Wat doet zchhtomb.exe? - Privacy en beveiliging

donderdag 19 augustus 2004 21:16

Acties:

Verwijderd

Topicstarter

Geinspireerd door deze post ook maar eens Startup Inspector gedraaid.

Een van de items die gevonden wordt is:
ftsujkici met als applicatie C:\WINNT\system32\zchhtomb.exe

Het bevindt zich als een Autorun entry in de registry onder HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Zowel Google als GoT geven geen hits op zowel ftsujkici als zchhtomb. Startup Inspector en Autoruns hebben beide geen informatie. Ook Ad-aware vond het niets bijzonders.

Als ik naar de properties kijk in Autoruns staat er onder the Programs tab een MS-DOS icon. In de Task Manager staat het programma op 0 CPU tijd. OS is Windows 2000 Prof Engels.

Iemand enig idee wat dit is?

donderdag 19 augustus 2004 21:21

Acties:

Wouter06

Het kon mss zo zijn, maar ik heb em bij mij er niet instaan

Maar mss kan je eens je softwarelijst afgaan, mss staat daar iets tussen wat er niet hoort te staan ...

Heb je je AV die file al eens laten scannen? Heb je gekeken via je vuurmuur of er connecties ontstaan door die file?

donderdag 19 augustus 2004 21:22

Acties:

Chrissels

Zoek het bestand op, klik rechts, eigenschappen. En check het tabblad 'versie'
Daar staat vast een bedrijfsnaam.

donderdag 19 augustus 2004 21:31

Acties:

elevator

Officieel moto fan :)

Scan dat bestand ook eventjes op een aantal virus sites waar je dat kan doen (bv. www.kaspersky.com of http://virusscan.jotti.dhs.org/)

donderdag 19 augustus 2004 21:39

Acties:

Verwijderd

Topicstarter

Allemaal bedankt voor de reacties maar niks, niks, niks

donderdag 19 augustus 2004 21:55

Acties:

pelleke

Aut viam inveniam aut faciam

Er zijn spyware-apps die hun filenames, dirnames en appnames zelf random verzinnen. Deze namen suggereren ernaar dat dat hier ook is gebeurd. Het feit dat adscanners het niet herkennen maakt het lastig om het te identificeren.

Wat je het best even kan doen is het volgende:
Zoek het bestand op, en kijk eens naar de properties. (zoals Chrissels zegt) Daar staat vaak in wie de maker is van de file. Misschien dat dat wat opheldert.

Spyware/virus/trojan files hebben vaak de volgende kenmerken:

* Een compleet blanco icoon
* Geen versie-informatie
* < 100 kB
* Staat in een map die ook niet gek veel zegt.

Post deze info eens, dan weten we iig iets meer.

[ Voor 3% gewijzigd door pelleke op 19-08-2004 21:56 ]

vrijdag 20 augustus 2004 20:39

Acties:

Verwijderd

Topicstarter

Niet veel informatie onder de Properties.

- Onder de Program tab van Properties heeft het een MS-DOS icon
- File is 72 KB
- Waarschijnlijk omdat het een MS-DOS app is heeft het geen tabblad Version onder Properties dus geen informatie over bedrijf of maker.
- Onder General staat aangegeven dat het programma vanmorgen is 'geaccessed'. Blijkbaar wordt er toch iets mee gedaan.

Het lijkt erop dat Pelleke gelijk heeft en dat de namen random aangemaakt zijn. Dat verklaart ook dat de zoek machines nul resultaten geven.

Beste lijkt me maar om alle verwijzingen en de executable van de hard disk af te gooien

vrijdag 20 augustus 2004 20:50

Acties:

hessel

Wacht anders ff 48 uur en haal hem dan weer eens door de jotti scanner. mischien is er dan meer bekend

Grutte Pier fansels

vrijdag 20 augustus 2004 20:56

Acties:

Mike Jarod

Het lijkt me zowiezo geen nuttig bestand, anders had je er wel wat over gevonden op Google, dus verwijderen is een optie. Bedenk wel dat sommige virussen het niet zo leuk vinden als je geassioceerde files gaat verwijderen.

Kan je een kopie van die file maken? (ctrl+c, ctrl+v) Als dat niet het geval is zit het er dik in dat ie ook nooit goed geupload is bij Jotti's scanding. Probeer en dan in de veilige modus eens een kopie van te maken en upload die later.

Als je echt wil weten wat het doet, zou je met Sysinternals Regmon / Filemon / Process Explorer (hier) kunnen kijken wat die exe allemaal uitvreet als je 'm start.

vrijdag 20 augustus 2004 20:58

Acties:

Verwijderd

Het is niet echt aan te raden om zomaar executables te verwijderen.
Bij het proberen te verwijderen kán het zo zijn dat de malware besluit bijv. al je data te wissen, iets wat je niet wil natuurlijk.

Spyware/virus/trojan files hebben vaak de volgende kenmerken:

* Een compleet blanco icoon
* Geen versie-informatie
* < 100 kB
* Staat in een map die ook niet gek veel zegt.

* Ik denk dat nog niet eens 50% van de malware een compleet blanco icon bevat
* Dat valt ook nog wel mee
* Zeker trojans/backdoors zijn tegenwoordig met regelmaat groter dan 100KB
* \system32 zegt niet veel?

zaterdag 21 augustus 2004 00:47

Acties:

Verwijderd

Topicstarter

Mike Jarod heeft waarschijnlijk gelijk. Omdat het programma actief was is het waarschijnlijk niet goed ge-upload naar de virus scanner sites.

Na het gestopt te hebben in de Task Manager (ja, ja, ik leef graag op het randje;) en aanbieden bij Jotti komt nu het bericht terug dat de file geinfecteerd is met TrojanDownloader.Win32.Agent.ae (volgens Kaspersky; andere sites hebben lichtelijk verschillende namen ervoor).

Norton Corporate Version vindt dit geen virus of weet van het bestaan ervan niet af want een nieuwe scan geeft geen hit (ja, de virus definitie file is up-to-date).

Kaspersky's AV program raadt aan om de file te deleten. Dat hebben we dan maar ook gedaan. Nu maar afwachten of alles een beetje blijft draaien

Allemaal bedankt voor de reacties. Daar was ik alleen waarschijnlijk niet uitgekomen (of drie weken langer mee bezig geweest)

zaterdag 21 augustus 2004 00:54

Acties:

leon1e

Het is nu zeker dat het om een trojan gaat, daarom verplaats ik het topic nu ook naar BV.