Zitten alle users in een domein?
Zo ja kan je proberen om die services via GPO op disabled te zetten.
Verder kan je proberen met pskill (http://technet.microsoft.com/nl-nl/sysinternals/bb896683) de exe remote te stoppen.

Als je na een Net Stop commando een access denied error krijgt, ben je niet als local admin bezig.
Tenzij je via een GPO de start/stop services rechten voor local admin hebt geblokkeerd.

opstarten in veilige mode en dan services uitschakelen in msconfig of via start->uitvoeren->services.msc,
en verwijderen via cmd (als admin) met sc delete servicenaam
;-)

Wie is "we"? Eigen netwerk of helpdesk?

Voorkomen is beter dan genezen, zeker op het eigen netwerk.
Bij klanten, familie-vrienden-kennissen is het belangrijk te wijzen op zgn. 'good-practices,' deze zijn overduidelijk niet op orde aangezien er toolbars zijn geïnstalleerd...

Bij het (remote) werken aan stand-alone's kan altijd data-verlies optreden, dus eerst alles opslaan, bij voorkeur een herstelpuntje aanmaken en pas dan wijzigingen aanbrengen. Reboots zijn in veel gevallen onvermijdelijk!

Ik denk dat je die processen niet gestopt krijgt omdat er nog browser-processen geladen zijn. Als je de browser nodig hebt / gebruikt voor remote acces ga je het sowieso nooit kunnen fixen zonder reboot.

Mijn advies is Revo Uninstaller http://www.revouninstaller.com/start_freeware_download.html
Niet de handigste remote tool, wel de snelste en meest grondige alles-in-één oplossing. Ik gebruik altijd de zgn. "advanced" (4e) optie bij het de-installeren en heb daar nog nooit problemen mee ondervonden.


NB: Hoe je er in je achterhoofd rekening mee dat de oorzaak kan liggen bij freeware (download.com etc.), plug-ins, update's (Java!), maar zeker ook adware/malware? Een grondige scan met MBAM ee/o ADWcleaner zijn zeker aan te raden!


En nogmaals, er zijn zaken serieus slecht op orde bij de betreffende systemen, neem ook dat mee in je plan van aanpak !!!

Gebruik eens het programma JRT (Junk Removal Tool).

http://thisisudax.org/

Bedankt voor je reactie. Het gaat inderdaad om gebruikers in een domein. De services via een GPO op disabled zetten is op zich een goed idee maar daarmee stop je het draaiende proces helaas niet. Ook kun je onder de GP node 'System Services' alleen bestaande services selecteren en ik heb liever die toolbars niet op mijn beheerstation. Via een Group Policy Preference kun je wel handmatig een servicenaam specificeren maar ook dan kun je alleen de startup mode aanpassen.

Ik heb met een account met local admin rechten psexec gebruikt met de command-line optie -s om het commando (bijv. 'kill /F serviceproces.exe') uit te voeren onder het system account.

Ook toch bekijken om niet zomaar programma's te laten installeren op laptops. Vergt soms voor veel problemen heb ik gemerkt. Users installeren een programma zonder erbij stil te staan wat het kan doen.

- Eventueel users geen local admin rechten geven.
- Een beter Malware systeem aanschaffen die dit soort problemen kan opvangen.

Het probleem bij het killen van zo een proces of service is dat het bij de volgende reboot toch weer actief is....

Ik had toevallig gister ook een melding van deze in ons bedrijfsnetwerk...
Bij mij was het de movie toolbar... het rare was wel dat deze al in Jan. was geinstaleerd(samen met iLivid) en gister begon mcafee opeens alarmen erover te geven .. (waarschijnlijk door een .dat update of zo ..)

Ik had hem echter redlijk snel gekilled....
Gewoon even via safe mode opstarten ... en het programma deinstalleren via program en features..
Daarna nog even de C:\ProgramData\Datamngr verwijderen ;)

no rocketsience needed here ;)

hier wat meer info over dit kreng : http://lavasoft.com/mylavasoft/company/blog/how-to-remove-movies-toolbar

Er bestaan meerdere methodes om services "unstoppable" te maken. Op basis van Google [kill unstoppable service] en met m'n eigen ervaring:

Om te beginnen kan een service de eigenschap "NOT_STOPPABLE" hebben. Welke services dat zijn kun je zien met Zie https://www.netspi.com/blog/entryid/116/penetration-testing-stopping-an-unstoppable-windows-service voor een aanvliegroute.

De permissies op de service kunnen zodanig zijn dat je onvoldoende rechten hebt. Met tools als setacl (van Helge Klein) maar wellicht ook met "sc sdset" kun je die wellicht aanpassen (misschien is eerst een take-ownership nodig).

Gebruikelijk is dat dit soort services zo geconfigureerd worden dat Windows ze automatisch weer start als ze stoppen. Maar het kan ook zo zijn dat malware 2 of meer services (eventueel hidden, rootkit-achtig gedrag) installeert die elkaar in de gaten houden. Dat zijn vermoedelijk de lastigste omstandigheden.

Je kunt je natuurlijk ook afvragen waarom eindgebruikers dusdanige privileges hebben dat zij services kunnen installeren.

Voorkom dat Toolbars zich installeren
met SpywareBlaster (van Brightfort) gratis programma.

Onder Tools/Misc. IE Settings/Internet Explorer Restrictions:

"Disable the IE Home Page Settings area in the Internet Tools Control Panel".

Wat vaak ook werkt is in safe mode booten, zo kaal mogelijk, en als je de betreffende executable dan niet kunt verwijderen kun je hem vaak wel hernoemen zodat hij niet meer opstart. Daarna is verwijderen vaak wel mogelijk.

Naar aanleiding van de divers reacties een reactie wat extra info.

Het gaat hier niet om computers van familie/vrienden en/of een eigen netwerk. De computers worden beheerd en semi-automatisch up-to-date gehouden voor wat betreft software zoals Java, Flash player, Adobe Reader en andere plug-ins en programma’s. Onze gebruikers zijn niet altijd op de hoogte over 'good-practices' en de communicatie daarover bereikt niet iedereen. De computers met de toolbars zijn vaak laptops waar de gebruikers vaak admin rechten hebben zodat ze bijvoorbeeld in het buitenland zelf hun computer kunnen beheren. Op dit moment kunnen we dus niet geheel voorkomen dat gebruikers de toolbars mee installeren.

We zouden graag de toolbar zo snel mogelijk willen deactiveren omdat iedere keer als de bestanden benaderd/gebruikt worden de virusscanner deze als kwaadaardig detecteert. Deze detectie gebeurd door het systeem in een andere sessie en dus krijgt de gebruiker niet altijd de melding van de virusscanner te zien. Ook de virusscanner kan de bestanden niet verwijderen omdat deze in gebruik zijn door de service die niet gestopt kan worden en waarvan het proces niet afgesloten kan worden.

Als de toolbar onschadelijk is gemaakt kan de virusscanner mogelijk de bestanden wel verwijderen en kan iemand van de helpdesk de computer scannen door deze op te starten vanaf een bootable CD/USB. We gebruiken ook vaak MBAM om de computer te scannen en deze kan de toolbar meestal verwijderen. ADWcleaner gebruiken we niet omdat deze vaak te agressief te werk gaat en soms weer andere problemen veroorzaakt. Met SpywareBlaster heb ik geen ervaring. Indien er te veel zooi gevonden wordt installeren we de computer opnieuw.

Bedank voor de link. Ik had deze ook gevonden. De service op disabled zetten lukt wel en via de configuratie kan ik de executable ook achterhalen. Dit proces zie ik ook draaien m.b.v. pslist maar deze is niet te killen m.b.v. taskkill. Helaas gaat het artikel niet verder dan dat.

Ik heb nog niet gekeken naar permissions en ownership op de registry key en/of de bestanden/folders. Echter ik mag hopen dat het system account er altijd wel bij mag. Mogelijk zit er ook een verschil tussen het remote en het lokaal uitvoeren van de commando's alhoewel ik daar nooit problemen mee heb gehad.

Zo zouden wij het ook graag zien (en het beheer doen wij zelf ook op die manier) maar dit is niet altijd haalbaar in een grote organistatie met onderzoekers en software ontwikkelaars. Daarnaast kan het natuurlijk ook dat de malware de benodigde rechten zich toe-eigent door gebruik te maken van exploits. Dit proberen we natuurlijk te voorkomen door een strikt update beleid en het gebruik van EMET op een aantal computers.

Die aanname durf ik al heel lang niet meer te maken.

Ruim 14 jaar geleden (even nagezocht, op 2000-02-24 om precies te zijn ;) ontdekte ik dat McAfee op een NT4 systeem (waarop ik Security Configuration Editor settings aan het testen was) floppies niet scande (geen alarm op bewust daarop gezette malware).

De reden bleek dat ik een algemeen advies om AllocateFloppies (zie http://technet.microsoft.com/en-us/library/cc957389.aspx) op 1 te zetten had overgenomen (idem bij AllocateCDRoms). Het gevolg was dat de McAfee scan engine, die als SYSTEM draaide, er niet meer bij kon...

