Security Professionals
- ipfw add deny all from eindgebruikers to any
virus
17-04-2012, 01:50 door Anoniem, 5 reacties
Tijdens het opstarten van de pc werden er telkens tekens ingevuld (weet niet wat omdat er alleen sterretjes staan).
Het lijkt het meest op wanneer er iets op je toetsenbord ligt.
Pc opnieuw opgestart zonder toetsenbord.
Ook nu werd er automatisch ingevuld.
Kaspersky 2012 antivirus vond niets.
Malwarebytes ook niet.
Vervolgens heb ik Malwarebytes verwijderd en deze opnieuw gedownload via een link op tweakers.net.
Nu vond Malwarebytes wel wat.
Zie hieronder.
Is dit toch een virus ? Waarom vond Kaspersky niets ?
Registersleutels gedetecteerd: 9
HKCR\CLSID\{11111111-1111-1111-1111-110011041135} (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\TypeLib\{44444444-4444-4444-4444-440044044435} (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\Interface\{55555555-5555-5555-5555-550055045535} (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\CrossriderApp0000435.BHO.1 (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011041135} (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011041135} (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011041135} (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011041135} (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\CrossriderApp0000435.BHO (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
Het lijkt het meest op wanneer er iets op je toetsenbord ligt.
Pc opnieuw opgestart zonder toetsenbord.
Ook nu werd er automatisch ingevuld.
Kaspersky 2012 antivirus vond niets.
Malwarebytes ook niet.
Vervolgens heb ik Malwarebytes verwijderd en deze opnieuw gedownload via een link op tweakers.net.
Nu vond Malwarebytes wel wat.
Zie hieronder.
Is dit toch een virus ? Waarom vond Kaspersky niets ?
Registersleutels gedetecteerd: 9
HKCR\CLSID\{11111111-1111-1111-1111-110011041135} (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\TypeLib\{44444444-4444-4444-4444-440044044435} (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\Interface\{55555555-5555-5555-5555-550055045535} (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\CrossriderApp0000435.BHO.1 (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011041135} (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011041135} (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011041135} (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011041135} (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\CrossriderApp0000435.BHO (PUP.Codec.PR) -> Succesvol in quarantaine geplaatst en verwijderd.
Reacties (5)
17-04-2012, 10:55 door
Bitwiper
Door Anoniem: Tijdens het opstarten van de pc werden er telkens tekens ingevuld (weet niet wat omdat er alleen sterretjes staan).
Het lijkt het meest op wanneer er iets op je toetsenbord ligt.
Kennelijk heb je het over het wachtwoordveld. Voert het spookproces jouw wachtwoord correct in, dwz word je meteen ingelogd, of gebeurt dat niet maar komt de lengte overeen met jouw wachtwoord en word je ingelogd als je op OK drukt?Het lijkt het meest op wanneer er iets op je toetsenbord ligt.
Probeer eens tijdens opstarten, vlak voordat het login scherm verschijnt, 2x op Ctrl-Alt-Del te drukken. Je krijgt dan (als het goed is) de typische logon dialogbox die je in bedrijven ziet. Als er iets "vanzelf typt" zal dat dan waarschijnlijk leesbaar in het veld met "Gebruikersnaam" verschijnen, misschien kun je daar iets uit afleiden.
Andere test: verwijder 1 voor 1 de aangesloten USB devices (ook je muis) en kijk of dat helpt. Dit klinkt toch wel erg als een hardware probleem. Als het om een notebook gaat met via USB aangesloten DVD drive (Dell bijv.) verwijder die dan ook.
Is dit toch een virus ?
PUP betekent (meestal) Potentially Unwanted Program. Vaak gaat het daarbij om adware of om hackertools. Ik kan me niet voorstellen dat een programma in die categoriën jouw wachtwoord invoert en bovendien snap ik het nut ervan niet. Het klinkt meer als een hardware probleem (alhoewel je schrijft dat het niet optreedt als je het keyboard loshaalt).Waarom vond Kaspersky niets?
Of een programa Potentially Unwanted is, is zeer subjectief. Je zult in deze categorie veel onderscheid vinden tussen virusscanners.Daarnaast bestaan er veel malware exemplaren die door sommige virusscanners nooit zullen worden gedetecteerd. Er zijn zoveel varianten in omloop dat AV boeren een afweging maken tussen enerzijds grootte van de definities (en benodigde netwerkbandbreedte voor het verspreiden daarvan, en traagheid van jouw PC) en anderzijds de kans dat jij als klant tegen dat specifieke stukje malware aan zult lopen.
De kans dat vier verschillende virusscanners een nieuw stuk malware exemplaar detecteren ziet er uit als volgt:
100% +----------------------------------------------
95% + x
| x + *
| x + *
| + x *
| + * x
| + * x o
| + * x o
| + * x o
| + * x o
0% + ~ -+-*---x---o--------------------------------
^ ---------> tijd
|
Malware verschijnt
Bij een deel van de malware zal de tijd tussen het verschijnen ervan en de detectie 0 zijn, maar veel malwaremakers poetsen net zo lang aan hun malware tot deze door geen enkele scanner wordt gedetecteerd voordat ze de malware "loslaten". Sommige AV boeren zullen vervolgens snel met definities komen, andere later of nooit.95% + x
| x + *
| x + *
| + x *
| + * x
| + * x o
| + * x o
| + * x o
| + * x o
0% + ~ -+-*---x---o--------------------------------
^ ---------> tijd
|
Malware verschijnt
Dat is de reden dat tests zoals hier http://www.security.nl/artikel/41131/1/Microsoft_Security_Essentials_mist_meeste_malware.html beschreven, nauwelijks iets zeggen. In mijn ervaring hoort Microsoft Security Essentials namelijk tot de eersten die verse malware detecteren (zeg maar de plusjes curve in bovenstaand plaatje). Welke virusscanner voor iemand met bepaalde gewoontes het beste is hangt van veel factoren af, en bij superverse en aggressieve malware is de kans op detectie bij allemaal erg klein.
17-04-2012, 11:07 door
Vergeten
Kan je misschien een Hijackthis log hier posten? Dat zal mij (en andere) namelijk stuk meer vertellen.
17-04-2012, 16:24 door
tegenlicht
Is het probleem nu opgelost?
Door Vergeten: Kan je misschien een Hijackthis log hier posten? Dat zal mij (en andere) namelijk stuk meer vertellen.
Bedankt voor de zeer duidelijke uitleg.
Het probleem is verholpen inmiddels.
De pc ging weer normaal doen nadat Malwarebytes de "dingen" verwijderd had.
Excuses voor de late reactie.
Nogmaals dank.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
