Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Rootkit melding

10-08-2009, 21:30 door Anoniem, 13 reacties
Na een rootkit scan gedaan te hebben krijg ik volgende melding:


-Area: Local hard drives
Description: Unknown hidden file
Location: C:\System Volume Information\_restore{BB1ABAF0-BC12-4228-9956-EC25801E558F}\RP19\A0004672.dll
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
-C:\System Volume Information\_restore{BB1ABAF0-BC12-4228-9956-EC25801E558F}\RP19\A0007100.exe

-C:\System Volume Information\_restore{BB1ABAF0-BC12-4228-9956-EC25801E558F}\RP19\A0007375.dll

Dus krijg melding dat er iets verborgen zit maar tegelijkertijjd word ook afgeraden het te verwijderen?

Weet er iemand wat deze melding inhoud en is het aangeraden om te verwijderen of gewoon afblijven?
Reacties (13)
11-08-2009, 09:48 door Anoniem
systeemherstel uitschakelen, pc opnieuw opstarten en systeemherstel weer inschakelen.
klaar.
11-08-2009, 10:22 door Zarco.nl
Probeer deze bestanden eens te uploaden naar www.virustotal.com
11-08-2009, 10:40 door Anoniem
Dan moet je daar wel kunnen komen!
De 'System Volume Information' map is namelijk niet toegankelijk vanuit Windows Verkenner. :-)

Dit is echt weer zo'n blunder van M$. De map heeft mogelijk een virus, maar je kunt er niet komen omdat het beveiligd is!
11-08-2009, 10:51 door Anoniem
Sys herstel uitgeschakeld en gereboot en weer opgestart en heeft idd geholpen.
Alleen heeft ie er nu weer andere lol.

Area: Local hard drives
Description: Unknown hidden file
Location: C:\Documents and Settings\Gino\Local Settings\Temporary Internet Files\Content.IE5\SUYULLNN\890S[1]
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)


Area: Local hard drives
Description: Unknown hidden file
Location: C:\Documents and Settings\Gino\Local Settings\Temporary Internet Files\Content.IE5\R7ZA9QXT\21273S[1]
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)


Even uploaden maar idd naar virustotal. thx :)
11-08-2009, 11:27 door Anoniem
Kan ze blijkbaar niet uploaden want worden nergens gevonden
11-08-2009, 11:42 door dim
Dit is waarschijnlijk een bug in je rootkit scanner. Hij neemt geen snapshot van het filesystem, maar scant het gaandeweg, waardoor hij in de war raakt, als er files bijkomen terwijl hij aan het scannen is.

De files die je erbij ziet komen in de System Volume Information folder, komen daar gewoon vanwege System Restore. Iedere keer als je ook maar iets verandert op je disk, worden die veranderingen bijgehouden door System Restore, en dat slaat backups van alle veranderde bestanden op in de System Volume Information folder.

De files die je erbij ziet komen in de Temporary Internet Files folder, worden er geplaatst als je met Internet Explorer zit te surfen.
11-08-2009, 12:08 door Anoniem
Internet explorer gebruiken we hier niet nochthans ... enkel firefox.
Dus ik kan ze dan zonder probleem verwijderen?
11-08-2009, 14:49 door Ilja. _V V
Alles na: %Userprofile%\Local Settings\Temporary Internet Files\Content.IE5\ kan je rustig verwijderen.

Indien een virusscanner iets vind, is het sowieso wel verstandig om Systeemherstel op Alle Schijven uit te schakelen, herstarten, nogmaals scannen. Standaard procedure.
11-08-2009, 17:36 door Anoniem
Kan iemand ook even naar deze resultaten kijken(met de scanner van sophos van het bericht van gisteren):

Area: Local hard drives
Description: Unknown hidden file
Location: C:\Users\Henk\AppData\Roaming\SecuROM\UserData\?????????????????????
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)

Area: Local hard drives
Description: Unknown hidden file
Location: C:\Users\Henk\AppData\Roaming\SecuROM\UserData\?????????????????????
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)

Area: Local hard drives
Description: Unknown hidden file
Location: C:\Windows\System32\drivers\sptd.sys
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)

Area: Local hard drives
Description: Unknown hidden file
Location: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer Crystal Eye Webcam Video Class Camera \Uninstall.lnk
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available

Area: Local hard drives
Description: Unknown hidden file
Location: C:\Users\Henk\AppData\Roaming\Azureus\azureus.statistics.saving
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)

Die 2 van Securom en die van Azureus zijn ook helemaal niet te zien met windows explorer met verborgen bestanden tonen aan, de andere 2 wel en die zijn ook niet 'verborgen'
11-08-2009, 19:13 door Preddie
Door Anoniem: Dan moet je daar wel kunnen komen!
De 'System Volume Information' map is namelijk niet toegankelijk vanuit Windows Verkenner. :-)

Dit is echt weer zo'n blunder van M$. De map heeft mogelijk een virus, maar je kunt er niet komen omdat het beveiligd is!

jij moet echt nog een hoop leren ;)
12-08-2009, 00:03 door dim
Location: C:\Users\Henk\AppData\Roaming\SecuROM\UserData\?????????????????????
Dit is een nare methode van SecuROM om hun kopieerbeveiliging te implementeren. Ze maken files en registry keys aan die je met de normale Windows API niet kunt benaderen, maar wel direkt via NT kernel system calls.

