nachtbraker

Hey Kape, Mijn probleem lijkt opgelost te zijn, maar ik denk die van Andre nog niet. Domein 'deleted/NB' heeft natuurlijk met de privacy te maken. Er is denk ik al genoeg informatie van m'n systeem weggelekt. Vandaar dat ik persoonlijke informatie uit de log vervangen heb door deze term (NB=NachtBraker). De genoemde bestanden zijn niet meer teruggekomen. Na het corrigeren van NDIS, zijn ook de entries in de registry niet meer teruggekomen. Ik heb zelf het idee dat het virus misbruik maakt van de map 'Winodws/Prefetech' waar een aantal kopieen stonden van wat bestanden, echter niet met de extensie '.exe'. Het komt gelukkig niet zoveel voor dat ik met de hand een virus moet verwijderen, maar het kost wel steeds meer tijd. Voor Andre: Verwijder alle bestanden cidrive32.exe, qhj0.exe, verwijder uit windows/system32: mgris.exe, kbupdate.dll, msxsltsso.dll, sshnas21.dll, nmklo.dll, kbdata4.dll, crt4.dll (etc.) Kijk in system32 naar de datum van bovengenoemde files en controleer alle executables en DLL's; kijk in de eigenschappen naar de makers. Alles met deze datum en een onbende maker verwijderen. Kijk ook in '../system32/drivers'. Ook hier vind je DLL's en '.sys'-files van deze datum en onbekende makelij. Waarschijnlijk zitten er bestanden (.sys-files) bij die je niet kunt verwijderen; oa NDIS.sys. NDIS.sys is nodig voor je netwerk; vergelijk deze met die uit de I386-map. Om die terug te zetten, start je op vanaf de windows installatie CD en kies je voor 'recovery' (de R). Login als administrator en vervang de bestanden (minimaal NDIS). Ook kun je zo bestand 'jrg...' weghalen (sorry vergeten op te schrijven, maar wel belangrijk) Verwijder uit de gebruikersmap '..\application data\' alle executables van bovengenoemde datum. Verwijder uit de gebruikersmap '..\application data\temp\' alle bestanden van bovengenoemde datum. Verwijder uit 'Windows\prefetch' alle bestanden van bovengenoemde datum. Verwijder uit de registry: HKLM\..Currentversion\Policies\Explorer\Run: ...\cidrive32.exe en s8g3 HKLM\..Currentversion\RUN\nrktcvy.exe Een beetje gevaarlijk, maar het werkt wel. Maak een kopie van die bestanden waarvan je niet zeker bent (noem ze dan even iets anders; bv '.SoS' ipv '.SYS'). Succes, Nachtbraker.

Tja, het is ook niet makkelijk. Natuurlijk kun j met een geinfecteerde PC niet zomaar het netwerk op; zeker niet als je spyware verwacht. Andre had al meegemaakt wat er kan gebeuren. Om dan HiJack of een andere online viruschecker te advisren geeft natuurlijk een hoop problemen. Zeker met een notebook met een draadloos internet. Gelukkig ben ik niet voor een gat gevangen. Met een tweede PC kun je op Internet zoeken. Maar goed. Weer een hoop verwijderd en een lange internetkabel de nb in veilige mode opgestart met Internet verbinding (dat werkt dus alleen met een vaste verbinding). Hier de Hijack-log; er zijn nog wat resten terug te vinden. Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 23:18:54, on 2-5-2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\WINDOWS\System32\WLTRYSVC.EXE C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Dell\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\cisvc.exe C:\Program Files\Symantec AntiVirus\DefWatch.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Dell\OpenManage\Client\Iap.exe C:\Program Files\Common Files\Motive\McciCMService.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\PGPserv.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\Program Files\Symantec AntiVirus\SavRoam.exe C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Dell\Bluetooth Software\BTTray.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Windows Live\Toolbar\wltuser.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\system32\msiexec.exe C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Laptops, PCs, Desktop Computers, Monitors, Printers & PC Accessories | Dell UK R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Laptops, PCs, Desktop Computers, Monitors, Printers & PC Accessories | Dell UK R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cidrive32.exe O4 - HKLM\..\Policies\Explorer\Run: [s8g3] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qhj0.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Acrobat Snelle start.lnk = ? O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: PGPtray.lnk = ? O8 - Extra context menu item: Converteren naar Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Converteren naar bestaand PDF-bestand - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Geselecteerde koppelingen converteren naar Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Geselecteerde koppelingen converteren naar bestaand PDF-bestand - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Koppelingdoel converteren naar Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Koppelingdoel converteren naar bestaand PDF-bestand - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Selectie converteren naar Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Selectie converteren naar bestaand PDF-bestand - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\Dell\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: In weblog opnemen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &In weblog opnemen met Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Program Files\Altova\XMLSpy2008\spy.htm O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Program Files\Altova\XMLSpy2008\spy.htm O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Dell\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Dell\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {01113300-3E00-11D2-8470-0060089874ED} (Support.com Configuration Class) - http://pccheckup.dellfix.com/sdccommon/download/tgctlcm.cab O16 - DPF: {49312E18-AA92-4CC2-BB97-55DEA7BCADD6} (WMI Class) - http://support.euro.dell.com/systemprofiler/SysProExe.CAB O16 - DPF: {6218F7B5-0D3A-48BA-AE4C-49DCFA63D400} (CSEQueryObject Object) - http://www.myheritage.nl/Genoogle/Components/ActiveX/SearchEngineQuery.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = (deleted/NB) O17 - HKLM\Software\..\Telephony: DomainName = (deleted/NB) O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = (deleted/NB) O20 - Winlogon Notify: kbupdate - kbupdate.dll (file missing) O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Dell\Bluetooth Software\bin\btwdins.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Iap - Dell Inc. - C:\Program Files\Dell\OpenManage\Client\Iap.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: McciCMService - Motive Communications, Inc. - C:\Program Files\Common Files\Motive\McciCMService.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE -- End of file - 11789 bytes Ik denk (hoop) dat ik alleen m'n NDIS.sys moet herstellen. gr. Nachtbraker

Hoi Andre, Wat een geklooi weer; nou ja, het is toch slecht weer. Gisteren begon het bij mij met een waarschuwing op schending van auteursrechten. Dit was een programma dat was geinstalleerd in .../application data/ARManager en blokkeerde m'n hele systeem (een notebook met Windows XP). Tevens was er een virus geinstalleerd en begon er een Anti Maleware programma te draaien wat ik niet kende. Dus: batterij eruit en de stekker eruit. Opstarten lukte niet meer. Na wat geklooi, bleek 'ISAPNP.SYS' verminkt te zijn. Hierna kon ik weer opstarten. ARMangere werd actief en systeem blokkeerde. ARManager verwijderd (tja, het was ff zoeken) en weer opstarten. Antimaleware begon te draaien (een onbekend programma). Taskmanager was geblokkeerd en Internet was overbezet. Zelfs het disabelen van m'n draadloze verbinding reageerde niet. Weer afbreken en starten in vielige modus. Daarnaast functioneerde Symantec AV niet meer (een full scan was direct klaar en had 0 files gecontroleerd). Weer wat klooien en ik zag wat zelfde programma's als jij had. C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qhj0.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nrktcvy.exe (nou ja, ongeveer) Ook had ik 'lsass.exe' twee maal draaien. Opstarten in veilige modus. Symantec deed het weer. Symantec antivirus detecteerde 'msxsltsso.dll' als backdoor (en nog een paar; oa A1002018.exe), maar niet 'qhj0.exe'. Zelf vond ik nog 'sreader_s.exe' in '..local settings/application data/'. Hier staat ook de 'qhj0.exe' en 'nrktcvy.exe'. Alles verwijderd, opnieuw starten en de shit was weer terug (qhj0.exe stond er weer alsof er niets gebeurd was). Weer geen tsakmanager en geen symantec mogelijk. Opstarten in veilige mode: weer AV gedraaid en weer werd msxsltsso.dll verwijdered, maar nu A1002068). qhj0 was weer terug en ipv nrktcvy had ik nu khvcol. Overigens wordt nrktcvy vanuit de registry gestart: HKLM\Software\microsoft\windows\currentversions\run. Die heb ik ook maar verwijderd. Nieuwe verdachte was cidrive32.exe uit windows\system32. Ook deze verwijderd en systeem opnieuw gestart (zonder netwerk). Resultaat: taskmanager werkt nog steeds niet (bij gebruiker met ADM-rechten) en ook Symantec wel geen scan uitvoeren. Ik sta open voor suggesties. Gr. Nachtbraker