AutoRun.inf ?

• 

  Argus

  26-08-2009 20:17

  Sommige van de bestanden worden door Virustotal niet gevonden

  Graag gewoon de link die in de adresbalk staat en niets anders

  Download gmer.

  Plaats het op je bureaublad.

  Unzip het, open de map gmer en dubbelklik op gmer.exe.

  Krijg je een melding dat er rootkits actief zijn en er wordt gevraagd om een scan uit te voeren, dan sta je dit niet toe.

  Aan de rechterkant heb je een aantal opties die je kan uit- of aanvinken. Standaard staat alles aangevinkt.

  Vink volgende items uit:

  - Sections

  - IAT/EAT

  Files moet aangevinkt zijn, maar zorg dat hier enkel de Systeempartitie aangevinkt is. ( De systeempartitie is die partitie waarop je windows geïnstalleerd is. )

  Haal het vinkje weg bij “show all” ( dit mag niet aangevinkt zijn! )

  Klik nu op de “Scan” knop om de rootkitscan met Gmer te starten.

  Als de scan klaar is klik je op de knop “Save” en sla je het logje op op je bureaublad.

  ( Klik je op knop “Copy”, dan wordt de volledige rapportje van de log naar het klembord gekopieerd en kan je via CTRL+V in je volgende post plakken. )

  Om Gmer te sluiten, klik je op de knop “Cancel”.

  Rapporteren
• 

  Jeroen

  26-08-2009 21:37

  GMER 1.0.15.15077 - http://www.gmer.net

  Rootkit scan 2009-08-26 20:58:26

  Windows 5.1.2600 Service Pack 3

  —- System - GMER 1.0.15 —-

  SSDT 82C021C0 ZwAlertResumeThread

  SSDT 824BB778 ZwAlertThread

  SSDT 824CF0C0 ZwAllocateVirtualMemory

  SSDT 82CD7370 ZwAssignProcessToJobObject

  SSDT 82BB5C90 ZwConnectPort

  SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey

  SSDT 82C2E0C0 ZwCreateMutant

  SSDT 82C22D28 ZwCreateSymbolicLinkObject

  SSDT 82D0F268 ZwCreateThread

  SSDT 82D26930 ZwDebugActiveProcess

  SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey

  SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey

  SSDT 82C4F0C0 ZwDuplicateObject

  SSDT 82CA40C0 ZwFreeVirtualMemory

  SSDT 823B00C0 ZwImpersonateAnonymousToken

  SSDT 82A82578 ZwImpersonateThread

  SSDT 828A5008 ZwLoadDriver

  SSDT 82D20A88 ZwMapViewOfSection

  SSDT 82BCBEB0 ZwOpenEvent

  SSDT 824170C0 ZwOpenProcess

  SSDT 82BFF178 ZwOpenProcessToken

  SSDT 82C45AB8 ZwOpenSection

  SSDT 824370C0 ZwOpenThread

  SSDT 82E2C330 ZwProtectVirtualMemory

  SSDT 82C081C8 ZwResumeThread

  SSDT 82BED208 ZwSetContextThread

  SSDT 82CE0658 ZwSetInformationProcess

  SSDT 82C68238 ZwSetSystemInformation

  SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey

  SSDT 82C23368 ZwSuspendProcess

  SSDT 82BEC0B0 ZwSuspendThread

  SSDT 82BFFAD8 ZwTerminateProcess

  SSDT 82BEC390 ZwTerminateThread

  SSDT 82BED658 ZwUnmapViewOfSection

  SSDT 82E19628 ZwWriteVirtualMemory

  —- Devices - GMER 1.0.15 —-

  AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

  AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

  AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

  AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

  —- Services - GMER 1.0.15 —-

  Service C:\WINDOWS\system32 (*** hidden *** ) darkshell <– ROOTKIT !!!

  —- Registry - GMER 1.0.15 —-

  Reg HKLM\SOFTWARE\Classes\CLSID\{250B3616-206B-5A82-A5D6F15DB93FBA58}\{FE52926E-CF25-F3E9-FB54CAECC4E0C5A1}\{0B8E44BF-BE3D-1006-BCD0774B529E1F63}

  Reg HKLM\SOFTWARE\Classes\CLSID\{250B3616-206B-5A82-A5D6F15DB93FBA58}\{FE52926E-CF25-F3E9-FB54CAECC4E0C5A1}\{0B8E44BF-BE3D-1006-BCD0774B529E1F63}@WVJSMZU2N2J3TUTL6NSXFNN2ZH1 0x01 0x00 0x01 0x00 …

  —- EOF - GMER 1.0.15 —-

  Rapporteren
• 

  Argus

  26-08-2009 21:46

  Kun je deze nog een keer bij Virustotal scannen en hier dan gewoon de Link die in de adresbalk staat,neer zetten

  c:\windows\system32\regedit42.exe

  c:\windows\system32\regedit12.exe

  c:\windows\system32\tcpsov23.exe

  c:\windows\system32\setupl7.exe

  c:\windows\system32\tcpsov66.exe

  c:\windows\system32\sysme.bat

  c:\windows\system32\tencent.sys

  Rapporteren
• 

  Jeroen

  27-08-2009 01:20

  Opdracht niet kunnen uitvoeren.

  Internetverbinding weggevallen … met geen mogelijkheid meer om 'm aan de gang te krijgen.

  Helpdesk Ziggo gebeld … modem werkt goed, er is verbinding .. alleen niet op de PC.

  Verder test uitgevoed zonder router … eveneens geen succes.

  Dan maar een oude laptop onder het stof vandaan gehaald en eureka .. deze heeft wel verbinding.

  Duurde ff om deze aan de praat te krijgen … vier jaar niet meer gebruikt, maar wie bewaart heeft wat

  Maar goed … euvel met PC kom ik niet mee verder zolang deze internet negeert …

  Zal het donderdagmorgen (voor het na werk gaan) nog eens proberen …

  Iemand toevallig suggesties om internet weer aan de praat te krijgen?

  Zodra dit lukt, kan ik ook de opdrachten verder uitvoeren …

  Rapporteren
• 

  Argus

  27-08-2009 05:55

  http://support.microsoft.com/kb/299357

  Rapporteren
• 

  Jeroen

  27-08-2009 22:21

  Opdracht uitgevoerd:

  Als eerste het Fixit programmaatje: geen resultaat (deze vanuit een lege USB stick geladen op de PC)

  Vervolgens nog eens handmatig, maar ook zonder succes.

  Bij herstart PC om vervolgens internet op te starten gaat heel ff goed (minuutje of zo) en dan valt deze weer weg.

  Dus nog steeds geen mogelijk gehad om de nog uit te voeren opdrachten uit te voeren.

  Via oude laptop kom ik wel nog op internet.

  Zonder een internetverbinding op de PC kan ik dus ook niet verder ….

  PC wegbrengen naar de leverancier zodat deze ermee kunnen gaan stoeien?

  Met alle repect overigens.

  Of weet iemand nog een oplossing waarmee ik alsnog internet op kan.

  Meerdere gegevens nodig?

  Ik hoor het graag, alleen overdag is moeilijk vanwege werk.

  Moet wel ff gezegd worden dat de hulp hier super is … uiteindelijk wordt er toch allerhandepogingen gedaan, dat op zich kan ik alleen maar toejuichen! … Dit ff ter info

  Rapporteren
• 

  Argus

  28-08-2009 00:00

  Download LSPFix

  Start het programma,en laat me eens weten wat er aan de linkerkant staat

  Sluit het Programma

  

  Rapporteren
• 

  Jeroen

  28-08-2009 00:30

  Opdract uitgevoerd:

  Bestand gedownoad op de laptop, opgeslagen opUSB en vervolgens naar de PC gebracht (ter info)

  Aan de linkerkant onder “Keep”

  mswsock.dll Tcpip

  winrnr.dll NTDS

  rsvpsp.dll (Protocol handler)

  Opvallend:

  Op de laptop online … start de PC op

  Probeer met de PC online te komen … gaat ff goed (paar tellen)

  Dan valt de verbinding van zowel de PC als de laptop weg.

  Schakel vervolgens de PC weer uit … zodra dze helemaal uitstaat werkt internet wer op de laptop …

  Je zou haast denken dat de PC voor een conflict zorgt op de router of modem … dit omdat de laptop (internetverbinding) wegvalt terwijl de draadloze netwerwerkverbinding een uitstekend signaal heeft ….met andere woorden, aan de modem kan het waarschijnlijk niet liggen (iets wat Ziggo helpdesk gisteren ook constateerde). Dus de PC zorgt dan voor een conflict op de router? Misschien, echter gisteren de PC los van de router gehad en direct op de modem aangesloten en toen ook geen verbinding ….

  Rapporteren
• 

  Argus

  28-08-2009 02:13

  Scan je PC eens met PrevX 3.0

  Rapporteren
• 

  Jeroen

  30-08-2009 15:11

  Opdracht uitgevoerd:

  Onderstaand log, problemen blijven:

  Prevx Scan Log - Version v3.0.1.65

  Log Generated: 30/8/2009 15:00, Type: 0,1

  Windows XP Home Service Pack 3 (Build 2600) 32bit|1043

  Some non-malicious files are not included in this log.

  Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)

  Last Scan: Sun 2009-08-30 16:00:21 West-Europa (zomertijd). Number of Scans: 1. Last Scan Duration: Scan Aborted.

  (ACTIVE) c:\program files\norton 360\engine\3.0.0.134\npc360ui.dll

  (ACTIVE) c:\windows\system32\advpack.dll

  c:\program files\msn messenger\msnmsgr.exe

  c:\windows\pchealth\helpctr\binaries\helpctr.exe

  c:\windows\pchealth\helpctr\binaries\helphost.exe

  c:\program files\norton 360\engine\3.0.0.134\navlogv.dll

  c:\program files\norton 360\engine\3.0.0.134\comcplug.dll

  c:\program files\norton 360\engine\3.0.0.134\caslog.dll

  c:\program files\norton 360\engine\3.0.0.134\mcmgr32.dll

  c:\program files\norton 360\engine\3.0.0.134\fwmcplug.dll

  c:\program files\norton 360\engine\3.0.0.134\tumcfplg.dll

  c:\program files\real\realplayer\realplay.exe

  c:\program files\norton 360\engine\3.0.0.134\rptcrdui.dll

  c:\program files\norton 360\mui\3.0.0.134\13\01\rptcrdui.loc

  c:\program files\norton 360\mui\3.0.0.134\13\01\npc360ui.loc

  c:\program files\norton 360\branding\3.0.0.134\13\01\isbrand.loc

  c:\program files\norton 360\mui\3.0.0.134\13\01\isres.loc

  c:\program files\norton 360\mui\3.0.0.134\13\01\mcplgres.loc

  c:\program files\norton 360\mui\3.0.0.134\13\01\fwres.loc

  c:\program files\norton 360\mui\3.0.0.134\13\01\navlogv.loc

  c:\program files\norton 360\mui\3.0.0.134\13\01\tures.loc

  c:\documents and settings\jeroen pluijmen\local settings\temp\pxinstall640.exe

  End of Prevx Scan Log - http://www.prevx.com

  Rapporteren