Trojaans Paard W32/Suspicious_Gen2.BTEWR

[lekkerkerk]

Op mijn computer krijg ik sinds 2 dagen via mijn virusscanner Norman de volgende melding:

De virusscanner heeft een Trojaans paard gedetecteerd en dit in quarantaine geplaats.

Locatie: C:\Documents and Settings\Gebruiker2\Local_settings\Temp/ylyhi.tmp
Trojan: W32/Suspicious_Gen2.BTEWR

Ik kan dan kiezen voor: sluiten of Help. Als ik op sluiten klik komt vaak binnen 1 seconden, maar hoogstens na 10 seconden precies dezelfde melding weer terug. Als ik naar de desbetreffende map ga om dit bestand (wat er nog steeds staat) te verwijderen kan dit niet: (als ik het naar de prullenbak kopieër loopt de statusbalk van verwijderen naar de prullenbak maar blijft het bestand gewoon staan. In de prullenbak staat het dan trouwens ook. Het bestand lijkt er direct weer te staan als ik het vewijder.

Ik heb op internet gezocht naar Ylyhi.tmp en naar de Trojan W32/Suspicious_gen2.BTEWR maar kon op beiden weinig tot niets vinden.

Weten jullie hoe ik dit kan oplossen (dit bestand definitief verwijderen) en wat het probleem kan zijn/is?

Hoe komt het dat er niets over dit bestand of over deze trojan op internet is te vinden? Is het bestand ergens nuttig voor of is het inderdaad een virus/trojaans paard?

Groeten, Pieter

 

[vanschagen]

doe dit eens
http://www.helpmij.nl/forum/showthread.php/389661-Wat-te-doen-bij-virussen-spyware-etcetera

 

[lekkerkerk]

Ik heb beide scanners de computer volledig laten scannen maar hij heeft niets gevonden...

Wat zou ik nog meer kunnen/moeten doen?

 

[lightframe]

W32/Suspicious_Gen2.BTEWR is een heuristische detectie. Dat wil zeggen dat het bestand verdacht is, het lijkt op een trojan, maar niet direct als een bekende trojan in de virusdefinities bekend is.

Het beste kun je het bestand eens laten controleren op www.virustotal.com/nl/
Daar het bestand uploaden en meer dan 40 virusscanners controleren dan het bestand.

Mochten meer virusscanners iets detecteren, kopieer dan de hele link die op dat moment in je adresbalk staat en post die hier. Dan kunnen wij ook zien wat het resultaat is en eventueel zeggen of het een False Positive betreft of niet.

 

[lekkerkerk]

Ik heb geprobeerd het bestand te uploaden. Alleen krijg ik dan deze link te zien: https://www.virustotal.com/vt/nl/recepcion?49b9074442bff13bedc535a587160ec8 met deze inhoud:" 0 bytes size received / Se ha recibido un archivo vacio"


Als ik voor de optie " versturen via email" kies krijg ik bij het uploaden in de mail deze melding: " U heeft niet de juiste machtigingen voor deze map". Ik ben echter wel ingelogd als Administrator en heb ik de eigenaar van de map Temp (en onderliggende bestanden) ook Administrators gemaakt. Dit helpt echter niet.

 

[lightframe]

Vermoedelijk is het bestand geblokkeerd door je antivirus.

Je zou die heel even uit kunnen zetten om het bestand te kunnen uploaden.

 

[lekkerkerk]

klopt!

hierbij de link met het resultaat:

http://www.virustotal.com/nl/analis...b36a1021926d8ea6264c54f7b6e79eddcb-1281216734

 

[lightframe]

Hmm... nog erg veel detecties zijn d.m.v. heuristische detectie en geen detectie door een paar AV's die ik persoonlijk de beste AV's vind, maar dat zegt natuurlijk ook niet veel. Als het malware is dan is het zeer nieuwe malware, Prevx zag dit vandaag voor het eerst.

Denk dat je het beste je systeem kunt scannen met de ESET online scanner. ESET (NOD32) detecteert dit als Win32/Daonol.DH en zal waarschijnlijk andere bestanden die hierbij horen ook detecteren.

De ESET online scanner kun je hier vinden.

 

[lekkerkerk]

Gisteren de scan laten lopen. Vandaag geen tijd gehad om te reageren maar hij vondt vreemd genoeg geen infecties.

De melding blijft echter steeds komen :S

p.s. terwijl de scan liep stond mijn norman virusscanner gewoon aan.

 

[lightframe]

Scan eens met Prevx. Als er dingen gedetecteerd worden kun je die niet verwijderen zonder licentie, maar je kunt wel zien wat er gedetecteerd wordt natuurlijk. Prevx kun je hier downloaden: http://info.prevx.com/downloadcsi.asp
Installatie en scan gaan supersnel, het is niet nodig om Norman uit te schakelen.

 

[lekkerkerk]

hierbij de scanresultaten waarbij deze malware dus 2x gevonden wordt. wat de derde is is mij een raadsel

http://rapidshare.com/files/412176246/scan_uitkomst_prevx.JPG

In ieder geval bedankt tot nu toe voor de hulp. Is er een mogelijkheid om deze weg te krijgen?

Groeten, Pieter

 

[lightframe]

Die derde is een instelling in het register waardoor de malware steeds weer gestart wordt.
Probeer die als eerst te verwijderen, dan de 2 gedetecteerde bestanden.

Ik heb ook wel een licentie voor Prevx (ben Bèta-tester voor o.a. Prevx en mag wel een weeklicentie uitdelen indien nodig), maar kan je geen bericht sturen op dit forum.

 

[lekkerkerk]

Die derde is een instelling in het register waardoor de malware steeds weer gestart wordt.
Probeer die als eerst te verwijderen, dan de 2 gedetecteerde bestanden.

Ik heb ook wel een licentie voor Prevx (ben Bèta-tester voor o.a. Prevx en mag wel een weeklicentie uitdelen indien nodig), maar kan je geen bericht sturen op dit forum.

Hoe kan ik dat bestand uit het register verwijderen? Sorry hoor dat ik het allemaal vraag maar heb wel eens de bel horen luiden maar weet niet precies waar de klepel hangt.

je kunt me wel een berichtje sturen via de website van het bedrijf van mn vader. Ik ben daar "webmaster".
smijt liever niet zomaar met mn emailadres op t internet...

http://plantswithlove.nl/contact.html

 

[lekkerkerk]

problem solved

Het probleem is opgelost!

Prevx heeft gescand en eerst 1 items verwijderd. Toen moest de pc opnieuw worden opgestart en verwijderde hij nog 2 items. Bij de laatste scan kwam hij nog een item tegen en toen dat verwijderd was was de melding van norman ook verdwenen.

Bedankt!

 

[lightframe]

Mooi