:strip_icc():strip_exif()/u/5677/crop60a67856c31dd_cropped.jpg?f=community)
Ik wil hier mijn ervaring delen met iets waarvan ik eerst dacht dat het een bug was in Chrome maar wat nu op een Virus / Malware lijkt. De laatste 2 dagen had ik het probleem dat Chrome erg vaak zelf afsloot. Soms na een paar uur, soms na 5 minuten. Soms deed ik niets anders dan een artikel lezen op Tweakers. Dit leek op een bug van eerder dit jaar maar was nu extreem. Wellicht interresant voor anderen dus daarom plaats ik hier mijn bevindingen.
Wat achtergrond info:
- Windows 11, laatste versie (vandaag net geupdate, probleem hetzelfde)
- Laatste versie Chrome
- Afsluiten leek random (geen specifieke actie die het veroorzaakte) maar redelijk regelmatig
Als eerste eens gekeken of er gekke extensies zichtbaar waren, maar ik zag niets bijzonders (initeel). Alles uitgeschakeld maar het had geen effect. Daarna allen verwijderd en instellingen gereset, cache geleegd enz. Probleem bleef uiteraard. WIndows logbook toonde geen fouten rond dat moment, dus crashte chrome wel echt? Ik ontdekte in de shortcut dat er een extensie vanaf een map in C:\Gebruikers\<naam>\allerleitekens werd ingelezen... Dus alarm ging af en het onderzoek naar die map begon.
Die map was recent gemaakt en bevatte javascript met verborgen code en deed zich voor als Google Sheets oid, dus malware of een virus. Ik zag niet direct wat het kon zijn maar zeg ergens de term die me deed denken aan een crypto mining malware dus zoiets zal het zijn. De map verdwijnen en de shortcut opschonen was van korte duur natuurlijk want na een paar minuten werd chrome afgesloten, werd de map weer aangemaakt en was de shortcut weer aangepast.
Het is duidelijk wat er gebeurd, maar waarom heeft Windows Defender niets gezien? AVG Free even gedraaid maar die zag ook geen bedreigingen.... dan maar zelf de bron achterhalen. Taakbeheer toonde 2 powershell scripts met flink wat geheugen verbruik. Deze afgesloten, chrome opgeschoond en de map bleef weg en chrome draaide prima voor een paar uur. De powershell scripts wil ik nu achterhalen, maar welke scripts draaien er? Dat toont taskmanager niet uiteraard dus dat is nu de volgende stap: Achterhalen waar die powershell scripts zich bevinden. Daarnaast draaien deze direct na het opstarten maar de bron daarvan heb ik ook niet gevonden. Via taak beheer is alles uitgeschakeld en is er niets bijzonders te zien. Ook via het registry en het start menu zijn er geen run items te zien. Dan rest nog de Task Scheduler maar ook daar zie ik niets bijzonders (en die wil ik niet direct allemaal stopzetten).
Ik hoor graag wat tips over de powershell taken welke draaien. Hoe kan ik daarvan achterhalen wat deze doen? Welke scripts ze verwerken? Is daar tooling voor?
Wat achtergrond info:
- Windows 11, laatste versie (vandaag net geupdate, probleem hetzelfde)
- Laatste versie Chrome
- Afsluiten leek random (geen specifieke actie die het veroorzaakte) maar redelijk regelmatig
Als eerste eens gekeken of er gekke extensies zichtbaar waren, maar ik zag niets bijzonders (initeel). Alles uitgeschakeld maar het had geen effect. Daarna allen verwijderd en instellingen gereset, cache geleegd enz. Probleem bleef uiteraard. WIndows logbook toonde geen fouten rond dat moment, dus crashte chrome wel echt? Ik ontdekte in de shortcut dat er een extensie vanaf een map in C:\Gebruikers\<naam>\allerleitekens werd ingelezen... Dus alarm ging af en het onderzoek naar die map begon.
Die map was recent gemaakt en bevatte javascript met verborgen code en deed zich voor als Google Sheets oid, dus malware of een virus. Ik zag niet direct wat het kon zijn maar zeg ergens de term die me deed denken aan een crypto mining malware dus zoiets zal het zijn. De map verdwijnen en de shortcut opschonen was van korte duur natuurlijk want na een paar minuten werd chrome afgesloten, werd de map weer aangemaakt en was de shortcut weer aangepast.
Het is duidelijk wat er gebeurd, maar waarom heeft Windows Defender niets gezien? AVG Free even gedraaid maar die zag ook geen bedreigingen.... dan maar zelf de bron achterhalen. Taakbeheer toonde 2 powershell scripts met flink wat geheugen verbruik. Deze afgesloten, chrome opgeschoond en de map bleef weg en chrome draaide prima voor een paar uur. De powershell scripts wil ik nu achterhalen, maar welke scripts draaien er? Dat toont taskmanager niet uiteraard dus dat is nu de volgende stap: Achterhalen waar die powershell scripts zich bevinden. Daarnaast draaien deze direct na het opstarten maar de bron daarvan heb ik ook niet gevonden. Via taak beheer is alles uitgeschakeld en is er niets bijzonders te zien. Ook via het registry en het start menu zijn er geen run items te zien. Dan rest nog de Task Scheduler maar ook daar zie ik niets bijzonders (en die wil ik niet direct allemaal stopzetten).
Ik hoor graag wat tips over de powershell taken welke draaien. Hoe kan ik daarvan achterhalen wat deze doen? Welke scripts ze verwerken? Is daar tooling voor?
/u/97665/Opera1_t.png?f=community)
:strip_icc():strip_exif()/u/350847/IMG_2292JPG%2520-%2520kopie.jpg?f=community)
Niets bijzonders tot nu toe. Het powershell script is uitgeschakeld dus ik verwacht geen problemen verder.:strip_icc():strip_exif()/u/332223/King_Kong_ape_75.jpg?f=community)
/u/28468/librarian2.png?f=community)