Bubbleblower
Gebruiker
- Lid geworden
- 8 okt 2011
- Berichten
- 6
Inmiddels ben ik sinds 14 september zoet met het oplossen van problemen op mijn PC en heb me helemaal suf gegoogled naar informatie vanaf mijn reserve PC.
Het is me duidelijk geworden dat ik maar beter de PC opnieuw kan installeren, omdat verwijdering van de rootkits het systeem onstabiel kan maken.
Of het wel lukt alle rootkits op te sporen is kennelijk ook nog maar de vraag.
Probleem is natuurlijk hoe ik mijn gegevens moet redden. Bij het verplaatsen daarvan naar een andere harde schijf of naar een USB stick wordt er blijkbaar iets van het virus meegekopieerd. Dit viel erg op, omdat ik daarvóór die harde schijf had geformatteerd.
Er worden system volume information en recycler mappen aangemaakt. Daarnaast incidenteel andere mappen en documenten lijken nu ook te worden aangetast.
Er komen van die dollar tekens voor en ze moeten nu geconverteerd worden.
Daarom ben ik gestopt met het verplaatsen van documenten om het probleem niet te verergeren. Maar nu kan ik XP dus niet herinstalleren zonder mijn gegevens te verliezen.
Het virus had zich dik 3 jaar geleden al geïnstalleerd
:
C:\WINDOWS\$NtUninstallKB26893$:SummaryInformation 21-7-2008 11:08 0 bytes Hidden from Windows API.
en werd 14 september hyperactief:
C:\WINDOWS\$NtUninstallKB26893$\1970594694\@ 14-9-2011 17:39 2.00 KB Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\L 14-9-2011 17:39 0 bytes Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\L\khsogoru 14-9-2011 17:39 442.50 KB Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\2575784923 14-9-2011 17:39 0 bytes Hidden from Windows API.
Op hetzelfde moment kreeg ik een melding dat de Trojaan DNSchanger.cg* was geblokkeerd
en gingen deze programma's draaien:
2263053429:2324372601.exe onder C:\WINDOWS\Prefetch\2263053429
Boostspeed onder C:\WINDOWS\Prefetch\BOOSTSPEED.EXE-084671EO.pf
Eveneens werden de volgende files gewijzigd of aangemaakt:
0.8055113898366637.exe-2601BDB.pf
Java.exe-OC263507.pf
XMC180.exe-35ABAA2B.pf
XMC60.exe-15D99894.pf
RUNDLL32.EXE-31D9A3BF.pf
Last but not least was er een inbraakpoging door 204.11.109.23:evil:, een adres dat dit 29 augustus ook al probeerde.
Gezien de timestamps heeft dit het virus uit zijn winterslaap doen ontwaken en de problemen getriggerd.
15 September 0:29 of iets ervoor kreeg ik een melding Trojaanse patchload in Googleupdate.exe en 41 minuten daarna kwam er weer zo'n "uninstall" file bij:
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U\@000000cb 15-9-2011 1:10 2.00 KB Hidden from Windows API.
Daarna:
1:12 of iets ervoor een Trojaans paard en een melding dat mijn PC opnieuw opgestart moest worden
1:13:18 Hiloti.gen.ad
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U\@00000001 15-9-2011 1:17 44.89 KB Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U\@000000cf 15-9-2011 1:17 1.50 KB Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U\@80000000 15-9-2011 1:17 25.50 KB Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U\@800000cb 15-9-2011 1:17 27.00 KB Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U\@800000cf 15-9-2011 1:17 27.00 KB Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694 15-9-2011 1:21 0 bytes Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\click.tlb 15-9-2011 1:21 2.09 KB Hidden from Windows API.
01:23:04 en 46 seconden later meldingen van blackhole exploit kit type 1889:
Al1orbank.info/dain.php?page=f626bd3c49a6c7ae
deploypfe.uni.cc.bromgeksin.php?page=09b208b692106e4e
2:18 werd een uitgaande verbinding naar 91.217.153.109 geblokkeerd
2:21 naar 194.140.230.247
2:24 weer naar die eerste "kwaadaardige website" 91.217.153.109.
Op 17 september gebeurde vervolgens dit:
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U 17-9-2011 1:37 0 bytes Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U\@000000c0 17-9-2011 1:39 3.50 KB Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U\@800000c0 17-9-2011 1:39 35.00 KB Hidden from Windows API.
waarna ik vanaf de besmette PC het internet niet meer opkon. Eerst alleen via Explorer niet en daarna ook via Firefox niet. Vreemd genoeg kon ik nog wel inloggen op mijn pokeraccounts. Behalve FTP, maar dat ligt helaas niet aan mijn PC.
De laatste keer dat ik de PC heb aangezet kreeg ik dit:
C:\WINDOWS\$NtUninstallKB26893$\1970594694\loader.tlb 3-10-2011 14:31 2.48 KB Hidden from Windows API.
Het lukte me nu zelfs niet meer om op mijn pokeraccount in te loggen.
Dat doe ik overigens natuurlijk alleen op een veredelde playmoney account.
Andere files waar ik me zorgen over maak zijn deze:
I:\CA01WP0Z.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\CA052BK9.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\CAG52301.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\CAW1UZ01.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CA2PGV0T.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CA63W1A7.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CA8P6BCX.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CA986XPZ.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CAARYZUH.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CAAVGLY3.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CACTIBYB.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CADGSF1X.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CAJUYLVJ.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CAU3OL2N.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CAVU6LBB.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CAWFA9A5.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
Die staan er al tijden op en lieten zich niet verwijderen.
Ze waren nog nooit eerder als verdacht aangemerkt.
Hierdoor krijg ik harde schijf I niet geformatteerd, omdat het in gebruik is (en ik die files niet verwijder).
Het programma dat al deze troep had moeten tegenhouden, McAfee Plus dat ik helaas bij mijn internet abonnement kreeg, heeft totaal gefaald.
Een ander probleem is met mijn modem, waarop altijd verkeerde software blijkt te hebben gestaan. Dit leidde dagelijks op vaste tijden tot disconnects. Inmiddels is er een monteur langs geweest en zou mijn modem beveiligd zijn, maar die is van hetzelfde bedrijf dat de verkeerde software had geïnstalleerd. Eén van de dingen die ze hierdoor konden was mijn wlan aanzetten. Toen ik vanaf mijn schone reserve PC wilde inloggen op internetbankieren kreeg ik eerst 2 keer een foutmelding. De derde keer kwam ik er wel in. Echter op het moment dat ik probeerde geld over te maken werd middenin dit proces de verbinding verbroken. Toen die weer hersteld was heb ik het alsnog geprobeerd, maar volgens de melding van mijn bank zou ik verkeerde IBAN codes gebruiken. Wat ik ook probeer ik krijg het geld niet overgemaakt, terwijl ik uiteraard wel de juiste codes gebruik en hier nog nooit eerder problemen mee heb gehad. Telkens als mijn verbinding wegviel of herstelde maakte mijn vaste telefoon een geluid. Op dit moment heb ik die geluiden nog steeds en dat hoort iig niet zo.
Er gebeuren nog meer rare dingen, bv als ik een internet adres intyp gaat dat te snel voor mijn processor, die toch
echt nog steeds razendsnel is
Daar kun je vast wel een eitje op bakken.
Mijn browser vreet veel meer geheugen dan zou moeten volgens mij en geeft om de haverklap foutmeldingen. Anders dan mijn processor keuze doet vermoeden heb ik het systeem juist ondergeklokt en goed gekoeld zodat het zo stabiel als een huis zou moeten zijn en volgens Sisoft zijn er geen problemen.
Over de schone PC heb ik voor de zekerheid nu al duizend virusscanners gegooid die ook niets vinden.
Het zal duidelijk zijn dat ik niet bepaald de handigste ben met PCs.
Uiteindelijk heb ik besloten om maar een nieuwe harde schijf aan te schaffen, waar XP op staat geïnstalleerd en die ruil ik dan tijdelijk met mijn masterdisk (das net lego dat lukt me nog wel
).
Maar gaat dat dan wel goed of kan het virus evengoed nog bepaalde processen overrulen bij het opstarten of draaien van mijn PC?
Of kunnen ze mogelijk via het verdachte modem controle over mijn systeem houden?
En zijn er nog andere beren op de weg?
Als deze oplossing mogelijk is ga ik na installatie alle verdachte files handmatig verwijderen en daarna de PC uitgebreid tripple checken, voordat ik de docs verplaats en de besmette harde schijven formatteer. Daarna ruil ik de originele masterdisk weer met de nieuwe en herinstalleer het systeem nogmaals.
*Helaas heb ik die gegevens op de geïnfecteerde PC, die ik pas weer aanzet nadat de harde schijven zijn verwisseld. Daar staat ook op welke Trojaan Cleansys van Trendmicro daarna nog heeft weten te verwijderen. Die had zich met name in alle antivirus programma's genesteld. Stinger van McAfee vond natuurlijk niets.
On line programma's heb ik vanaf 14 september niet meer aan de praat gekregen.
Hier meer info over de blackhole exploit kit.
Het is me duidelijk geworden dat ik maar beter de PC opnieuw kan installeren, omdat verwijdering van de rootkits het systeem onstabiel kan maken.
Of het wel lukt alle rootkits op te sporen is kennelijk ook nog maar de vraag.
Probleem is natuurlijk hoe ik mijn gegevens moet redden. Bij het verplaatsen daarvan naar een andere harde schijf of naar een USB stick wordt er blijkbaar iets van het virus meegekopieerd. Dit viel erg op, omdat ik daarvóór die harde schijf had geformatteerd.
Er worden system volume information en recycler mappen aangemaakt. Daarnaast incidenteel andere mappen en documenten lijken nu ook te worden aangetast.
Er komen van die dollar tekens voor en ze moeten nu geconverteerd worden.
Daarom ben ik gestopt met het verplaatsen van documenten om het probleem niet te verergeren. Maar nu kan ik XP dus niet herinstalleren zonder mijn gegevens te verliezen.
Het virus had zich dik 3 jaar geleden al geïnstalleerd
: C:\WINDOWS\$NtUninstallKB26893$:SummaryInformation 21-7-2008 11:08 0 bytes Hidden from Windows API.
en werd 14 september hyperactief:
C:\WINDOWS\$NtUninstallKB26893$\1970594694\@ 14-9-2011 17:39 2.00 KB Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\L 14-9-2011 17:39 0 bytes Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\L\khsogoru 14-9-2011 17:39 442.50 KB Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\2575784923 14-9-2011 17:39 0 bytes Hidden from Windows API.
Op hetzelfde moment kreeg ik een melding dat de Trojaan DNSchanger.cg* was geblokkeerd
en gingen deze programma's draaien:
2263053429:2324372601.exe onder C:\WINDOWS\Prefetch\2263053429
Boostspeed onder C:\WINDOWS\Prefetch\BOOSTSPEED.EXE-084671EO.pf
Eveneens werden de volgende files gewijzigd of aangemaakt:
0.8055113898366637.exe-2601BDB.pf
Java.exe-OC263507.pf
XMC180.exe-35ABAA2B.pf
XMC60.exe-15D99894.pf
RUNDLL32.EXE-31D9A3BF.pf
Last but not least was er een inbraakpoging door 204.11.109.23:evil:, een adres dat dit 29 augustus ook al probeerde.
Gezien de timestamps heeft dit het virus uit zijn winterslaap doen ontwaken en de problemen getriggerd.
15 September 0:29 of iets ervoor kreeg ik een melding Trojaanse patchload in Googleupdate.exe en 41 minuten daarna kwam er weer zo'n "uninstall" file bij:
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U\@000000cb 15-9-2011 1:10 2.00 KB Hidden from Windows API.
Daarna:
1:12 of iets ervoor een Trojaans paard en een melding dat mijn PC opnieuw opgestart moest worden
1:13:18 Hiloti.gen.ad
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U\@00000001 15-9-2011 1:17 44.89 KB Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U\@000000cf 15-9-2011 1:17 1.50 KB Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U\@80000000 15-9-2011 1:17 25.50 KB Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U\@800000cb 15-9-2011 1:17 27.00 KB Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U\@800000cf 15-9-2011 1:17 27.00 KB Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694 15-9-2011 1:21 0 bytes Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\click.tlb 15-9-2011 1:21 2.09 KB Hidden from Windows API.
01:23:04 en 46 seconden later meldingen van blackhole exploit kit type 1889:
Al1orbank.info/dain.php?page=f626bd3c49a6c7ae
deploypfe.uni.cc.bromgeksin.php?page=09b208b692106e4e
2:18 werd een uitgaande verbinding naar 91.217.153.109 geblokkeerd
2:21 naar 194.140.230.247
2:24 weer naar die eerste "kwaadaardige website" 91.217.153.109.
Op 17 september gebeurde vervolgens dit:
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U 17-9-2011 1:37 0 bytes Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U\@000000c0 17-9-2011 1:39 3.50 KB Hidden from Windows API.
C:\WINDOWS\$NtUninstallKB26893$\1970594694\U\@800000c0 17-9-2011 1:39 35.00 KB Hidden from Windows API.
waarna ik vanaf de besmette PC het internet niet meer opkon. Eerst alleen via Explorer niet en daarna ook via Firefox niet. Vreemd genoeg kon ik nog wel inloggen op mijn pokeraccounts. Behalve FTP, maar dat ligt helaas niet aan mijn PC.
De laatste keer dat ik de PC heb aangezet kreeg ik dit:
C:\WINDOWS\$NtUninstallKB26893$\1970594694\loader.tlb 3-10-2011 14:31 2.48 KB Hidden from Windows API.
Het lukte me nu zelfs niet meer om op mijn pokeraccount in te loggen.
Dat doe ik overigens natuurlijk alleen op een veredelde playmoney account.
Andere files waar ik me zorgen over maak zijn deze:
I:\CA01WP0Z.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\CA052BK9.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\CAG52301.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\CAW1UZ01.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CA2PGV0T.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CA63W1A7.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CA8P6BCX.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CA986XPZ.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CAARYZUH.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CAAVGLY3.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CACTIBYB.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CADGSF1X.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CAJUYLVJ.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CAU3OL2N.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CAVU6LBB.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
I:\RECYCLER\S-1-5-21-117609710-448539723-839522115-1003\Di1\CAWFA9A5.:Zone.Identifier 19-11-2010 16:56 26 bytes Hidden from Windows API.
Die staan er al tijden op en lieten zich niet verwijderen.
Ze waren nog nooit eerder als verdacht aangemerkt.
Hierdoor krijg ik harde schijf I niet geformatteerd, omdat het in gebruik is (en ik die files niet verwijder).
Het programma dat al deze troep had moeten tegenhouden, McAfee Plus dat ik helaas bij mijn internet abonnement kreeg, heeft totaal gefaald.
Een ander probleem is met mijn modem, waarop altijd verkeerde software blijkt te hebben gestaan. Dit leidde dagelijks op vaste tijden tot disconnects. Inmiddels is er een monteur langs geweest en zou mijn modem beveiligd zijn, maar die is van hetzelfde bedrijf dat de verkeerde software had geïnstalleerd. Eén van de dingen die ze hierdoor konden was mijn wlan aanzetten. Toen ik vanaf mijn schone reserve PC wilde inloggen op internetbankieren kreeg ik eerst 2 keer een foutmelding. De derde keer kwam ik er wel in. Echter op het moment dat ik probeerde geld over te maken werd middenin dit proces de verbinding verbroken. Toen die weer hersteld was heb ik het alsnog geprobeerd, maar volgens de melding van mijn bank zou ik verkeerde IBAN codes gebruiken. Wat ik ook probeer ik krijg het geld niet overgemaakt, terwijl ik uiteraard wel de juiste codes gebruik en hier nog nooit eerder problemen mee heb gehad. Telkens als mijn verbinding wegviel of herstelde maakte mijn vaste telefoon een geluid. Op dit moment heb ik die geluiden nog steeds en dat hoort iig niet zo.
Er gebeuren nog meer rare dingen, bv als ik een internet adres intyp gaat dat te snel voor mijn processor, die toch
echt nog steeds razendsnel is
Daar kun je vast wel een eitje op bakken.
Mijn browser vreet veel meer geheugen dan zou moeten volgens mij en geeft om de haverklap foutmeldingen. Anders dan mijn processor keuze doet vermoeden heb ik het systeem juist ondergeklokt en goed gekoeld zodat het zo stabiel als een huis zou moeten zijn en volgens Sisoft zijn er geen problemen.
Over de schone PC heb ik voor de zekerheid nu al duizend virusscanners gegooid die ook niets vinden.
Het zal duidelijk zijn dat ik niet bepaald de handigste ben met PCs.
Uiteindelijk heb ik besloten om maar een nieuwe harde schijf aan te schaffen, waar XP op staat geïnstalleerd en die ruil ik dan tijdelijk met mijn masterdisk (das net lego dat lukt me nog wel
). Maar gaat dat dan wel goed of kan het virus evengoed nog bepaalde processen overrulen bij het opstarten of draaien van mijn PC?
Of kunnen ze mogelijk via het verdachte modem controle over mijn systeem houden?
En zijn er nog andere beren op de weg?
Als deze oplossing mogelijk is ga ik na installatie alle verdachte files handmatig verwijderen en daarna de PC uitgebreid tripple checken, voordat ik de docs verplaats en de besmette harde schijven formatteer. Daarna ruil ik de originele masterdisk weer met de nieuwe en herinstalleer het systeem nogmaals.
*Helaas heb ik die gegevens op de geïnfecteerde PC, die ik pas weer aanzet nadat de harde schijven zijn verwisseld. Daar staat ook op welke Trojaan Cleansys van Trendmicro daarna nog heeft weten te verwijderen. Die had zich met name in alle antivirus programma's genesteld. Stinger van McAfee vond natuurlijk niets.
On line programma's heb ik vanaf 14 september niet meer aan de praat gekregen.
Hier meer info over de blackhole exploit kit.
