Toon posts:

Vragen/advies nav herinstallatie na melding Trojan

Pagina: 1
Acties:

Vraag

maandag 19 januari 2026 20:07

Acties:
  • ecb1
  • Registratie: Maart 2009
  • Laatst online: 08-02 02:29

ecb1

Topicstarter
Een beetje uitgebreide beschrijving:

Vorig jaar een Bmax mini-pc gekocht. Ik heb slechts beperkt verstand van en interesse in pc's en gebruik de pc zelden, maar merkte toch wat dingen die me niet bevielen, gerelateerd aan hoe Bmax eea had ingesteld en uit wat algemeen wantrouwen (😉).

Kreeg van hun een link naar het Windows-bestand voor herinstallatie, gedownload, maar heb bewust toch zelf een usb-stick met Windows aangemaakt vanaf de Microsoft-site.
Geïnstalleerd, deels de drivers van Bmax en vanuit een opgeslagen bestand met alle drivers (aangemaakt met het programma Double Driver) eea weer geïnstalleerd na wat foutmeldingen in apparaatbeheer, en daarna een uitgebreide virusscan gedaan door Windows zelf. Die vond in Windows.old een Trojan, precies in dat gedownloade bestand van Bmax...
Trojan:Win32/Kepavll!rfn
Kon niet door de virusscanner verwijderd worden.
Zie foto.
Afbeeldingslocatie: https://tweakers.net/i/_ikivFa-Eij6aIs6tufnu6lLFwU=/800x/filters:strip_icc():strip_exif()/f/image/Ma3QPki2mk1GKNloRpIoxZse.jpg?f=fotoalbum_large

Nou las ik op internet dat dat ook vaak een false positive is/kan zijn, maar toch vertrouwde ik het niet, dus dat hele Windows.old verwijderd en nog maar weer eens een herinstallatie gedaan, maar nu vanuit die nieuwe Windows op de pc zelf, met oa de optie om de hele schijf te wissen.

Nadien zowel via Windows als Bitdefender en Malwarebytes een scan uitgevoerd en niks aangetroffen.
Wel kreeg ik juist na de scan van Bitdefender een aantal meldingen over enkele ontbrekende dll-bestanden.
Zie voorbeeld op deze foto:
Afbeeldingslocatie: https://tweakers.net/i/wdeWbiZTFoeo8cU3rEbLIEkRcvU=/800x/filters:strip_icc():strip_exif()/f/image/qjKP9JQ74Tii9uYwvqG2tE82.jpg?f=fotoalbum_large

Sfc /scannow en DISM uitgevoerd en ook Microsoft Redistributables geïnstalleerd en toen alles in orde.

Maar nu mijn vragen:
- Weten jullie of die gevonden Trojan idd een false positive was of evt toch echt? En als het echt is, kan het dan alsnog zijn dat die ergens nog iets heeft aangericht of achtergelaten in de huidige geïnstalleerde Windows-versie, ondanks dat ik dat hele Windows.old eerst had verwijderd?
- Zijn die meldingen over de ontbrekende dll-bestanden een teken dat er toch iets mis is en ga ik die meldingen evt vaker krijgen?
- Had ik die tweede herinstallatie beter ook vanaf een usb-stick moeten doen ipv vanuit Windows op de pc zelf?
Zo ja op deze 3 vragen (of deels), is het dan idd verstandig om dat nog eens te doen of is dat misschien wat overdreven?

[ Voor 4% gewijzigd door ecb1 op 19-01-2026 22:09 ]

Alle reacties

maandag 19 januari 2026 20:57

Acties:
  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 21:24

jeroen3

Je krijgt een error van winget.exe, dat betekent dat je iets aan het installeren was via powershell.
Wat was je aan het installeren?

maandag 19 januari 2026 21:14

Acties:
  • ecb1
  • Registratie: Maart 2009
  • Laatst online: 08-02 02:29

ecb1

Topicstarter
Niks, dat is het vreemde. Ik was een scan via Bitdefender aan het doen en kreeg na afloop deze meldingen.
Ik had alleen Bitdefender en Malwarebytes geïnstalleerd en meteen bij installatie van Bitdefender die scan laten lopen. Wellicht dan een probleem bij de installatie van Bitdefender zelf?
Of was iets anders zichzelf dan aan het installeren, op de achtergrond, buiten mijn medeweten?

[ Voor 42% gewijzigd door ecb1 op 19-01-2026 21:30 ]

maandag 19 januari 2026 22:34

Acties:
  • Soldaatje
  • Registratie: Juni 2005
  • Niet online

Soldaatje

Zelf heb ik ook vorig jaar de B3 Pro besteld bij Aliexpress, maar daar draai ik vanaf het begin Linux op. Aangezien er nogal wat Chinese mini-pc's met malware geleverd zijn begrijp ik je wantrouwen. Wat ook merkwaardig is is dat om de drivers te kunnen downloaden je eerst de productcode moet invullen van vier karakters, die ik uit jouw screenshot heb kunnen halen, en vervolgens wordt doorgestuurd naar onedrive.live.com website van Microsoft voor de bestanden. Deze ben ik aan het downloaden maar ik ben daar niet ingelogd dus gaat het downloaden tergend langzaam. De drivers heb ik al binnen maar het Windows 11 OS image duurt nog wel even. Ik zal kijken of ik iets kan vinden in deze bestanden. Maar om een lang verhaal kort te houden, als ik jou was zou ik nog even met een Linux live OS alles scannen wat er te scannen valt, en als je echt Windows wilt blijven gebruiken, dit regelmatig herhalen. Als alternatief kan je ook Linux installeren, en dan eventueel Windows 11 In een VM draaien daarin.

Edit: na het scannen van de Driver-map met ClamAV geen virussen gevonden:
code:
1
2
3
4
5
6
7
8
9
10
11

----------- SCAN SUMMARY -----------
Known viruses: 3627237
Engine version: 1.4.3
Scanned directories: 65
Scanned files: 453
Infected files: 0
Data scanned: 1777.24 MB
Data read: 1599.89 MB (ratio 1.11:1)
Time: 557.312 sec (9 m 17 s)
Start Date: 2026:01:19 22:58:28
End Date:   2026:01:19 23:07:45

De Windows 11 image volgt nog. :)

[ Voor 17% gewijzigd door Soldaatje op 19-01-2026 23:15 ]

maandag 19 januari 2026 23:32

Acties:
  • ecb1
  • Registratie: Maart 2009
  • Laatst online: 08-02 02:29

ecb1

Topicstarter
Bedankt voor het checken.

Ik hou het graag op gewoon Windows 11. Heb ook niet genoeg kennis over andere opties, al weet ik wel wat Linux is.

Maar is wederom een herinstallatie (vers), maar dan weer via een usb-stick aan te raden of is wat ik tot nu toe heb gedaan voldoende?
Ik weet nl niet of die Trojan geen false positive was en evt toch nog ergens wat achtergelaten heeft, ondanks dat drie verschillende virus/malware-scanners niks meer vinden nu.

Overigens gebruik ik de pc dus heel weinig en ook niet voor belangrijke dingen. Wel mail waarschijnlijk, maar zelfs dat heb ik nog niet geïnstalleerd.

[ Voor 24% gewijzigd door ecb1 op 19-01-2026 23:42 ]

maandag 19 januari 2026 23:44

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 00:43

_JGC_

De trojan is gevonden in de Windows versie die je gedownload hebt bij de fabrikant. Als jij die versie niet geïnstalleerd hebt maar gewoon de Microsoft media creator tool gebruikt hebt is er niks loos.

Verder is dat kepavll!rfn ding een zeer algemene naam die microsoft geeft aan vanalles en nog wat, er zitten ook heel veel false positives bij.

maandag 19 januari 2026 23:49

Acties:
  • ecb1
  • Registratie: Maart 2009
  • Laatst online: 08-02 02:29

ecb1

Topicstarter
Precies, dat las ik dus ook vaak via Google, qua false positives.

Toch bleef het knagen...

Heb daarom idd de eerste herinstallatie vers gedaan, dus via idd de media creation tool op een usb-stick.
Maar daarna nog eens een herinstallatie vanuit Windows zelf en toen bedacht ik mij of er wellicht toch iets door die mogelijke Trojan was achtergelaten.
Vandaar dat ik overweeg om nog eens een herinstallatie te doen, maar dan weer vers, via usb-stick.