Op zichzelf zijn de bestanden niet schadelijk, en als je ze weggooit of aanpast, kan het zijn dat SecuROM weigert nog langer je legaal gekochte spelletjes af te draaien. :(

Heb je geen software meer die SecuROM gebruikt, dan kun je ze wel gewoon wegkieperen. Google op "securom invalid filenames" om een heleboel info daarover te vinden.

Location: C:\Windows\System32\drivers\sptd.sys
Dit is de zogenaamde "SCSI Pass Through Direct" driver van DuplexSecure, die ondermeer door DaemonTools en Alcohol 120% gebruikt wordt. Het is een driver om de kopieerbeveiligingen te slim af te zijn, en je spelletjes vanaf een image file te kunnen draaien, in plaats van de originele CD.

De SPTD driver lockt zelf de sptd.sys file, om te voorkomen dat kopieerbeveiligingen ermee gaan rommelen, of uberhaupt kunnen lezen wat erin staat. Dit is zegmaar een wapenwedloop. :)

Dat locken is ook de reden dat je rootkit detector er niet aan kan komen, en dus (gelijk heeft ie) gaat klagen.

Location: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer Crystal Eye Webcam Video Class Camera \Uninstall.lnk
Location: C:\Users\Henk\AppData\Roaming\Azureus\azureus.statistics.saving
Dit lijken me gewoon files die verwijderd zijn terwijl je aan het scannen was, of juist net verschenen. Ziet er geheel onschuldig uit.
12-08-2009, 00:15 door Anoniem
Door Ilja. _\\//: Alles na: %Userprofile%\Local Settings\Temporary Internet Files\Content.IE5\ kan je rustig verwijderen.

Indien een virusscanner iets vind, is het sowieso wel verstandig om Systeemherstel op Alle Schijven uit te schakelen, herstarten, nogmaals scannen. Standaard procedure.

Zelfs nog een mapje verder terug.
Alles in *\Temporary Internet Files\ kan weg.
12-08-2009, 10:06 door Anoniem
Door dim:
Location: C:\Users\Henk\AppData\Roaming\SecuROM\UserData\?????????????????????
Dit is een nare methode van SecuROM om hun kopieerbeveiliging te implementeren. Ze maken files en registry keys aan die je met de normale Windows API niet kunt benaderen, maar wel direkt via NT kernel system calls.

Op zichzelf zijn de bestanden niet schadelijk, en als je ze weggooit of aanpast, kan het zijn dat SecuROM weigert nog langer je legaal gekochte spelletjes af te draaien. :(

Heb je geen software meer die SecuROM gebruikt, dan kun je ze wel gewoon wegkieperen. Google op "securom invalid filenames" om een heleboel info daarover te vinden.

Location: C:\Windows\System32\drivers\sptd.sys
Dit is de zogenaamde "SCSI Pass Through Direct" driver van DuplexSecure, die ondermeer door DaemonTools en Alcohol 120% gebruikt wordt. Het is een driver om de kopieerbeveiligingen te slim af te zijn, en je spelletjes vanaf een image file te kunnen draaien, in plaats van de originele CD.

De SPTD driver lockt zelf de sptd.sys file, om te voorkomen dat kopieerbeveiligingen ermee gaan rommelen, of uberhaupt kunnen lezen wat erin staat. Dit is zegmaar een wapenwedloop. :)

Dat locken is ook de reden dat je rootkit detector er niet aan kan komen, en dus (gelijk heeft ie) gaat klagen.

Location: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer Crystal Eye Webcam Video Class Camera \Uninstall.lnk
Location: C:\Users\Henk\AppData\Roaming\Azureus\azureus.statistics.saving
Dit lijken me gewoon files die verwijderd zijn terwijl je aan het scannen was, of juist net verschenen. Ziet er geheel onschuldig uit.

Dank je.
Securom zooi heb ik gewoon kunnen verwijderen(met Unlocker: http://ccollomb.free.fr/unlocker/), de games die nu op mijn pc staan maken er geen gebruik van of het is 'eruit gehaald' :P dus ze werken nog gewoon.

STPD dus lekker laten staan, en azureus was net aangemaakt ofzo, want bij een nieuwe scan was ie er niet meer. De webcam wel, maar die lijkt me ook onschuldig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.