Onbekend Wscript.exe script draait op achtergrond - Privacy en beveiliging

vrijdag 23 maart 2018 15:15

Acties:

0 Henk 'm!

Topicstarter

Beste Tweakers,
Op een computer van een vriend krijg ik een avast-melding dat er via wscript.exe een ons onbekend script verbinding maakt met 'qajolos.com'. Gegoogled en kaspersky gedraaid, maar geen oplossing. Ook op dit forum is een dergelijk probleem ooit besproken, zonder oplossing. Heeft misschien toch iemand een idee? Zou het gevaarlijk kunnen zijn?

vrijdag 23 maart 2018 15:18

Acties:

+1 Henk 'm!

Bart_GR

Kan je deze .exe ook in taskmanager zien draaien?
Zo ja, dan kan je met je rechtermuisknop er op klikken, en zien wat de bestandslocatie hiervan is op de C:\ schijf. Misschien geeft dit wat meer info.

vrijdag 23 maart 2018 15:18

Acties:

0 Henk 'm!

dehardstyler

Zou het gevaarlijk kunnen zijn?

Het klinkt in ieder geval niet alsof je computer er beter van wordt. Ik zou lekker een herinstallatie doen!

vrijdag 23 maart 2018 15:27

Acties:

0 Henk 'm!

DaRk PoIsOn

Malwarebytes er over gooien?
Google geeft in de eerste paar resultaten al aan dat het een virus is!

who put a "stop payment" on my reality check

vrijdag 23 maart 2018 15:28

Acties:

0 Henk 'm!

vj_slof

wscript is gewoon standaard onderdeel van Windows. Typ maar eens voor de grap in de command prompt wscript /? in. Dan kun zien wat je er allemaal mee kunt doen.

vrijdag 23 maart 2018 15:43

Acties:

+1 Henk 'm!

Brilsmurfffje

Parttime Prutser

wscipt krijg je door bijv een vbs script te runnen. Kan wel degelijk malware zijn van iemand.

vrijdag 23 maart 2018 16:03

Acties:

0 Henk 'm!

vj_slof

wscript.exe word standaard geinstalleerd met Windows en staat en hoort in de .~Windows\System32 folder.

Je kunt er inderdaad wel vbs-scripts mee uitvoeren. Daarvoor is het ook gemaakt. Dat er allerlei ongure scipts mee uitgevoerd kunnen worden is een tweede…

vrijdag 23 maart 2018 16:04

Acties:

0 Henk 'm!

sh4d0wman

Attack | Exploit | Pwn

Kijk eens of je met ProcessExplorer kan achterhalen welk script (en locatie) aangeroepen worden. Men zegt dat dit zichtbaar zou moeten zijn bij de command line arguments van het wscript process. (niet zelf getest)

1. Verwijst het pad naar een bekend programma?
2. Is de inhoud leesbaar of obfuscated?
Dat zou je dan wel een indicatie moeten geven over wat het kan zijn. Desnoods gooi je dat dan weer hier in de groep.

Download linkje ProcessExplorer: http://technet.microsoft.com/en-us/sysinternals/bb896653

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

zaterdag 24 maart 2018 16:18

Acties:

+1 Henk 'm!

Brahiewahiewa

boelkloedig

sh4d0wman schreef op vrijdag 23 maart 2018 @ 16:04:

<een hoop gedoe>

Waarom niet gewoon het log van de virusscanner bekeken?
Daar zou de naam van het script ook moeten staan

QnJhaGlld2FoaWV3YQ==

zaterdag 24 maart 2018 16:24

Acties:

0 Henk 'm!

KillerAce_NL

If it ain't broke...

Brahiewahiewa schreef op zaterdag 24 maart 2018 @ 16:18:
[...]

Waarom niet gewoon het log van de virusscanner bekeken?
Daar zou de naam van het script ook moeten staan

Omdat als zijn av al niet piept, daar niets zal staan...Bovendien heeft niet elke av een firewall module.

zaterdag 24 maart 2018 16:29

Acties:

+1 Henk 'm!

Brahiewahiewa

boelkloedig

KillerAce_NL schreef op zaterdag 24 maart 2018 @ 16:24:
[...]

Omdat als zijn av al niet piept, daar niets zal staan...Bovendien heeft niet elke av een firewall module.

Maar de av piept wel; daar is hele topic mee begonnen.

QnJhaGlld2FoaWV3YQ==

zondag 25 maart 2018 08:52

Acties:

0 Henk 'm!

sh4d0wman

Attack | Exploit | Pwn

Brahiewahiewa schreef op zaterdag 24 maart 2018 @ 16:18:
[...]

Waarom niet gewoon het log van de virusscanner bekeken?
Daar zou de naam van het script ook moeten staan

Tja maar dat post TS niet dus dan neem ik aan dat hij de scriptnaam en/of inhoud nog niet te pakken heeft. Had hij dat wel maar post hij dat niet dan kan dit topic gelijk dicht wegens gebrek aan inzet van TS.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

zondag 25 maart 2018 13:16

Acties:

0 Henk 'm!

KillerAce_NL

If it ain't broke...

Brahiewahiewa schreef op zaterdag 24 maart 2018 @ 16:29:
[...]

Maar de av piept wel; daar is hele topic mee begonnen.

Verrek, je hebt gelijk. Helemaal overheen gelezen.

zondag 25 maart 2018 20:39

Acties:

0 Henk 'm!

photofreak

Bij twijfel gewoon die machine opnieuw installeren en dag malware.

Kasperksy geeft overigens op VirusTotal aan dat het domein kwaadaardig is: https://www.virustotal.co...e1511904bc29cd6/detection

zondag 25 maart 2018 21:37

Acties:

+1 Henk 'm!

Squ1zZy

photofreak schreef op zondag 25 maart 2018 @ 20:39:
Bij twijfel gewoon die machine opnieuw installeren en dag malware.

Kasperksy geeft overigens op VirusTotal aan dat het domein kwaadaardig is: https://www.virustotal.co...e1511904bc29cd6/detection

Ik moet hierop reageren.

Dit is slecht advies. Dit wordt zelfs gedaan in het bedrijfsleven. Stel je voor dat de malware cookies heeft geüpload en iemand daar gebruik van maakt. Nu installeer je de machine opnieuw en ga je achterover leunen en denken “Pfew, dat ging net goed?”.

ALTIJD een analyse doen. Al duurt dit veel te lang. Ik ben het met @Brahiewahiewa eens. Check de logs, open de vbs in een editor en kijk eens wat het doet. Simpel.

zondag 25 maart 2018 23:42

Acties:

0 Henk 'm!

photofreak

Squ1zZy schreef op zondag 25 maart 2018 @ 21:37:
[...]

Ik moet hierop reageren.

Dit is slecht advies. Dit wordt zelfs gedaan in het bedrijfsleven. Stel je voor dat de malware cookies heeft geüpload en iemand daar gebruik van maakt. Nu installeer je de machine opnieuw en ga je achterover leunen en denken “Pfew, dat ging net goed?”.

ALTIJD een analyse doen. Al duurt dit veel te lang. Ik ben het met @Brahiewahiewa eens. Check de logs, open de vbs in een editor en kijk eens wat het doet. Simpel.

Ik weet zelf ook dat het in een zakelijke omgeving nodig is om aanvullend onderzoek uit te (laten) voeren mocht een breach/hack/datalek vermoed worden.

Echter geeft @prinsrichard in de OP aan dat het om de computer van een vriend gaat, dus dan zal het gewoon een thuis-pc zijn. Natuurlijk kan je dan zelf proberen om de machine te analyseren en de malware te reverse engineeren, maar tenzij je dat vaker gedaan hebt, kan je net zo goed gelijk die machine opnieuw installeren. Het systeem door een derde partij laten analyseren is voor een consument ook geen optie, dat kost je een paar duizend euro...

maandag 26 maart 2018 02:43

Acties:

+1 Henk 'm!

Brahiewahiewa

boelkloedig

photofreak schreef op zondag 25 maart 2018 @ 23:42:
[...]
Echter geeft @prinsrichard in de OP aan dat het om de computer van een vriend gaat, dus dan zal het gewoon een thuis-pc zijn. Natuurlijk kan je dan zelf proberen om de machine te analyseren en de malware te reverse engineeren, maar tenzij je dat vaker gedaan hebt, kan je net zo goed gelijk die machine opnieuw installeren.

En dan zet de vriend vervolgens weer hetzelfde poortje open en binnen een dag is de computer opnieuw besmet.
Daarom wil je malware identificeren, zodat je de aanvalsvector(en) kunt achterhalen en tegenmaatregelen kunt nemen . . . op de geherinstalleerde computer; dat wel
"Reverse engineren" is hier totaal niet van toepassing; je vist de naam van 't script uit je log file, die pleur je in google en dat brengt je bij een website van een antivirusmaker, die keurig uitlegt welke vulnerabilities worden misbruikt door dit virus

QnJhaGlld2FoaWV3YQ==

dinsdag 27 maart 2018 17:25

Acties:

0 Henk 'm!

prinsrichard

Topicstarter

sh4d0wman schreef op vrijdag 23 maart 2018 @ 16:04:
Kijk eens of je met ProcessExplorer kan achterhalen welk script (en locatie) aangeroepen worden. Men zegt dat dit zichtbaar zou moeten zijn bij de command line arguments van het wscript process. (niet zelf getest)

1. Verwijst het pad naar een bekend programma?
2. Is de inhoud leesbaar of obfuscated?
Dat zou je dan wel een indicatie moeten geven over wat het kan zijn. Desnoods gooi je dat dan weer hier in de groep.

