail downloaden. Deze vindt zeker weten meer dan je huidige Norton, maar of ie ook dat verborgen ding vindt durf ik niet te zeggen. Stel bij update opties 'extended bases' in.

Ook zou je met SysInternals Process Explorer, FileMon of RegMon kunnen kijken of je meer informatie naar boven kan halen. De laatste 2 applicatie zijn zeer uitgebreid, dus zul je moeten filteren anders word je

van alles wat er voorbij komt schieten op je scherm.

dinsdag 28 september 2004 23:24

Acties:

Boegel

just boegel

Topicstarter

Mike Jarod schreef op 27 september 2004 @ 19:07:
code:
1
2
3
O4 - HKLM\..\Run: [Internet] c:\windows\system32\tega.exe
O4 - HKLM\..\Run: [blah service] exename.exe
O4 - HKLM\..\RunServices: [blah service] exename.exe
Die waren niet echt fris, maar dat was al duidelijk denk ik

Zoals je bij de laatste regel ziet, zou er dus ook een service moeten zijn met de naam 'blah service'. Kijk dus even bij services.msc of die er tussen staat en bekijk daar de eigenschappen van. Bij de standaard Windows services zie je dan ook staan waar het bestand zich op je HD bevindt, met een beetje mazzel zie je dat ook bij de malware service.

Wat je zowiezo zou kunnen doen is 'even' Kaspersky Antivirus installeren. Op kun site kan je een gratis trail downloaden. Deze vindt zeker weten meer dan je huidige Norton, maar of ie ook dat verborgen ding vindt durf ik niet te zeggen. Stel bij update opties 'extended bases' in.

Ook zou je met SysInternals Process Explorer, FileMon of RegMon kunnen kijken of je meer informatie naar boven kan halen. De laatste 2 applicatie zijn zeer uitgebreid, dus zul je moeten filteren anders word je van alles wat er voorbij komt schieten op je scherm.

Zoals Schouw me aangeraden heeft, en ik onderhand ook al een tijdje begon door te krijgen, was het beter om de betreffende laptop eens heel goed te kuisen: format dus.
Ik heb er mijn hele middag aan gehangen, maar nu is de miserie hopelijk voorbij.
Ik heb preventief ook Spybot geinstalleerd nu met 'Immunize' ingeschakeld, hopelijk kan dit wat verdere besmetting voorkomen, want ik heb geen zin om iedere maand die laptop op te schonen.

Toch bedankt iedereen hier voor de hulp, ik heb weer iets bijgeleerd (en dat kan _nooit_ geen kwaad).

boegel - er zijn maar 10 soorten mensen in de wereld: diegene die het binaire stelsel kennen en diegene die het niet kennen