ShFusRes.exe

Tjsa, de eerste hit op google zegt :

The program SHFUSRES.EXE is used for hidden penetration into PC and its remote administration.
UnHackMe is recommended as a reliable program for solving the problem with SHFUSRES.EXE.
Download for free: http://www.unhackme.com

Duidelijk lijkt me ?

als je wilt dat andere personen je PC kunnen bedienen, dan is het goed

[ Voor 6% gewijzigd door Killerbert op 12-07-2012 21:40 ]

Dat is slecht iemand kan nu zonder je mede weten je pc beheren

Niet per definitie een virus maar wel iets wat je waarschijnlijk niet op je pc wilt hebben. Heb je een goede virusscanner, anders wellicht een trial downloaden en die rommel verwijderen. Als je het besmette bestand hier upload: https://www.virustotal.com/ dan kan je zien welke anti virus het kan verwijderen.

Is het een virus?? zo ja? hoe haal ik het weg?

Misschien met een anti-virus programma ? Als je nu geen anti-virus draait vraag je wel om problemen met keygens en andere rommel.

Als het proces draait kan je natuurlijk in je taskmanager ook zien waar hij is opgestart.. simpelweg de kolom 'opdrachtregel' of 'commandline' toevoegen in je proceslijst.
ShFusRes.dll is niet van windows zelf en hoort ook niet thuis op je pc, zsm verwijderen.

microsoft security essentials

Dat laatste zegt het al: het minimaal benodigde, investeer dus wat in een goede virusscanner (staan genoeg vergelijkingstesten online).

[ Voor 27% gewijzigd door Mental op 17-07-2013 23:33 . Reden: Ja, zo erg was de spelfout ;) ]

1. Format C:
2. Reinstall Windows
3. Installeer een GOEDE en UP TO DATE virusscanner

Andere oplossingen zijn symptoombestrijdingen en vroeg of laat zit je wederom met de gebakken peren.

[ Voor 15% gewijzigd door Mad Marty op 12-07-2012 21:49 ]

Overigens is fiddler2 niet bedoeld om al het verkeer van een proces te monitoren, het doet alleen http(s) verkeer monitoren.
Zeker weten? Download WireShark.

Kijk in je taskmanager, daar staat exact waar hij opgestart wordt.

En.. laat hij ook beveiligde systeembestanden zien? (lees: files met attribute 'system').

Verder je autoruns checken in je register en in je start menu; eventuele extra modules die worden geladen tijdens het booten (staat in je eventlog) etc.
Nog niet gevonden? Reinstall van windows.

[ Voor 53% gewijzigd door Mental op 12-07-2012 21:54 ]

Pc leeggooien en opnieuw installeren. De enige oplossing, vroeger of later komt het toch weer terug anders.

Waarchijnlijk weinig aangezien realtime protection hoogstwaarschijnlijk aanstaat en hij hem niet eens vind als hij al draait.
Goede virusscanner is hier noodzaak (eigenlijk is een 'internet security' pakket meer op zijn plaats)

@ Legerarmy

Ik zou zeggen, upload ze naar virustotal.com om te kijken of het malware is. Nu is het verwijderen van deze bestanden mocht het malware zijn niet genoeg lijkt me, ik zou zeggen draai eens HitmanPro en MalwareBytes om te zoeken naar malware.

Op deze Sophos site kan je zien dat hij naast de .exe bestand ook nog andere bestanden dropt. Tevens maakt hij ook een registry key aan.

Op de bovenstaande link staat ook een removal tool als je zeker wilt zijn om die zooi van je pc te krijgen.
Als ik voor mijzelf spreek, zou ik bij een infectie van een systeem een format C:\ en een verse installatie van Windows.

Ja die .dll heb ik ook wel (in tweevoud zelfs), maar dat wil niet zeggen dat die dll op jouw pc niet is aangepast door een backdoor/virus om hem minder te laten opvallen. Ik heb zeker geen .exe met dezelfde naam.
De originele .dll files hebben als beschrijving overigens "Microsoft COM Runtime Fusion Assembly Viewer Resources" en zijn onderdeel van het .NET framework.