Download linkje ProcessExplorer: http://technet.microsoft.com/en-us/sysinternals/bb896653

Bedankt (en voor alle andere replies), ga dit eens proberen, als ik die laptop weer voor me heb.

zaterdag 7 april 2018 11:43

Acties:

0 Henk 'm!

prinsrichard

Topicstarter

Ik vond met ProcessExplorer niks met wscript. Wel vond ik met Autoruns een script (?) dat via wscript draaide: "\Yahoo! Powered rasen Microsoft ® Windows Based Script Host Microsoft Corporation c:\windows\system32\wscript.exe 17-10-1927 17:33". Dit heb ik verwijderd. Het script zou draaien vanuit C:\ProgramData\{C34E062D-490C-8CEB-CFCA-12A955889967}. Heb die map gebackuped in een zip bestand en voor de zekerheid verwijderd.
Ook vond ik in de logs van AVAST (ja, waarschijnlijk oliedom dat ik niet eerst daar heb gekeken) het volgende:
21-1-2018 11:52:03 https://qajolos.com/ [L] URL:Mal (0) bij webshield en

9-3-2018 19:52:01 C:\Windows\system32\wscript.exe [L] VBS:Downloader-ATJ [Trj] (0) bij filesystemsshield.

Ik neem aan dat het verwijderen van het yahoo bestandje de problemen oplost, of is men het daar niet mee eens?

[ Voor 7% gewijzigd door prinsrichard op 07-04-2018 11:45 ]

zaterdag 7 april 2018 15:43

Acties:

0 Henk 'm!

Squ1zZy

Heb je het vbs script nog kunnen vinden?

zaterdag 7 april 2018 16:12

Acties:

0 Henk 'm!

prinsrichard

Topicstarter

Squ1zZy schreef op zaterdag 7 april 2018 @ 15:43:
Heb je het vbs script nog kunnen vinden?

Kan dat yahoo script geen vbs script zijn

?

zaterdag 7 april 2018 16:43

Acties:

0 Henk 'm!

Squ1zZy

prinsrichard schreef op zaterdag 7 april 2018 @ 16:12:
[...]

Kan dat yahoo script geen vbs script zijn ?

Ongetwijfeld, maar post dan de source eens.

zaterdag 7 april 2018 16:55

Acties:

+1 Henk 'm!

Room42

Je kunt, voor de volgende keer, in de task manager op het tabblad Details met rechts op de kolomtitels klikken en dan kiezen voor 'Select columns...'. Vink vervolgens 'Command line' aan en klik ok.

Hierna kun je van elk proces zien wat de command line met parameters was waarmee het gestart is. In het geval van wscript.exe staat daar dus het script achter. Dat script kun je vervolgens checken op virussen of gewoon verwijderen.

@Squ1zZy Eens!

[ Voor 3% gewijzigd door Room42 op 07-04-2018 17:02 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

zaterdag 7 april 2018 16:59

Acties:

+1 Henk 'm!

Squ1zZy

Room42 schreef op zaterdag 7 april 2018 @ 16:55:
Je kunt, voor de volgende keer, in de task manager op het tabblad Details met rechts op de kolomtitels klikken en dan kiezen voor 'Select columns...'. Vink vervolgens 'Command line' aan en klik ok.

Hierna kun je van elk proces zien wat de command line met parameters was waarmee het gestart is. In het geval van wscript.exe staat daar dus het script achter. Dat script kun je vervolgens checken op virussen of gewoon verwijderen.

Juist. Alleen nooit verwijderen. Je weet dan niet wat het script heeft uitgevoerd. Altijd analyse doen!

zondag 8 april 2018 20:23

Acties:

0 Henk 'm!

prinsrichard

Topicstarter

Squ1zZy schreef op zaterdag 7 april 2018 @ 16:59:
[...]

Juist. Alleen nooit verwijderen. Je weet dan niet wat het script heeft uitgevoerd. Altijd analyse doen!

Bedankt voor de tip. Heb het script nu helaas wel al verwijderd.