Backdoor.HMCPol.Gen

Marcel

16 aug 2011 22:24 1 door Marcel
PC Web Plus - Member

Vandaag even MBam laten scannen en deze trof 6 geïnfecteerde onderdelen aan, allen van Backdoor.HMCPol.Gen

Onderstaand het logje van MBam:

Code: Selecteer alles

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Databaseversie: 7477

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16-8-2011 20:33:19
mbam-log-2011-08-16 (20-33-19).txt

Scantype: Volledige scan (C:\|)
Objecten gescand: 234691
Verstreken tijd: 28 minuut/minuten, 45 seconde(n)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 3
Registerwaarden geïnfecteerd: 2
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 1

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\CLSID\{8W331234-U375-D761-B5TC-145XVSU12367} (Backdoor.HMCPol.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8W331234-U375-D761-B5TC-145XVSU12367} (Backdoor.HMCPol.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{8W331234-U375-D761-B5TC-145XVSU12367} (Backdoor.HMCPol.Gen) -> Quarantined and deleted successfully.

Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.HMCPol.Gen) -> Value: Policies -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.HMCPol.Gen) -> Value: Policies -> Quarantined and deleted successfully.

Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Bestanden geïnfecteerd:
c:\program files\Adobe\Updater (Backdoor.HMCPol.Gen) -> Quarantined and deleted successfully.

De infectie is inmiddels weg, dat is duidelijk..
Maar ik lees onderstaande info op BleepingComputer:

I would counsel you to disconnect this PC from the Internet immediately. If you do any banking or other financial transactions on the PC or if it should contain any other sensitive information, please get to a known clean computer and change all passwords where applicable, and it would be wise to contact those same financial institutions to apprise them of your situation.

Though the trojan has been identified and can be killed, because of it's backdoor functionality, your PC is very likely compromised and there is no way to be sure your computer can ever again be trusted. Many experts in the security community believe that once infected with this type of trojan, the best course of action would be a reformat and reinstall of the OS

Wat is jullie advies?

Citeer

17 aug 2011 10:06 2 door Maxstar
Administrator

Hoi,

Dit advies wordt vaker gegeven zoals ook hier op het forum van MBAM zie ik maar had hier nog niets van gehoord.
Mij is alleen bekend dat er een format wordt aangeraden bij een virut infectie maar ik ga dit eens uitzoeken, interessant...!

Bent u blij met de geboden hulp? klik hier voor een vrijblijvende donatie

Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)

Citeer

Marcel

17 aug 2011 15:29 3 door Marcel
PC Web Plus - Member

Ik begrijp dat ten tijde van de infectie eventueel wachtwoorden en inlogcodes gestolen kunnen worden, dus zou men die (helaas) allemaal moeten aanpassen.

Maar formatteren nadat de infectie verholpen is lijkt mij vreemd???

Citeer

17 aug 2011 18:11 4 door Juisterr
Security Helper

Bij Sality word ook een format aanbevolen trouwens, dat is ook een file infector.

*******

Twitter - - -
**
facebook
******
AQMRB - Alliance of Qualified Malware Removal Boards

Citeer

17 aug 2011 18:16 5 door Maxstar
Administrator

In principe is het formatteren bij bepaalde infecties niet heel vreemd omdat er eenvoudig weg veel aanpassingen in het systeem gedaan kunnen zijn waardoor het systeem niet geheel betrouwbaar meer is.
Hierbij kan je dan denken aan 'file infectors' maar ook aan bestanden die gemanipuleerd zijn door de infectie.

p.s.
Topic even verhuist naar: Algemene vragen & discussies over beveiliging en uw privacy

Bent u blij met de geboden hulp? klik hier voor een vrijblijvende donatie

Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)

Citeer

17 aug 2011 19:08 6 door Angel@
Security Helper

Matrix schreef:Maar formatteren nadat de infectie verholpen is lijkt mij vreemd???

Laat ik beginnen met het advies dat op Bleeping Computer online is gegeven door 'boopme'
This allows hackers to remotely control your computer, steal critical system information and download and execute files.
Dit is "deels" waar daarom staat het ook tussen haakjes, maar het is niet een primair uitgangspunt om een computer geheel te laten formatteren.

Via internet is het lastig om een gehele analyse van een computer te maken maar niet onmogelijk.
En als ik het topic op Bleeping Computer bekijk zie ik géén info dat bevestigd dat er nog steeds sprake is van vreemde activiteiten op de PC, alleen een antwoord dat je moet formatteren.
Er is dus verder geen analyse maar gelijk een advies van formatteren?
Op ander fora zie je dus deze zelfde canned terug bij (Backdoor.HMCPol.Gen)

Ik heb ook andere topics bekeken met deze canned en dat is gewoon natte vinger werk.

Backdoor.HMCPol.Gen = format klaar.

lekker makkelijk lijkt mij.

If it ain't broken, don't fix it

Citeer

17 aug 2011 19:23 7 door Juisterr
Security Helper

Toch zie je dat wel vaker !

*******

Twitter - - -
**
facebook
******
AQMRB - Alliance of Qualified Malware Removal Boards

Citeer

18 aug 2011 17:01 8 door Maxstar
Administrator

Het is ook niet zo'n heel gek advies hoor Angel@ maar in sommige gevallen is formatteren inderdaad wel heel drastisch.
Ik ben nog steeds heel benieuwd waarom dit advies juist bij deze infectie meerdere malen wordt gegeven?

Bent u blij met de geboden hulp? klik hier voor een vrijblijvende donatie

Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)

Citeer

Marcel

18 aug 2011 17:36 9 door Marcel
PC Web Plus - Member

De tweede vraag die bij mij bovenrijst is als volgt:

Ik draai MBam Pro (dus realtimebescherming), waarom detecteert MBam de infectie wél als ik handmatig een scan uitvoer maar niet tijdens het infecteren zelf?

Het ging tenslotte om een bestand:
c:\program files\Adobe\Updater

Citeer

18 aug 2011 18:01 10 door Angel@
Security Helper

Matrix schreef:Ik draai MBam Pro (dus realtimebescherming), waarom detecteert MBam de infectie wél als ik handmatig een scan uitvoer maar niet tijdens het infecteren zelf?

Ik ben niet bekend met MBAM pro dus daar kan ik geen direct antwoord op geven.
Als MBAM geen melding geeft tijdens het infecteren maar wel met een handmatige scan lijkt mij dit te maken te hebben met een (heur) scan en (sigs) in de database.

Van welke website heb je trouwens deze Adobe Updater gedownload?
http://www.security.nl/artikel/38140/1/ ... re%21.html" onclick="window.open(this.href);return false;

If it ain't broken, don't fix it

Citeer

Backdoor.HMCPol.Gen

Beste bezoeker, welkom op PC Web Plus!

Maak een account aan of log in om deel te nemen aan de discussie

Maak een account aan

Log in

Backdoor.HMCPol.Gen

Toon berichten van afgelopen

Sorteer op

Beste bezoeker, welkom op PC Web Plus!

Maak een account aan of log in om deel te nemen aan de discussie

Maak een account aan

Log in