Vreemde folders en bestanden

Status
Niet open voor verdere reacties.

Baiko

Gebruiker
Lid geworden
28 sep 2007
Berichten
87
hallo,

herkent iemand folders zoals deze bv: AApackage 76, Wuser 204 ?? in deze folders zitten verschillende bestanden
Ik denk dat het om een soort malware gaat
Ik kan deze wegdoen maar ze komen telkens terug , wel telkens onder een ander naam.
Ook als ik er niets mee doe maar na een herstart bv verander ofwel de datum, of beide naam en datum
als ik ze weg doe en als ze terug komen worden ze wel onderschept door "Cybereason ransonfree"
ze staan in mijn documenten en op mijn C .
ik heb als virusscan Total Internet Security Kasperky 2017
ik ook al met volgende gescand
Kasperky -> deepscan
Stinger
Malware bytes
Hitman pro
Bit defender
adw cleaner
alvast bedankt om mee te denken
 
In mijn herinnering is daar al eens een topic over geweest. Dat zijn juist mappen en bestanden die worden aangemaakt om genoemde aanvallen af te slaan en/of onschadelijk te maken.
 
Ik wil de inhoud van die mappen zien:

Open Kladblok. Klik op Start → Alle Programma's → Bureau-Accessoires → Kladblok.
Kopieer onderstaande code:
@ECHO OFF
ECHO controle van bestanden %date% %time% Gebruiker %username% >"%userprofile%\desktop\log.txt"
FOR %%g in (
"C:\Program Files\AAPackage 76"
"C:\Program Files\Wuser 204"
) DO (
dir /s %%g >> "%userprofile%\desktop\log.txt"))
START NOTEPAD "%userprofile%\desktop\log.txt"



Ga naar Bestand - Opslaan als.
Bij "Opslaan in" kies je: Bureaublad.
Bij "Bestandsnaam" zet je:dirfiles.bat.
Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
Klik op de knop Opslaan. Rechtsklik → dirfiles.batAls administrator uitvoeren
 
Laatst bewerkt:
Controleer wat er op de computer opstart met AutoRuns van Sysinternals. Als mappen steeds weer worden aangemaakt dan moet het een op te starten proces zijn wat dit doet. Meteen een geruststelling dat je malware en ongewenste software zo zou moeten vinden. Draait Minecraft misschien op deze computer? Dan deze of andere te verdenken processen eens uitsluiten van opstarten. Kijk ook in de logboeken van Windows.
 
vreemde folder en bestanden

aan dorado,
ik heb de bestanden gekopieerd
zie bijlage
 

Bijlagen

  • Knipsel.PNG
    Knipsel.PNG
    27,4 KB · Weergaven: 79
Het is niet zo 1-2-3 te ontdekken hoe deze bestanden op je computer elke keer komen.

Ik wil zoals Afred 2 aangeeft graag enkele logs zien:
Log 1:
Download
51e15692b05a4-MiniToolbox.PNG
MiniToolBox en plaats deze tool op je bureaublad.

Let op: Sluit nu eerst alle openstaande programma's en browsers!
Start MiniToolBox
- Windows Vista,7,8,8.1 en 10: rechtsklik op "MiniToolBox.exe" en klik op "Als Administrator uitvoeren".

Bevestig de opstartmelding "Are you sure you want to continue?" met Ja.

Vink de volgende onderdelen aan:
  • Flush DNS
  • Report IE Proxy Settings
  • Reset IE Proxy Settings
  • Report FF Proxy Settings
  • Reset FF Proxy Settings
  • List content of Hosts
  • List IP configuration
  • List Winsock Entries
  • List last 10 Event Viewer Errors
  • List Installed Programs
  • List Devices (Only Problems)
  • List Users, Partitions and Memory size
  • List Minidump Files
  • List Restore Points

Klik op de knop "Go".
Na het scannen zal een logje verschijnen op je bureaublad, "MTB.txt".
  • Klik op Geavanceerd onder Snel reageren hier op het forum, waardoor je een paperclip te zien krijgt:
  • Klik daar op.
  • Klik op Voeg bestanden toe
  • Klik op MTB.txt
  • Klik op Uploaden
  • Klik onderin op In de tekst plaatsen

attachment.php

paperclip.png



Log 2:
  • Download
    57b47db378fc7-autoruns.png
    Autoruns for Windows
  • Pak vervolgens het ZIP-bestand met de naam "Autoruns.zip" uit.
  • Klik vervolgens met de rechtermuisknop op autoruns.exe en kies voor de optie als administrator uitvoeren
  • Ga naar File>Save, sla het op als AutoRuns.txt op je bureaublad.
  • Selecteer tekst van het uitrolmenu als bestandstype:
  • p4436801.gif

    • Klik op Geavanceerd onder Snel reageren hier op het forum, waardoor je een paperclip te zien krijgt:
    • Klik daar op.
    • Klik op Voeg bestanden toe
    • Klik op AutoRuns.txt
    • Klik op Uploaden
    • Klik onderin op In de tekst plaatsen

    attachment.php

    paperclip.png
 
Kun je dat minitoolboxlogje ook posten?
 
Stap 1:
Laten we eens naar de inhoud van dat textbestand kijken.

  1. Download en installeer **
    conemu.png
    ConEmu Stable Installer
Rechtsklik ConEmuAls administrator uitvoeren
(Kopieer onderstaande vetgedrukte blauwe regel en plak deze in ConEmu)
Typ: type "%userprofile%\documents\mayor_operating.txt">"%userprofile%\desktop\log.txt" & start notepad "%userprofile%\desktop\log.txt"

Voeg dit log toe als bijlage in je volgende bericht


Stap 2:
Mocht dat geen uitsluitsel geven: Ik kan geen bijzonderheden over de betreffende bestanden vinden. Laten we kijken in de logboeken..

  1. Download PsTools.
  2. *Unzip deze naar C:\Program Files\PS Tools.
  3. Open **
    conemu.png
    ConEmu Stable Installer
Rechtsklik ConEmuAls administrator uitvoeren
(Kopieer onderstaande vetgedrukte blauwe regel en plak deze in ConEmu)
Typ: "%programfiles%\ps tools\psloglist" -a 02/16/2018>"%userprofile%\desktop\error.log" & start notepad "%userprofile%\desktop\error.log"

Sluit alle vensters waardoor je error.log op het bureaublad ziet.
Voeg dit log toe als bijlage in je volgende bericht
 
Laatst bewerkt:
als ik ze weg doe en als ze terug komen worden ze wel onderschept door "Cybereason ransonfree"

Senso heeft gelijk. Deze mappen en bestanden met random (willekeurig) gegenereerde namen worden aangemaakt door Cybereason RansomFree.
Wanneer jij die mappen verwijdert, zal Cybereason RansomFree daartegen protesteren en direct andere mappen en bestanden (met weer andere namen) aanmaken.
Lees er hier meer over: https://www.antimalwaresoftware.nl/cybereason-ransomfree/

De oplossing is dus: laat die mappen en bestanden gewoon staan. Ze hebben nut, omdat ze als honeypot dienen.
 
opgelost

hallo,

OK dan is het probleem blijkbaar opgelost
dank aan allen
 
Kan je de belangerijke dirs het volgende commando uitvoeren dir /r

als je $DATA ziet moet je toch verder kijken en CTF opzoeken en eens bekijken wat het doet.

vervolgens is het verstandig comando 'sfc /scannow' uitvoeren
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan Onderaan