Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Onbekende procesnaam, niet te vinden via google

Pagina: 1
Acties:

donderdag 28 augustus 2008 19:53

Acties:

Verwijderd

Topicstarter
Hallo,

Als ik in windows taakbeheer bij de processen kijk, dan vind ik daar volgende procesnaam:
FJ93AD.EXE (gebruikersnaam SYSTEM, gebruikt nagenoeg geen CPU en 2824kB geheugen).

Het probleem is dat ik deze procesnaam niet terugvind in google (ik vind niets als ik dit ingeef in google, daar waar normaal een hele reeks sites komen met uitleg over het proces). Kan iemand me geruststellen (of alert maken) of dit nu een virus/malware is of niet? (en evt. een beetje uitleg bij welk programma het hoort ofzo)

Of tips die me kunnen helpen?

[ Voor 3% gewijzigd door Verwijderd op 28-08-2008 20:11 ]

donderdag 28 augustus 2008 20:22

Acties:

Verwijderd

Test het bestand eens op www.virustotal.com het zal wel malware zijn.

Wanneer je de bestandsnaam niet zelf hebt bedacht en je vindt er ook geen informatie over op Google dan is het in 99% van de gevallen malware.

donderdag 28 augustus 2008 20:51

Acties:

Verwijderd

Topicstarter
Hoe kan ik dit bestand vinden op mijn computer? Via windows search vind ik niets als ik dit bestand intyp. Is er een manier om in taakbeheer te zien waar het bestand zich bevindt?

donderdag 28 augustus 2008 20:55

Acties:
  • MaikelG
  • Registratie: Januari 2001
  • Laatst online: 21-08-2024

MaikelG

^^

Sysinternals, inmiddels overgenomen door Microsoft, heeft een mooi gratis tooltje voor extra info over lopende processen, Process Explorer genaamd.
Zie hier: http://technet.microsoft....ysinternals/bb896653.aspx

Online malware scanner Jotti kan je ook eens proberen: http://virusscan.jotti.org/

[ Voor 6% gewijzigd door MaikelG op 28-08-2008 20:56 ]

^^ 4 mega pixels - BF1 / Discord: bierrrrrtje

donderdag 28 augustus 2008 21:00

Acties:
  • MeatLoaf
  • Registratie: Januari 2003
  • Laatst online: 06-04 20:06

MeatLoaf

Maak je toevallig gebruik van OfficeScan. Deze virus scanner gebruikt elke keer dat je hem opstart een andere naam voor de realtime scanner.

Zoek anders eens op je C: schijf naar de exacte bestandsnaam en kijk bij de eigenschappen, soms staat hier dan wel een bedrijfsnaam, o.i.d.

donderdag 28 augustus 2008 21:01

Acties:

Verwijderd

Topicstarter
Ik gebruik inderdaad officescan. Ik zal hem na de scan even heropstarten. Als alles goed is moet dit dan verdwenen zijn. Dit kan het misschien zijn, alhoewel... het gebruikt wel geen CPU (en hij scant!)

donderdag 28 augustus 2008 21:12

Acties:

Verwijderd

Topicstarter
OK, heb het bestand gelocaliseerd,
met virustotal krijg ik volgende resultaat:

Bestand XODD15.EXE ontvangen op 2008.08.21 14:03:09 (CET)
Huidig status: Einde

Resultaat: 1/36 (2.78%)

F-Secure 7.60.13501.0 2008.08.21 Suspicious:W32/Dzan!Gemini
(de rest niets)

wat betekent dit?

donderdag 28 augustus 2008 21:20

Acties:
  • DukeBox
  • Registratie: April 2000
  • Laatst online: 01:10

DukeBox

loves wheat smoothies

Dat betekend dat er een W32/Dzan!Gemini virus inzit.. kan je best zelf bedenken :P

Duct tape can't fix stupid, but it can muffle the sound.

donderdag 28 augustus 2008 21:31

Acties:

Verwijderd

Topicstarter
OK, wat heb ik gedaan: het proces gekilled, en pc afgesloten en opnieuw opgestart.
Het proces is weg, maar ik vind nu een ander proces: EV3231 dat zich in de folder bevindt (C:\WINDOWS\temp) waar het andere bestandje zich bevond. Dat andere is verdwenen. Het is een Temp folder, dus ik vermoed dat MeatLoaf het bij het rechte eind had.

Bedankt voor alle hulp, nu kan ik weer met een gerust hart mijn computer gebruiken ;);). (Ik meld dit maar even, kwestie dat iedereen hier nu weet dat het probleem naar alle waarschijnlijkheid is opgelost).

donderdag 28 augustus 2008 21:37

Acties:
  • DigiK-oz
  • Registratie: December 2001
  • Laatst online: 26-11 15:50

DigiK-oz

Vrijwel alle malware wijzigt steeds van naam. En geen zinnig programma (voor zover ik weet) draait uit de temp folder. Je hebt dus vrijwel zeker de genoemde malware, dus kijk op de site van F-secure of er een removal tool beschikbaar is.

Whatever

donderdag 28 augustus 2008 22:59

Acties:

Verwijderd

F-Secure 7.60.13501.0 2008.08.21 Suspicious:W32/Dzan!Gemini wijst eerder op een False Positive van F-Secure.

Scan het nog eens op virustotal.com. Als er in beeld komt dat het al geanalyseerd is klik je gewoon op reanalyse this file (of iets in die richting)

Na het scannen de link die in de adresbalk staat kopiëren en hier posten.
Er is namelijk veel meer informatie over het bestand te zien dan alleen de resultaten van de diverse scanners.

vrijdag 29 augustus 2008 06:40

Acties:
  • paella
  • Registratie: Juni 2001
  • Laatst online: 29-11 18:03

paella

Kan false positive zijn, hier bij Sophos iets met Dzan:

http://www.sophos.com/sec...and-spyware/w32dzana.html

maar het is al wat ouder (begin van het jaar), dus niet gloedje nieuw.

No production networks were harmed during this posting

vrijdag 29 augustus 2008 11:34

Acties:

Verwijderd

Topicstarter
Heb het bestand opnieuw gescand via virustotal (of toch het bestand met de naam waaronder het nu in de map staat): http://www.virustotal.com...de7839e098d305a721eaa369c

Wat kan ik nu het beste doen?

vrijdag 29 augustus 2008 23:39

Acties:

Verwijderd

Met die link kunnen we niet veel.
Heb je op "Heranalyseer bestand nu" geklikt?
Pas nadat die scan voltooid is de link in de adresbalk kopiëren en posten

vrijdag 29 augustus 2008 23:43

Acties:
  • Occy74
  • Registratie: September 2000
  • Laatst online: 16-11 19:01

Occy74

Als er maar 1 van al die scanners op virustotal een melding geeft en dan ook nog eens met het woord 'suspicious' erin kunnen het in principe 2 dingen zijn:
1. een false positive (wat in mijn idee het meest waarschijnlijk in de oren klinkt)
2. een virus/malware zo nieuw dat de andere scanners hem nog niet herkennen

je kan het bestand ook nog eens proberen op http://virusscan.jotti.org (net zoiets als virustotal)

Systeem Specs

vrijdag 29 augustus 2008 23:51

Acties:
  • TaraWij
  • Registratie: December 2007
  • Laatst online: 08-02 18:37

TaraWij

Draai eens Deckard's System Scanner en post eens de gewone en de extra log die je krijgt na het scannen. (Dit is een opvolger van Combofix en maakt verder ook gebruik van HijackThis)

Aan de hand daarvan kunnen we zien wat er precies misgaat en je helpen jouw computer weer veilig te maken, een process in de temp map die steeds van naam veranderd en terugkomt na het verwijderen lijkt me niet zo veilig.

[ Voor 33% gewijzigd door TaraWij op 29-08-2008 23:54 ]

zaterdag 30 augustus 2008 12:09

Acties:

Verwijderd

Het is op dit moment niet aanbevolen om Deckard's System Scanner te gebruiken.
Een combinatie van een bepaalde rootkit en Deckard's System Scanner kan je systeem onbruikbaar maken.

"We found that a recent rootkit infection has been interfering with Deckard's System Scanner (DSS) resulting in possible damage to the Operating System. As such, we have pulled DSS from service, and strongly suggest you delete DSS.exe from your systems.

We shall publish news of an updated DSS.exe as it becomes available"

http://www.techsupportfor...stem-scanner-dss-exe.html

zaterdag 30 augustus 2008 18:09

Acties:
  • Occy74
  • Registratie: September 2000
  • Laatst online: 16-11 19:01

Occy74

TaraWij schreef op vrijdag 29 augustus 2008 @ 23:51:
Draai eens Deckard's System Scanner en post eens de gewone en de extra log die je krijgt na het scannen. (Dit is een opvolger van Combofix en maakt verder ook gebruik van HijackThis)
Spoort dat programma uberhaupt wel? Hier op een kale xp met alle updates in vmware crasht het alleen maar.

Systeem Specs

zondag 31 augustus 2008 10:50

Acties:

Verwijderd

Occy74 schreef op zaterdag 30 augustus 2008 @ 18:09:spoort dat programma uberhaupt wel? Hier op een kale xp met alle updates in vmware crasht het alleen maar.
DSS is niet meer te downloaden wegens de hoger genoemde problemen met rootkits en de crashes die daar uit voort kunnen komen. Je zal het dus met de good old Combofix en HJT moeten doen. en/of met Malwarebytes.

maandag 1 september 2008 14:47

Acties:

Verwijderd

Topicstarter
Ik ontdekte net dat het bestand steeds een icoon heeft van een lopende hond.
Ik vond op internet een website waar iemand dit probleem ook had, en denkt ontdekt te hebben wat het is: http://techrepublic.com.c...orumID=47&threadID=183191. Ook volgens deze site gaat het dus om officescan client.

maandag 1 september 2008 15:16

Acties:
  • Glashelder
  • Registratie: September 2002
  • Niet online

Glashelder

Anti Android

• Boot in veilige modus
• Check met regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run en RunOnce of er entry's met dergelijke vage bestandsnamen tussen staan.
• Open taakbeheer en check of er dergelijke processen draaien (als het goed is in de veilige modus niet). Kill eventuele draaiende processen.
• Verwijder de bstanden (als er alleen een bestandsnaam in de entry staat dan bevind deze zich in het Windows Path. Om erachter te komen welke paden dit allemaal zijn ga je naar start, uitvoeren en typ je in
code:
1

echo %PATH%

Bij mij is dit voorbeeld:
code:
1
2
3

C:\Program Files\PC Connectivity Solution\;C:\Windows\system32;C:\Windows;C:\Win
dows\System32\Wbem;C:\Program Files\SecureCRT\;C:\Program Files\Microsoft SQL Se
rver\90\Tools\binn\

• Verwijder de entry's uit het register

• Ga naar start, uitvoeren en typ in 'msconfig'
• Check bij het tabblad 'Services' en 'Opstarten' naar vage bestandsnamen. Schakel deze uit.
• Reboot in normale modus

Als het niet een heel erg hardnekkig stukje malware is dan ben je er in 95% van de gevallen nu vanaf. Check nog wel even taakbeheer e.d..

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq