sqlwritter

[JamSlaaf]

Ik blijf last houden van een bepaald 'virus'
Het staat niet in verborgen mappen of iets, ik kan het ook totaal niet zin het staat ook niet in de lijst van opstarten.

Ik had niets gedownload en sql heb ik al tijden niet meer op me computer staan dus ik vond dit apart :')

[gertmenkel]

Heb je autoruns (van Sysinternals) al eens gedraaid? Sommige opstartsoftware weet zich namelijk voor msconfig te verstoppen...

Ik zou meteen een volledige scan doen met antivirus en Malwarebytes, of een antivirus boot cd gebruiken.

[JamSlaaf]

Allemaal al gedaan op die autorun na, even daa naar kijken !
BEDANKT ALVAST :P !

[digital ownage]

ga naar joeAppDataLocalTempsqlserver.exe en doe dan met rechtermuisknop > eigenschappen en kijk of er daar dan dit staat: Beiveiliging: dit bestand is afkomstig van een andere computer en bla bla bla en klik dan op blokkering opheffen. Je kan het natuurlijk ook verwijderen, alleen zal dan je sqlserver het niet doen tenzij het een virus is.

[gertmenkel]

ga naar joeAppDataLocalTempsqlserver.exe en doe dan met rechtermuisknop > eigenschappen en kijk of er daar dan dit staat: Beiveiliging: dit bestand is afkomstig van een andere computer en bla bla bla en klik dan op blokkering opheffen. Je kan het natuurlijk ook verwijderen, alleen zal dan je sqlserver het niet doen tenzij het een virus is.

Het lijkt me dat een ander virus een nieuw bestand in de tijdelijke map gooit en dat uit voert.

De blokkering opheffen lijkt me helemaal niet slim, dan voert hij juist het bestand uit, en dat lijkt me hier niet de bedoeling.


Hier is trouwens een downloadlink voor Autoruns, als je die nog niet had: Linkje (klik rechts op download "Download Autoruns and Autorunsc")

Edit: typo

[digital ownage]

Maar wie zegt dat het een virus is?
Want JamSlaaf heeft niet gezegd dat er dingen op zijn pc veranderd zijn op dit na en dat facebook/email etc accounts veranderd zijn.
Nu ik dit type schiet me ineens me te binnen dat op een laptop van mn pa altijd bij het opstarten dat zelfde kreeg met java. Er was niet sprake van een virus. Waar er wel spraken van was weet ik niet, maar ik had het opgelost door in mijn geval java te verwijderen en opnieuw te installeren. Dus JamSlaaf, Verwijder SQLserver eens, en installeer het opnieuw.
Het lijkt mij ook weird dat dit een virus is want niet iedereen heeft sqlserver op zijn pc staan (ik iig niet) Dus dan zou het alleen voor mensen die een sqlserver op hun PC hebben staan werken (of het zou een zo pro virus zijn dat het een random exe pakt en zich daarin verstop, lijkt me erg sterk).....

[gertmenkel]

Een beetje spyware zou ook niet email/facebook veranderen, maar een tijdje meekijken en hopen dat je gaat online bankieren.

Ik heb nog nooit van echte programma's gehoord die zich in de temp map installeren, en al helemaal niet die vanaf daar automatisch opstarten.

Daarbij zouden bestanden van een SQL server vast wel ondertekent zijn. In ieder geval die van een bekende uitgever.

Verder heb ik even snel gegoogled:
Threatexpert zegt hier iets over, hij maakt een registersleutel aan voor een video driver. Ook staat er iets over sqlwritter.exe, zoals het topic heet. Er wordt aangegeven dat er info verzonden wordt, bestanden worden gedownload en dat het opstartvermeldingen maakt. Lijkt me gevaarlijk.
McAfee zegt dat het een trojan is En hier staat ie nog eens

Dat java-updater bestand heet jusched.exe, en staat in de Program Files map van Java. Het controleert op updates voor java, en blijkbaar vinden de mensen bij Oracle dat het nodig is om hem adminrechten te geven. Daarbij vraagt die om administratorrechten, terwijl het screenshot vraagt om een bevestiging om als gewone gebruiker uit te voeren, dit zie je vaak als je een bestand van internet plukt. Maar nooit als je het met een installer hebt geïnstalleerd.

JamSlaaf, ik raad je aan even te scannen, tenzij je laatst zelf hebt besloten om een SQL server te installeren.

[JamSlaaf]

Heel leuk, maar het bestand bestaat niet geeft ie aan :P
En er is niets veranderd en zoals ik al aangaf ik heb GEEN ik herhaal GEEN MySQL

[digital ownage]

Maar je hebt wel sql op je computer gehad zonder fresh installs tussendoor? Want bij windows blijven er altijd nog files bij appdata achter van verwijderde progs.

[LaugHawa]

Sqlserver.exe is van mssql dus niet mysql.

Als ik het me goed herinner heeft iedereen een versie van mssql op zijn pc staan. Dit is namelijk omdat bijvoorbeeld acces dit gebruikt. Maar ook sqlvs gebruikt deze exe om een bestand als database te openen.

Ik denk persoonlijk dat het geen virus is maar dat het een mislukt instaltie of deinstalatie is geweest die onderwater heeft plaats gevonden.

[gertmenkel]

Ik neem aan dat de Microsoft SQL server wel digitaal ondertekent is, iets dat hier niet het geval is. Ook komt de titel van het topic (sqlwitter) overeen met een bestandsnaam van threatexpert, inclusief een kloppend pad, hoewel in het topic zelf niets over sqlwritter wordt gezegd. Zeer verdacht...

[LaugHawa]

http://technet.microsoft.com/en-us/libr ... 75536.aspx

The Microsoft SQL Writer Service is a program that comes pre-installed on all computers that have a Windows operating system. The program is used to save backup copies of SQL Server data and allow you to retrieve the data in the event that it is lost. Most average computer users will never have a need to use the SQL Writer Service, and it can even cause error messages to frequently pop up on your screen if your operating system was not installed correctly. You can remove the program by using the standard uninstall feature included with the Microsoft Windows operating system.

bron: http://www.ehow.com/how_5025953_remove- ... riter.html


welis waar is,
sqlservr.exe de app van microsoft.
en
sqlserver.exe is de exe waar vaak een virus in zit.

[JamSlaaf]

ga naar joeAppDataLocalTempsqlserver.exe en doe dan met rechtermuisknop > eigenschappen en kijk of er daar dan dit staat: Beiveiliging: dit bestand is afkomstig van een andere computer en bla bla bla en klik dan op blokkering opheffen. Je kan het natuurlijk ook verwijderen, alleen zal dan je sqlserver het niet doen tenzij het een virus is.

Het lijkt me dat een ander virus een nieuw bestand in de tijdelijke map gooit en dat uit voert.

De blokkering opheffen lijkt me helemaal niet slim, dan voert hij juist het bestand uit, en dat lijkt me hier niet de bedoeling.


Hier is trouwens een downloadlink voor Autoruns, als je die nog niet had: Linkje (klik rechts op download "Download Autoruns and Autorunsc")

Edit: typo

Het programma heeft geholpen, ik kon het hiermee uitzetten !