[XP]winkrnl386.exe ? rara wat is het?

Hi guys, vandaag heb ik ineens "winkrnl386.exe" in mijn windows system dir staan. 51,728 bytes groot (klein) en het heeft geen file info... zelfs geen © Microsoft Corporation!

Nu heb ik natuurlijk eerst google, altavista (noem maar op, copernic) gebruikt maar 0,0 hits. Heeft iemand dit filetje ooit eerder gezien? Op het moment heeft het geen listening ports dus maak ik me niet zo veel zorgen... maar toch.

NAV, RAV, TBAV, FPROT, TDS kunnen er geen virus of trojan in zien. Ook heb ik een aantal online scanners geprobeerd... maar helemaal niets.

Het enige dat ik er nu van weet is dat het zichzelf \Software\Microsoft\Windows\CurrentVersion\Run plakt. Allemaal heel verdacht. De exe is zwaar 'packed'... geen upx of PECompact.

Oh lol... inderdaad ;-) vergeten... uuh nope.. geen w3.1 maar xp. XP professional zonder al teveel updates (dus ook niet veel nieuwe files). Wel 1 peer to peer packetje, nee niet kazaa, en ja ik check wat ik download. Geen van de zaken die ik de laatste weken heb gedownload bevatten dit bestand. Of een bestand van gelijke grote. Zelfs geen van de downloads (bestanden) dat ook maar die naam (winkrnl386) in zich heeft (altans niet met normale 'packers gepackte' bestanden).

Ook heb ik mijn 380mb email box er op door gespit. Niets, geen enkele aanwijzing. Ja ik draai permanent een firewall en av software. Geen locaal netwerk... IM PUZZLED (=ik weet er geen raad mee).

Jorick schreef op 06 August 2003 @ 15:19:
Je kan natuurlijk ff deleten (naar de prullenbak) en dan rebooten. Als het wel een systeem bestand is gewoon weer terg zetten. Maar volgens mij is het geen windows bestand en kun je het gerust weggooien.

Ja... goed punt, natuurlijk heb ik het bestand ge-isoleerd van de rest. Ik ben iemand die wil weten hoe-of-wat. Zeker als het om iets verdachts gaat. Moet ik alle paswoorden veranderen? Bank zaken zeker stellen (online-banking/ccard,mcard)? enz. enz.

[ Voor 31% gewijzigd door Verwijderd op 06-08-2003 15:22 ]

Boegie schreef op 06 August 2003 @ 15:19:
Lijkt op W32.Klez.H

Klik ende huivert: Info van VirusAlert.nl incl. verwijder aanwijzing

Succes ermee!

AAHHHHH Boegie :-)... perfect! Ik snap niet hoe het binnen heeft kunnen komen.. maar de regel
"Aanwezigheid van het bestand "WINK[...].exe""

In die link van jouw zegt me genoeg :-)

THANKS!

momania schreef op 06 August 2003 @ 15:23:
title fix

Huh? Wat is dat nu weer? Wat was er fout aan die titel?

NORMAALS BEDANKT BOEGIE!

[ Voor 27% gewijzigd door Verwijderd op 06-08-2003 15:27 ]

Boegie schreef op 06 August 2003 @ 15:27:
[...]

offtopic:
*Krijgt warm gevoel van binnen*
*Kan ook aan weer liggen*

Bij de baas ook al eens gezien dus wist ongeveer wat er aan de hand moest zijn!

Succes met cleanen!

Voor mij is het 90% zeker een klez variant. Raar alleen dat NAV v10beta het niet ziet. En ook dat clean tooltje van Kaspersky ( http://www.virusalert.nl/extra/clrav.com ) niet. Zelfs de bestwel redelijke online scanners kunnen er niets mee (panda, symantec, mcafee, trend mirco, asus en RAV).

Nieuwe variant? BAH... zulke wormen zijn nog erger dan spam!

momania schreef op 06 August 2003 @ 15:36:
[...]

offtopic:
OS hoort in de titel: Windows Operated Systems - Policy
En wtf staat niet zo netjes

Oeps! Je hebt helemaal gelijk! Ik twijfelde al of ik dat nou wel moest doen. Maar kon zo snel niet een andere korte uitdrukking vinden om duidelijk te maken dat ik er weer eens geen BAL van snapte :-). "HELP" is niet iets wat ik graag roep... en "rara" hahaha.. lol was ik nog niet op gekomen!

Windows Operated Systems - Policy, OS in topic titel!? Ey goed idee! Een tijd geleden dat ik de forum policy hier op got heb gelezen (ik blijf aan de gang ;-)).

Hahahahaha... "rara wat is het?." hahaha.. ik kan er wel om lachen, maar mij zal je die woorden niet snel zien gebruiken.

Even terug 'ontopic'. Mijn systeem is nu weer clean (althans dat denk ik, handmatige clean). Maar nog STEEDS geen enkel AV/AW pakket wat deze worm herkent! Zelfs het alom geprezen 'wormguard' tooltje ziet er geen kwaad in.

Wat is nu een goede anti-worm scanner/cleaner? Ik wil hem wel even testen ;-).