conficker?

[dop]

Of het ermee te maken heeft, weet ik niet, maar gisteren kreeg ik bericht, zogezegd van Norton, dat mijn abonnement voor 2008 mij toelaat Norton 2009 te installeren. Na installatie had ik geen virusbescherming meer. Webadres begon met webdl. Stom, maar niet gezien. Terug mijn Norton geïnstalleerd. Wil vandaag systeemherstel doen, maar welke datum ik ook kies, systeemherstel laat weten dat er een onbekende fout is opgetreden. Computer zelf werkt als vanouds. Laat nu computer scannen terwijl ik dit bericht op andere computer tik. Ben er niet gerust op, vooral omdat conficker virusbeveiligingen schijnt te kunnen omzeilen. Mijn vraag is: kan ik resten van het geïnstalleerde nepprogramma terugvinden via de zoekfunctie en welke termen moet ik ingeven?

[kape]

Je kan al beginnen met dit eens te doen :

Download HiJackThis

Dubbelklik op HJTInstall.exe

Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. Klik op "Do a systemscan and save a logfile". en hang dit logje aan je volgende bericht.

NB. Ben je een gebruiker van Windows Vista dan moet je eerst rechtsklikken op HijackThis.exe en dan kiezen voor "Run as Administrator".

[Yannick]

hier wat info omtrend de worm

Beveiligingsexperts bereiken doorbraak in bestrijding Conficker | Pro | Tweakers.net Nieuws

[dop]

Je kan al beginnen met dit eens te doen :

Download HiJackThis

Dubbelklik op HJTInstall.exe

Ik heb HiJackThis en de schadelijke sofware-scanner windows - kb890830-v2.8 via een niet-besmette computer gedownload, op een maagdelijke USB gezet en vervolgens op de verdachte computer laten lopen met de internetverbinding losgekoppeld. De software-scanner zag net als NortonAntivirus (de echte) geen problemen. De HiJack log stuur ik als bijlage.

mvg.

hijackthis.log

[kape]

Een actuele besmetting zit er alvast niet in dit log. Bij Conficker zijn het inderdaad de sites van beveiligingsprogramma's die onbereikbaar zijn. Het probleem met systeemherstel is - op het eerste zicht - niet verbonden met deze worm.

Wat je wel eens kan doen is in het register zoeken of je eventueel de vermelding "netsvcs" terugvindt. Dit zou een aanduiding (kunnen) zijn dat de worm zich toch genesteld heeft op de PC. Doe dit via Start -> Uitvoeren -> typ regedit ... en dan daar via de zoekfunctie het register doorploegen.

Om systeemherstel terug in gang te krijgen, zou je dit eens kunnen proberen :

Om dit uit te voeren moet je verborgen bestanden kunnen zien.

- Open Windows Verkenner en ga naar de windows\inf map.

- zoek het bestand sr.inf

- rechtsklik erop en selecteer "INSTALL" in het menu

Als gevraagd wordt naar bestanden in de "Files Needed dialog box" , klik dan op "Browse" en verwijs naar de "i386 folder" op de Windows XP CD of de i386 folder op de harde schijf als deze bestaat. De bestanden zullen daar dan opgehaald worden.

Op een systeem met Servicepack 2 verwijs dan naar de C:\Windows\ServicePackFiles\i386 folder.

Als systeemherstel terug geïnstalleerd is, configureer het dan terug naar behoefte. Maak zelf een herstelpunt aan en test systeemherstel door dit herstelpunt te laten terugzetten. Als dit lukt is syteemherstel gezond en wel.

[dop]

Bedankt voor de tip.

Echter, na selecteren van 'verborgen bestanden weergeven' èn het uitvinken van 'beveiligde besturingssysteembestanden verbergen', is onder 'Computer -> VistaOS-> Windows-> inf' het bestand sr.inf niet te vinden. Ook het inschakelen van de zoekfunctie met het aanvinken van 'inclusief niet-geïndexeerde, verborgen en systeembestanden' levert alleen bestanden op die beginnen met srtsp.inf

mvg.

[kape]

Ja, dat kan kloppen. Na je log nog eens bekeken te hebben zie ik plots dat je met Vista zit ... en heel die uitleg is voor XP.

Even Googlen levert de suggestie op om dit te doen : onder "services" de service "Volume Shadow Copy" opstarten. Lukt dat bij jou ?

[dop]

Neen. Volgens de informatie op de computer dient deze service voor back-ups. Voor back-ups maak ik sinds kort gebruik van een externe harde schijf die zelf een back-upprogramma aan boord heeft. Is er een verband?

Er is overigens een hele uitleg over wat je moet doen als een service niet meer werkt (help mij bij het instellen van herstelbewerkingen). Dat wordt waarschijnlijk de optie 'een programma uitvoeren', maar over het vervolg heb ik geen zicht meer.

Toevallig heb ik wel een volledige back-up gemaakt vóór het downloaden van de nepAntiVirus (gelukkig). Maar voorlopig wil ik de back-upfunctie van de externe harde schijf nu niet testen, zolang ik niet zeker ben of de computer al dan niet in orde is.

[dop]

Wat je wel eens kan doen is in het register zoeken of je eventueel de vermelding "netsvcs" terugvindt. Dit zou een aanduiding (kunnen) zijn dat de worm zich toch genesteld heeft op de PC. Doe dit via Start -> Uitvoeren -> typ regedit ... en dan daar via de zoekfunctie het register doorploegen.

Deze handeling levert een lijst typen op waaronder netsvcs REG_MULTI_SZ AeLookupSvc wercplsupport Themes CertPropSvc SCPoliciySvc lanmanserver gpsvc IKEEXT.... enzoverder

[kape]

McAfee heeft voor Conficker een speciaal scanning-tool ontwikkeld. Je kan dat nu downloaden via de site van ZDNet bvb. en dan laten scannen. Werking van tooltje duurt wel even.