Deze website maakt gebruik van cookies. Waarom? Klik hier voor ons privacy- en cookiebeleid. Door op akkoord te klikken of door gebruik te blijven maken van deze website geeft u aan akkoord te zijn met het gebruik van cookies.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

W2k inhoud schijf 'weg'

None
12 antwoorden
  • Inleidend:
    http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=201128

    Heb dus een Windows 2000 server draaien,
    80 GB systeem schijf ( IDE )

    250 GB interne data schijf ( IDE, Samsung )

    250 GB externe data backup schijf (USB -> IDE, zelfde Samsung, Conceptronic behuizing )


    De externe schijf was alleen voor backup bedoelt ( af en toe aankoppelen, bijwerken, afkoppelen, veilig opbergen ), maar doordat de interne 250 GB schijf 'ineens' leeg bleek te zijn,.. gebruik ik de via USB aangesloten schijf nu al een tijdje, terwijl ik m liever veilig weg leg.
    Ik twijfel dus sterk of de PC de interne schijf wel goed 'behandeld'. De schijf wordt goed herkend door de bios, en Win2000 diskmanager ziet de schijf in de juiste grote, en maakt keurig de 250 gb grote NTFS partitie aan, kan formateren en geeft GEEN foutmeldingen. Toch blijkt de schijf ( als ik m vol pomp ) na een tijdje ineens 'leeg': geen toegang tot schijf want niet geformateerd, dus leeg of partitie tabel kapot…
    Via W2k partitioneren, formateren en weer volpompen geeft na een tijdje gewoon weer dezelfde fout. Laat ik de schijf leeg ( zoals ik m nu al een tijdje niet gebruik ) dan is er niets aan de hand, lijkt het.


    Tip gekregen: check op virus, post Hijack this log,

    Virusscan:
    Systeem partitie vanaf afstand met m'n pc door Norman laten scannen: geen problemen. Op de dataschijf ( waarvan dus feitelijk niets wordt uitgevoerd door de server ) alleen een niet-uitpakbaar foutmelding gezien
    voor een oude Winzip versie. Niets bijzonders dus.

    Hijackthislog:
    Bij deze:

    [quote:914642863f]
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:01:14, on 27-6-2009
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\System32\termsrv.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\system32\Dfssvc.exe
    C:\WINNT\system32\svchost.exe
    C:\Program Files\FileZilla Server\FileZilla Server.exe
    C:\WINNT\System32\llssrv.exe
    C:\WINNT\system32
    tfrs.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\locator.exe
    C:\WINNT\system32\MSTask.exe
    C:\Program Files\UltraVNC\WinVNC.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\Program Files\UltraVNC\WinVNC.exe
    C:\WINNT\System32\ismserv.exe
    C:\WINNT\system32\msdtc.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\FileZilla Server\FileZilla Server Interface.exe
    C:\Program Files\uTorrent\uTorrent.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\rdpclip.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\rdpclip.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\FileZilla Server\FileZilla Server Interface.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Program Files\FileZilla Server\FileZilla Server Interface.exe"
    O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O15 - Trusted Zone: http://asia.msi.com.tw
    O15 - Trusted Zone: http://global.msi.com.tw
    O15 - Trusted Zone: http://www.msi.com.tw
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225371976625
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1243769645562
    O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Pepperkoek.local
    O17 - HKLM\System\CCS\Services\Tcpip\..\{014CE553-97D8-4F18-B4FB-F0A1073B5F94}: NameServer = 195.121.1.34,195.121.1.66
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9A7EA3F2-8DD0-4083-9284-9A25CAAE00D7}: NameServer = 195.121.1.34,195.121.1.66
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Pepperkoek.local
    O17 - HKLM\System\CS1\Services\Tcpip\..\{014CE553-97D8-4F18-B4FB-F0A1073B5F94}: NameServer = 195.121.1.34,195.121.1.66
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Pepperkoek.local
    O17 - HKLM\System\CS2\Services\Tcpip\..\{014CE553-97D8-4F18-B4FB-F0A1073B5F94}: NameServer = 195.121.1.34,195.121.1.66
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
    O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe
    O23 - Service: uvnc_service - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe


    End of file - 4194 bytes
    [/quote:914642863f]

    Ik zie eigenlijk niets raars, een aantal zaken komen mij normaal voor:
    VNC (wel zo handig voor de besturing op afstand: server is 'head-less'
    Filezilla FTP server ( overal toegang tot mijn foto collectie )
    MSI tussen trusted domains ( bios update uitgevoerd: verdacht de bios ooit als eens voor dit probleem )
    Veritas is denk ik een progje waarmee ik de hardschijf ooit nakeek ( na 'verlies' van data/partitie

    Anyone?
  • Start Hijackthis op en kies voor 'Do a system scan only'
    Selecteer alleen de items die hieronder zijn genoemd:
    [b:940c778e1b]
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    [/b:940c778e1b]
    Klik op 'Fix checked' om de items te verwijderen.


    Download [b:940c778e1b][i:940c778e1b]Kaspersky AVPTool[/i:940c778e1b][/color:940c778e1b][/b:940c778e1b] en sla deze op je bureaublad op.
    [list:940c778e1b]
    [*:940c778e1b]Start je computer opnieuw op, maar deze keer in Veilige Modus.
    [*:940c778e1b]Dubbelklik op het installatie bestand om het programma te installeren.
    [*:940c778e1b]Klik op Next om verder te gaan.
    [*:940c778e1b]Het programma wordt standaard in een map op je buraublad geinstalleerd.Klik op Next.
    [*:940c778e1b]Klik op OK in de melding om in de Veilige Modus te scannen.
    [*:940c778e1b]Het programma wordt automatisch worden geopend op het tabblad Automatic scan.
    Zorg ervoor dat het volgende onder Automatic scan is aangevinkt.:[/list:u:940c778e1b][list:940c778e1b][*:940c778e1b]System Memory
    [*:940c778e1b]Startup Objects
    [*:940c778e1b]Disk Boot Sectors.
    [*:940c778e1b]My Computer.
    [*:940c778e1b]Ook alle andere (verwijderbare) schijven[/list:u:940c778e1b]

    Klik nadat je dat hebt aangevinkt op [b:940c778e1b][i:940c778e1b]Security level[/i:940c778e1b][/b:940c778e1b], kies [b:940c778e1b][i:940c778e1b]Customize[/i:940c778e1b][/b:940c778e1b], tabblad [i:940c778e1b]Heuristic Analyzer[/i:940c778e1b], vink [b:940c778e1b]Enable Deep rootkit search[/b:940c778e1b] aan en klik op [b:940c778e1b]OK[/b:940c778e1b].
    Klik daarna nogmaals op op [b:940c778e1b]OK[/b:940c778e1b] en je bent weer terug in het hoofd scherm.

    [list:940c778e1b]
    [*:940c778e1b]Klik op [i:940c778e1b]Scan[/i:940c778e1b] in de rechter bovenhoek.
    [*:940c778e1b]Het programma neutraliseert automatisch alle gevonden objecten.
    [*:940c778e1b]Als er nog niet-geneutraliseerde objecten overblijven, klik dan op de knop [i:940c778e1b]Neutralize all[/i:940c778e1b]
    [*:940c778e1b]Als er bestanden niet geneutraliseerd kunnen worden, verwijder het bestand dan.
    [*:940c778e1b]Klik als dat allemaal klaar is op de[i:940c778e1b] reports knop [/i:940c778e1b]aan de onderkant en sla het logje op met als bestandsnaam [b:940c778e1b]Kas[/b:940c778e1b].
    [*:940c778e1b]Sla het logje op een geschikte plaats op (bijvoorbeeld je bureaublad) en kopieer alle gevonden malware uit je log, dit staat bovenaan onder [b:940c778e1b]Detected[/b:940c778e1b] en plak alleen dit gedeelte van het logje in je volgende bericht.[/list:u:940c778e1b]
    [b:940c778e1b][i:940c778e1b]Note: Dit programma zal zichzelf verwijderen wanneer je het programma afsluit, dus sla het logje eerst op voordat je het programma afsluit.[/i:940c778e1b][/b:940c778e1b]
  • [quote:6e7274a626="juisterr"]
  • Start je computer opnieuw op, maar deze keer in Veilige Modus.[/quote:6e7274a626]

  • Ehmz. computer is head-less,.. zonder toetsenbord, zonder beeldscherm…

    Is dat a-b-s-o-l-u-u-t noodzakelijk? Ik ga het eerst wel even proberen zonder 'veilige modus',.. via remote desktop of vnc werkt een stuk makkelijker dan de pc uit de meterkast slopen en een beeldscherm erbij zoeken.
  • [quote:b8dfff47a3="DeBruin"][quote:b8dfff47a3="juisterr"]
  • Start je computer opnieuw op, maar deze keer in Veilige Modus.[/quote:b8dfff47a3]

  • Ehmz. computer is head-less,.. zonder toetsenbord, zonder beeldscherm…

    Is dat a-b-s-o-l-u-u-t noodzakelijk? Ik ga het eerst wel even proberen zonder 'veilige modus',.. via remote desktop of vnc werkt een stuk makkelijker dan de pc uit de meterkast slopen en een beeldscherm erbij zoeken.[/quote:b8dfff47a3]

    *edit*

    Pff. is nu al 10 uur aan het scannen en pas op 41%. Een paar 'verdachte' pakketjes zijn wel gevonden, maar denk niet dat dit de boosdoeners zijn. Ik laat m eerst nog maar een paar uur langer reutelen…
    Anoniem
  • Ik wacht wel af.
  • Eerste scan is vastgelopen: Duurde lang genoeg dat ik m overnacht heb laten draaien.

    Machine reageerde echter niet meer, dus via een reset ( knopje op de kast ) herstart.

    Tweede scan alleen de systeemschijf laten scannen; rest is toch vooral en enkel data.

    Hier de resultaten:


    ————————-

    Detected
    ——–
    Status Object
    —— ——
    deleted: Trojan program Exploit.SWF.Agent.aq File: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\89ABCDEF\flash[1].swf//Swf2Swc
    deleted: Trojan program Exploit.Win32.Pidief.avf File: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\89ABCDEF\readme[1].pdf

    ————————-

    Via un-nogwattes heb ik ze verwijderd: Ze wilden in eerste instantie niet weg, vervolgens gewoon via de delete-functie verwijderd. Staan zowieso in de temp-internet-files, en internetexplorer is op de machine nou niet echt in gebruik ( ja, om windowsupdate te draaien misschien )

    Zouden bovenstaande exploits de schijf gewist kunnen hebben?
  • is je schijf leeg dan ?
  • Ehmz, ja. Zie eerste posting.

    Zie het als een data server:

    80 gb systeemschijf ( IDE intern )

    250 gb data schijf ( IDE intern ) ( vooral muziek & foto: complete cd collectie in FLAC & digicam picca's )

    250 gb usb backup schijf ( IDE , extern in USB behuizing ).

    De interne 250 gb schijf is dus nu al 2 keer compleet leeg geraakt: partitie kapot of in iederegeval: Windows die zegt dat ie niet geformateerd is, niet bereikbaar.

    Gelukkig dus steeds niets mis met de usb backup schijf, maar ideaal is het niet zo: usb schijf moet eigenlijk stroomloos in 'de kast' liggen zodat ie met een onweer niet stuk gaat. maar is nu de hoofd schijf waar ik dus alle data van lees ( muziekjes luisteren ) en schijf ( gemaakte foto's weg schrijf ).. lekker veilig ( NOT )
  • Heel vreemd, ik kan geen malware vinden, misschien toch een hardware probleem ?
  • Tja,. zoeken we verder.

    Ik neem aan dat het dan toch in de GB grens verhaal zit ( zie hardware sectie, grens 137gb ) al is het register gepatched en al.

    Alleen durf ik het gewoon niet zo goed aan om het maar gewoon ' lukraak ' te testen: er zit immers altijd verschil tussen de actuele data en de laatst gemaakte backup.

    hmm. Misschien Windows 2k server helemaal from scratch installeren, register patchen en de 250 gb schijf alsnog eens partitioneren dan maar. Ik heb er de installatie schijven, maar een W2K server installeren is iets meer werk dan ' gewoon ' even een XP home installatie.
  • Ja dat snap ik.
  • Hang hier maar een slotje op..

    Heb de data schijf afgekoppeld en de systeemschijf een format gegeven, of beter: partitie verwijderd, 2 nieuwe partities aangemaakt.

    mag aannemen dat, los van een bootsectorvirus, er geen enkel stukje virus/malware heeft overleefd.

    gaan we hier verder: http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=201128
  • Beantwoord deze vraag

    Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.