Trojan:Win32/Convagent.CPIM!MTB

Pagina: 1
Acties:

Vraag


  • P.C_N00B
  • Registratie: Oktober 2012
  • Laatst online: 19-06 08:16
Hallo,
Vandaag kwam een kennis van mij bij mij met een laptop die de inmiddels toch helaas wel veel voorkomende meldingen had; "uw pc heeft een virus, klik hier!"

De meldingen bleken van een website via 'Edge' te komen. En waarschijnlijk heeft mevrouw een keertje op accepteren geklikt bij een popup over meldingen.

Mevrouw gaf aan dat ze wel een aantal keren op de "reclames" was ingegaan en dus regelmatig op "klik hier!" had geklikt.
Daarop besloot ik haar PC allereerst even te scannen met Mallwarebytes en daarna met een complete scan van Defender.
-Mallwarebytes gaf een aantal besmettingen die verwijderd zijn, en daarna kwam Defender (een beetje tot verrassing van mij) alsnog ook met een virus melding, met de toevoeging: Ernstig

Het gaat om: Trojan:Win32/Convagent.CPIM!MTB

Hierover kan ik helaas weinig wijs worden op internet; Veel verschillende meldingen met "Convagent", "CPIM" en "MTB" los, maar niet bij elkaar.
De hits die ik krijg varieren van Extreem riskant, tot mogelijk false/positive....

Weet iemand meer van deze besmetting, en hebben jullie advies welke stappen nu te ondernemen?

Op dit moment is het plan om vandaag en morgen in ieder geval Mallwarebytes nog een keertje te draaien, Defender (offline) en Eset-Online.
Om te kijken of er nu in ieder geval niets meer te vinden is.

Ieder advies is zeer welkom!

Groet,
Michiel

Alle reacties


  • Detmer
  • Registratie: Juni 2011
  • Laatst online: 22:59

Detmer

Professioneel prutser

Opnieuw installeren :) . Is de enige manier om 100% zeker te zijn dat het weg is.

Verkoopt gebruikte computers, laptops en meer: https://tweakers.net/aanbod/user/412392/ | https://www.ipsumcomputerservice.com


  • P.C_N00B
  • Registratie: Oktober 2012
  • Laatst online: 19-06 08:16
@Detmer
Bedankt voor je snelle antwoord.
Helaas niet helemaal het antwoord wat ik had gehoopt... maar ja... |:(

Terugzetten naar fabrieksinstelling zou dan misschien een optie kunnen zijn... (of niet?)
Al moeten er dan wel veel bestanden overgezet worden, met misschien toch risico het virus nog steeds mee te nemen?

Ik hoopte het herinstalleren te kunnen vermijden.

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB/AI

Front verplichte underscores

Fabrieksinstelling is niet genoeg. Die staat immers op dezelfde machine. Schone installatie vanaf DVD of USB installatiemedium die je op een andere, schone machine aanmaakt.

Eerst inderdaad kopien maken van de data: mijndocs, foto's, mail, adresboek, bookmarks, alles dat ze willen bewaren. