Trojan verwijderd. Nu veilig?

vrijdag 8 mei 2015 19:01

Acties:

0 Henk 'm!

Anoniem: 600543

Topicstarter

Ik heb na een tip in een ander topic geprobeerd malware te vinden op mijn computer. Die computer gedroeg zich nl. een beetje raar (karakters met diakrieten zoals ë deden het niet meer).

En verdomd: ik had een trojan. Hij deed zich voor als Chrome.exe. Trojan.Win32.Generic. Iemand enig idee wat dat is?

Ik heb het gevonden met een gratis versie van Kaspersky. Na wat processen killen kon ik het bewuste bestand (Chrome.exe) verwijderen. Dat had Norton toch maar mooi doorgelaten.

Ik zie nog wel wat gekke dingen op mijn systeem. Meteen na een reboot, zonder Chrome te hebben opgestart, zijn er al tig processen die zichzelf chrome.exe noemen:

Afbeeldingslocatie: http://i1226.photobucket.com/albums/ee414/evert67/1_zpslvajngwy.jpg

En bij het opstarten wordt een bestand met de rare naam GoogleChromeAutolanch_Heelveelcijfersenletters gestart:

Afbeeldingslocatie: http://i1226.photobucket.com/albums/ee414/evert67/Untitled-1_zpspp5nlcgl.jpg

Is dit normaal of ben ik nu paranoïde (met trema

) geworden?

vrijdag 8 mei 2015 19:12

Acties:

0 Henk 'm!

The Eagle

I wear my sunglasses at night

Bij die laatste zie ik een screenshot van je textinput en niet van een autolaunch

Standaard chrome.exe is van crome zelf, heb je als het goed is een per gebruikt tabblad en ook eentje voor een achtrgrondproces. Loopt vrij snel op.
Maar die autostarter met cijfers zou er niet moeten zijn. Ook geen idee wat dat kan zijn.

Als je safe wilt zijn: backup, format, reinstall

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

vrijdag 8 mei 2015 19:52

Acties:

0 Henk 'm!

photofreak

M'n standaardadvies blijft DBAN + schone installatie.

vrijdag 8 mei 2015 20:39

Acties:

0 Henk 'm!

Anoniem: 600543

Topicstarter

Oeps, foutje met screenshot.

Bij het opstarten wordt een bestand met de rare naam GoogleChromeAutolanch_Heelveelcijfersenletters gestart. De derde van onderen in het onderstaande screenshot.

Is dit normaal?

Afbeeldingslocatie: http://i1226.photobucket.com/albums/ee414/evert67/2_zps2smum1r1.jpg

[ Voor 7% gewijzigd door Anoniem: 600543 op 08-05-2015 20:39 ]

zaterdag 9 mei 2015 21:43

Acties:

0 Henk 'm!

oheng

Chrome autolaunch met een zootje cijfers heb ik nog nooit gezien, en daarom is dat malware.

Draai de volgende programma's eens:

http://www.bleepingcomputer.com/download/adwcleaner/
http://www.malwarebytes.org/antimalware/premium/ (gratis probeer versie uitvinken)
http://www.herdprotect.com/
http://thisisudax.org/

En ter controle:
http://www.surfright.nl/nl (kies voor eenmalig uitvoeren op deze computer)

Controleer als laatste of je Chrome kunt updaten. Chrome update mag niet uitgeschakeld zijn!!!!!

zaterdag 9 mei 2015 22:56

Acties:

0 Henk 'm!

Anoniem: 600543

Topicstarter

Die Chrome met een zootje cijfers doet overigens niets meer dan Chrome pre-loaden. Hij is ook gesigned door Google. Hoezo zou dat kwaad kunnen? Start Chrome gewoon wat sneller op.

Maar ik heb hem verwijders. Een een paar cleaners gedraaid. Gelukkig verder niets gevonden.

Bedankt!

[ Voor 6% gewijzigd door Anoniem: 600543 op 09-05-2015 22:58 ]

zondag 10 mei 2015 09:52

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Malware

De enige juiste manier om een malware infectie op te ruimen is een complete herinstallatie gevolgd door een restore van je bestanden uit een schone backup waarvan je zeker bent dat het niet besmet is. Allerlei desinfectie tools zijn handig maar je weet nooit goed wat er achter blijft en vaak los je het probleem daarmee niet helemaal op. Ook het lek waardoor je bent besmet dicht een desinfectie tool niet. Misschien kun je de bron van besmetting nog achterhalen maar vaak is dat al te laat wanneer je de besmetting niet bewust hebt meegemaakt.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 10 mei 2015 15:25

Acties:

0 Henk 'm!

Anoniem: 600543

Topicstarter

Tuurlijk. Als je een paar vrije dagen hebt is dat de beste oplossing.

Alleen als je die niet hebt, moet je wel eens wat anders.

zondag 17 mei 2015 12:42

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Malware

Anoniem: 600543 schreef op zondag 10 mei 2015 @ 15:25:
Tuurlijk. Als je een paar vrije dagen hebt is dat de beste oplossing.

Alleen als je die niet hebt, moet je wel eens wat anders.

Waarbij je nooit zeker zult weten of de trojan echt weg is en of je het lek waardoor je de trojan hebt opgelopen is gedicht. Verwijdering met tools is leuk en handig wanneer je bv enkele bestanden wilt redden maar om echt van een besmetting af te komen is alleen herinstallatie met een bron waarvan je zeker bent dat deze schoon is een goede oplossing.

Het feit dat je hier komt vragen of zaken normaal zijn geeft al aan (no flame intended) dat je niet over voldoende kennis beschikt om een goede afweging te maken op dit punt. Juist dan zou ik voor de meest veilige weg kiezen. Daarbij, dat een herinstallatie een paar vrije dagen kost is natuurlijk compleet onzin.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 17 mei 2015 15:05

Acties:

0 Henk 'm!

oheng

Anoniem: 600543 schreef op zaterdag 09 mei 2015 @ 22:56:
Die Chrome met een zootje cijfers doet overigens niets meer dan Chrome pre-loaden. Hij is ook gesigned door Google. Hoezo zou dat kwaad kunnen? Start Chrome gewoon wat sneller op.

Maar ik heb hem verwijders. Een een paar cleaners gedraaid. Gelukkig verder niets gevonden.

Bedankt!

Kun je Chrome ook updaten?

zondag 17 mei 2015 21:09

Acties:

0 Henk 'm!

Anoniem: 551717

heb je nog een backup / herstelparticipatie van een paar weken voordat de malware actief werd?

Onderwerpen