Toon posts:

Verdacht autoit script gevonden op computer. Wellicht virus?

Pagina: 1
Acties:

Vraag

woensdag 27 januari 2016 21:23

Acties:
  • 0 Henk 'm!
  • shostakovits
  • Registratie: April 2005
  • Laatst online: 04-07 22:44

shostakovits

Topicstarter
Nadat mijn moeder klaagde over een crashende pc, ben ik de uitdaging aangegaan om het probleem te vinden.

BSOD code was altijd hetzelfde: 0x000000F4.
Google heeft mij verteld dat het probleem dan in drivers en/of geheugen kan zitten.
Nadat ik onderstaand verhaal heb gedaan, loopt nu de Memtestx86. Zodra deze de 24 uur heeft gemaakt, zal ik mijn bevindingen weer delen.


Er draaide een proces met de naam "PXDbWMgNBJZGLVJdPc.exe" wat al wat alarmbellen deed rinkelen.
Ik heb geprobeerd om het proces te killen met de taskmanager, maar dit mocht niet baten (Lees: was onmogelijk). Ik heb daarna processexplorer gestart, om te kijken of het hier wel mee lukte, zonder succes.
Wel heb ik kunnen achterhalen dat het een Autoit script aanroept.

Hierna heb ik de computer in veilige modus opgestart. gelukkig was het proces toen niet meer zichtbaar. Ik heb het uitvoerbaar bestand hernoemd, zodat deze niet meer uitvoerbaar is. Ook heb ik het Autoit script kunnen vinden, wat er uitgevoerd werd.

Het gaat hier om een Windows 7 pc. Normaliter worden er alleen films bewerkt m.b.v. Pinnacle, en een beetje huis-tuin-en-keuken surf gedrag. AVG Antivirus draait, en is bijgewerkt, maar geeft geen kik bij deze file.

Is er iemand die van onderstaand Autoit script iets begrijpt, of mij kan vertellen wat het doet?
En nog belangrijker, moet mijn moeder zich zorgen maken, ja of nee?

Voor zover ik heb kunnen zien, zijn er geen bestanden beschadigd. Er zijn geen firewall uitzonderingen toegevoegd. Al met al lijkt het onschuldig, maar zou ik het toch fijn vinden als er door de professionals ook nog even meegekeken wordt.

Alvast bedankt!

Link naar Autoit script: http://pastebin.com/aBBj1heC

Beste antwoord (via shostakovits op 28-01-2016 18:23)

woensdag 27 januari 2016 22:05

  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

shostakovits schreef op woensdag 27 januari 2016 @ 21:23:
Is er iemand die van onderstaand Autoit script iets begrijpt, of mij kan vertellen wat het doet?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

Func _Crypt_Startup()
    If __Crypt_RefCount() = 0 Then
        Local $hAdvapi32 = DllOpen("Advapi32.dll")
        If $hAdvapi32 = -1 Then Return SetError(1, 0, False)
        __Crypt_DllHandleSet($hAdvapi32)
        Local $iProviderID = $PROV_RSA_AES
        Local $aRet = DllCall(__Crypt_DllHandle(), "bool", "CryptAcquireContext", "handle*", 0, "ptr", 0, "ptr", 0, "dword", $iProviderID, "dword", $CRYPT_VERIFYCONTEXT)
        If @error Or Not $aRet[0] Then
            Local $iError = @error + 10, $iExtended = @extended
            DllClose(__Crypt_DllHandle())
            Return SetError($iError, $iExtended, False)
        Else
            __Crypt_ContextSet($aRet[1])
        EndIf
    EndIf
    __Crypt_RefCountInc()
    Return True
 EndFunc

Hier worden de crypto functies geladen van Windows.
Verderop staat ook _Crypt_EncryptData() welke je data encrypt.

Verderop staat ook:
code:
1
2
3
4
5

Func UTGSNeDSDhALcGIUDXUMRXIaXGg()
    If ProcessExists("winlogon.exe") Then
RegWrite("HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\", "Microsoft Corporation " & $gJNhUdJTCecdcRPUdVATWUgMIQXNCFAd, "REG_SZ", '"' & @AppDataDir & "\" & $gJNhUdJTCecdcRPUdVATWUgMIQXNCFAd & ".exe" & '" "' & @AppDataDir & "\" & $gJNhUdJTCecdcRPUdVATWUgMIQXNCFA & ".au3" & '"')
    EndIf
EndFunc

Deze start PXDbWMgNBJZGLVJdPc.exe tijdens opstarten.
shostakovits schreef op woensdag 27 januari 2016 @ 21:23:
En nog belangrijker, moet mijn moeder zich zorgen maken, ja of nee?
Ja, het lijkt op ransomware. Zoals je die ziet nadat mensen een (pdf/zip).exe openen vanuit een e-mail van de belastingdienst, fax, whatsapp voicemail, factuur, etc. etc.
Het is dus mogelijk dat ondertussen bepaalde bestanden (films) encrypt zijn en onbruikbaar.

Upload je bestanden eens naar: https://www.virustotal.com/

Update: onderzoek wijst uit dat het geen ransomware hoeft te zijn maar kan bijvoorbeeld ook een InfoStealer kit zijn zoals hier beschreven: https://community.fireeye...1197?forceNoRedirect=true
De crypt.au3 is een standaard autoit script https://www.autoitscript....ns/_Crypt_EncryptData.htm
Het kan dus ook zijn dat ze nu je moeders privé gegevens hebben zoals login wachtwoorden, creditcard (als die op PC stond), etc. etc.

[ Voor 10% gewijzigd door DJMaze op 27-01-2016 22:15 ]

Maak je niet druk, dat doet de compressor maar

Alle reacties

woensdag 27 januari 2016 22:05

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

shostakovits schreef op woensdag 27 januari 2016 @ 21:23:
Is er iemand die van onderstaand Autoit script iets begrijpt, of mij kan vertellen wat het doet?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

Func _Crypt_Startup()
    If __Crypt_RefCount() = 0 Then
        Local $hAdvapi32 = DllOpen("Advapi32.dll")
        If $hAdvapi32 = -1 Then Return SetError(1, 0, False)
        __Crypt_DllHandleSet($hAdvapi32)
        Local $iProviderID = $PROV_RSA_AES
        Local $aRet = DllCall(__Crypt_DllHandle(), "bool", "CryptAcquireContext", "handle*", 0, "ptr", 0, "ptr", 0, "dword", $iProviderID, "dword", $CRYPT_VERIFYCONTEXT)
        If @error Or Not $aRet[0] Then
            Local $iError = @error + 10, $iExtended = @extended
            DllClose(__Crypt_DllHandle())
            Return SetError($iError, $iExtended, False)
        Else
            __Crypt_ContextSet($aRet[1])
        EndIf
    EndIf
    __Crypt_RefCountInc()
    Return True
 EndFunc

Hier worden de crypto functies geladen van Windows.
Verderop staat ook _Crypt_EncryptData() welke je data encrypt.

Verderop staat ook:
code:
1
2
3
4
5

Func UTGSNeDSDhALcGIUDXUMRXIaXGg()
    If ProcessExists("winlogon.exe") Then
RegWrite("HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\", "Microsoft Corporation " & $gJNhUdJTCecdcRPUdVATWUgMIQXNCFAd, "REG_SZ", '"' & @AppDataDir & "\" & $gJNhUdJTCecdcRPUdVATWUgMIQXNCFAd & ".exe" & '" "' & @AppDataDir & "\" & $gJNhUdJTCecdcRPUdVATWUgMIQXNCFA & ".au3" & '"')
    EndIf
EndFunc

Deze start PXDbWMgNBJZGLVJdPc.exe tijdens opstarten.
shostakovits schreef op woensdag 27 januari 2016 @ 21:23:
En nog belangrijker, moet mijn moeder zich zorgen maken, ja of nee?
Ja, het lijkt op ransomware. Zoals je die ziet nadat mensen een (pdf/zip).exe openen vanuit een e-mail van de belastingdienst, fax, whatsapp voicemail, factuur, etc. etc.
Het is dus mogelijk dat ondertussen bepaalde bestanden (films) encrypt zijn en onbruikbaar.

Upload je bestanden eens naar: https://www.virustotal.com/

Update: onderzoek wijst uit dat het geen ransomware hoeft te zijn maar kan bijvoorbeeld ook een InfoStealer kit zijn zoals hier beschreven: https://community.fireeye...1197?forceNoRedirect=true
De crypt.au3 is een standaard autoit script https://www.autoitscript....ns/_Crypt_EncryptData.htm
Het kan dus ook zijn dat ze nu je moeders privé gegevens hebben zoals login wachtwoorden, creditcard (als die op PC stond), etc. etc.

[ Voor 10% gewijzigd door DJMaze op 27-01-2016 22:15 ]

Maak je niet druk, dat doet de compressor maar

woensdag 27 januari 2016 22:17

Acties:
  • 0 Henk 'm!
  • GerardVanAfoort
  • Registratie: April 2010
  • Niet online

GerardVanAfoort

Slapen is een hobby

En het zekere voor het onzekere: http://www.surfright.nl/en/kickstart

De rest is vrije tijd. Breathe in breathe out

woensdag 27 januari 2016 22:27

Acties:
  • 0 Henk 'm!
  • shostakovits
  • Registratie: April 2005
  • Laatst online: 04-07 22:44

shostakovits

Topicstarter
@DJMaze

https://www.virustotal.co...acd4de2bf1f86f0/analysis/
https://www.virustotal.co...8f84/analysis/1453929030/

De resultaten van de geüploade files naar Virustotal.
Detectieverhouding van 1 op 54. Lijkt me dus een 'vals alarm'.

Nu schiet me ineens iets te binnen: Stel ik zou de file uitvoeren in een Sandbox. Dan zou ik het gedrag toch moeten kunnen analyseren, zonder dat mijn huidige systeem geïnfecteerd wordt? Is mijn denkwijze correct?
Of kan ik beter een VM klaarmaken, en daarin gaan testen/rommelen.

@Vermeulen
Thnx voor de tip! Dit ga ik morgen direct testen als ik weer terug van het werk ben.

Ik laat wel weten wat de uitkomst geworden is.

woensdag 27 januari 2016 22:40

Acties:
  • 0 Henk 'm!
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

sandboxie
http://www.sandboxie.com


samen met de utilities kun je dat uitstekend uitzoeken
http://www.sandboxie.com/?ContributedUtilities

Iperf

donderdag 28 januari 2016 18:22

Acties:
  • 0 Henk 'm!
  • shostakovits
  • Registratie: April 2005
  • Laatst online: 04-07 22:44

shostakovits

Topicstarter
Memtest is met succes afgerond, 24uur zonder errors. Dus geheugen is OK.
Surfright Kickstart gedraaid, met als resultaat een paar tracking cookies. Ook niks om me zorgen over te maken.

Met een beetje geluk heb ik het bestand gevonden wat de 'infectie' gestart heeft. Een Epub bestand vermomd als een .exe bestand.

Ik ga zo een VM inrichten, en proberen te achterhalen wat het 'virus' allemaal probeert te doen.

Iedereen bedankt voor de hulp, tips en uitleg.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq