rootkit agent jcggcxz.sys

Status
Niet open voor verdere reacties.
B

beerigol

Gebruiker
Lid geworden
14 mei 2009
Berichten
11
Heb iets binnengehaal op de PC wat er niet meer af wil!Heb PC al diverse malen gescand met Ziggo virusscan, AVG en Hitman pro. Heb er ook MBAM overheen gegooid. Heeft er toen wel trojaans paard Dropper Generic2.NSG uitgevist, maar bestand jcggcxz.sys (C:windows|system32\drivers) krijgt hij er op de een of andere manier niet af, terwijl ik denk dat daar het probleem zit. Wie kan me helpen?
 
logbestand

Dit is het laatste logbestand van MBAM. Hij geeft op de laatste regel echter aan dat het bestand is verwijderd, maar na herstart van de computer staat het bestand nog steeds op de pc EN BIJ EEN NIEUWE SCAN WORDT HIJ WEER OPNIEUW GEVONDEN!

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Databaseversie: 4168

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

4-6-2010 0:16:28
mbam-log-2010-06-04 (00-16-28).txt

Scantype: Snelle scan
Objecten gescand: 125926
Verstreken tijd: 4 minuut/minuten, 40 seconde(n)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 1
Registerwaarden geïnfecteerd: 0
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 1

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels geïnfecteerd:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RkHit (Rogue.SpywareCease) -> Quarantined and deleted successfully.

Registerwaarden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Bestanden geïnfecteerd:
C:\Windows\system32\Drivers\jcggcxz.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
 
helaas, was het maar zo simpel. Gewoon wegklikken lukt niet. Hij geeft dan aan dat hij bron of bronbestand niet kan vinden. Spydoctor detecteert alleen, maar verwijdert niet (waarschijnlijk alleen naa aanschaf van het programma) Er moet toch een andere manier zijn...........
 
Als je het windows register opent (via start -> uitvoeren -> regedit), en dan op: "jcggcxz.sys" zoekt, en alle verwijzingen naar dat bestand verwijdert, en vervolgens het bestand zelf .. Dan zou je toch het een en ander werkend moeten gaan krijgen ..

Suc6! :thumb:
 
als ik register-editor kom en vervolgens via bewerken --> zoeken de naam van het bestand intyp jcggcxz.sys, dan vindt hij niets. Doe ik iets fout?
 
Heb nog een keer gezocht op het bestand, maar zonder.sys. KOm nu hier uit: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JCGGCXZ\0000\Control Hierin staan de bestanden:

Standaard REG SZ (geen waarde ingesteld)
ActiveService REG SZ jcggcxz

Als ik deze probeer te verwijderen geeft hij aan: kan niet alle opgegeven waarden verwijderen Als ik de geheel map LEGACY_JCGGCXZ wil verwijderen geeft hij ook aan dat er een fout is ontstaan bij het verwijderen van de sleutel
 
hendricus zei:
Je hebt hem hier staan.
Ga zoeken in de verkenner onder
C:\Windows\system32\Drivers\jcggcxz.sys
en klik ´m weg.
Herstart de PC en zie of ie terug komt...
sxxs
Klik om te vergroten...

Phr3ak zei:
Als je het windows register opent (via start -> uitvoeren -> regedit), en dan op: "jcggcxz.sys" zoekt, en alle verwijzingen naar dat bestand verwijdert, en vervolgens het bestand zelf .. Dan zou je toch het een en ander werkend moeten gaan krijgen ..
Klik om te vergroten...

Dat zal beide niet werken. MBAM gebruikt verwijdermethodes die krachtiger zijn dan die van de Windows Verkenner / Register-editor. :(

Misschien je pc even naar een eerder herstelpunt terugzetten, of anders hiermee
Klik om te vergroten...
Systeemherstel is geen oplossing voor malwareproblemen. :)

beerigol zei:
Heb nog een keer gezocht op het bestand, maar zonder.sys. KOm nu hier uit: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JCGGCXZ\0000\Control Hierin staan de bestanden:

Standaard REG SZ (geen waarde ingesteld)
ActiveService REG SZ jcggcxz

Als ik deze probeer te verwijderen geeft hij aan: kan niet alle opgegeven waarden verwijderen Als ik de geheel map LEGACY_JCGGCXZ wil verwijderen geeft hij ook aan dat er een fout is ontstaan bij het verwijderen van de sleutel
Klik om te vergroten...
Elke service heeft een 'normale' registersleutel met een bijbehorende LEGACY-sleutel. Die LEGACY-sleutel kan je niet simpelweg verwijderen, omdat er bepaalde permissies op zijn ingesteld. LEGACY-sleutels kunnen sowieso geen kwaad doen; je moet de 'normale' sleutel hebben, maar aan je verhaal te zien heeft de rootkit deze verborgen.

Je moet je goed realiseren dat het hier om een rootkit gaat. Een rootkit doet goed zijn best om zichzelf te verbergen en daarom is het verwijderen van dit soort infecties vaak lastig.

Er zijn meer 'geavanceerde' programma's nodig. Hier op Helpmij gebruiken we dit soort programma's alleen niet. Een aantal Nederlandstalige fora die je wel verder kunnen helpen zijn:

Iik stel voor dat je je op één van de bovenstaande forums registreert en daar je probleem uitlegt. :thumb:
 
Laatst bewerkt:
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan