Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Rootkit melding
10-08-2009, 21:30 door Anoniem, 13 reacties
Na een rootkit scan gedaan te hebben krijg ik volgende melding:
-Area: Local hard drives
Description: Unknown hidden file
Location: C:\System Volume Information\_restore{BB1ABAF0-BC12-4228-9956-EC25801E558F}\RP19\A0004672.dll
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
-C:\System Volume Information\_restore{BB1ABAF0-BC12-4228-9956-EC25801E558F}\RP19\A0007100.exe
-C:\System Volume Information\_restore{BB1ABAF0-BC12-4228-9956-EC25801E558F}\RP19\A0007375.dll
Dus krijg melding dat er iets verborgen zit maar tegelijkertijjd word ook afgeraden het te verwijderen?
Weet er iemand wat deze melding inhoud en is het aangeraden om te verwijderen of gewoon afblijven?
-Area: Local hard drives
Description: Unknown hidden file
Location: C:\System Volume Information\_restore{BB1ABAF0-BC12-4228-9956-EC25801E558F}\RP19\A0004672.dll
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
-C:\System Volume Information\_restore{BB1ABAF0-BC12-4228-9956-EC25801E558F}\RP19\A0007100.exe
-C:\System Volume Information\_restore{BB1ABAF0-BC12-4228-9956-EC25801E558F}\RP19\A0007375.dll
Dus krijg melding dat er iets verborgen zit maar tegelijkertijjd word ook afgeraden het te verwijderen?
Weet er iemand wat deze melding inhoud en is het aangeraden om te verwijderen of gewoon afblijven?
Reacties (13)
systeemherstel uitschakelen, pc opnieuw opstarten en systeemherstel weer inschakelen.
klaar.
klaar.
11-08-2009, 10:22 door
Zarco.nl
Probeer deze bestanden eens te uploaden naar www.virustotal.com
Dan moet je daar wel kunnen komen!
De 'System Volume Information' map is namelijk niet toegankelijk vanuit Windows Verkenner. :-)
Dit is echt weer zo'n blunder van M$. De map heeft mogelijk een virus, maar je kunt er niet komen omdat het beveiligd is!
De 'System Volume Information' map is namelijk niet toegankelijk vanuit Windows Verkenner. :-)
Dit is echt weer zo'n blunder van M$. De map heeft mogelijk een virus, maar je kunt er niet komen omdat het beveiligd is!
Sys herstel uitgeschakeld en gereboot en weer opgestart en heeft idd geholpen.
Alleen heeft ie er nu weer andere lol.
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Documents and Settings\Gino\Local Settings\Temporary Internet Files\Content.IE5\SUYULLNN\890S[1]
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Documents and Settings\Gino\Local Settings\Temporary Internet Files\Content.IE5\R7ZA9QXT\21273S[1]
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
Even uploaden maar idd naar virustotal. thx :)
Alleen heeft ie er nu weer andere lol.
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Documents and Settings\Gino\Local Settings\Temporary Internet Files\Content.IE5\SUYULLNN\890S[1]
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Documents and Settings\Gino\Local Settings\Temporary Internet Files\Content.IE5\R7ZA9QXT\21273S[1]
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
Even uploaden maar idd naar virustotal. thx :)
11-08-2009, 11:42 door
dim
Dit is waarschijnlijk een bug in je rootkit scanner. Hij neemt geen snapshot van het filesystem, maar scant het gaandeweg, waardoor hij in de war raakt, als er files bijkomen terwijl hij aan het scannen is.
De files die je erbij ziet komen in de System Volume Information folder, komen daar gewoon vanwege System Restore. Iedere keer als je ook maar iets verandert op je disk, worden die veranderingen bijgehouden door System Restore, en dat slaat backups van alle veranderde bestanden op in de System Volume Information folder.
De files die je erbij ziet komen in de Temporary Internet Files folder, worden er geplaatst als je met Internet Explorer zit te surfen.
De files die je erbij ziet komen in de System Volume Information folder, komen daar gewoon vanwege System Restore. Iedere keer als je ook maar iets verandert op je disk, worden die veranderingen bijgehouden door System Restore, en dat slaat backups van alle veranderde bestanden op in de System Volume Information folder.
De files die je erbij ziet komen in de Temporary Internet Files folder, worden er geplaatst als je met Internet Explorer zit te surfen.
Internet explorer gebruiken we hier niet nochthans ... enkel firefox.
Dus ik kan ze dan zonder probleem verwijderen?
Dus ik kan ze dan zonder probleem verwijderen?
11-08-2009, 14:49 door
Ilja. _V V
Alles na: %Userprofile%\Local Settings\Temporary Internet Files\Content.IE5\ kan je rustig verwijderen.
Indien een virusscanner iets vind, is het sowieso wel verstandig om Systeemherstel op Alle Schijven uit te schakelen, herstarten, nogmaals scannen. Standaard procedure.
Indien een virusscanner iets vind, is het sowieso wel verstandig om Systeemherstel op Alle Schijven uit te schakelen, herstarten, nogmaals scannen. Standaard procedure.
Kan iemand ook even naar deze resultaten kijken(met de scanner van sophos van het bericht van gisteren):
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Users\Henk\AppData\Roaming\SecuROM\UserData\?????????????????????
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Users\Henk\AppData\Roaming\SecuROM\UserData\?????????????????????
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Windows\System32\drivers\sptd.sys
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
Area: Local hard drives
Description: Unknown hidden file
Location: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer Crystal Eye Webcam Video Class Camera \Uninstall.lnk
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Users\Henk\AppData\Roaming\Azureus\azureus.statistics.saving
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
Die 2 van Securom en die van Azureus zijn ook helemaal niet te zien met windows explorer met verborgen bestanden tonen aan, de andere 2 wel en die zijn ook niet 'verborgen'
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Users\Henk\AppData\Roaming\SecuROM\UserData\?????????????????????
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Users\Henk\AppData\Roaming\SecuROM\UserData\?????????????????????
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Windows\System32\drivers\sptd.sys
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
Area: Local hard drives
Description: Unknown hidden file
Location: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer Crystal Eye Webcam Video Class Camera \Uninstall.lnk
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Users\Henk\AppData\Roaming\Azureus\azureus.statistics.saving
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
Die 2 van Securom en die van Azureus zijn ook helemaal niet te zien met windows explorer met verborgen bestanden tonen aan, de andere 2 wel en die zijn ook niet 'verborgen'
11-08-2009, 19:13 door
Preddie
Door Anoniem: Dan moet je daar wel kunnen komen!
De 'System Volume Information' map is namelijk niet toegankelijk vanuit Windows Verkenner. :-)
Dit is echt weer zo'n blunder van M$. De map heeft mogelijk een virus, maar je kunt er niet komen omdat het beveiligd is!
De 'System Volume Information' map is namelijk niet toegankelijk vanuit Windows Verkenner. :-)
Dit is echt weer zo'n blunder van M$. De map heeft mogelijk een virus, maar je kunt er niet komen omdat het beveiligd is!
jij moet echt nog een hoop leren ;)
12-08-2009, 00:03 door
dim
Location: C:\Users\Henk\AppData\Roaming\SecuROM\UserData\?????????????????????
Dit is een nare methode van SecuROM om hun kopieerbeveiliging te implementeren. Ze maken files en registry keys aan die je met de normale Windows API niet kunt benaderen, maar wel direkt via NT kernel system calls.Op zichzelf zijn de bestanden niet schadelijk, en als je ze weggooit of aanpast, kan het zijn dat SecuROM weigert nog langer je legaal gekochte spelletjes af te draaien. :(
Heb je geen software meer die SecuROM gebruikt, dan kun je ze wel gewoon wegkieperen. Google op "securom invalid filenames" om een heleboel info daarover te vinden.
Location: C:\Windows\System32\drivers\sptd.sys
Dit is de zogenaamde "SCSI Pass Through Direct" driver van DuplexSecure, die ondermeer door DaemonTools en Alcohol 120% gebruikt wordt. Het is een driver om de kopieerbeveiligingen te slim af te zijn, en je spelletjes vanaf een image file te kunnen draaien, in plaats van de originele CD.De SPTD driver lockt zelf de sptd.sys file, om te voorkomen dat kopieerbeveiligingen ermee gaan rommelen, of uberhaupt kunnen lezen wat erin staat. Dit is zegmaar een wapenwedloop. :)
Dat locken is ook de reden dat je rootkit detector er niet aan kan komen, en dus (gelijk heeft ie) gaat klagen.
Location: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer Crystal Eye Webcam Video Class Camera \Uninstall.lnk
Location: C:\Users\Henk\AppData\Roaming\Azureus\azureus.statistics.saving
Dit lijken me gewoon files die verwijderd zijn terwijl je aan het scannen was, of juist net verschenen. Ziet er geheel onschuldig uit.Door Ilja. _\\//: Alles na: %Userprofile%\Local Settings\Temporary Internet Files\Content.IE5\ kan je rustig verwijderen.
Indien een virusscanner iets vind, is het sowieso wel verstandig om Systeemherstel op Alle Schijven uit te schakelen, herstarten, nogmaals scannen. Standaard procedure.
Indien een virusscanner iets vind, is het sowieso wel verstandig om Systeemherstel op Alle Schijven uit te schakelen, herstarten, nogmaals scannen. Standaard procedure.
Zelfs nog een mapje verder terug.
Alles in *\Temporary Internet Files\ kan weg.
Door dim:
Op zichzelf zijn de bestanden niet schadelijk, en als je ze weggooit of aanpast, kan het zijn dat SecuROM weigert nog langer je legaal gekochte spelletjes af te draaien. :(
Heb je geen software meer die SecuROM gebruikt, dan kun je ze wel gewoon wegkieperen. Google op "securom invalid filenames" om een heleboel info daarover te vinden.
De SPTD driver lockt zelf de sptd.sys file, om te voorkomen dat kopieerbeveiligingen ermee gaan rommelen, of uberhaupt kunnen lezen wat erin staat. Dit is zegmaar een wapenwedloop. :)
Dat locken is ook de reden dat je rootkit detector er niet aan kan komen, en dus (gelijk heeft ie) gaat klagen.
Location: C:\Users\Henk\AppData\Roaming\SecuROM\UserData\?????????????????????
Dit is een nare methode van SecuROM om hun kopieerbeveiliging te implementeren. Ze maken files en registry keys aan die je met de normale Windows API niet kunt benaderen, maar wel direkt via NT kernel system calls.Op zichzelf zijn de bestanden niet schadelijk, en als je ze weggooit of aanpast, kan het zijn dat SecuROM weigert nog langer je legaal gekochte spelletjes af te draaien. :(
Heb je geen software meer die SecuROM gebruikt, dan kun je ze wel gewoon wegkieperen. Google op "securom invalid filenames" om een heleboel info daarover te vinden.
Location: C:\Windows\System32\drivers\sptd.sys
Dit is de zogenaamde "SCSI Pass Through Direct" driver van DuplexSecure, die ondermeer door DaemonTools en Alcohol 120% gebruikt wordt. Het is een driver om de kopieerbeveiligingen te slim af te zijn, en je spelletjes vanaf een image file te kunnen draaien, in plaats van de originele CD.De SPTD driver lockt zelf de sptd.sys file, om te voorkomen dat kopieerbeveiligingen ermee gaan rommelen, of uberhaupt kunnen lezen wat erin staat. Dit is zegmaar een wapenwedloop. :)
Dat locken is ook de reden dat je rootkit detector er niet aan kan komen, en dus (gelijk heeft ie) gaat klagen.
Location: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer Crystal Eye Webcam Video Class Camera \Uninstall.lnk
Location: C:\Users\Henk\AppData\Roaming\Azureus\azureus.statistics.saving
Dit lijken me gewoon files die verwijderd zijn terwijl je aan het scannen was, of juist net verschenen. Ziet er geheel onschuldig uit.Dank je.
Securom zooi heb ik gewoon kunnen verwijderen(met Unlocker: http://ccollomb.free.fr/unlocker/), de games die nu op mijn pc staan maken er geen gebruik van of het is 'eruit gehaald' :P dus ze werken nog gewoon.
STPD dus lekker laten staan, en azureus was net aangemaakt ofzo, want bij een nieuwe scan was ie er niet meer. De webcam wel, maar die lijkt me ook onschuldig.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.