J5llOqK32j3u.exe - Privacy en beveiliging

donderdag 25 augustus 2011 20:53

Acties:

Topicstarter

Beste mede Tweakers,

Ik zag net een rare .exe mee draaien via de Task Manager genaamd J5llOqK32j3u.exe.
Dit bestand zou zich bevinden in deze map: C:\Users\MadMax\AppData\Roaming, maar daar kan ik hem nergens in vinden(verborgen staat aangevinkt en kan niet worden uit gevinkt). Ik heb het proces ondertussen al uitgezet d.m.v. proces beëindigen via de Task Manager. Ik heb ook gekeken of dit proces zich opstart maar ik kan hem via cmd/msconfig niet vinden. Ook mijn virusscanner die ik de map in kwestie heb laten scannen kan niks vinden. Ik gebruik Symantec AV.

Afbeeldingslocatie: http://tweakers.net/ext/f/L8f4qGhUveHXuVNsDHL96bBP/full.png?nohitcount=1

Afbeeldingslocatie: http://tweakers.net/ext/f/L8f4qGhUveHXuVNsDHL96bBP/full.png?nohitcount=1

Afbeeldingslocatie: http://tweakers.net/ext/f/yZWG9IWxlyt9WlAVAx360aXz/full.jpg?nohitcount=1

Via Google kan ik niks nuttigs vinden.

Zou ik me zorgen moeten maken ?

[ Voor 6% gewijzigd door madmaxnl op 25-08-2011 20:54 ]

donderdag 25 augustus 2011 21:01

Acties:

crizyz

ne.t.weaker

Eerste hit bij mij een google als ik zoek op "J5llOqK32j3u": http://www.security.nl/artikel/37576/Spybot.html

Of had je die al gevonden?

donderdag 25 augustus 2011 21:02

Acties:

madmaxnl

Topicstarter

Die had ik al gevonden, maar daar schiet ik weinig mee op.
Het kreng heeft toegang tot het internet ?
Afbeeldingslocatie: http://tweakers.net/ext/f/0yI7U3sBWVFy6OzGLomflno2/full.png?nohitcount=1

Afbeeldingslocatie: http://tweakers.net/ext/f/0yI7U3sBWVFy6OzGLomflno2/full.png?nohitcount=1

[ Voor 54% gewijzigd door madmaxnl op 25-08-2011 21:05 ]

donderdag 25 augustus 2011 21:04

Acties:

Neverwinterx

Scan het eens met malwarebytes antimalware en/of superantispyware en laat het scannen met virus total.

donderdag 25 augustus 2011 21:05

Acties:

Fish

How much is the fish

Dus gescand met SEP 11 maar die zag er geen kwaad in dus maar de Msert van Microsoft opgehaald en die vond het ook allemaal goed. Dan maar handmatig en eerst in de registry de twee startregels verwijderd die naar het bestand stonden en daarna het bestand zelf verwijderd buiten de vuilnisbak om.

Het log van SEP had ik opgeslagen en ik gezocht op het IP adres waar dus bot naartoe wilde die bleek op Seychellen zitten en via Google vond ik Sharemoneyforfriends and s3ybot was.

Dus je krijgt hem niet uit opstartsequence ofzo
waar loop je vast ?

Iperf

donderdag 25 augustus 2011 21:05

Acties:

Kawaii

Heb je naast de 'hidden files' ook de 'protected files from operating system' optie uitgevinkt?

donderdag 25 augustus 2011 21:06

Acties:

madmaxnl

Topicstarter

Nog niet dat zal ik eens proberen. Raar, zojuist nieuwe virus def opgehaald(updates) en nu kan mijn virusscanner hem wel vinden.

http://securityresponse.s...-022501-5526-99&vid=24060
http://tweakers.net/ext/f...iT0/full.png?nohitcount=1

Ik neem aan dat het probleem nu is opgelost.

[ Voor 94% gewijzigd door madmaxnl op 25-08-2011 21:10 ]

donderdag 25 augustus 2011 21:10

Acties:

[Roland]

http://technet.microsoft.com/en-us/sysinternals/bb963902

Die even downloaden. Process uitzetten.
Herstarten.
Met attrib -r -s -h -a bestand zichtbaar maken.
Zorgen dat je eigenaar wordt en dan bestand verwijderen.

Dit is even uit mijn hoofd maar zo zou je ervan af moeten kunnen komen,

Al zal een antimalware het beter doen.

donderdag 25 augustus 2011 21:14

Acties:

Fish

How much is the fish

een bestand hoeft niet zichtbaar zijn om te verwijderen.
gewoon volledige pad opgeven met del

Iperf

donderdag 25 augustus 2011 21:20

Acties:

HaveHam

I've done worse

madmaxnl schreef op donderdag 25 augustus 2011 @ 21:02:
Die had ik al gevonden, maar daar schiet ik weinig mee op.
Het kreng heeft toegang tot het internet ?
[afbeelding]

Trojanen hebben doorgaans toegang tot het net.
Maar had Norton het al niet gevonden zoals in je voorgaande geedit post stond?

Suspect: Id like to see a warrant?
Vic Mackey: Id like to see Anna Kournikova naked on a waterbed.

donderdag 25 augustus 2011 21:22

Acties:

Beatboxx

Certified n00b

Safe mode? Ubuntu opstarten, dan deleten?

donderdag 25 augustus 2011 21:23

Acties:

madmaxnl

Topicstarter

HaveHam schreef op donderdag 25 augustus 2011 @ 21:20:
[...]

Trojanen hebben doorgaans toegang tot het net.
Maar had Norton het al niet gevonden zoals in je voorgaande geedit post stond?

Symantec vond hem eerst niet omdat de virus database nog uit 05-08-2011 dateerde.
Dit zag ik nadat ik de scan had gedaan pas, dus ik had hem geüpdate en toen vond hij hem wel.

Hij is dus ondertussen al verwijderd, even kijken voor hoe lang dat ook zo blijft. Wellicht dat Metastasen al heeft plaatsgevonden...

[ Voor 13% gewijzigd door madmaxnl op 25-08-2011 21:24 ]

donderdag 25 augustus 2011 21:25

Acties:

HaveHam

I've done worse

madmaxnl schreef op donderdag 25 augustus 2011 @ 21:23:
[...]

Symantec vond hem eerst niet omdat de virus database nog uit 05-08-2011 dateerde.
Dit zag ik nadat ik de scan had gedaan pas, dus ik had hem geüpdate en toen vond hij hem wel.

Ja precies ik zag dat je dat had geschreven namelijk.
Maar ik raad je nog wel aan dan (indien je denkt dat het weg is) om nog even in veilige modus een AV scan te doen.

Suspect: Id like to see a warrant?
Vic Mackey: Id like to see Anna Kournikova naked on a waterbed.

donderdag 25 augustus 2011 21:30

Acties:

Puch-Maxi

Upload de exe voor de grap eens naar http://virusscan.jotti.org/nl

edit:
@hieronder dat is nog beter, lees dat je virusscan hem inmiddels heeft gedetect

[ Voor 42% gewijzigd door Puch-Maxi op 25-08-2011 21:36 ]

My favorite programming language is solder.

donderdag 25 augustus 2011 21:32

Acties:

madmaxnl

Topicstarter

Ik heb hem niet meer.