Maar dat zou dus overbodig zijn als ik die versie van de fabrikant niet heb geïnstalleerd.
Heb alleen geen idee of een Trojan ook iets kan aanrichten zonder dat je hetgeen waar die in zit installeert.

[ Voor 18% gewijzigd door ecb1 op 19-01-2026 23:51 ]

dinsdag 20 januari 2026 06:45

Acties:
  • BytePhantomX
  • Registratie: Juli 2010
  • Laatst online: 22:18

BytePhantomX

ecb1 schreef op maandag 19 januari 2026 @ 23:49:
Heb alleen geen idee of een Trojan ook iets kan aanrichten zonder dat je hetgeen waar die in zit installeert.
Nee, net als alle ander software moet je malware wel uitvoeren voordat die wat kan doen. Dus als je zeker weet dat het op een plek staat waar het niet uitgevoerd wordt, doet het niets. Het lastige zal zijn om dat zeker te weten.

dinsdag 20 januari 2026 07:58

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

BytePhantomX schreef op dinsdag 20 januari 2026 @ 06:45:
Nee, net als alle ander software moet je malware wel uitvoeren voordat die wat kan doen. Dus als je zeker weet dat het op een plek staat waar het niet uitgevoerd wordt, doet het niets. Het lastige zal zijn om dat zeker te weten.
FWIW: er bestaat wel zero-click malware. Is alleen niet waarschijnlijk in dit geval.
ecb1 schreef op maandag 19 januari 2026 @ 23:49:
Vandaar dat ik overweeg om nog eens een herinstallatie te doen, maar dan weer vers, via usb-stick.
Zou ik toch doen. Zoeken aar malware en zorgen maken kost meer tijd dan de machine helemaal legen. Dan wel helemaal legen, tijdens installatie alle bestaande partities verwijderen. En natuurlijk wel een backup hebben van enige data die je wil bewaren.
Waarbij je die download en installeert vanaf een andere PC.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 20 januari 2026 09:32

Acties:
  • Soldaatje
  • Registratie: Juni 2005
  • Niet online

Soldaatje

Ook al heb je deze installatiebron niet gebruikt, voor de volledigheid heb ik vannacht de Windows 11 bestanden laten scannen, eerst de install.swm, winre.wim en boot.wim uitgepakt en alles laten scannen met Clam AV, niks gevonden.

code:
1
2
3
4
5
6
7
8
9
10
11

----------- SCAN SUMMARY -----------
Known viruses: 3627237
Engine version: 1.4.3
Scanned directories: 95294
Scanned files: 336444
Infected files: 0
Data scanned: 32682.28 MB
Data read: 32043.64 MB (ratio 1.02:1)
Time: 32192.303 sec (536 m 32 s)
Start Date: 2026:01:19 23:51:51
End Date:   2026:01:20 08:48:23

dinsdag 20 januari 2026 12:22

Acties:
  • ecb1
  • Registratie: Maart 2009
  • Laatst online: 08-02 02:29

ecb1

Topicstarter
BytePhantomX schreef op dinsdag 20 januari 2026 @ 06:45:
[...]


Nee, net als alle ander software moet je malware wel uitvoeren voordat die wat kan doen. Dus als je zeker weet dat het op een plek staat waar het niet uitgevoerd wordt, doet het niets. Het lastige zal zijn om dat zeker te weten.
Ik heb het bestand nergens meer staan. Stond na verse herinstallatie (via usb-stick) in Windows.old, heel Windows.old dan ook verwijderd, en daarna nogmaals een herinstallatie met optie om de schijf te wissen gedaan (maar wel vanuit Windows zelf).

[ Voor 3% gewijzigd door ecb1 op 20-01-2026 12:40 ]

dinsdag 20 januari 2026 12:25

Acties:
  • ecb1
  • Registratie: Maart 2009
  • Laatst online: 08-02 02:29

ecb1

Topicstarter
F_J_K schreef op dinsdag 20 januari 2026 @ 07:58:
[...]

FWIW: er bestaat wel zero-click malware. Is alleen niet waarschijnlijk in dit geval.

[...]

Zou ik toch doen. Zoeken aar malware en zorgen maken kost meer tijd dan de machine helemaal legen. Dan wel helemaal legen, tijdens installatie alle bestaande partities verwijderen. En natuurlijk wel een backup hebben van enige data die je wil bewaren.
Waarbij je die download en installeert vanaf een andere PC.
Maar ik heb het bestand dus nergens meer staan. Stond na de eerste verse herinstallatie (via een usb-stick) in Windows.old, heel Windows.old dan ook verwijderd. Daarna nogmaals een herinstallatie gedaan (maar wel vanuit Windows zelf), met de optie om de schijf te wissen, duurde heel lang ook. Na die tweede herinstallatie vonden zowel Windows, Bitdefender en Malwarebytes niks meer.

Ik las idd iets over partities verwijderen, maar wist niet exact hoe ik die optie zou kunnen krijgen, aangezien bij de tweede herinstallatie dus alleen de optie om ook de schijf te wissen (naast standaard alle bestanden) naar voren kwam. Dat leek mij dan ook afdoende.

[ Voor 15% gewijzigd door ecb1 op 20-01-2026 12:37 ]

dinsdag 20 januari 2026 12:27

Acties:
  • ecb1
  • Registratie: Maart 2009
  • Laatst online: 08-02 02:29

ecb1

Topicstarter
Soldaatje schreef op dinsdag 20 januari 2026 @ 09:32:
Ook al heb je deze installatiebron niet gebruikt, voor de volledigheid heb ik vannacht de Windows 11 bestanden laten scannen, eerst de install.swm, winre.wim en boot.wim uitgepakt en alles laten scannen met Clam AV, niks gevonden.

code:
1
2
3
4
5
6
7
8
9
10
11

----------- SCAN SUMMARY -----------
Known viruses: 3627237
Engine version: 1.4.3
Scanned directories: 95294
Scanned files: 336444
Infected files: 0
Data scanned: 32682.28 MB
Data read: 32043.64 MB (ratio 1.02:1)
Time: 32192.303 sec (536 m 32 s)
Start Date: 2026:01:19 23:51:51
End Date:   2026:01:20 08:48:23
Oké, mooi 👍🏻

Betekent dit dan ook dat het idd een false positive was, bij mijn scan?

[ Voor 5% gewijzigd door ecb1 op 20-01-2026 14:35 ]

dinsdag 20 januari 2026 17:37

Acties:
  • Soldaatje
  • Registratie: Juni 2005
  • Niet online

Soldaatje

ecb1 schreef op dinsdag 20 januari 2026 @ 12:27:
[...]


Oké, mooi 👍🏻

Betekent dit dan ook dat het idd een false positive was, bij mijn scan?
Nee, dat is niet te zeggen, maar het zou wel kunnen dat het een false-positive was. Het zegt alleen dat de officiële herstelmedia waarschijnlijk schoon is, dus dat dat wel te vertrouwen is. Maar dat maakt niet uit verder want de officiele Windows 11 installatie moet ook goed zijn.

[ Voor 10% gewijzigd door Soldaatje op 20-01-2026 17:39 ]

dinsdag 20 januari 2026 17:50

Acties:
  • ecb1
  • Registratie: Maart 2009
  • Laatst online: 08-02 02:29

ecb1

Topicstarter
Lijkt het er nu dan op dat het allemaal wel in orde is zo, na verwijdering van Windows.old, waar het in stond, en na een herinstallatie plus meerdere scans daarna?

Ik kan echter de redenatie van @F_J_K ook wel volgen. De vraag is alleen of het echt nodig is om nogmaals een verse herinstallatie te doen.

[ Voor 4% gewijzigd door ecb1 op 20-01-2026 17:52 ]

zaterdag 24 januari 2026 21:40

Acties:
  • ecb1
  • Registratie: Maart 2009
  • Laatst online: 08-02 02:29

ecb1

Topicstarter
Kon het toch niet laten om nog een keer een schone installatie te doen 😉
Alles in orde, geen foutmeldingen etc.

Bedankt voor jullie reacties.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq