Ga terug   Computer Idee Forum > Besturingsystemen > Windows Vista/Windows 7

Antwoord
 
Discussietools Weergave
Oud 22 February 2008, 22:11   #1
anoniem27828
Guest
 
Berichten: n/a
Standaard malware: systeem partitie lockdown

Een week geleden wilde mijn computer ineens niet meer opstarten. Na een tijd lang draaien blijft de computer hangen op een zwartscherm met een functionele muis, maar dat was dan ook het enige. Een systeem herstel kon dit probleem oplossen, maar de computer bleef zicht wel raar gedragen:
- zegt geen internetaansluiting te hebben, terwijl ik wel gewoon kan serven
- berichten dat bepaalde processen niet meer werken en moeten worden gestopt
- als in een nieuw gebruikersprofiel aanmaak en probeer in te loggen hierin, resulteert dat in de foutmelding: "The User Profile Service service failed the logon. User profile cannot be loaded."
- programma's geven vage error's dat bepaalde zaken niet ge´nitialiseerd of geladen kunnen worden (werken voor de rest prima)
Ik heb uiteraard meteen het volledige systeem laten scannen door McAfee (lokale schijven, geheugen, register, processen) en Windows Defender.
Geen detectie!
Toen ik gisterochtend mijn computer opstartte was het weer raak: zwart scherm met cursor. Systeem herstel lijkt het weer op te lossen, maar zodra ik inlog op mijn administrator account, blijkt het helemaal mis te zijn: De systeem partitie is compleet ontoegankelijk met als gevolgd dat vrijwel niets het meer doet. Vreemd genoeg zijn de ntfs permissies van de schijf ongewijzigd (Administrators:full control,system:full control)
Het ergste is nog dat ik vrijwel geen mogelijkheid heb om de oorzaak op te sporen: alle administrative tools, de virusscanner, regedit, niets werkt meer.

De aanwijzingen die ik heb kunnen vergaren zijn deze:
- ook als de computer niets te doen heeft, is er vrijwel constant intensief hardeschijfgebruik. Taakbeheer laat zien dat de volgende mogelijk verdachte processen dan de cpu gebruiken (1-3)%: csrss.exe, taskeng.exe, issch.exe, UpdaterUI.exe
- gedownloade malware scanner Prevx CSI (trail) geeft aan dat het systeem geinfecteerd is en noemt de volgde threats:
C:\Windows\system32\perfs.exe - Generic.Rootkit
C:\Windows\system32\routing.exe - Generic.Rootkit
C:\Windows\system32\andt.sys - Generic.Rootkit
C:\Windows\System32\Indt2.sys - Trojan.AdClicker
Opruimen vereist registratie.
- Process monitor maakt o.a. het proces svchost verdacht, dat bijna onafgebroken bestanden aan het lezen en maken is.

Please help!

NB: Ik niet naar een minder recent punt het systeem herstellen

ps. Waarom kan ik geen Proces Monitor Log file (.PML) uploaden?
  Met citaat antwoorden
Oud 22 February 2008, 23:26   #2
anoniem13576
Guest
 
Berichten: n/a
Standaard

De genoemde bestanden die je verdacht vindt zijn bestandsnamen van legitieme windows bestanden. Een beetje Googlen had je dat ook kunnen vertellen.

Natuurlijk kunnen de bestanden wel ge´nfecteerd zijn of op een onjuiste locatie.... maar dan had Prevx CSI dat wel gemeld.

Er is trouwens vandaag een nieuwe versie van Prevx CSI uitgebracht, versie 1.6.104.106
Kan geen kwaad om ook nog even met die versie te scannen als je de vorige versie had gebruikt.

Je kunt een licentie aanschaffen voor CSI, kost iets van 2 tientjes. Of je gaat aan de hand van de informatie die je nu hebt de malware op een andere manier opruimen. Maar bij rootkits is dat soms erg lastig....
  Met citaat antwoorden
Oud 23 February 2008, 01:09   #3
anoniem27828
Guest
 
Berichten: n/a
Standaard

Bedankt voor je reactie.

Dat de genoemde processen onderdeel van Windows waren, wist ik al. Googelen levert echter ook op dat het virussen, trojans of andere malware kunnen zijn. Google zelf maar eens
Hoe kom ik er achter welk het geval is? Vergeet niet dat ik alleen standalone's die niet hoeven te installeren kan draaien.

Ik overweeg alleen om een licentie voor Prevx CSI aan te schaffen als met enige zekerheid gezegd kan worden dat het verwijderen van de vier geinfecteerde threats mijn computer weer functioneel zal maken. Dit betwijfel ik echter, omdat onzeker is of:
- de lockdown direct wordt veroorzaakt door het actief zijn van deze threats
- de malware niet allang andere applicaties en windows bestanden geinfecteerd heeft
- prevx CSI alle malware heeft gedetecteerd.

Wat ik me vooral afvraag is wat in 's hemelsnaam de blokkade van mijn C-schijf kan veroorzaken. Is het mogelijk dat een actief proces de toegang blokkeerd? Het oplossen van dit probleem geeft me waarschijnlijk voldoende moegelijkheden om de rest van het probleem eveneens de identificeren en op te lossen.

NB Het probleem ligt niet aan explorer, ook de command prompt en Frigate 3 geven acces denied
  Met citaat antwoorden
Oud 23 February 2008, 01:23   #4
anoniem21763
Guest
 
Berichten: n/a
Standaard

probeer eens de online scanner van Panda
  Met citaat antwoorden
Oud 23 February 2008, 04:33   #5
anoniem13576
Guest
 
Berichten: n/a
Standaard

q41,

Ik kan ook niet met zekerheid zeggen of met Prevx CSI in een keer alle problemen zijn opgelost. Er is zoveel verschillende malware en er verschijnen elke dag weer heel veel nieuwe varianten.

Wel is het duidelijk dat de aanwezige malware verbinding kan maken met anderen en zeer waarschijnlijk al wachtwoorden of andere gevoelige info heeft verzonden.

Dus mocht je de malware uit je PC krijgen, verander dan ALLE wachtwoorden die in je PC aanwezig zijn en via je PC worden gebruikt.
  Met citaat antwoorden
Oud 23 February 2008, 15:24   #6
anoniem27828
Guest
 
Berichten: n/a
Standaard

Bedankt voor de tip ctrlaltdelete!

Jammer, Panda Active Scan ondersteunt geen Vista en Panda Total scan moet een plugin installeren wat de error "Error installing. ID: -203" oplevert. (Firefox Portable)
Heeft iemand nog andere suggesties voor malware scanners? (Online of standalone)
  Met citaat antwoorden
Oud 23 February 2008, 16:17   #7
anoniem13425
Guest
 
Berichten: n/a
Standaard

http://www.jacoro.nl/virusscanners/virusscanners.html
  Met citaat antwoorden
Oud 23 February 2008, 20:37   #8
anoniem27828
Guest
 
Berichten: n/a
Standaard

Daar zitten een paar mooie sites bij, zeg. Helaas vereisen ze allemaal Windown XP of eerder en/of Internet Explorer...op eentje na: Dr.Web.
Ik doe op het moment een full system scan.
  Met citaat antwoorden
Oud 23 February 2008, 20:44   #9
anoniem19475
Guest
 
Berichten: n/a
Standaard

Op een van de onderstaande sites kunnen ze je misschien hiermee helpen:

Bleumedicine
Nucia.nl
Hijackthis.nl
  Met citaat antwoorden
Oud 26 February 2008, 06:13   #10
anoniem13576
Guest
 
Berichten: n/a
Standaard

En q41?

Hoe is 't verlopen?
  Met citaat antwoorden
Antwoord

Discussietools
Weergave

Regels voor berichten
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Aan
Smileys zijn Aan
[IMG]-code is Aan
HTML-code is Uit

Forumnavigatie


Alle tijden zijn GMT +1. Het is nu 08:19.


Powered by vBulletin Version 3.8.6
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.