delete.bat / BhdeWaQxvH0i.exe ? - Privacy en beveiliging

zondag 7 augustus 2011 21:14

Acties:

Topicstarter

Het viel me vandaag op dat mijn PC (Windows 7 x64 / SP1) nogal traag was. Ik ben eens gaan kijken in de processen, en zag deze er tussen staan:

Ik ben natuurlijk direct gaan kijken wat er hier dan precies in die delete.bat wordt uitgevoerd. Nou, dit dus:

@echo off
:ComeBack
del "D:\Users\Vincent\AppData\Roaming\BhdeWaQxvH0i.exe"
if exist "D:\Users\Vincent\AppData\Roaming\BhdeWaQxvH0i.exe" goto ComeBack

Ik heb geen idee wat BhdeWaQxvH0i.exe voor bestand is, maar blijkbaar draait er iets op mijn systeem dat dit in ieder geval graag wil verwijderen. Iemand enige idee wat er aan de hand kan zijn?

omniscale.nl

zondag 7 augustus 2011 23:42

Acties:

Verwijderd

Die delete.bat is zeer waarschijnlijk door de dropper/installer van de malware gecreeerd om zo zijn sporen te verwijderen. Waarschijnlijk is BhdeWaQxvH0i.exe de installer. Vraag is dus wat er aan verdere malware geinstalleerd is. Draai eens een virusscan.

zondag 7 augustus 2011 23:59

Acties:

stfn345

Upload de file eens op http://virusscan.jotti.org/nl - dan krijg je meteen te horen wat het is

maandag 8 augustus 2011 10:29

Acties:

posttoast

Topicstarter

Virusscan is gedraaid, niets gevonden. Heb nog wat verder gezocht, en zag in MSconfig het volgende:

msconfig - BhdeWaQxvH0i.exe

Zoals je ziet heb ik die nu uitgevinkt. Resultaat: bij opnieuw opstarten draait die batch-file niet meer. Maar die hele executable kan ik ook niet vinden, en dat vind ik vreemd. Want als msconfig hem aanroept en hij doet vervolgens "dingen", dan moet hij toch überhaupt bestaan?

omniscale.nl

maandag 8 augustus 2011 10:35

Acties:

marcop23

Heb je verborgen bestanden zichtbaar gemaakt? Zo nee, zoek hem dan nu nog eens op en stop hem eens in bijvoorbeeld virustotal.com en kijk of het schadelijk is of niet.

[ Voor 11% gewijzigd door marcop23 op 08-08-2011 10:35 ]

maandag 8 augustus 2011 10:52

Acties:

posttoast

Topicstarter

Ah, verborgen bestanden wel, maar systeembestanden stonden nog op onzichtbaar zie ik nu. Ik heb hem gevonden dus en haal hem nu door http://virusscan.jotti.org/nl...

BhdeWaQxvH0i.exe - scanresults

OK, wisselende resultaten dus. Mijn eigen virusscanner (Microsoft Security Essentials) vindt niets na een totale scan. Waar doe ik nu goed aan? Gewoon dat bestand weggooien? Of moet er grover geschut ingezet gaan worden?

omniscale.nl

maandag 8 augustus 2011 17:35

Acties:

Baserk

Wellicht 'HitmanPro3' en/of 'Malwarebytes'Antimalware' laten draaien voor een second/third opinion?
HitmanPro duurt hoogstens een paar minuten, de QuickScan van MBAM wat langer.

( Zou zelf overigens een image terugzetten/clean install doen maar ik zal wel de wind van voren krijgen voor zo'n suggestie).

Romanes eunt domus | AITMOAFU

maandag 8 augustus 2011 17:39

Acties:

Verwijderd

Ah het is dus een verse virus, die eenmalig de informatie van je pc afhaalt en daarna weer verwijderd word.

Staat dus ook niks in je registry of iets wat een virus-scanner zal vinden.

maandag 8 augustus 2011 18:02

Acties:

Baserk

Verwijderd schreef op maandag 08 augustus 2011 @ 17:39:
Ah het is dus een verse virus, die eenmalig de informatie van je pc afhaalt en daarna weer verwijderd word.

Staat dus ook niks in je registry of iets wat een virus-scanner zal vinden.

Is dat een zekerheid?
Als het volgens de NOD32 omschrijving een MSIL injector is, dan kan er toch via 'veilige' processen meer zooi zijn binnen gehengeld wat wellicht niet door MSE is gedetecteerd?

- edit;
Maar wat dus wel met een andere AV/AM scanner kan worden gevonden.

[ Voor 7% gewijzigd door Baserk op 08-08-2011 18:34 ]

Romanes eunt domus | AITMOAFU

dinsdag 9 augustus 2011 01:03

Acties:

Verwijderd

posttoast schreef op maandag 08 augustus 2011 @ 10:52:
Gewoon dat bestand weggooien? Of moet er grover geschut ingezet gaan worden?

Ik heb net naar het bestand gekeken en het gaat hier om een bot. Met andere woorden: je bent momenteel onderdeel van een botnet.

Naast wat mogelijkheden tot DDoS bevat deze bot ook de mogelijkheid tot het downloaden en uitvoeren van bestanden. Wie weet wat er mogelijk dus nog meer is geinstalleerd op je pc.

Beste optie is een reinstall en het veranderen van je wachtwoorden.

dinsdag 9 augustus 2011 11:26

Acties:

posttoast

Topicstarter

Verwijderd schreef op dinsdag 09 augustus 2011 @ 01:03:
[...]

Ik heb net naar het bestand gekeken en het gaat hier om een bot. Met andere woorden: je bent momenteel onderdeel van een botnet.

Naast wat mogelijkheden tot DDoS bevat deze bot ook de mogelijkheid tot het downloaden en uitvoeren van bestanden. Wie weet wat er mogelijk dus nog meer is geinstalleerd op je pc.

Beste optie is een reinstall en het veranderen van je wachtwoorden.

Dat komt beroerd uit zeg, zo vlak voor een projectdeadline.

Ik heb overigens gisteren Hitman Pro laten draaien, die heeft dat bestand dus zelf nog even weggegooid. Daarna een full scan met Malwarebyte's Antimalware (dat duurde wel eventjes) en die heeft niets meer gevonden. Ook zie ik op de achtergrond nu geen gekke processen meer meedraaien.

Hoe weet je zo zeker dat ik nu onderdeel ben van een botnet? Kan dat gevaar inmiddels niet afgewend zijn (ofwel: een schone PC heeft toch hetzelfde effect als het verwijderen van alle schadelijke bestanden)?

omniscale.nl

dinsdag 9 augustus 2011 17:44

Acties:

Verwijderd

posttoast schreef op dinsdag 09 augustus 2011 @ 11:26:
[...]

Hoe weet je zo zeker dat ik nu onderdeel ben van een botnet? Kan dat gevaar inmiddels niet afgewend zijn (ofwel: een schone PC heeft toch hetzelfde effect als het verwijderen van alle schadelijke bestanden)?

Het probleem is dat je niet weet wat er door de bot is gedownload toen deze actief was.
Er bestaat het risico dat deze iets heeft gedownload wat door niemand gedetecteerd wordt.