Geen "alg.exe"en "csrss.exe" volgens HjT, na rootvirus
Beste lezer(es), Het gaat over een pentium4, Windows XP SP2 (volledig up-to-date), IE7, Avira’s AntiVir PE Classic, CCleaner, RegCleaner, Windows Defender, Windows Firewall, RootkitRevealer en Blacklight rootkit eliminator en HiJackThis. (Uiteraard alles alles volledig up-to-date). Ik ben al een "tijdje" bezig met het om zeep helpen van een rootkit-virus, systeem lijkt nu schoon en is stabiel. Het probleem is als volgt: volgens HjT-log is er geen "alg.exe" en "csrss.exe" actief op deze pc. "Software Explorers" (deel van Defender, opstartbaar vanuit config-scherm) geeft echter aan dat beide wel actief zijn... Ook services.msc geeft aan dat de Application Layer Gateway-service wel (handmatig) gestart is. Met Regedit vindt ik in de map ...\Session Manager\ SubSystems\CSRSS 2 vermeldingen: de eerste: (standaard) type= REG_Z (geen waarde), de tweede: CsrSrvSharedSectionBase type REG_DWORD, 0x7f6f0000 (2137980928) Het begon met een geïnfecteerd bestand: c:\windows\system32\spmrgaat.exe, en de vondst van 127 geïnfecteerde bestanden in c:\System Volume Information (de lokatie waarin de Windows Herstelpunten staan). Mbv BlackLight vond ik een bestand c:\windows\system32\csbld.exe, dit bleek een variant te zijn van Mohbpork.A of TR/Dld.Agent.UJ.424 (’t is maar net welke scanner je gebruikt, een aantal scanners herkenden er overigens helemaal geen virus in...) Zoals aangegeven: ik meen van de infectie af te zijn gekomen. Wat resteerd is het genoemde vreemde verschijnsel met de HjT-logs en dat ik nu geen toegang meer heb tot de "System Volume Information" mappen op c:\ en op d:\ (nog wel op e:\). M’n scanner "pakt" die map op C:\ en D:\ ook niet meer, maar nog wel die op E:\... Iemand een idee? (
Vr.gr.
IJzerbroot
(uiteraard is dit verhaal ook op avira’s forum gepost, maar waarom zou hier niet iemand kunnen weten hoe het zit?)
Verwijder je huidige Antivirus systeem en download een bekende merkzoals: Kaspersky 6.0 en doe nog een scan. Als dit programma het virus ook niet vindt dan is er volgens mij ook geen virus of iets dergelijke.
Na een virusbesmetting van deze aard, is het beter om een backup te maken van je belangrijke bestanden, en je systeem daarna geheel opnieuw na een format te herinstalleren.
Je nooit welke poorten er nog open staan of welke services er starten die je niet nodig hebt.
Om alles weer goed en veilig te krijgen is dit de beste oplossing.
Zorg verder voor een goed antivirusprogramma en een firewall.
Beste Vaassen, bedankt voor uw inbreng. Ik ga echter m’n huidige virusscanner niet vervangen: deze scanner heeft het virus ontdekt. Ook het door u voorgestelde Kaspersky is niet in staat een rootkit-virus te verwijderen (dat is nu net het punt van dat type virussen). De problemen zoals ik ze omschrijf zijn zeer waarschijnlijk veroorzaakt door die infectie, of door m’n pogingen dat virus weg te krijgen. Wat dat betreft heeft u gelijk: de problemen zoals omschreven zijn op zich geen virus. Toch bedankt voor de genomen moeite! IJzerbroot
IJzerbrood,
Ik ken avira's forum niet, maar ken jij wel het forum HijackThis.nl?
Misschien kun je daar een logbestand van Hijackthis laten analyseren
http://www.hijackthis.nl/forum/
Bassie
Beste Binka, op zich een zeer juiste stelling. Ik doe nu net m’n uiterste best om niet te hoeven her-formatteren en te her-insalleren en: alle op dit systeem aanwezige Herstelpunten bleken besmet. Ik heb ze allemaal moeten deleten... Als het echt niet anders kan...dan zal ik er niet aan ontkomen. Bedankt in ieder geval. IJzerbroot
Inmiddels ben ik wel weer "eigenaar" van de herstelpunt-mappen. In de XP Home editie werkt dat inderdaad zoals in het eerder door mij gelinkte artikel, alleen moet je dat dan wel in veilige modus doen...
IJzerbroot
De discussie over het wel/niet formatteren bij een besmetting hebben we al eerder gehad. Hier nog maar een keer mijn mening.. Uit recent onderzoek is gebleken dat een kwart van alle computers besmet is en onderdeel van een 'botnet'. Veel troep zet de computer open voor nog meer troep, zeker uw aanwinst die als rootkit door het leven gaat is daar erg goed in, het is maar de vraag of een scanner in staat is dit allemaal te herkennen en verhelpen. Een computer die ooit besmet is geweest blijft voor altijd een gevaar voor uw privacy, wees niet verbaasd als uw bankrekening op een dag leeg blijkt of uw e-mail account gekraakt. Daarnaast worden dergelijke computers ingezet om er nog meer te besmetten, om spam te verzenden en om aanvallen uit te voeren op servers/websites. Hopelijk is het zo een beetje duidelijk 'hoe het zit', in het belang van uzelf en alle overige gebruikers van het internet is mijn advies de computer helemaal schoon te maken en opnieuw te installeren.
Truuk voor het verkrijgen van toegang tot \System Volume Information in Windows XP Home edition:
Deel de map \System Volume Information, eventueel ook met schrijfrechten, en u heeft toegang tot alle inhoud van deze map.
De veilige mode is dus niet nodig om toegang te verkrijgen.
Groet,
GSM
Bedankt voor je nuttige tip GSM! Ik zal ‘m trachten te onthouden, mocht het weer mislopen... (Inmiddels snap ik ook waarom dat het probleem niet op e:\ speelde: die is fat32, c:\ en d:\ zijn NTFS) IJzerbroot PS (Voor de goede orde: ) Ik heb m’n vraag over HjT naar de maker ervan gemaild.
Nieuw op Vraag & Beantwoord
Verkeerd framenummer van (gestolen) fiets doorgegeven bij verzekering
Hoi iedereen,
Helaas is afgelopen week mijn e-bike gestolen.
Ik heb de fiets verzekerd na aankoop.
Na het indienen van de aangifte werd ik gebeld door de politie met de mededeling dat er al een fiets geregistreerd staat als gestolen met het hetzelfde framenummer/merk/type. Sterk verbaasd, want de fiets heb ik bij levering zelfs in elkaar moeten zetten. Zo nieuw was 'ie.
...
Lees meer
Hoeveel dopjes Formil Rood gebruiken per wasbeurt?
Het flacon Formil zegt voor 42 wasbeurten inhoud te hebben, maar hoeveel gebruik je per wasbeurt? Lees meer
Extreme tandarts angst
Deze keer eens niet een vraag waar ik zelf mee te maken heb,maar voor een buurvrouw,die nauwelijks kan lezen en schrijven,sorry
Ze heeft extreme tandarts angst,wat ook is vastgesteld
En ze heeft zich laten vertellen dat in bepaalde gevallen de narcose bij de tandarts in de basisverzekering zit
Voor ze dit doet,wil ik dit zeker weten voor haar
Wat ik vind is
...
Lees meer
Populair in Computers & Telefonie
Hallo, wie weet waar ik de Evergreen top 1000 kan downloaden? Bv hartelijk dank.
In het korte verleden deed ik dat via de Pirate Bay maar die is jammer genoeg niet meer te ontvangen. Lees meer
blokkade toetsenbord
Ik heb per ongeluk mijn toetsenbord geblokkeerd zodat ik geen tekst meer kan typen. Ik werk met die comp. met windows XP. Hoe kan ik die blokkade opheffen? De overige functies werken normaal. Bedankt. Lees meer
CD-R of DVD-R
Ik wil filmpjes en foto's vanaf de laptop opslaan op een schijf. Welke kan ik het beste nemen een CD-R of DVD-R? Of maakt het niet uit. Lees meer