Hi!
Ik heb hier op 4 verschillende systemen een windows 10 calculator.exe zonder handtekening van Microsoft.
Waarom is het verdacht::
1) De handtekening van microsoft mist. Misschien is het proces door een virus geinfecteerd.
2) Ook is de company name en de description leeg.
3) Op dit moment draait het proces wel maar ik heb de calculator niet gestart en de applicatie is niet zichtbaar op het scherm.
4) Op mijn eigen systeem heb ik de afgelopen dagen wat gekke zaken, o.a. hangende computer en bijvoorbeeld een virusscanner die niet opstart tot en met een melding van windows dat mijn virusscanner (avira antivir) en windows defender zijn uitgeschakeld (windows defender heb ik zelf gedisabled via group policies). Avira dacht op dat moment doodleuk dat de bescherming wél actief was.
Waarom is het niet verdacht:
1) Als ik calculator.exe upload naar de verschillende websites (en bijv. virustotal) krijg ik 0/54 infecties terug.
2) Als ik de strings in het geheugen van calculator.exe bekijk (via processexplorer) dan komt er netjes een lijst met calculator gerelateerde strings terug, geen url's of ip adressen.
3) Calculator.exe laat geen netwerkverkeer zien
4) De rest van het systeem lijkt veilig: alle windows system files hebben netjes een handtekening (zie afbeelding, alles zonder handtekening staat bovenaan).
5) De 4 systemen die ik in beheer hebben laten allemaal hetzelfde plaatje zien.
Vraag:
Is dit bestand gevaarlijk? Komst jouw calculator.exe ook zonder handtekening?
Hoe check je of calculator.exe een handtekening heeft:
start processexplorer,
kies menu view -> select columns en vink aan: Verified signer en Image path.
kies menu options -> vink aan "Verify image signatures"
Start eventueel de calculator (als hij nog niet draait).
Ik heb hier op 4 verschillende systemen een windows 10 calculator.exe zonder handtekening van Microsoft.
Waarom is het verdacht::
1) De handtekening van microsoft mist. Misschien is het proces door een virus geinfecteerd.
2) Ook is de company name en de description leeg.
3) Op dit moment draait het proces wel maar ik heb de calculator niet gestart en de applicatie is niet zichtbaar op het scherm.
4) Op mijn eigen systeem heb ik de afgelopen dagen wat gekke zaken, o.a. hangende computer en bijvoorbeeld een virusscanner die niet opstart tot en met een melding van windows dat mijn virusscanner (avira antivir) en windows defender zijn uitgeschakeld (windows defender heb ik zelf gedisabled via group policies). Avira dacht op dat moment doodleuk dat de bescherming wél actief was.
Waarom is het niet verdacht:
1) Als ik calculator.exe upload naar de verschillende websites (en bijv. virustotal) krijg ik 0/54 infecties terug.
2) Als ik de strings in het geheugen van calculator.exe bekijk (via processexplorer) dan komt er netjes een lijst met calculator gerelateerde strings terug, geen url's of ip adressen.
3) Calculator.exe laat geen netwerkverkeer zien
4) De rest van het systeem lijkt veilig: alle windows system files hebben netjes een handtekening (zie afbeelding, alles zonder handtekening staat bovenaan).
5) De 4 systemen die ik in beheer hebben laten allemaal hetzelfde plaatje zien.
Vraag:
Is dit bestand gevaarlijk? Komst jouw calculator.exe ook zonder handtekening?
Hoe check je of calculator.exe een handtekening heeft:
start processexplorer,
kies menu view -> select columns en vink aan: Verified signer en Image path.
kies menu options -> vink aan "Verify image signatures"
Start eventueel de calculator (als hij nog niet draait).
:strip_icc():strip_exif()/u/158536/850RGot.jpg?f=community)
/u/28468/librarian2.png?f=community)
