Trojaans paard SHeur4.ESE

[pato]

Elke week scant AVG Anti-Virus Free mijn hele computer.
Vandaag werden 8 infecties gevonden, zie onderaan.
2 van de 6 geinfecteerde bestanden zijn meteen door AVG in quarantaine gezet.
Die 2 zijn .exe-bestanden, de andere 6 bestanden zijn geen .exe-bestanden.
Ik probeerde de andere 6 bestanden in quarantaine te zetten maar dat is me niet gelukt.
Bij voorbeeld omdat een geinfecteerd bestand groter is dan de quarantaine.
Ik zou graag willen weten hoe ik van de resterende 6 infecties af kom.


Bestand;"Infectie";"Resultaat"
C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe;"Trojaans paard SHeur4.ESE";"Verplaatst naar de quarantaine"
C:\Documents and Settings\<user>\Local Settings\Application Data\Downloaded Installations\{D85B6D24-7F4D-4C66-B77D-29961A9BAAAA}\Vodafone Mobile Connect Lite.msi;"Trojaans paard SHeur4.ESE";"Ge�nfecteerd"
C:\Documents and Settings\<user>\Local Settings\Application Data\Downloaded Installations\{D85B6D24-7F4D-4C66-B77D-29961A9BAAAA}\Vodafone Mobile Connect Lite.msi:\Data1.cab;"Trojaans paard SHeur4.ESE";"Ge�nfecteerd"
C:\Documents and Settings\<user>\Local Settings\Application Data\Downloaded Installations\{D85B6D24-7F4D-4C66-B77D-29961A9BAAAA}\Vodafone Mobile Connect Lite.msi:\Data1.cab:\isuspm.exe.6ED28686_7B19_420C_B255_5B6C1BD2C705;"Trojaans paard SHeur4.ESE";"Ge�nfecteerd"
C:\System Volume Information\_restore{5089BD55-ABD1-47DA-9D9B-1B0672C09CF1}\RP511\A0107384.exe;"Trojaans paard SHeur4.ESE";"Verplaatst naar de quarantaine"
C:\System Volume Information\_restore{CB32FFED-FFB0-4F82-9D41-E1A8368D0A19}\RP55\A0012658.msi;"Trojaans paard SHeur4.ESE";"Ge�nfecteerd"
C:\System Volume Information\_restore{CB32FFED-FFB0-4F82-9D41-E1A8368D0A19}\RP55\A0012658.msi:\Data1.cab;"Trojaans paard SHeur4.ESE";"Ge�nfecteerd"
C:\System Volume Information\_restore{CB32FFED-FFB0-4F82-9D41-E1A8368D0A19}\RP55\A0012658.msi:\Data1.cab:\isuspm.exe.6ED28686_7B19_420C_B255_5B6C1BD2C705;"Trojaans paard SHeur4.ESE";"Ge�nfecteerd"

 

[Mik Zjegger]

Hoi,
schakel systeemherstel op alle stations uit, start opnieuw op en schakel systeemherstel weer in. Leeg daarna evt. de prullenbak.

 

[l3efamousz]

Probeer wat Mik Zjegger zei.
Anders kun je de quarantaine grootte veranderen bij geavanceerde instellingen volgensmij

 

[pato]

Helaas

Bedankt voor de tips van Mik Zjegger en l3efamousz, ik heb ze allemaal opgevolgd.
Bovendien heb ik op de harde schijf opgeruimd, want er was weinig vrije ruimte.
Helaas blijft het probleem dat het me niet lukt om geinfecteerde bestanden bestanden naar quarantaine te verplaatsen.
De foutmelding van AVG is dat ze groter zijn "dan de omvang van het archief".
Overigens biedt AVG alleen bij de 2 .msi-bestanden de menuoptie "Verplaatsen naar de quarantaine" aan, bij de andere 4 die niet naar quarantaine zijn verplaatst is "Bedreigingen verwijderen" mogelijk, maar ik weet niet of dat problemen zou geven.

Als iemand nog andere suggesties heeft hou ik me aanbevolen.

 

[Mik Zjegger]

Volgende optie, klik op de link in m'n handtekening en draai Mbam eens.

 

[pato]

AVG vindt 3 en MBAM 0 geinfecteerde bestanden

Ik heb opnieuw gescand met AVG Anti-Virus Free.
Het resultaat was dat er nog 3 geinfecteerde bestanden zijn, zie onderaan.
Daarna heb ik MBAM opgehaald bij www.majorgeeks.com.
Bij download.cnet.com lukte dat met geen mogelijkheid.
Na installeren van MBAM heb ik een volledige scan gedaan.
Resultaat: geen kwaadaardige objecten gevonden.

AVG vindt dus 3 en MBAM 0 geinfecteerde bestanden.
Wie van de twee gelijk heeft weet ik niet.
Wat me belangrijk lijkt is: waar zijn de 3 door AVG gevonden bestanden voor?
En vervolgens: kan ik ze verwijderen zonder dat daarna belangrijke software niet meer goed werkt?


Bestand;"Infectie";"Resultaat"
C:\Documents and Settings\<user>\Local Settings\Application Data\Downloaded Installations\{D85B6D24-7F4D-4C66-B77D-29961A9BAAAA}\Vodafone Mobile Connect Lite.msi;"Trojaans paard SHeur4.ESE";"Geïnfecteerd"
C:\Documents and Settings\<user>\Local Settings\Application Data\Downloaded Installations\{D85B6D24-7F4D-4C66-B77D-29961A9BAAAA}\Vodafone Mobile Connect Lite.msi:\Data1.cab;"Trojaans paard SHeur4.ESE";"Geïnfecteerd"
C:\Documents and Settings\<user>\Local Settings\Application Data\Downloaded Installations\{D85B6D24-7F4D-4C66-B77D-29961A9BAAAA}\Vodafone Mobile Connect Lite.msi:\Data1.cab:\isuspm.exe.6ED28686_7B19_420C_B255_5B6C1BD2C705;"Trojaans paard SHeur4.ESE";"Geïnfecteerd"

 

[pato]

Nog suggesties?

Mijn vraag is nog steeds wat te doen met de 3 infecties waar AVG mee komt
en die niet door MBAM gevonden worden.
Ik heb ook nog het eerste van de 3 verdachte bestanden (Vodafone Mobile Connect Lite.msi) bij
virusscan.jotti.org aangeboden, het resultaat was: 1 uit 20 scanners vonden malware.

Heeft iemand nog een suggestie?

 

[Mik Zjegger]

Heb je een of meer van deze problemen?

 

[pato]

Geen andere problemen

Die problemen heb ik niet, bij mij zijn er geen advertenties en pop ups, vreemde meldingen, een niet goed functionerende browser (ik gebruik Firefox) of een heel traag systeem. De computer functioneert goed en zoals gebruikelijk.
Ik had met Google ook al e.e.a. gevonden over Sheur4.gv, maar de naam die AVG op mijn computer meldt is anders, namelijk SHeur4.ESE, daarover vind ik niets interessants.
Wat ik WEL vreemd vind is dat ik met de Verkenner alleen de eerste (Vodafone Mobile Connect Lite.msi) van de 3 bestanden zie, waarvan AVG zegt dat ze geinfecteerd zijn.
Ik zou graag dat ene bestand willen weggooien, maar alleen als duidelijk is dat er dan geen problemen ontstaan met Windows of andere belangrijke software.

 

[Mik Zjegger]

Neem aan dat je een vodafone telefoon hebt of software van vodafoon?

 

[pato]

Ja, ik heb een mobieltje van m'n werk, de provider is Vodafone.
Maar ik zou me kunnen voorstellen dat als een hacker een trojan ontwikkelt, hij bestandsnamen kiest die betrouwbaar lijken.
Ik weet daarom niet of we ervan kunnen uitgaan dat dat bestand zeker deel is van Vodafone software.

 

[Mik Zjegger]

En je hebt daar software van geïnstalleerd neem ik aan? De kans bestaat dat die meldingen zgn. "false positives" zijn. Dat het dus geen virus is.

 

[pato]

Dank voor het meedenken. Inderdaad heb ik software van Vodafone geinstalleerd: in C:\Program Files staat een map Vodafone, de inhoud daarvan is alleen een submap VMCLite, daarin staat van alles aan submappen en bestanden. Die software is voor mij niet heel belangrijk.

Ja, dat het een vals positieve melding van AVG kan zijn begrijp ik, maar dat weten we niet zeker dus mogelijk zit er toch een echte trojan op mijn computer die ik toch liever verwijder. Tenzij we kunnen vaststellen dat het een vals positieve is, dan hoef ik niets te verwijderen. Wat dat betreft vond ik het bijzonder dat op virusscan.jotti.org 19 van de 20 virusscanners, waaronder AVG zelf, geen malware vonden in het door mij aangeboden bestand (zie een van mijn vorige berichten). Alleen Vba32 vond wat: "Trojan.StartPage.78 (paranoid heuristics)".

Heb je nog ideeen over hoe nu verder?

 

[Mik Zjegger]

Probeer dit gratis programma eens.

 

[pato]

TdssKiller vindt geen malware

Dank voor de suggestie ik heb hem opgevolgd en met TdssKiller gescand.
Resultaat: No threats found. Processed: 191 objects.

Iets anders over bestand Vodafone Mobile Connect Lite.msi.
Gezien de naam en de directory waar hij staat, wat is er dan te zeggen over de gevolgen als ik dat bestand verwijder?
Ik kan me namelijk voorstellen dat hooguit Vodafone-programmatuur dan niet meer werkt.
Dat zou ik op de koop toe willen nemen.
Maar niet dat Windows of andere belangrijke software niet meer werkt of iets dergelijks.
Dus: hoe komen we vooraf te weten wat het risico is als ik Vodafone Mobile Connect Lite.msi verwijder?

 

[Mik Zjegger]

Wat ikzelf zou doen als ik het niet vertrouwde. Deïnstalleer de Vodafonesoftware via het configscherm>programma's en onderdelen en als je het echt nodig hebt installeer het opnieuw.

 

[pato]

VMCLite deïnstalleren

Deïnstalleren van de Vodafone software lijkt me een goed idee. In de lijst van geïnstalleerde programma's die verschijnt na Configuratiescherm > Software staat helaas niets van Vodafone - ik had VMCLite of iets dergelijks in de lijst verwacht. Ook nog Revo Uninstaller geprobeerd, ook dan niets van Vodafone of iets dat op VMCLite lijkt.

Wederom kom ik op de vraag: hoe zouden we vooraf te weten kunnen komen wat het risico is als ik bestand "Vodafone Mobile Connect Lite.msi" verwijder?

Of heb je een andere suggestie?
Alvast dank.

 

[Mik Zjegger]

Je kan het msi-bestand gewoon verwijderen want dat is niets anders dan een Microsoft Installer. Als het goed is heeft de software te maken met het Vodafone-modem/module/dongle o.i.d. zodat je altijd onderweg vebinding hebt en niet afhankelijk bent van openbare draadloze accesspoints.
Het kan n.l. ook een driver zijn geweest die geïnstalleerd is voor dat modem, dus dat msi-bestand kan sowieso weg.

Voor implementatie van toepassingen in Active Directory-omgevingen moet een Windows Installer-pakket worden gebruikt.Bron:MS

 

[pato]

Verwijderen msi-bestand is goed gegaan

Ik heb het msi-bestand verwijderd, dat ging gewoon met de Verkenner.
De computer is goed blijven functioneren.
Kunnen we uit het feit dat het zich zo gemakkelijk laat verwijderen concluderen dat het geen trojaans paard was en dat de melding van AVG loos alarm was?

 

[Mik Zjegger]

Ja hoor, dat is wat ik ook denk.