Plaats reactie
1
Emsisoft Anti-Malware detecteert een Riskware.Risktool.Win32.HideWindows in C:\Windows\System32\cmdow.exe
Ik heb dit nog niet laten verwijderen maar als ik kijk in C:\Windows\System32 is dit bestand nergens te vinden.
Wat moet ik hiermee doen?

Emsisoft Anti-Malware - Versie 7.0
Laatste Update: 28-12-2012 15:03:42

Scaninstellingen:

Scantype: Aangepaste scan
Objecten: Rootkits, Geheugen, Sporen, C:\, D:\, E:\

Detecteer riskware: Aan
Scan archieven: Aan
ADS Scan: Aan
Bestandsextensiefilter: Uit
Geavanceerde cache: Aan
Directe schijftoegang: Uit

Scan gestart: 28-12-2012 15:04:15

C:\Windows\System32\cmdow.exe Ontdekt: Riskware.RiskTool.Win32.HideWindows.AMN (A)

Gescand 531246
Gevonden 1

Scan geëindigd: 28-12-2012 16:03:54
Scantijd: 0:59:39
2
Fago,

Het betreft een detectie van riskware.

Riskware is een programma dat voor zowel goede als slechte dingen gebruikt kan worden. Het ligt er maar net aan wie de controle over dat programma heeft en waarom het gebruikt wordt.

Ik gok dat het nu om dit bestand gaat. Zoals je ziet wordt dat door veel meer beveiligingsprogramma's gedetecteerd als riskware.

Ik zou ervoor kiezen om het bestand in quarantaine te zetten en het daar ook een tijdje te laten staan. Misschien werd het gebruikt om een onschuldig schermpje te verbergen. Het kan ook zijn dat het werd gebruikt om iets te verbergen waar je niet blij mee bent.
3
Bedankt voor jouw reactie alleen met een tweede scan van Emsisoft Anti-Malware vind deze het bestand niet meer en ik heb hem met de vorige scan echt niet laten verwijderen.
Wat ik ook heel vreemd is dat op virustotal ESET-NOD32 het als Win32/CMDOW.143 ziet en mijn Eset Antivirus 5 het niet heeft gevonden.

Ik heb Eset en Emsi allebei een full scan laten doen dus gingen er wat uurtjes overheen maar niks meer gevonden.
Een bestand kan toch niet zomaar vanzelf verdwijnen. :eek:
4
Ik weet niet zeker of die link van virustotal de juiste is. Ik gokte op bestandsnaam en de naam waarmee Emsisoft het detecteert.

Kijk eens de laatste scan reports van Emsisoft na. Misschien is er toch iets verwijderd. En kijk in de quarantaine van beide programma's.
6
ctrlaltdelete schreef:Kijk eens de laatste scan reports van Emsisoft na. Misschien is er toch iets verwijderd. En kijk in de quarantaine van beide programma's.
Dit heb ik even gecheckt en nergens staat er iets in quarantaine toen ik weer in C:\Windows\System32 ging kijken stond het bestand er weer.
Gelijk even rechtsklik > scannen met Eset en Emsi gedaan maar beiden geven aan dat er niks is gevonden.

Dan maar een upload naar virustotal > reanalyse gedaan en ja hoor Eset en Emsi vinden het daar nog wel.
ESET-NOD32 Win32/CMDOW.143
Emsisoft Riskware.RiskTool.Win32.HideWindows.AMN (A)
https://www.virustotal.com/file/3193905 ... 356882889/" onclick="window.open(this.href);return false;

Het lukt mij niet om die bestanden hier als blijage toe te voegen omdat de exe extensie niet is toegestaan.
Ik heb al wel een kopie op mijn desktop gezet als ik hem ergens naar toe kan mailen is dat ook goed.
7
Fago,

Het bestand als bijlage toevoegen hoeft niet, we weten nu zeker om welk bestand het gaat omdat je het had gecontroleerd op VirusTotal.
Mocht je wel een *.exe willent toevoegen, dan moet je het even inpakken met winzip, winrar of met Windows kopieren naar gecomprimeerde map.

Op zich is er niet aan de hand met dit bestand en kan het ook geen schade aanrichten. Het wordt gebruikt om een venster te verbergen, dat is alles.
Maar de vraag is natuurlijk welk programma hier gebruik van maakt en waarom er dan een venster verborgen wordt. De informatie hier toonde al aan dat het bestand erg populair is in Nederland.

Gebruik je Emsisoft Anti-Malware met de bewaking ingeschakeld, of alleen als scanner?
8
Ja en hoe komt het op de computer want zelf heb ik het er niet opgezet en deze computer is twee weken terug opnieuw geinstalleerd met Windows 8.
Wat ik ook nog steeds niet snap is dat het op virustotal wel wordt gezien als gevaarlijk en op mijn computer zelf niet?
Ik gebruik de free versie van Emsi als losse scanner en Eset Antivirus is betaald.
9
Fago,

Emsisoft heeft een aparte instelling voor het wel of niet detecteren van Riskware. Wanneer die optie in de scanner is uitgeschakeld, dan wordt het niet gedetecteerd.
Kijk in Emsisoft Anti-Malware ook eens bij: Computer Scannen > Uitzonderingen bewerken. Misschien staat het bestand daar ergens vermeld waardoor het niet meer wordt gedetecteerd door de scanner.

Ik zou het bestand gewoon in quarantaine plaatsen, hernoemen of verwijderen en dan zie je vanzelf wel welk programma zich opeens anders gedraagt.
10
Ik heb het hele programma afgezocht maar nergens zie ik iets van riskware detecteren in of uitschakelen. :-\
Bij Computer Scannen > Uitzonderingen bewerken staat niets dit venster is helemaal leeg.

Houd je goed vast want nu wordt het nog vreemder. :-\
Ik wilde dus het bestand in quarantaine plaatsen maar als ik dat bestand probeer te zoeken is dat op een spookachtige manier verborgen voor Emsi.
Als ik de verkenner zelf open zie ik het bestand wel staan.

De onderstaande afbeelding is verkleind, klik op de thumbnail voor een vergroting.

Image
Laatst gewijzigd door Maxstar op 31 dec 2012 18:40, 1 keer totaal gewijzigd.
Reden: Afbeelding tussen tags geplaatst
11
Haha, het wordt steeds grappiger.

Dat venster aan de rechterkant is van Emsisoft Quarantaine > Toevoegen?

Als je dat venster als laatste opent, dus eerst Windows verkenner en dan pas Emsisoft Anti-Malware > Quarantaine > Toevoegen. Zie je cmdow.exe dan wel in beide vensters?
12
Oh, even niet aan gedacht...

File system redirection gedoe :crash:

Ga nogmaals naar Emsisoft Quarantaine, klik op Toevoegen.

Typ (of kopieer & plak) bij Bestandsnaam: c:\windows\sysnative\cmdow.exe en klik op Openen (dat is in dit geval niet echt openen maar selecteren)
13
Het rechter venster is inderdaad via Emsisoft Quarantaine geopend waar cmdow.exe niet te zien is. :-\
Als ik eerst de verkenner open en dan Emsi + Quarantaine en op toevoegen klik zie ik het ook niet.

De onderstaande afbeelding is verkleind, klik op de thumbnail voor een vergroting.

Image
Laatst gewijzigd door Maxstar op 31 dec 2012 18:40, 1 keer totaal gewijzigd.
Reden: Afbeelding tussen tags geplaatst
14
ctrlaltdelete schreef:Oh, even niet aan gedacht...

File system redirection gedoe :crash:

Ga nogmaals naar Emsisoft Quarantaine, klik op Toevoegen.

Typ (of kopieer & plak) bij Bestandsnaam: c:\windows\sysnative\cmdow.exe en klik op Openen (dat is in dit geval niet echt openen maar selecteren)
Dit lukt wel en uit c:\windows\system32 zag ik direct cmdow.exe verdwijnen in de verkenner. :bow: :conf:

De onderstaande afbeelding is verkleind, klik op de thumbnail voor een vergroting.

Image
Laatst gewijzigd door Maxstar op 31 dec 2012 18:40, 1 keer totaal gewijzigd.
Reden: Afbeelding tussen tags geplaatst
15
Mooi dat 't gelukt is.

Nu maar afwachten of er een scherm verschijnt dat je anders nooit zag of dat het een totaal andere maat of postie heeft. Dan weten we redelijk zeker welk programma gebruik maakte van cmdow.exe. Of, en dat is nog makkelijker natuurlijk, wanneer een programma niet werkt en klaagt dat cmdow.exe niet kan worden gevonden.
Plaats reactie

Maak een account aan of log in om deel te nemen aan de discussie

Je moet lid zijn om een ​​reactie te kunnen plaatsen

Maak een account aan

Geen lid? Registreer om lid te worden van onze community
Leden kunnen hun eigen onderwerpen starten en zich abonneren op onderwerpen
Het is gratis en duurt maar een minuut

Registreer

Log in

Gebruikersnaam
Wachtwoord

Terug naar “Emsisoft Anti-Malware”