Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

  • Legerarmy
  • Registratie: Juni 2011
  • Laatst online: 24-11 17:39
Hallo Tweakers,

Ik zag het volgende in mijn Windows Taakbeheer:

ShFusRes.exe


Wat is dat?
Ik heb volgens mij iets verkeerd gedownload (keygen -.-) en ging meteen even kijken wat het dan wel was.

Als ik het proces kill komt hij weer omhoog.. na wat zoek werk zag ik het volgende:
SHFUSRES.EXE is Backdoor Blackshades

Maar wat weten jullie er van?
Is het een virus?? zo ja? hoe haal ik het weg?

Ik heb mn internet kabel er uit gehaald en flidder 2 aan gezet om te kijken of hij requesten probeer te doen...
Momenteel zit ik nu in save mode te zoeken naar:
ShFusRes, nu vindt ik veel ShFusRus.dll bestanden...

  • MEN-O
  • Registratie: Oktober 2006
  • Laatst online: 15:29
Tjsa, de eerste hit op google zegt :

The program SHFUSRES.EXE is used for hidden penetration into PC and its remote administration.
UnHackMe is recommended as a reliable program for solving the problem with SHFUSRES.EXE.
Download for free: http://www.unhackme.com

Duidelijk lijkt me ?

  • Legerarmy
  • Registratie: Juni 2011
  • Laatst online: 24-11 17:39
niet echt...

Het programma SHFUSRES.EXE wordt gebruikt voor het verborgen penetratie in PC en haar beheer op afstand.

is dit nou goed of slecht?

  • Killerbert
  • Registratie: September 2007
  • Laatst online: 19-11 16:50
als je wilt dat andere personen je PC kunnen bedienen, dan is het goed 8)7

[ Voor 6% gewijzigd door Killerbert op 12-07-2012 21:40 ]

Op een dag drink je geen bier meer maar drink je Grolsch... My specs


  • -ET-
  • Registratie: Augustus 2001
  • Laatst online: 19:59

-ET-

Phone Home

Dat is slecht iemand kan nu zonder je mede weten je pc beheren

  • Legerarmy
  • Registratie: Juni 2011
  • Laatst online: 24-11 17:39
Ja oke, maar dit is dan geen virus..?

  • markvt
  • Registratie: Maart 2001
  • Laatst online: 19:53

markvt

Peppi Cola

Niet per definitie een virus maar wel iets wat je waarschijnlijk niet op je pc wilt hebben. Heb je een goede virusscanner, anders wellicht een trial downloaden en die rommel verwijderen. Als je het besmette bestand hier upload: https://www.virustotal.com/ dan kan je zien welke anti virus het kan verwijderen.

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !


  • PilatuS
  • Registratie: September 2002
  • Niet online
Is het een virus?? zo ja? hoe haal ik het weg?
Misschien met een anti-virus programma ? Als je nu geen anti-virus draait vraag je wel om problemen met keygens en andere rommel.

  • Legerarmy
  • Registratie: Juni 2011
  • Laatst online: 24-11 17:39
Ja, maar ik kan het .exe file niet vinden...
wel veel ShFusRes.dll bestenden maar die waren aangemaakt op 5-11-2010 iniedergeval niet recent..

Maar dat is volgens mij van windows zelf?


Ik heb als virus scanner: microsoft security essentials

[ Voor 13% gewijzigd door Legerarmy op 12-07-2012 21:47 ]


  • Mental
  • Registratie: Maart 2000
  • Laatst online: 20-10-2020
Als het proces draait kan je natuurlijk in je taskmanager ook zien waar hij is opgestart.. simpelweg de kolom 'opdrachtregel' of 'commandline' toevoegen in je proceslijst.
ShFusRes.dll is niet van windows zelf en hoort ook niet thuis op je pc, zsm verwijderen.
microsoft security essentials
Dat laatste zegt het al: het minimaal benodigde, investeer dus wat in een goede virusscanner (staan genoeg vergelijkingstesten online).

[ Voor 27% gewijzigd door Mental op 17-07-2013 23:33 . Reden: Ja, zo erg was de spelfout ;) ]


  • Mad Marty
  • Registratie: Juni 2003
  • Laatst online: 20:19

Mad Marty

Je bent slimmer als je denkt!

1. Format C:
2. Reinstall Windows
3. Installeer een GOEDE en UP TO DATE virusscanner

Andere oplossingen zijn symptoombestrijdingen en vroeg of laat zit je wederom met de gebakken peren.

[ Voor 15% gewijzigd door Mad Marty op 12-07-2012 21:49 ]

Rail Away!


  • Mental
  • Registratie: Maart 2000
  • Laatst online: 20-10-2020
Overigens is fiddler2 niet bedoeld om al het verkeer van een proces te monitoren, het doet alleen http(s) verkeer monitoren.
Zeker weten? Download WireShark.

  • Legerarmy
  • Registratie: Juni 2011
  • Laatst online: 24-11 17:39
Ja, ik zag dat hij nog in mijn temp map stond, ik heb toen al mijn tmp files geleegd en ik kon het bestand niet vinden, na de reboot was hij weer in mn processen en er was geen bestand te vinden..

  • Mental
  • Registratie: Maart 2000
  • Laatst online: 20-10-2020
Kijk in je taskmanager, daar staat exact waar hij opgestart wordt.

  • Legerarmy
  • Registratie: Juni 2011
  • Laatst online: 24-11 17:39
ik was exact naar die locatie gegaan, file was niet te vinden in de map (en ja hij laat ook mn hidden files zien)

  • Mental
  • Registratie: Maart 2000
  • Laatst online: 20-10-2020
En.. laat hij ook beveiligde systeembestanden zien? (lees: files met attribute 'system').

Verder je autoruns checken in je register en in je start menu; eventuele extra modules die worden geladen tijdens het booten (staat in je eventlog) etc.
Nog niet gevonden? Reinstall van windows.

[ Voor 53% gewijzigd door Mental op 12-07-2012 21:54 ]


  • Legerarmy
  • Registratie: Juni 2011
  • Laatst online: 24-11 17:39
damn, ik had die wel aan staan, maar niet verborgen bestanden en mappen weergeven.

Nu ik deze aan heb die ik de damn bestard er bij staan!

KILL IT WITH FIRE


so thnx =) ik laat eerst hem even de scan (volledige scan) afmaken kijken wat hij vindt.

[ Voor 22% gewijzigd door Legerarmy op 12-07-2012 21:58 ]


  • naam
  • Registratie: Oktober 2007
  • Laatst online: 05-11 17:53
Pc leeggooien en opnieuw installeren. De enige oplossing, vroeger of later komt het toch weer terug anders.

  • Mental
  • Registratie: Maart 2000
  • Laatst online: 20-10-2020
Waarchijnlijk weinig aangezien realtime protection hoogstwaarschijnlijk aanstaat en hij hem niet eens vind als hij al draait.
Goede virusscanner is hier noodzaak (eigenlijk is een 'internet security' pakket meer op zijn plaats)

  • Legerarmy
  • Registratie: Juni 2011
  • Laatst online: 24-11 17:39
Is ShFucRes.dll nou wel een virus?
Kunnen jullie kijken of jullie deze op jullie windows 7 pc hebben..?


C:\Windows\Microsoft.NET\Framework\v2.0.50727\nl

daar zit in:

shfusion.chm
ShFusRes.dll

[ Voor 32% gewijzigd door Legerarmy op 12-07-2012 22:55 ]


  • photofreak
  • Registratie: Augustus 2009
  • Laatst online: 23-11 08:31
@ Legerarmy

Ik zou zeggen, upload ze naar virustotal.com om te kijken of het malware is. Nu is het verwijderen van deze bestanden mocht het malware zijn niet genoeg lijkt me, ik zou zeggen draai eens HitmanPro en MalwareBytes om te zoeken naar malware.

  • LnC
  • Registratie: Juni 2005
  • Laatst online: 03-08 11:16

LnC

The offending line...

Op deze Sophos site kan je zien dat hij naast de .exe bestand ook nog andere bestanden dropt. Tevens maakt hij ook een registry key aan.

Op de bovenstaande link staat ook een removal tool als je zeker wilt zijn om die zooi van je pc te krijgen.
Als ik voor mijzelf spreek, zou ik bij een infectie van een systeem een format C:\ en een verse installatie van Windows.

  • Wokkels
  • Registratie: Juli 2000
  • Laatst online: 29-10-2024

Wokkels

Het lekkerste zoutje

Ja die .dll heb ik ook wel (in tweevoud zelfs), maar dat wil niet zeggen dat die dll op jouw pc niet is aangepast door een backdoor/virus om hem minder te laten opvallen. Ik heb zeker geen .exe met dezelfde naam.
De originele .dll files hebben als beschrijving overigens "Microsoft COM Runtime Fusion Assembly Viewer Resources" en zijn onderdeel van het .NET framework.

Permanent wintericon!


Verwijderd

Legerarmy schreef op donderdag 12 juli 2012 @ 22:52:
Is ShFucRes.dll nou wel een virus?
Kunnen jullie kijken of jullie deze op jullie windows 7 pc hebben..?


C:\Windows\Microsoft.NET\Framework\v2.0.50727\nl

daar zit in:

shfusion.chm
ShFusRes.dll
Heb deze ShFusRes.dll op mijn systeem staan (Win 7 Ultimate):
https://www.virustotal.co...ea34/analysis/1342177939/

Da's een origineel bestand van Microsoft.

  • nst6ldr
  • Registratie: Mei 2010
  • Niet online

nst6ldr

Down with Big Tech.

Verwijderd schreef op vrijdag 13 juli 2012 @ 13:18:
[...]


Heb deze ShFusRes.dll op mijn systeem staan (Win 7 Ultimate):
https://www.virustotal.co...ea34/analysis/1342177939/

Da's een origineel bestand van Microsoft.
Hoeft niet per sé hoor. Als je de exacte bestandsgrootte ook even deelt dan is dat te vergelijken. Malware heeft wel eens de neiging code te bevestigen aan bestaande bestanden, of helemaal te vervangen voor een eigen variant. De grootte van het bestand toont dan aan dat het niet het origineel is (datum en tijd is te spoofen).

[ Voor 8% gewijzigd door nst6ldr op 13-07-2012 13:21 ]

Hoe Android ten einde kwam - Ben je wel kritisch?


Verwijderd

nst6ldr schreef op vrijdag 13 juli 2012 @ 13:20:
[...]De grootte van het bestand toont dan aan dat het niet het origineel is.
Eh... really? en wat junk bytes erachter plakken om tot de goeie grootte te koen is onmogelijk?
Een checksum levert beter bewijs, maar dat zal hij niet gaan vinden.
Gezien het feit dat hij na zes keer uitleggen niet snapt dat een remote control tool in z'n PC aantoont dat hij a. serieus gefaald heeft bij z'n PC beveiligen en b. dat ding moet verwijderen (en niet vragen "is het dan een virus?") denk ik dat het advies die hele PC plat te maken en vers te installeren en dan een behoorlijk antivirus pakket erop te gooien (neem Avira als het gratis moet) en de firewall op te voeden voor hem toch het beste is.

Verwijderd

nst6ldr,

Bestandsnaam. bestandsgrootte, datum en tijd zeggen verder niets over een bestand.

Vergelijk de hash (SHA256 of beter) om te kunnen zien of het om hetzelfde bestand gaat


Het bestand dat ik hier heb is voorzien van een geldige digitale handtekening, certificaat is in orde.
Om het te kunnen vergelijken heb ik 't dus geupload naar virustotal en de link hier gepost.
Als je even de moeite neemt om verder te kijken op https://www.virustotal.co...ea34/analysis/1342177939/ (klik eens op 'more details' en 'Additional information') dan kun je daar nog veel meer informatie vinden over dit bestand.

  • Legerarmy
  • Registratie: Juni 2011
  • Laatst online: 24-11 17:39
Verwijderd schreef op vrijdag 13 juli 2012 @ 14:13:
[...]

Eh... really? en wat junk bytes erachter plakken om tot de goeie grootte te koen is onmogelijk?
Een checksum levert beter bewijs, maar dat zal hij niet gaan vinden.
Gezien het feit dat hij na zes keer uitleggen niet snapt dat een remote control tool in z'n PC aantoont dat hij a. serieus gefaald heeft bij z'n PC beveiligen en b. dat ding moet verwijderen (en niet vragen "is het dan een virus?") denk ik dat het advies die hele PC plat te maken en vers te installeren en dan een behoorlijk antivirus pakket erop te gooien (neem Avira als het gratis moet) en de firewall op te voeden voor hem toch het beste is.
Dat komt omdat je ook op de windows hulp op afstand hebt, ik dacht dat het dan wellicht daar mee te maken had ;)

Ik ga de schrijf formateren en dan nieuwe windows 7 versie installeren. Bedankt voor de info boys.
Ik heb nog 2 andere HD's aangesloten, wat zal ik daar mee doen?

scannen als ik deze aangesloten heb op mn nieuwe windows?

Inpreciepe heb ik mn pc zo opgericht dat als ik een nieuwe installatie wilt doen dat ik niets verlies kwa bestanden omdat die op de andere schrijf staan. Alleen windows staat op mn ssd en 1 spel

Ik had nog een torjan gezien in mn services xD MmcAspExt.exe

  • nst6ldr
  • Registratie: Mei 2010
  • Niet online

nst6ldr

Down with Big Tech.

Verwijderd schreef op vrijdag 13 juli 2012 @ 14:13:
[...]

Eh... really? en wat junk bytes erachter plakken om tot de goeie grootte te koen is onmogelijk?
Een checksum levert beter bewijs, maar dat zal hij niet gaan vinden.
Vriend,

Als de betreffende DLL kleiner uitvalt na het toevoegen van code (en dan ga ik niet eens in op de wijze waarop), dan doe je toch écht iets verkeerd.
Verwijderd schreef op vrijdag 13 juli 2012 @ 14:19:
nst6ldr,

Bestandsnaam. bestandsgrootte, datum en tijd zeggen verder niets over een bestand.

Vergelijk de hash (SHA256 of beter) om te kunnen zien of het om hetzelfde bestand gaat
Ik heb er een aantal doorgestreept, deze heb ik niet genoemd, dan wel specifiek aangewezen als slechte wijze ter identificatie. Voor de rest refereer ik naar de regel hierboven.

Hoe Android ten einde kwam - Ben je wel kritisch?


Verwijderd

nst6ldr schreef op vrijdag 13 juli 2012 @ 23:29:
[...]


Vriend,

Als de betreffende DLL kleiner uitvalt na het toevoegen van code (en dan ga ik niet eens in op de wijze waarop), dan doe je toch écht iets verkeerd.
Vriend,

trouwens,

hee jij met je arrogante toontje,

als je niet weet wat compressie is, en niet weet dat je FileA gewoon kunt renamen naar FileB en dan een verse FileA maken met je virus erin die alle calls die hij niet af kan werken aan FileB doorgeeft, en niet snapt dat er nog wel meer manieren zijn om een virale file op de plaats van het origineel te krijgen waarbij de virale file kleiner is dan het origineel, dan weet je zoveel van virussen schrijven dat het misschien handig is je toon even wat te matigen. |:(

  • nst6ldr
  • Registratie: Mei 2010
  • Niet online

nst6ldr

Down with Big Tech.

Verwijderd schreef op zaterdag 14 juli 2012 @ 08:24:
[...]

Vriend,

trouwens,

hee jij met je arrogante toontje,
Ah, en dit:
Verwijderd schreef op vrijdag 13 juli 2012 @ 14:13:
[...]

Eh... really? en wat junk bytes erachter plakken om tot de goeie grootte te koen is onmogelijk?
valt uiteraard niet in die categorie.

Wat betreft dit:
Verwijderd schreef op zaterdag 14 juli 2012 @ 08:24:
[...]
als je niet weet wat compressie is, en niet weet dat je FileA gewoon kunt renamen naar FileB en dan een verse FileA maken met je virus erin die alle calls die hij niet af kan werken aan FileB doorgeeft, en niet snapt dat er nog wel meer manieren zijn om een virale file op de plaats van het origineel te krijgen waarbij de virale file kleiner is dan het origineel, dan weet je zoveel van virussen schrijven dat het misschien handig is je toon even wat te matigen. |:(
is niet eens relevant. Ik kan een hoop methodes bedenken maar al zoek ik iets wat efficient is en niet teveel aandacht trekt i.v.m. heuristics based scans, dan vallen er toch echt een hoop af waaronder je voorbeeld. Je bent altijd vrij zelf te gaan testen, in mijn VM's en testsysteem wordt doorgeven van calls vrijwel direct opgemerkt.

Hoe Android ten einde kwam - Ben je wel kritisch?


  • SlaadjeBla
  • Registratie: September 2002
  • Laatst online: 19:14
Verwijderd schreef op vrijdag 13 juli 2012 @ 14:13:
[...]

denk ik dat het advies die hele PC plat te maken en vers te installeren en dan een behoorlijk antivirus pakket erop te gooien (neem Avira als het gratis moet) en de firewall op te voeden voor hem toch het beste is.
Dat denk ik ook, maar vooral omdat ik vermoed dat dit nog maar het topje van de ijsberg is. Fijn dat hij iets met puur geluk ontdekt heeft, maar dat betekent niet dat er niet meer op zijn PC staat. Het maakt de waarschijnlijkheid alleen maar groter.

het wordt hier zelfs al bevestigd.
Legerarmy schreef op vrijdag 13 juli 2012 @ 17:55:
[...]

Inpreciepe heb ik mn pc zo opgericht dat als ik een nieuwe installatie wilt doen dat ik niets verlies kwa bestanden omdat die op de andere schrijf staan. Alleen windows staat op mn ssd en 1 spel

Ik had nog een torjan gezien in mn services xD MmcAspExt.exe
Waarom denk je dat er geen virussen/trojans in de bestanden op de andere schijf staan? Ben je echt zo naief? Je kunt NIETS meer vertrouwen op die PC.

Schakel die schijf uit in de bios en zet die pas weer aan als je een clean install hebt gedaan met alle beveiligingsmaatregelen.

[ Voor 37% gewijzigd door SlaadjeBla op 14-07-2012 14:36 ]


  • nst6ldr
  • Registratie: Mei 2010
  • Niet online

nst6ldr

Down with Big Tech.

SlaadjeBla schreef op zaterdag 14 juli 2012 @ 14:33:
[...]

Waarom denk je dat er geen virussen/trojans in de bestanden op de andere schijf staan? Ben je echt zo naief? Je kunt NIETS meer vertrouwen op die PC.

Schakel die schijf uit in de bios en zet die pas weer aan als je een clean install hebt gedaan met alle beveiligingsmaatregelen.
Dat, en overweeg eens je wachtwoorden te veranderen na die clean install.

Hoe Android ten einde kwam - Ben je wel kritisch?

Pagina: 1