Legerarmy schreef op donderdag 12 juli 2012 @ 22:52:
Is ShFucRes.dll nou wel een virus?
Kunnen jullie kijken of jullie deze op jullie windows 7 pc hebben..?


C:\Windows\Microsoft.NET\Framework\v2.0.50727\nl

daar zit in:

shfusion.chm
ShFusRes.dll

Heb deze ShFusRes.dll op mijn systeem staan (Win 7 Ultimate):
https://www.virustotal.co...ea34/analysis/1342177939/

Da's een origineel bestand van Microsoft.

Verwijderd schreef op vrijdag 13 juli 2012 @ 13:18:
[...]


Heb deze ShFusRes.dll op mijn systeem staan (Win 7 Ultimate):
https://www.virustotal.co...ea34/analysis/1342177939/

Da's een origineel bestand van Microsoft.

Hoeft niet per sé hoor. Als je de exacte bestandsgrootte ook even deelt dan is dat te vergelijken. Malware heeft wel eens de neiging code te bevestigen aan bestaande bestanden, of helemaal te vervangen voor een eigen variant. De grootte van het bestand toont dan aan dat het niet het origineel is (datum en tijd is te spoofen).

[ Voor 8% gewijzigd door nst6ldr op 13-07-2012 13:21 ]

nst6ldr schreef op vrijdag 13 juli 2012 @ 13:20:
[...]De grootte van het bestand toont dan aan dat het niet het origineel is.

Eh... really? en wat junk bytes erachter plakken om tot de goeie grootte te koen is onmogelijk?
Een checksum levert beter bewijs, maar dat zal hij niet gaan vinden.
Gezien het feit dat hij na zes keer uitleggen niet snapt dat een remote control tool in z'n PC aantoont dat hij a. serieus gefaald heeft bij z'n PC beveiligen en b. dat ding moet verwijderen (en niet vragen "is het dan een virus?") denk ik dat het advies die hele PC plat te maken en vers te installeren en dan een behoorlijk antivirus pakket erop te gooien (neem Avira als het gratis moet) en de firewall op te voeden voor hem toch het beste is.

nst6ldr,

Bestandsnaam. bestandsgrootte, datum en tijd zeggen verder niets over een bestand.

Vergelijk de hash (SHA256 of beter) om te kunnen zien of het om hetzelfde bestand gaat


Het bestand dat ik hier heb is voorzien van een geldige digitale handtekening, certificaat is in orde.
Om het te kunnen vergelijken heb ik 't dus geupload naar virustotal en de link hier gepost.
Als je even de moeite neemt om verder te kijken op https://www.virustotal.co...ea34/analysis/1342177939/ (klik eens op 'more details' en 'Additional information') dan kun je daar nog veel meer informatie vinden over dit bestand.

Verwijderd schreef op vrijdag 13 juli 2012 @ 14:13:
[...]

Eh... really? en wat junk bytes erachter plakken om tot de goeie grootte te koen is onmogelijk?
Een checksum levert beter bewijs, maar dat zal hij niet gaan vinden.

Vriend,

Als de betreffende DLL kleiner uitvalt na het toevoegen van code (en dan ga ik niet eens in op de wijze waarop), dan doe je toch écht iets verkeerd.

Verwijderd schreef op vrijdag 13 juli 2012 @ 14:19:
nst6ldr,

Bestandsnaam. bestandsgrootte, datum en tijd zeggen verder niets over een bestand.

Vergelijk de hash (SHA256 of beter) om te kunnen zien of het om hetzelfde bestand gaat

Ik heb er een aantal doorgestreept, deze heb ik niet genoemd, dan wel specifiek aangewezen als slechte wijze ter identificatie. Voor de rest refereer ik naar de regel hierboven.

nst6ldr schreef op vrijdag 13 juli 2012 @ 23:29:
[...]


Vriend,

Als de betreffende DLL kleiner uitvalt na het toevoegen van code (en dan ga ik niet eens in op de wijze waarop), dan doe je toch écht iets verkeerd.

Vriend,

trouwens,

hee jij met je arrogante toontje,

als je niet weet wat compressie is, en niet weet dat je FileA gewoon kunt renamen naar FileB en dan een verse FileA maken met je virus erin die alle calls die hij niet af kan werken aan FileB doorgeeft, en niet snapt dat er nog wel meer manieren zijn om een virale file op de plaats van het origineel te krijgen waarbij de virale file kleiner is dan het origineel, dan weet je zoveel van virussen schrijven dat het misschien handig is je toon even wat te matigen.

Verwijderd schreef op zaterdag 14 juli 2012 @ 08:24:
[...]

Vriend,

trouwens,

hee jij met je arrogante toontje,

Ah, en dit:

Verwijderd schreef op vrijdag 13 juli 2012 @ 14:13:
[...]

Eh... really? en wat junk bytes erachter plakken om tot de goeie grootte te koen is onmogelijk?

valt uiteraard niet in die categorie.

Wat betreft dit:

Verwijderd schreef op zaterdag 14 juli 2012 @ 08:24:
[...]
als je niet weet wat compressie is, en niet weet dat je FileA gewoon kunt renamen naar FileB en dan een verse FileA maken met je virus erin die alle calls die hij niet af kan werken aan FileB doorgeeft, en niet snapt dat er nog wel meer manieren zijn om een virale file op de plaats van het origineel te krijgen waarbij de virale file kleiner is dan het origineel, dan weet je zoveel van virussen schrijven dat het misschien handig is je toon even wat te matigen.

is niet eens relevant. Ik kan een hoop methodes bedenken maar al zoek ik iets wat efficient is en niet teveel aandacht trekt i.v.m. heuristics based scans, dan vallen er toch echt een hoop af waaronder je voorbeeld. Je bent altijd vrij zelf te gaan testen, in mijn VM's en testsysteem wordt doorgeven van calls vrijwel direct opgemerkt.

Verwijderd schreef op vrijdag 13 juli 2012 @ 14:13:
[...]

denk ik dat het advies die hele PC plat te maken en vers te installeren en dan een behoorlijk antivirus pakket erop te gooien (neem Avira als het gratis moet) en de firewall op te voeden voor hem toch het beste is.

Dat denk ik ook, maar vooral omdat ik vermoed dat dit nog maar het topje van de ijsberg is. Fijn dat hij iets met puur geluk ontdekt heeft, maar dat betekent niet dat er niet meer op zijn PC staat. Het maakt de waarschijnlijkheid alleen maar groter.

het wordt hier zelfs al bevestigd.

Legerarmy schreef op vrijdag 13 juli 2012 @ 17:55:
[...]

Inpreciepe heb ik mn pc zo opgericht dat als ik een nieuwe installatie wilt doen dat ik niets verlies kwa bestanden omdat die op de andere schrijf staan. Alleen windows staat op mn ssd en 1 spel

Ik had nog een torjan gezien in mn services xD MmcAspExt.exe

Waarom denk je dat er geen virussen/trojans in de bestanden op de andere schijf staan? Ben je echt zo naief? Je kunt NIETS meer vertrouwen op die PC.

Schakel die schijf uit in de bios en zet die pas weer aan als je een clean install hebt gedaan met alle beveiligingsmaatregelen.

[ Voor 37% gewijzigd door SlaadjeBla op 14-07-2012 14:36 ]

SlaadjeBla schreef op zaterdag 14 juli 2012 @ 14:33:
[...]

Waarom denk je dat er geen virussen/trojans in de bestanden op de andere schijf staan? Ben je echt zo naief? Je kunt NIETS meer vertrouwen op die PC.

Schakel die schijf uit in de bios en zet die pas weer aan als je een clean install hebt gedaan met alle beveiligingsmaatregelen.

Dat, en overweeg eens je wachtwoorden te veranderen na die clean install.