C:\RECYCLER\S-1-5### Mogelijke hack??

[Robin Melchior]

Mijn computer vertoont de volgende verschijnselen die misschien
gekoppeld kunnen worden aan meerdere hack-methoden. Het kan echter
ook een software-bug zijn van windows zelf.

Verschijnselen;
-een "RECYCLER"-map op elke partitie
-een code per map beginnend met S-1-5

Echter, de programma's die verdacht zijn hebben geen .bat bestand,
waarmee deze hack normaal verspreid wordt.

Bovendien zou het moeten resulteren in een hoger CPU, wat ook niet het geval is. Alle processen zijn legaal, op 1 na; smss.exe, deze kan volgens mij zowel door een hacker als door een normaal programma
gebruikt worden. Het schijnt echter dat aan smss.exe onlosmakelijk het lady-virus verbonden zou zijn, en de symptonen van dit virus heeft onze computer ook niet.

Daarnaast maakt Zonealarm wel meldingen van een aantal inbraken, maar die zijn allemaal geblokkeerd. Het genoemde virus kan alleen geactiveerd worden als het .src of het .bat bestand door ons wordt gestart. Dus als er al sprake is van een virus, dan moet het meegekomen zijn met een internetapplicatie van 27 januari, de dag waarop de RECYCLER map aangemaakt is.

Niets dus dat wijst op een virus. Kan ik concluderen dat het gewoon een soort Prullenbak map is? Het vervelende is dat de map RECYCLER hoort bij oudere versie van Windows (bv. NT en 2000). Verwijderde
bestanden worden nu alleen nog in de RECYCLER gestopt, en niet meer in de prullenbak van XP. De RECYCLER heeft geen volledige functionaliteit; dwz. geen mogelijkheid tot terugplaatsen van bestanden, maar nog belangrijker; de bestanden die er nu instaan
kunnen wel verwijdert worden, maar worden tijdens het verwijderen (vanzelfsprekend) weer teruggeplaatst in dezelfde map, dus dat schiet ook niet op. En ondertussen wordt deze map groter en groter...

Bovendien vind ik via de 'regedit' functie een extra hkey_user met dezelfde code als vermeld wordt in de recycler map.

Norton Antivirus heeft de laatste definities en detecteert niets. Op het internet wordt ook bijna geen vermelding gemaakt van een vergelijkbaar probleem. Graag uw hulp.

Met vriendelijke groet,
Robin Melchior

 

[Pieter Arntz]

Download, installeer en run Startuplist.
Post de inhoud van het log in je volgende post.
Als niemand anders je kan helpen kijk ik dan morgen wel even.

Groetjes,

Pieter

 

[maestro12]

Ik weet niet of het normaal is maar ik heb ze ook, op een schone (nieuwe) pc die (nog) niet aan het internet heeft gehangen.
XP kwaaltje?

 

[Quasi3]

Misschien deze: w32.myparty@mm?

Quote
W32.Myparty@mm is a mass-mailing email worm. This worm is capable of spreading itself only between January 25, 2002, and January 29, 2002. However, it remains active on infected computers after this period of time.
Unquote

Info:
http://securityresponse.symantec.com/avcenter/venc/data/w32.myparty@mm.html

en

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYPARTY.A&VSect=T

Quote:
On Windows NT Systems

It copies itself as any of the following files:

C:\Recycler\F-Random Number-Random Number
-Random Number
C:\Recycled\F-Random Number-Random Number
-Random Number
C:\REGCTRL.EXE
Unquote

Lees het verhaal maar eens door of je de genoemde bestanden ook vindt..

 

[saldos]

Robin Melchior,

Scan je pc even op www.housecall.nl

 

[maestro12]

Jongens, dit lijkt me echt geen virus, zoals ik al zei, ik heb hier een maagdelijk blank systeem staan, het enigste wat er op staat is XP vers geïnstalleerd op op een nieuwe HDD en ik heb ze ook, als het een virus o.i.d. zou moeten zijn mogen jullie mij uitleggen waarom een officiële XP versie een virus zou bevatten.

 

[saldos]

Robin Melchior,

Indien je op housecall gechecked hebt en je hebt geen virus gevonden, dan is het waarschijnlijk een programma dat je hebt geinstalleerd die ervoor zorgt dat de dingen die je weggooit niet verwijderd worden maar in een speciaale prullenbak gaan waar ze bewaard worden. Dan krijg je een map die ook recycler heet of die recovery bin heet waar alles wat je verwijderd in gaat.

Vragen en antwoorden over zo een "undelete" programma kun je hier vinden:

http://www.executive.com/undelete/faqs/faqs.asp

 

[Auk]

Geplaatst door Robin Melchior
Mijn computer vertoont de volgende verschijnselen die misschien
gekoppeld kunnen worden aan meerdere hack-methoden. Het kan echter
ook een software-bug zijn van windows zelf.

Verschijnselen;
-een "RECYCLER"-map op elke partitie
-een code per map beginnend met S-1-5

Niets dus dat wijst op een virus. Kan ik concluderen dat het gewoon een soort Prullenbak map is?

Je zegt 't zelf al : niets wijst op een virus.
Het is niet *een* prullenbak, maar *de* prullenbak.

Auk

 

[Robin Melchior]

Geplaatst door Auk
Je zegt 't zelf al : niets wijst op een virus.
Het is niet *een* prullenbak, maar *de* prullenbak.

Ik zeg idd dat niets wijst op een virus. Wat ik dan wel vreemd vind is dat deze map "hidden" is, en dat het niet de functionaliteit heeft van een prullenbak, dwz. ik kan 'm niet legen...heel vervelend als ie met 100mb per dag groeit.

Bovendienkwam ie in mijn vorige configuratie van xp niet voor, maar verschijnt nu pas bij reinstallatie.

Bedankt voor alle tips! Ik ga weer ff verder uitproberen.

@ Pieter Antz:

StartupList report, 5-2-2003, 18:50:07
StartupList version: 1.51
Started from : C:\Documents and Settings\Robin\Local Settings\Temp\StartupList.EXE
Detected: Windows XP (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
D:\programs\PopUp Killer\PopUpKiller.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
D:\programs\norton\navapw32.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\iFinger\iFinger.exe
D:\programs\ZoneAlarm\zonealarm.exe
D:\programs\norton\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\System32\devldr32.exe
D:\PROGRAMS\WINZIP\winzip32.exe
C:\Documents and Settings\Robin\Local Settings\Temp\StartupList.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten]
iFinger 2.0.lnk = C:\Program Files\iFinger\iFinger.exe
Microsoft Office.lnk = D:\programs\office\Office\OSA9.EXE
ZoneAlarm.lnk = D:\programs\ZoneAlarm\zonealarm.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SpeedTouch USB Diagnostics = "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
MessengerPlus2 = "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
PopUpKiller = D:\programs\PopUp Killer\PopUpKiller.EXE
NeroCheck = C:\WINDOWS\system32\NeroCheck.exe
Share-to-Web Namespace Daemon = C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
AdaptecDirectCD = "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
NAV Agent = D:\programs\norton\navapw32.exe
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
Fortis Secure Layer Config = cseinst.exe -o-h

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe

--------------------------------------------------

File association entry for .SCR:
HKEY_CLASSES_ROOT\AutoCADLTScriptFile\shell\open\command

(Default) = C:\WINDOWS\NOTEPAD.EXE "%1"

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - d:\programs\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\iFinger\PLUGINS\IE.IFP - {A114D52B-870C-4F15-8021-B6D7F91A054B}
NAV Helper - D:\programs\norton\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Mijn computer scannen.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[PBGNX Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\PBGNX.ocx
CODEBASE = https://www.p3.postbank.nl/GTO/PBGNX.cab

--------------------------------------------------

Enumerating Winsock LSP files:

Protocol #1: %windir%\system32\csesck32.dll (file MISSING)
Protocol #2: %windir%\system32\csesck32.dll (file MISSING)
Protocol #3: %windir%\system32\csesck32.dll (file MISSING)
Protocol #4: %windir%\system32\csesck32.dll (file MISSING)
Protocol #5: %windir%\system32\csesck32.dll (file MISSING)
Protocol #35: %windir%\system32\csesck32.dll (file MISSING)

--------------------------------------------------
End of report, 5.269 bytes
Report generated in 0,100 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

 

[Auk]

Geplaatst door Robin Melchior


Ik zeg idd dat niets wijst op een virus. Wat ik dan wel vreemd vind is dat deze map "hidden" is, en dat het niet de functionaliteit heeft van een prullenbak, dwz. ik kan 'm niet legen...heel vervelend als ie met 100mb per dag groeit.

Zoals ik al zei : het is *DE* prullenbak.
De map recycled is inderdaad hidden. Dat hoort zo - dat wil zeggen, het is om begrijpelijke redenen expres gedaan.

Met de map zelf kun je verder weinig - daar heb je je icon op je desktop voor.

Auk

 

[Auk]

Geplaatst door Robin Melchior



StartupList report, 5-2-2003, 18:50:07
StartupList version: 1.51

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe

Da's overigens wel een heel keurig lijstje.
Je laat zelfs .SCR bestanden default openen door Notepad. 't Ziet er goed uit.

Auk

 

[Robin Melchior]

Geplaatst door Auk
Zoals ik al zei : het is *DE* prullenbak.
De map recycled is inderdaad hidden. Dat hoort zo - dat wil zeggen, het is om begrijpelijke redenen expres gedaan.

Met de map zelf kun je verder weinig - daar heb je je icon op je desktop voor.

Auk

Ik weet niet hoe ik het nog duidelijker kan zeggen; ik heb op dit moment TWEE recycle bins, waarvan 1 bij XP hoort, deze is overigens niet 'hidden'. Deze heeft trouwens ook vanuit de map zelf de optie "Prullenbak leegmaken", dat heeft nix met m'n desktop icon te maken, das alleen maar een verwijzing naar de map.

Daarnaast heb ik dus nog een TWEEDE recycle bin, die:
>>in tegenstelling tot de traditionele recycle bin standaard hidden is
>>bovendien niet te legen is, om eerder genoemde redenen...dat is dus het hele probleem!
>>dus niet te vergelijken is met zoals jij zegt *de* prullenbak. Er staan ook totaal verschillende bestanden in de verschillende prullenbakken, dus ze hebben geen onderling verband.

 

[vaat]

even voor de duidelijkheid: kan je de map verwijderen in dos. Dus na opstarten met een bootdiskette (of bij ntfs in recovery console) ?



en als je die verwijdert hebt, word hij dan opnieuw aangemaakt ?


ps map weer tevoorschijn halen met attrib

 

[Pieter Arntz]

Het enige dat ik kan vinden over je recycler is dat het een prullenbak is van een andere gebruiker. Op een NTFS partitie krijgt deze de uitgang recycler i.p.v. recycled.
Je startuplist is schoon voorzover ik kan zien.

Groetjes,

Pieter

 

[Robin Melchior]

Geplaatst door Pieter Arntz
Het enige dat ik kan vinden over je recycler is dat het een prullenbak is van een andere gebruiker. Op een NTFS partitie krijgt deze de uitgang recycler i.p.v. recycled.

Klinkt allemaal heel logisch wat je daar zegt. Nu ben ik dus op zoek gegaan naar die user die jij noemt. Hij komt niet terug in de Gebruikersaccounts. Als ik echter naar m'n registry ga, zie ik een hele aparte HKEY_USER (zie screenshot), met dezelfde code als in de recycler.

Iemand suggesties?

 

[Pieter Arntz]

Zo ziet het er bij mij ook uit. Dus ik denk niet dat dat iets met je extra prullenbak te maken heeft.

Groetjes,

Pieter

 

[saldos]

Robin Melchior,
Dit is volkomen normaal. Iedereen heeft deze prullenbakken.
Zie bijlage van mijn pc.

 

[game-master]

ehb jij.

He saldos.Heb jij een engelse windows

 

[saldos]

Op 1 computer wel. De andere pc's zijn in het Nederlands.

 

[fyrox]

Wat maken jullie je druk. Niet slecht bedoelt hoor. Maar er is niks aan de hand. Ik heb zo'n map al jaren. Op al me werk computers die ik gehad heb. Dat waren er 3 in totaal. Daar draaide Win2000 op. Op me computers thuis ook allemaal. Besturing systemen van Win ME tot Win XP pro en alles er tussen in. Op een heel kale net geinstalleerde harde schijf idem dito. De map is gewoon de recycle bin of de prullenbak opgedeeld in andere mapjes. En trouwens kun je die "rare" map ook gewoon onder windows verwijderen, ik althans. Ik maak me er niet zo druk om. Laat gewoon wat het is....


Groetsels.....