Trojaans paard Downloader.Delf.EPT

[Andreas5]

Beste allen,

Gisteren kreeg ik van de Resident Shield van AVG een waarschuwing dat er op mijn computer gevonden was:
Trojaans paard Downloader.Delf.EPT
Die waarschuwing had twee regels, in beide regels werd hetzelfde trojaanse paard genoemd en twee keer hetzelfde bestand: VLC_Player_Setup.exe (in de download map van mijn administrator account).

Ik heb vervolgens beiden gemarkeerd en AVG gevraagd om te herstellen. Voor een van de twee waarschuwingen krijg ik dan de melding 'verplaatst naar quarantaine', voor de andere: 'object niet toegankelijk'.

Aangezien beide waarschuwingen op hetzelfde bestand leken te slaan, vraag ik me nu af of de melding 'object niet toegankelijk' verschijnt omdat VLC_Player_Setup.exe reeds naar de quarantaine is verplaatst en dus alles weer in orde is??? Of zit er nog een probleem dat niet verholpen is.

Ik heb verder de volgende stappen ondernomen:
- Geprobeerd tijdelijk bestanden te verwijderen met TFC: Na een paar minuten melding 'TFC werkt niet meer'. De computer uitgezet en opnieuw opgestart, maar TFC niet nog een keer laten lopen.
- Malwarebytes' Anti-Malware laten lopen. Daarbij is geen malware ontdekt.
- ESET online scanner gebruikt, daarbij is een infectie gedetecteerd en verwijderd, maar volgens mij niet die waarvoor AVG waarschuwde.

ESET-resultaat:
C:\Windows\winsxs\x86_microsoft-windows-autochk_31bf3856ad364e35_6.0.6001.18000_none_e1f3ed49c1c122ef\autochk.exe probably a variant of Win32/Agent.HIXVFPI trojan cleaned by deleting (after the next restart) - quarantined

Hierna nog een complete scan gedaan met AVG, zonder dat er bedreigingen werden ontdekt.

Mijn vraag is dus: ben ik van de door AVG gedetecteerde bedreiging af of niet?
Nog een laatste vraag: ik ben eigenlijk van plan om de VLC-player de deinstalleren (ik gebruik hem nooit), maar ik begrijp dat ik daarvoor precies het bestand moet openen dat als locatie van het trojaanse paard is aangewezen. Wat zal ik doen (Dat setup-bestand staat trouwens niet meer in de download-map waar AGV het vond. Omdat die nu in de AVG-quarantaine staat?)?

Bij voorbaat dank!

Groet,
Andreas

 

[Ragdoll]

Hallo Andreas.

De vraag wat zal ik doen ,daarvan vind ik dat je die al heel verstandig heb opgelost op deze manier.

Welkom op het forum Andreas.:thumb:

Vragen waar iemand je kan helpen is ook een manier van oplossen waar even mee zit.:thumb:

De waarschuwing van AVG is er één waar je een vraagteken bij moet zetten en zomaar aan moet nemen.
Wat is er mogelijk van die waarschuwing is maar één ding.
Een trojan downloader bestand zou in de exe bestand VLC_Player_Setup.exe gebundeld kunnen zijn ,een programma waarmee ze dat kunnen doen heet b.v exe2exe.
Bij twijvels het bestand gewoon even uploaden naar een websites als ,
VirusTotal
Virscan
En laat het bestand scannen dan heb wat meer waarvan je mening kunt vormen of het wel of niet zo wat AVG tegen je zegt.
Dat is in ieder geval nog geen infectie en infectie ziet er b.v zo uit.

Folders Infected:
C:\WINDOWS\system32\AppCert (Trojan.Downloader) -> Delete on reboot.

Files Infected:
C:\WINDOWS\system32\AppCert\filter.drv (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AppCert\hb20g.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AppCert\options.dat (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AppCert\prx992h.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AppCert\wsil32.dll (Trojan.Downloader) -> Delete on reboot.

Wat door ESET (Nod) word gevonden ziet er ook zo ongeveer uit en dat is er wel één.
Maar vergeet niet wat achteraan staat (cleaned by deleting (after the next restart) - quarantined).
Het zal verwijderd door nadat de computer weer opnieuw word opgestart.
Dat wil zeggen dat ESET het niet meteen kan omdat het nu actief gebruik is.

En daar zie je al het verschil met dat van AVG.
Of er iets mee zou zijn is niet te zeggen.

En het verhaal van VLC is onzin.
Ik heb VideoLan (VLC) ook op mijn pc en dat al vanaf ze met project videolan gestart zijn.
Het kan gewoon zoals de andere programma's ook verwijderd en het heeft dus een uninstall bestand in de installatie map daarvoor klaar staan.
Als iets niet van kloppen bij jou VLC dan heb je niet de goede ,en dan is er een rede dat AVG het goed kan hebben.

Ik hoop dat ik zo duidelijk genoeg voor je heb uitgelegd.

Groetjes.
Ragdoll

 

[Andreas5]

Hallo Ragdoll,

Dank voor je uitvoerige antwoord.

Mag ik even doorvragen:
Ik zou graag het bestand waarvoor AVG waarschuwde (VLC_Player_Setup.exe) door de programma's die je noemt willen laten scannen - maar ik kan het bestand nergens vinden.

AVG gaf als locatie de map downloads aan, maar daar staat die nu in ieder geval niet meer.

Bij de programme files van VLC staat ook geen bestand met deze naam. Aan .exe-bestanden staat daar alleen:
vlccfg.exe
vlc.exe

Ik zie daar trouwens ook geen uninstall bestand staan.
En als ik via het configuratiescherm van WindowsVista naar 'Programma's verwijderen' ga, dan staat VLC daar helemaal niet tussen. Vandaar dat ik ging googelen op 'VLC player deinstalleren' en daarbij het volgende tegenkwam (dit betreft wel een oudere versie, denk ik):
http://win.downloadatoz.com/tutorial/2710,how-to-uninstall-vlc-media-player-1-0-0.html

Heb je enig idee waar ik nog zou kunnen zoeken naar VLC_Player_Setup.exe en hoe ik de deinstallatie kan doen gezien wat ik hierboven schrijf.

Bij voorbaat dank!

Andreas

 

[Andreas5]

Wat betreft het zoeken naar het volgens AVG geinfecteerde bestand: misschien zou ik daarvoor bij de quarantaine van AVG moeten kijken, maar waar vind ik die?

Groet en dank, Andreas

 

[Ragdoll]

Hoi Andreas.

Natuurlijk mag dat ,vraag maar raak hoor.:thumb:
Ik ben zelf de gene die zegt dat de informatie die je de kennis en het begrip kan geven het fundament is dat je nodig heb om alle problemen op je pc op te kunnen lossen.
En zou eigenlijk jammer vinden als je het niet zou doen.

De quarantaine is vaak als een verborgen sub-map in je windows profiel mappen geplaats.
Maar laat die verlopig met rust ,maak er pas gebruik van als alle andere opties je niks meer kunnen bieden.
Het eerste waar je naar moet kijken is AGV zelf wat ze wel eens de GUI (Graphical User Interface) noemen.
Daar het je ergens iets staan met de naam quarantaine en daar zie het bestand weer terug.
Hij staat eigenlijk ook te wachten op jou.
Dat zit zo ,AVG heeft iets gevonden waarvan iets aan neemt wat zou kunnen maar dat eigenlijk helemaal niet weet maar er toch een rede voor hem is om er onzeker over te zijn en ziet als verdacht of er op het moment het niet oplossen kan met schoonmaken en of verwijderen.
Met dat laatste zal AVG alleen maar een kopie in de quarantaine zetten.

Waar staan in de quarantaine nou op te wachten.
Als het om een kopie gaat dan ga er van uit dat ze bij AVG het bestand willen hebben om er naar te kunnen kijken ze daar dan een oplossing voor zoeken en een fix voor maken het zij voor jou of voor een update.
Met wat hij verplaats in de quarantaine staat alles open ,want echt weten doen het niet.
Het kan dus ook zo zijn dat het aan jou over moeten laten en daar heb je optie bestand terug zetten naar de oorspronkelijke locatie.

Alleen zal je daar vaak de real-time scanner er tijdelijk voor uit moeten zetten.
Want het is ook maar dom programma die niet beter weet en de zijn programeurs het niet alltijd kunnen.:d
En AVG kan dus het bestand weer net zo onnozel weer terug zetten in quarantaine.:d
Dus daar moet je even op letten.

VideoLan heeft het project op de website http://www.videolan.org
En nergens anders .alles wat met het open source project VideoLan te maken heeft is alleen daar voor je te vinden.
Als je dat gewoon van aan neemt er niet google maar gewoon meteen daar naar toe gaat ,zul jij nooit een fout maken met VideoLan.
Ik had al gezegt dat ik het vanaf de start ken en je ziet dat nu 10 jaar.

Of enig idee heb voor een deinstallatie voor wat voor programma dat ook ?

Om heel eerlijk te zijn ,nee.
Want ik heb ze alle twee niet nodig nog een uninstall programma of een idee.
Maak je daar maar geen zorgen om.

Er zit me iets niet lekker ,van het dat we posten was het de benaming van VLC_Player_Setup.exe.
Maar het gaat nu wat meer houvast krijgen door dat er geen uninstall voor je beschikbaar is.
En ik zou graag dat van AVG bevestig willen zien.
Wat je dus ook van plan bent door het bestand online laten scannen.
Dubbel klik dus absoluut niet op dat bestand want als er iets is ,dan installeer dat (nog een keer ?) door dat je dat bestand start.
Wel we wil see wat we going to see don't we.

Groetjes
Ragdoll :thumb:

 

[Dannym1]

Trojaans paard

Dat is een hack van darkcoment ik zal als ik jau was overniew windows er op zetten
Ik heb ook is een keer op me pc dat gekreegen van Trojaans paard dat is een grote hack hij kan echt ales *KNIP* dat is de website van dat hack progamma je moet je porten open hebben om het zelf tegebruiken maar je kan het zo op een ander pc zetten en dat kan je die pc gaan hacken je kan echt ales je kan zelf met dat progamma ales van je pc af halen zo grote hack is het:shocked:

 

[crash]

Welkom op Helpmij.nl.

Topics van een aantal maanden oud mogen met rust gelaten worden. Deze zijn niet actueel meer. Daarbij houden we hier niet zo van "hack" software.

Deze sluit ik nu.