Hoe vind ik de bron?

  • Onderwerp starter Onderwerp starter arre
  • Startdatum Startdatum
Status
Niet open voor verdere reacties.
A

arre

Gebruiker
Lid geworden
14 apr 2003
Berichten
485
Hoi iedereen...

Inleiding

Ik heb een probleempje:) Recent heb ik eens verder gekeken dan mijn alledaagse task-manager met het cmd commando 'tasklist /svc", ik had namelijk al langer stomme popups.
Nu kom ik te weten dat ik een vreemd programmatje run, nl "qqrrja.exe".
Google geeft niets hierover, maar er zijn idd wel meerdere slimme programma's die random namen generen. Ik spoor het programmatje op en vind het in mijn system32 directory.
Ik check ook mijn regedit, en vind een entry in de bekende 'run' directory, je weet wel, waar je zowat alle virussen vindt.
Ik wil dit programma'tje deleten, maar het wil niet. Access dienied bla bla bla, hetgeen je krijgt als het programma al is opgestart. En inderdaad, elke keer ik het programma afsloot kwam het terug, net zoals de registry, entries in 'run'.
Concluse: er moet nog een ander programma zitten...

Dus ging ik in Safe-mode, en probeerde het daar te verwijderen, maar tot mijn grote verbazing wanneer ik op delete drukte om het te verwijderen starte het programma op! in safemode (!), maar ik kon er wel als ik niets delete, de registry entry verwijderen zonder dat ie terugkwam...
Ik ging dan op normale windows en was blij dat het niet was opgestart. Om te voorkomen dat dit programma zou opstarten elke keer ik het aanklikte of probeerde te deleten, heb ik het eens ge-'hex-edit', met andere woorden wat veranderdt aan de broncode...
Ik heb namelijk het hele begin van de file blaco gemaakt:)
Tot mijn grote blijdschap werkte dit en was die file onschadelijk gemaakt.

Nu kwam ik al snel te ondervinden dat nu om ongeveer elke 10 seconden een soort 'dos' programmatje opstarte, onder de naam qqrrja.exe:) nu onschadelijk en niet meer verborgen kon ik duidelijk zien dat er een ander programma dit heel de tijd probeerde op te starten.

Ik heb mijzelf de 'secure task manager' trail aangeschaft, en kwam ook te weten dat een programma'tje uukk.exe opgestart was, te vinden in mijn startup start-menu. aan de naam te merken ook verwant aan dat andere programma. Maar na verwijdering bleef qqrrja.exe (nu onschadelijk) wel heel de tijd opstarten.

Als je zover hebt gelezen, proficiat:)
Het probleem

Hoe kom ik te weten welk programma mijn qqrrja.exe opstart. Als ik dit weet kan ik misschien de bron van deze spyware/adware whatever aanpakken. Of natuurlijk als iemand dit patroon herkent en mij kan kan wijzen naar een malware-removal page zou ik ook heel blij zijn:)


Alvast bedankt,
Arnout
 
Ik denk dat je het beste een scan-log kunt laten nakijken door mensen met kennis van spyware.
Daar zit het probleem van ongewenste progjes en popups.

Leesvoer.
 
ohja, ik heb ewido gedownload, en heb AVG...
Geen van beide herkent qqrrja.exe als iets slechts...
 
Ik denk dat je het beste een scan-log kunt laten nakijken door mensen met kennis van spyware.
Klik om te vergroten...
nou als je toch zelf al deze kunt doen, heb je zelf ook al aardig wat kennis volgens mij:cool: Maar het blijft wel een goed idee natuurlijk, misschien komt in het hijackthis log een andere naam voor die leid naar een soort removal tool ofzo
 
Geplaatst door arre
Om te voorkomen dat dit programma zou opstarten elke keer ik het aanklikte of probeerde te deleten, heb ik het eens ge-'hex-edit', met andere woorden wat veranderdt aan de broncode...
Ik heb namelijk het hele begin van de file blaco gemaakt:)
Tot mijn grote blijdschap werkte dit en was die file onschadelijk gemaakt.
Klik om te vergroten...
Al zou je slechts één karakter in de broncode, dat karakter moet wel een code representeren en geen pure tekst, toevoegen/verwijderen dan zal "qqrrja.exe" niet meer gaan werken. Het renamen ervan heeft ook hetzelde effect. Zowel voor het renamen als het verwijderen van dat execje moet je je pc niet in de Safe-mode opstarten, maar je pc met een opstartdiskette opstarten.
Geplaatst door arre
Hoe kom ik te weten welk programma mijn qqrrja.exe opstart.
Klik om te vergroten...
Ik zou echt niet weten, maar zoals je weet heeft regedit een zoek functie, misschien even naar verwante namen zoeken? Er zijn ongelooflijk veel entries, daarom is die zoekfunctie zo handig.

Dennis.
 
Verwijderen of van naam veranderen gaat niet:) Dat had ik al geprobeerd.
Het bron programma checkt eerst of qqrrja.exe bestaat, en zo neen, maakt hij het aan:) Dus verwijdering is geen goede oplossing.
En 1 Character veranderen (in een hex-editor) is niet noodzakelijk fataal voor je applicatie...

Het zoeken in de registry was wel een goed idee, ookal zou het niet verklaren hoe de file miraculeus terug kwam.. Ik heb er zo veel mogelijk entries gedelete en heb zelf ook wat gespeeld met dit spyware proggie, een gechecked hoeveel hij nu checkte van qqrrja.exe voor hij het delete en terug aanmaakte. Ik kwam te weten dat hij gewoon checkte of het bestand bestond en dan uitvoerde. Bestond het niet, maakte hij het aan.

Ik heb het anders aangepakt:) Met wat geluk (omdat de bron-app) niet gecomprimeerd was, kon ik in mijn memory afscannen voor de string qqrrst.exe. Daar vond ik een vreemd programma, waarvan ik niet het kleinste idee had hoe het daar in was geraakt:) Met dat secure-task-manager gedoe heb ik het kunnen opsporen en voorgoed uit mijn memory kunnen laten verdwijnen:)

Voorlopig runt alles terug zoals het zou moeten^^

Toch zeer hartelijk bedankt voor al jullie hulp


Cya
Arnout
 
Laatst bewerkt:
Mooi dat het gelukt is en bedankt jezelf maar, want je hebt het probleem zelf opgelost:thumb:

Toch nog even wat correcties:

Geplaatst door arre
Verwijderen of van naam veranderen gaat niet:) Dat had ik al geprobeerd.
Het bron programma checkt eerst of qqrrja.exe bestaat, en zo neen, maakt hij het aan:) Dus verwijdering is geen goede oplossing.
Klik om te vergroten...
Uit je vorig bericht begreep ik uit, dat je het programma qqrrja.exe liever geelimineerd wilt hebben;je schreef: "Ik wil dit programma'tje deleten, maar het wil niet" Dus vandaar. Maar dat het progje ondanks het wordt gerenamed/verwijdered er weer een ander programma aangemaakt wordt heb ik wel begrepen.
Geplaatst door arre

En 1 Character veranderen (in een hex-editor) is niet noodzakelijk fataal voor je applicatie....
Klik om te vergroten...
Hier dacht ik ook dat je dat programma juist onklaar wilde maken, zodat het niet meer kan toeslaan.

Als je maar één karakter(character) in een gecompileerde programma verandert, dan zal dat programma zeker niet meer gaan functioneren. Het karakter dat je verandert(of eventueel verwijdert) moet wel bij een instructie toebehoren. Die instructie kan dan door de microprocessor niet meer worden uitgevoerd, het kan zelfs tot gevolg hebben dat je pc gaat 'hangen'.

Dennis.
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan