Trojan:Win32/Dynamer!ac Echt of nep? - Privacy en beveiliging

zaterdag 1 april 2017 10:19

Acties:

Topicstarter

Hallo Tweakers,
Gisteren heb ik Windows defender een complete scan van mijn computer laten maken.

Helaas detecteerde deze een Trojan.
Trojan:Win32/Dynamer!ac

Echter kan defender er niets mee. Niet in quarantaine plaatsen of verwijderen.

Toen met malwarebytes aan de slag gegaan.. vond helemaal niks, schoon systeem.

Toen met nod32 aan de slag, wederom geen geïnfecteerde bestanden..

Ff aan het googelen gegaan.. maar daar wordt ik niets beter van. De ene zegt dat het een zware virus/malware is en de andere heeft het over een "false hit"/ "false positif"

Heb de defender scan opnieuw gedaan en de trojan kwam opnieuw te voor schijn en heb ik bij de detials gekeken.. hij moet staan in een recycle.bin op me D-schijf..

Misschien kunnen jullie mij verder helpen en of ik me zorgen moet gaan maken de ja of nee

Nog ff foto van de melding
Afbeeldingslocatie: https://tweakers.net/ext/f/qBTUYKOj3Inr1ODdHVfYE016/full.jpg

Afbeeldingslocatie: https://tweakers.net/ext/f/qBTUYKOj3Inr1ODdHVfYE016/full.jpg

[ Voor 5% gewijzigd door ronald92 op 01-04-2017 10:21 ]

zaterdag 1 april 2017 10:22

Acties:

OosterF

Heb je de bijgevoegde afbeelding zelf ook bekeken? Defender heeft jouw illegale versie van Microsoft Office gevonden, en ziet de activator (crack) als virus. Dus zo lang stichting Brein niet actief dit forum monitort hoef jij je geen zorgen te maken.

zaterdag 1 april 2017 10:25

Acties:

ronald92

Topicstarter

Maar ik heb helemaal geen Microsoft Office op die pc staan dus snap er niks van

En geprobeerd de map te openen waar de file moet staan maar is helemaal leeg, heb ook verborgen mappen zichtbaar maken aanstaan

[ Voor 45% gewijzigd door ronald92 op 01-04-2017 10:33 ]

zaterdag 1 april 2017 10:28

Acties:

arvidbeheerder

Kijk naar het pad wat in de naam staat, het lijkt in je prullenbak te staan. De kans dat er werkelijk rotzooi zit in zo een minder legale versie van office is natuurlijk vrij groot. Je kan proberen met CCleaner of iets in die richting alle overbodige shit weg te gooien en dan hopen dat hij de files kan deleten.

zaterdag 1 april 2017 10:30

Acties:

DutchKel

Je hebt de installatie wel op die pc staan en "verwijderd". Je hoeft alleen de prullenbak van de D schijf leeg te maken. Omdat het in de ISO zit kan windows defender hem niet apart verwijderen.

Er zijn niet veel tools die in ISO bestanden kijken dus daarom wordt die ook niet gevonden door andere tools.

Don't drive faster than your guardian angel can fly.

zaterdag 1 april 2017 10:30

Acties:

OosterF

Het bestand wat gedetecteerd is staat ook in de prullenbak. Het is geen geïnstalleerde versie van Microsoft Office, maar het zijn de setup files. Het bestand wat gedetecteerd is, is AutoKMS. Dit is een veelgebruikte activator, en is geen virus. In dat opzicht hoef je je geen zorgen te maken. Maar het is natuurlijk netter om gewoon voor software te betalen.

zaterdag 1 april 2017 10:32

Acties:

DutchKel

OosterF schreef op zaterdag 1 april 2017 @ 10:30:
Het bestand wat gedetecteerd is staat ook in de prullenbak. Het is geen geïnstalleerde versie van Microsoft Office, maar het zijn de setup files. Het bestand wat gedetecteerd is, is AutoKMS. Dit is een veelgebruikte activator, en is geen virus. In dat opzicht hoef je je geen zorgen te maken. Maar het is natuurlijk netter om gewoon voor software te betalen.

Ik zie dat het virus in setup32.exe en meer van die setup bestanden zit, dat is geen autokms maar dus werkelijk een virus. Tenzij iemand intussen autokms in setup32.exe erbij verpakt, maar dat geloof ik niet zo.

Don't drive faster than your guardian angel can fly.

zaterdag 1 april 2017 10:37

Acties:

ronald92

Topicstarter

Ik heb ook een betaalde licentie van Microsoft op me laptop staan en de computer gebruik ik puur alleen voor gamen en photoshop (ook legaal)

Nadat er dreigingen kwamen dat brein misschien mensen boetes gingen opleggen heb ik geen eens meer overwogen on illegaal dingen te downloaden

Ik snap ook niet dat ik deze meldingen krijg.. trouwens prullenbak is ook leeg..
Moet ik de SSD laten optimaliseren? Trim commando? Dan worden dat soort bestanden toch ook verwijderd?

Ps: Om Autokms maak ik mij niet zo'n zorgen. Schijnt geen gevaar te zijn. Alleen vaak gebruikt voor illegale software heb ik gelezen.. (weet ook niet waar die dan weg komt, van een mod gedownload voor skyrim misschien)

[ Voor 18% gewijzigd door ronald92 op 01-04-2017 10:47 ]

zaterdag 1 april 2017 12:26

Acties:

Thralas

ronald92 schreef op zaterdag 1 april 2017 @ 10:37:
Ik heb ook een betaalde licentie van Microsoft op me laptop staan en de computer gebruik ik puur alleen voor gamen en photoshop (ook legaal)

Leuk en aardig, maar Microsoft Office ISOs met activators ontstaan niet uit het luchtledige. Als je hem zelf écht niet hebt gedownload dan was het iemand anders die je laptop gebruikte.

Het feit dat $RECYCLE.BIN op D:\ ipv. C:\ staat doet vermoeden dat het de prullenbak van een 'oude' Windowsinstallatie betreft. Klopt dat?

Als die installatie niet van jou is/was, dan is de laptop niet netjes gewiped voor hij van eigenaar verwisselde.

Overigens blijkt uit je screenshot ook totaal niet van welk item we nu de beschrijving zien. Is himn.exe nu de AutoKMS of Dynamer-hit? Wat staat er bij de andere?

Ik snap ook niet dat ik deze meldingen krijg.. trouwens prullenbak is ook leeg..

Jouw prullenbak wel, maar blijkbaar is er nog een andere. Wat staat er verder op D:\?

Moet ik de SSD laten optimaliseren? Trim commando? Dan worden dat soort bestanden toch ook verwijderd?

Nee, dat heeft er niets mee te maken.

Ps: Om Autokms maak ik mij niet zo'n zorgen. Schijnt geen gevaar te zijn. Alleen vaak gebruikt voor illegale software heb ik gelezen.. (weet ook niet waar die dan weg komt, van een mod gedownload voor skyrim misschien)

Dat is gewoonweg een 'bypass' voor Microsoft KMS-activatie. Dat wordt altijd gebruikt voor illegale software en komt nooit met een mod voor Skyrim mee.

Inderdaad is dat geen 'gevaar', maar Microsoft heeft natuurlijk liever dat je gewoon betaalt voor hun software.

zaterdag 1 april 2017 13:53

Acties:

Starke

Thralas schreef op zaterdag 1 april 2017 @ 12:26:
[...]
<snip>
Het feit dat $RECYCLE.BIN op D:\ ipv. C:\ staat doet vermoeden dat het de prullenbak van een 'oude' Windowsinstallatie betreft. Klopt dat?
</snip>

$Recycle.bin wordt sowieso aangemaakt op elke partitie, in deze $Recycle.bin zitten verwijderde bestanden die van deze partitie verwijderd zijn. S-51-*-1001 is waarschijnlijk de userid waarmee het verwijderd is, dit is de ID van de eerste gebruiker die op deze PC is aangemaakt en ingelogged (Administrator account, waar je niet mee moet inloggen heeft 500 aan het eind). De Recyle Bin (prullenbak) op het bureaublad is gewoon een verzamelbak van al deze mappen.

Maar gebruik is een tool als Spacesniffer op je D: partitie en filter op $Recycle.bin die kan wel gewoon die map openen.

(Het is nog leuker met Network folders, Roaming Profile of Redirected Folders op netwerklocaties dan komt de $Recyle.bin ook op het netwerk in die folders te staan).

[ Voor 7% gewijzigd door Starke op 01-04-2017 23:45 ]

zaterdag 1 april 2017 14:04

Acties:

ronald92

Topicstarter

Screenshot laat details zien van de trojan die gedetecteerd is. Niet autokms, het is wel een 2e hands ssd.. maar als ik de software verder niet gebruik kan ik met spacesniffer de map op sporen en verwijderen?
Dan moet het goed zijn? Of moet ik de hele schijf formatteren?

zaterdag 1 april 2017 14:16

Acties:

RGAT

Waar het vandaan komt is een ISO genaamd:

Microsoft Office Professional Plus 2016 + Activator.iso

Het komt dus van een illegale Office ISO, niet van de Office installatie zelf.
Heb je een D: schrijf? Zo ja ga naar de prullenbak en klik leegmaken aan en probleem is opgelost

Maar waar het vandaan komt is dus vrij duidelijk.

Fixing things to the breaking point...

zaterdag 1 april 2017 14:19

Acties:

Squ1zZy

Ik ben het er niet helemaal mee eens om de prullenbak leeg te maken en "het probleem is opgelost". Wat doet de malware? Wat als de malware credentials steelt? Dan gooi je de malware weg en bedenkt dan "phew, dat scheelde weinig", maar ondertussen heeft iemand wel je credentials.

Je zou moeten kijken wat de malware precies doet en daarop acteren.

zaterdag 1 april 2017 14:25

Acties:

RGAT

Het is een ISO, heb nog niet een ISO gevonden welke (zonder dat je m mount) kan infecteren, als TS zo zeker is dat hij geen illegale Office geinstalleerd heeft (en de installatie verder schoon is).....
Als de malware credentials steelt is het al te laat

Daar kan je niet met terugwerkende kracht iets tegen doen helaas.

Fixing things to the breaking point...

zaterdag 1 april 2017 14:27

Acties:

Squ1zZy

RGAT schreef op zaterdag 1 april 2017 @ 14:25:
Het is een ISO, heb nog niet een ISO gevonden welke (zonder dat je m mount) kan infecteren, als TS zo zeker is dat hij geen illegale Office geinstalleerd heeft (en de installatie verder schoon is).....
Als de malware credentials steelt is het al te laat Daar kan je niet met terugwerkende kracht iets tegen doen helaas.

Wachtwoorden resetten misschien en MFA waar het kan aanzetten? Noem maar iets geks hoor.
Wie zegt dat de credentials al gebruikt zijn?

zaterdag 1 april 2017 14:51

Acties:

ronald92

Topicstarter

Toen ik de Trojan gededecteerd heb, heb ik als eerste internet stekker uit getrokken en op andere laptop gaan zoeken wat ik er tegen kan doen.

Wachtwoorden resetten is geen probleem..

Dus voor mij is zaak hoe krijg ik de Trojan van me schijf

zaterdag 1 april 2017 15:02

Acties:

Snake

Los Angeles, CA, USA

Squ1zZy schreef op zaterdag 1 april 2017 @ 14:27:
[...]

Wachtwoorden resetten misschien en MFA waar het kan aanzetten? Noem maar iets geks hoor.
Wie zegt dat de credentials al gebruikt zijn?

Neen. Het spul zit in de prullenbak. Geen probleem dus. (het is niet uitgevoerd, hell, TS ziet het nog niet eens...)

Wat dat TS moet doen is de prullenbak eens volledig wissen.

Dus niet alleen zijn eigen.

Powershell als Administrator opstarten en het volgende intikken (lijn per lijn):

code:

1 2	D:\ Remove-item -Force -Recurse '.\$RECYCLE.BIN\'

Daarna opnieuw scannen.

Going for adventure, lots of sun and a convertible! | GMT-8

zaterdag 1 april 2017 15:03

Acties:

Squ1zZy

Snake schreef op zaterdag 1 april 2017 @ 15:02:
[...]

Neen. Het spul zit in de prullenbak. Geen probleem dus. (het is niet uitgevoerd, hell, TS ziet het nog niet eens...)

Wat dat TS moet doen is de prullenbak eens volledig wissen.

Dus niet alleen zijn eigen.

Powershell als Administrator opstarten en het volgende intikken (lijn per lijn):
code:
1
2
D:\
Remove-item -Force -Recurse '.\$RECYCLE.BIN\'
Daarna opnieuw scannen.

Durf jij met zekerheid te zeggen dat de executable niet heeft gedraaid?

zaterdag 1 april 2017 15:05

Acties:

Snake

Los Angeles, CA, USA

Squ1zZy schreef op zaterdag 1 april 2017 @ 15:03:
[...]

Durf jij met zekerheid te zeggen dat de executable niet heeft gedraaid?

Ik leid dat af van het feit dat het:

1) een tweedehands SSD is
2) TS legale Windows heeft

Ik vraag me wel af, @ronald92 , heb je een clean install gedaan?

Going for adventure, lots of sun and a convertible! | GMT-8

zaterdag 1 april 2017 15:53

Acties:

ronald92

Topicstarter

Het is een tweede hands ssd waar ik wat spellen ect op heb staan. Deze is later aan het systeem toe gevoegd.(over genomen van een kennis)

Ik zit zelfs te twijfelen om en helemaal te formatteren en dan de spellen ect er opnieuw op zetten (want wie weet wat er verder dan verborgen op staat)

Hij zei dat ie de schijf leeg had gemaakt en ik heb em aangesloten en kon inderdaad niets meer zien en alles werd direct herkent dus dacht dat alles goed was

Heb verder alleen legale software om dit soort gedonder te voorkomen

zaterdag 1 april 2017 16:07

Acties:

Egocentrix

Parttime zeurkous

Het is altijd handig om tweedehands schijven die je koopt/verkoopt te formatteren en lege ruimte te overschrijven met random data (zijn veel tooltjes voor, de eerdergenoemde CCleaner kan het ook).

Als je zelf de iso nooit hebt gebruikt, dan is de kans dat er een trojan op je systeem (uit de iso, that is) nul. Met formatteren/wissen heb je gewoon weer een schone, veilige ssd.

The above message has been encrypted using a quadruple ROT13-algorithm. --- Bad grammar makes me sic.

zaterdag 1 april 2017 16:11

Acties:

PilatuS

Egocentrix schreef op zaterdag 1 april 2017 @ 16:07:
Het is altijd handig om tweedehands schijven die je koopt/verkoopt te formatteren en lege ruimte te overschrijven met random data (zijn veel tooltjes voor, de eerdergenoemde CCleaner kan het ook).

Als je zelf de iso nooit hebt gebruikt, dan is de kans dat er een trojan op je systeem (uit de iso, that is) nul. Met formatteren/wissen heb je gewoon weer een schone, veilige ssd.

In het geval van een SSD moet je nooit data gaan lopen schrijven. Een secure erase is wat je wil doen. Verder hoef je ook bij een HDD geen nullen te gaan schrijven, een gewone format is ook voldoende.

ronald92 schreef op zaterdag 1 april 2017 @ 15:53:
Het is een tweede hands ssd waar ik wat spellen ect op heb staan.

Een SSD waar de vorige eigenaar allemaal gekraakte spellen op geinstalleerd heeft dus

Dan mag je er best vanuit gaan dat het echte malware is.

[ Voor 19% gewijzigd door PilatuS op 01-04-2017 16:17 ]

zaterdag 1 april 2017 17:29

Acties:

Egocentrix

Parttime zeurkous

PilatuS schreef op zaterdag 1 april 2017 @ 16:11:
In het geval van een SSD moet je nooit data gaan lopen schrijven. Een secure erase is wat je wil doen. Verder hoef je ook bij een HDD geen nullen te gaan schrijven, een gewone format is ook voldoende.

We zijn hier allemaal om wat te leren

Waarin is een secure erase anders dan een random overwrite?

The above message has been encrypted using a quadruple ROT13-algorithm. --- Bad grammar makes me sic.

zaterdag 1 april 2017 17:34

Acties:

PilatuS

Egocentrix schreef op zaterdag 1 april 2017 @ 17:29:
[...]

We zijn hier allemaal om wat te leren Waarin is een secure erase anders dan een random overwrite?

Een secure erase laat alle data uit de cellen los. Alles is dan netjes volledig weg. Een random overwrite is naast nutteloos slecht voor de SSD. De cellen kunnen maar beperkt beschreven worden. Door de boel helemaal vol te schrijven ben je de levensduur van je SSD omlaag aan het halen terwijl het geen nut heeft

Edit: Bij een HDD bedoel ik met format trouwens quick format, een volledige format is ook niet nodig of nutig.

[ Voor 9% gewijzigd door PilatuS op 01-04-2017 17:35 ]

zaterdag 1 april 2017 18:55

Acties:

ronald92

Topicstarter

Heb de map verwijderd via Powershell en computer opnieuw gescand, helemaal schoon !! hou et ff in de gaten iedereen tot zo ver bedankt !