Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

delete.bat / BhdeWaQxvH0i.exe ?

Pagina: 1
Acties:

  • posttoast
  • Registratie: April 2000
  • Laatst online: 01:18
Het viel me vandaag op dat mijn PC (Windows 7 x64 / SP1) nogal traag was. Ik ben eens gaan kijken in de processen, en zag deze er tussen staan:
Screenshot - cmd.exe, virus?

Ik ben natuurlijk direct gaan kijken wat er hier dan precies in die delete.bat wordt uitgevoerd. Nou, dit dus:
@echo off
:ComeBack
del "D:\Users\Vincent\AppData\Roaming\BhdeWaQxvH0i.exe"
if exist "D:\Users\Vincent\AppData\Roaming\BhdeWaQxvH0i.exe" goto ComeBack


Ik heb geen idee wat BhdeWaQxvH0i.exe voor bestand is, maar blijkbaar draait er iets op mijn systeem dat dit in ieder geval graag wil verwijderen. Iemand enige idee wat er aan de hand kan zijn?

omniscale.nl


Verwijderd

Die delete.bat is zeer waarschijnlijk door de dropper/installer van de malware gecreeerd om zo zijn sporen te verwijderen. Waarschijnlijk is BhdeWaQxvH0i.exe de installer. Vraag is dus wat er aan verdere malware geinstalleerd is. Draai eens een virusscan. :)

  • stfn345
  • Registratie: Januari 2000
  • Laatst online: 29-11 13:50
Upload de file eens op http://virusscan.jotti.org/nl - dan krijg je meteen te horen wat het is :)

  • posttoast
  • Registratie: April 2000
  • Laatst online: 01:18
Virusscan is gedraaid, niets gevonden. Heb nog wat verder gezocht, en zag in MSconfig het volgende:

msconfig - BhdeWaQxvH0i.exe

Zoals je ziet heb ik die nu uitgevinkt. Resultaat: bij opnieuw opstarten draait die batch-file niet meer. Maar die hele executable kan ik ook niet vinden, en dat vind ik vreemd. Want als msconfig hem aanroept en hij doet vervolgens "dingen", dan moet hij toch überhaupt bestaan?

omniscale.nl


  • marcop23
  • Registratie: December 2009
  • Laatst online: 18:00
Heb je verborgen bestanden zichtbaar gemaakt? Zo nee, zoek hem dan nu nog eens op en stop hem eens in bijvoorbeeld virustotal.com en kijk of het schadelijk is of niet.

[ Voor 11% gewijzigd door marcop23 op 08-08-2011 10:35 ]


  • posttoast
  • Registratie: April 2000
  • Laatst online: 01:18
Ah, verborgen bestanden wel, maar systeembestanden stonden nog op onzichtbaar zie ik nu. Ik heb hem gevonden dus en haal hem nu door http://virusscan.jotti.org/nl...

BhdeWaQxvH0i.exe - scanresults

OK, wisselende resultaten dus. Mijn eigen virusscanner (Microsoft Security Essentials) vindt niets na een totale scan. Waar doe ik nu goed aan? Gewoon dat bestand weggooien? Of moet er grover geschut ingezet gaan worden?

omniscale.nl


  • Baserk
  • Registratie: Februari 2007
  • Laatst online: 17:42
Wellicht 'HitmanPro3' en/of 'Malwarebytes'Antimalware' laten draaien voor een second/third opinion?
HitmanPro duurt hoogstens een paar minuten, de QuickScan van MBAM wat langer.

( Zou zelf overigens een image terugzetten/clean install doen maar ik zal wel de wind van voren krijgen voor zo'n suggestie).

Romanes eunt domus | AITMOAFU


Verwijderd

Ah het is dus een verse virus, die eenmalig de informatie van je pc afhaalt en daarna weer verwijderd word.

Staat dus ook niks in je registry of iets wat een virus-scanner zal vinden.

  • Baserk
  • Registratie: Februari 2007
  • Laatst online: 17:42
Verwijderd schreef op maandag 08 augustus 2011 @ 17:39:
Ah het is dus een verse virus, die eenmalig de informatie van je pc afhaalt en daarna weer verwijderd word.

Staat dus ook niks in je registry of iets wat een virus-scanner zal vinden.
Is dat een zekerheid?
Als het volgens de NOD32 omschrijving een MSIL injector is, dan kan er toch via 'veilige' processen meer zooi zijn binnen gehengeld wat wellicht niet door MSE is gedetecteerd?

- edit;
Maar wat dus wel met een andere AV/AM scanner kan worden gevonden.

[ Voor 7% gewijzigd door Baserk op 08-08-2011 18:34 ]

Romanes eunt domus | AITMOAFU


Verwijderd

posttoast schreef op maandag 08 augustus 2011 @ 10:52:
Gewoon dat bestand weggooien? Of moet er grover geschut ingezet gaan worden?
Ik heb net naar het bestand gekeken en het gaat hier om een bot. Met andere woorden: je bent momenteel onderdeel van een botnet.

Naast wat mogelijkheden tot DDoS bevat deze bot ook de mogelijkheid tot het downloaden en uitvoeren van bestanden. Wie weet wat er mogelijk dus nog meer is geinstalleerd op je pc.

Beste optie is een reinstall en het veranderen van je wachtwoorden.

  • posttoast
  • Registratie: April 2000
  • Laatst online: 01:18
Verwijderd schreef op dinsdag 09 augustus 2011 @ 01:03:
[...]

Ik heb net naar het bestand gekeken en het gaat hier om een bot. Met andere woorden: je bent momenteel onderdeel van een botnet.

Naast wat mogelijkheden tot DDoS bevat deze bot ook de mogelijkheid tot het downloaden en uitvoeren van bestanden. Wie weet wat er mogelijk dus nog meer is geinstalleerd op je pc.

Beste optie is een reinstall en het veranderen van je wachtwoorden.
:( Dat komt beroerd uit zeg, zo vlak voor een projectdeadline.

Ik heb overigens gisteren Hitman Pro laten draaien, die heeft dat bestand dus zelf nog even weggegooid. Daarna een full scan met Malwarebyte's Antimalware (dat duurde wel eventjes) en die heeft niets meer gevonden. Ook zie ik op de achtergrond nu geen gekke processen meer meedraaien.

Hoe weet je zo zeker dat ik nu onderdeel ben van een botnet? Kan dat gevaar inmiddels niet afgewend zijn (ofwel: een schone PC heeft toch hetzelfde effect als het verwijderen van alle schadelijke bestanden)?

omniscale.nl


Verwijderd

posttoast schreef op dinsdag 09 augustus 2011 @ 11:26:
[...]

Hoe weet je zo zeker dat ik nu onderdeel ben van een botnet? Kan dat gevaar inmiddels niet afgewend zijn (ofwel: een schone PC heeft toch hetzelfde effect als het verwijderen van alle schadelijke bestanden)?
Het probleem is dat je niet weet wat er door de bot is gedownload toen deze actief was.
Er bestaat het risico dat deze iets heeft gedownload wat door niemand gedetecteerd wordt.
Pagina: 1