Computerbeveiliging - Hoe je bad guys buiten de deur houdt

MSSECES.EXE

11-01-2012, 09:53 door Anoniem, 6 reacties
Ik kan er niet meer aanuit.
Bij nazicht van de pc met Emsisoft(on-line check met Emsisoft HiJackFree) viel mij dit op msseces.exe
Verder op gezocht op het internet en het bleek dat op sommige sites met het beoordeelden als een kwalijk iets.(webroot en exterminate-it, malwarebytes zag het niet dacht ik en nu ga ik de Emsisoft er eens full laten overlopen)
Volgende tekst was van Exterminate-It

The unsafe files using this name are associated with the malware groups:

Information Stealer
Cloaked Malware
Malicious Software
File Behavior
MSSECES.EXE has been seen to perform the following behavior:

Adds a Registry Key (RUN) to auto start Programs on system start up
Writes to another Process's Virtual Memory (Process Hijacking)
Modifies the Windows Host File which could be used to stop you visiting specific web sites by redirecting you to alternative addresses without you knowing
Hooks the WININET.DLL function allowing it to read or copy Http and Https web page content and session information
Executes a Process
This process creates other processes on disk
Downloads program file(s) and other content from the web
Injects code into other processes
Performs DNS look ups to resolve URL IP addresses
The process hooks code into all running processes which could allow it to take control of the system or record keyboard input, mouse activity and screen contents
The Process is packed and/or encrypted using a software packing process
MSSECES.EXE has been the subject of the following behavior:

Added as a Registry auto start to load Program on Boot up
Created as a process on disk
Executed as a Process
Has code inserted into its Virtual Memory space by other programs
Terminated as a Process
Executed from Temporary Folders
This program is often downloaded from the web

Blijkt dat ding daar te staan in het register onder MSC, microsoft security center??
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
En dat staat inderdaad in program files in de map Microsoft Security Client.
Nu breekt mijn klomp wel ver daar ik geen idee heb wat ik hier mee moet.
(microsoft security essentials staat op deze pc op)
Iemand die mij uit de 'nood' helpt hiermee.
Reacties (6)
11-01-2012, 10:24 door Anoniem
Door... het te installeren, geef je het de gelegenheid om zich te nestelen in het register...

Alles onder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Start op..!
11-01-2012, 10:44 door cjkos
Als je Microsoft Security Essentials hebt draaien is het hebben van dit bestand niet zo vreemd.

Als dit het geval is en je wil er vanaf kun je die deinstalleren.
11-01-2012, 10:54 door cjkos
Overigens staat www.exterminate-it.com bij mij als untrustworthy aangegeven bij WOT.

https://www.mywot.com/en/scorecard/exterminate-it.com

Zo maar een link.

https://forums.malwarebytes.org/index.php?showtopic=5928
11-01-2012, 11:01 door Anoniem
msseces.exe is het opstart bestand van Microsoft Security Essentials, 974kb groot en versie 2.1.1116.0
Het is ook normaal dat msseces.exe onder de sleutel staat die jezelf vermeld.

Marthy
11-01-2012, 11:05 door Spiff has left the building
msseces.exe is principe een regulier onderdeel van Microsoft Security Essentials.
http://www.bleepingcomputer.com/startups/msseces.exe-25502.html

Goeie kans dat de Emisoft Web Malware Scan (want die bedoel je, vermoed ik?) en Exterminate-It (en Webroot?) over-hysterische reacties gaven die te beschouwen zijn als false positives.
Zo lijkt die beschrijving van Exterminate-It me wellicht best wel passen bij een onderdeel van MSE. Zou dergelijk gedrag echter vertoond worden door, bijvoorbeeld, een office programma of cd-brander, dan is het wellicht andere koek en zou er mogelijk wél sprake zijn van wat kwaadaardigs. Je moet die melding wellicht zien in de context van de eigenschappen van het betreffende programma. Exterminate-It lijkt dat niet zo handig te doen.
Ook Emisoft staat jammer genoeg nog steeds bekend om het geven van relatief meer false positives dan andere scanners.

Upload je msseces.exe bestand voor de zekerheid eens even naar VirusTotal.
http://www.virustotal.com/index.html
11-01-2012, 11:07 door 0101
Edit: @Spiff was me voor :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.