Ik heb later (weet niet meer welk OS) wel eens geëxperimenteerd met bestanden met deny perms voor SYSTEM en ook het verwijderen van perms voor SYSTEM, dat leek toen allemaal niets uit te halen. Elke ACE (Access Control Entry) voor SYSTEM in elke map en bestand lijkt dus overbodig, maar waarom zijn ze er dan? Hoe het bij services zit weet ik niet.

Misschien dat Microsoft hier ondertussen meer (en hopelijk betrouwbare) documentatie over heeft vrijgegeven, maar destijds was er niets te vinden. Houd er rekening mee dat dit soort zaken bij een eerstvolgende patchronde (onaangekondigd) kunnen wijzigen.

TS: Hoe kan de service en het proces gestopt worden zonder een reboot?

Voor elk besturingssysteem bestaan er (fundamentele) redenen om er niet voor te kiezen. Bij Windows bijv. dat je, bij het installeren van updates, meestal moet rebooten (soms 2x), zonder dat duidelijk is waarom. Maar andere besturingssystemen hebben weer andere nadelen die voor elke toepassing en/of gebruiker doorslaggevend kunnen zijn bij hun keuze.

Het is echter onzin dat je Windows zou moet rebooten om een "normale" service te kunnen stoppen. Indien er sprake is van "persistent" malware, en zeker van rootkits, zul je op elk besturingssysteem minder of meer problemen hebben om deze te verwijderen.

Iedereen bedankt voor de reacties tot nu toe. Helaas heb ik de oplossing voor mijn vraag nog niet gevonden. Tot nu toe is de enige manier om de meldingen te stoppen de computer in safe mode of via een bootable CD/USB op te starten en te scannen met specifieke tools. Dit kan echter niet altijd gelijk gebeuren. Het is frustrerend dat tot die tijd de meldingen (zo'n 10.000 meldingen in 4-5 dagen tijd van ongeveer 15 tot 20 (< 0.2%) computers ) binnen blijven stromen. Als we die toolbar eerder kunnen stoppen en verwijderen kan het scannen van de pc wat later gebeuren. Nu moeten we de toolbar detecties er uit filteren om het overzicht te houden en te zorgen dat de andere (belangrijkere) detecties niet ondersneeuwen.

Tips, trucs, ideeën en linkjes blijven welkom!

Als het er "maar" 20 zijn, lijkt mij het beste om alle 20 af te lopen (of wachten tot de user weer terug is op kantoor) en idd mbv een boot cd/stick die bestanden te verwijderen.
Niet het antwoord dat je wilt horen, maar het is niet anders.

Mag ik hier vanuit gaan dat jullie enterprise-malware-tool emails stuurt naar een admin-logging-mailbox? (wat op zich vrij gebruikelijk is)
Zo ja, kan je op je op je mailbox een rule zetten die op basis van de inhoud van die betreffende melding de meldingen in een andere map plaatsen. Voorop gesteld dat de executables steeds dezelfde namen hebben en/of in hetzelfde pad staan.

Je had eerder al gezegd dat je in de registry bezig was geweest.
Had je ook gekeken of je bij deze key(s) kan:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\servicenaam]
Rename de exe's die hier genoemd worden zodat ze de volgende keer niet meer gevonden worden en dus niet meer opstarten.
Gooi niet de key zelf weg. De kans bestaat dat deze weer opnieuw wordt gegenereerd.

Vergeet de keys in HKLM\SYSTEM\ControlSet001 en HKLM\SYSTEM\ControlSet002 niet.

De virusscanners rapporteren hun events inderdaad aan een centrale server die indien nodig een mail stuurt. Dit gebeurd echter alleen als het virus niet verwijderd of onschadelijk gemaakt kan worden. Bij de toolbar wordt, voor het betreffende account, de toegang geweigerd (access denied) tot het bestand en wordt er dus geen mail gestuurd. In de rapporten zijn dit soort detecties echter wel te zien en geven ze een vertekend beeld.
Naast het (laten) afhandelen van de virus meldingen via de mail controleren we ook de andere meldingen op bijzonderheden. Zo zie je bijvoorbeeld rond Valentijnsdag veel detecties van digitale ansichtkaarten die netjes verwijderd worden (er wordt dus geen mail gestuurd) of een gebruiker die iedere dag een besmette USB stick in de pc stopt waar de virussen op verwijderd worden of zie je veel dezelfde detecties bij verschillende gebruikers/computers waar (na analyse) van blijkt dat ze een besmette website hebben bezocht. Echter met honderden dezelfde meldingen van zo'n toolbar vallen de andere meldingen niet meer op. Zo kunnen die 20 computers toch aardig wat overlast geven.

Vandaag eens gekeken naar de permissions op de registry keys. Ik kon zo 123 niets afwijkends vinden. Als ik de effective permissions opvraag van mijn account heb ik full control op de registry key zoals administrators full control hebben op this key and subkeys.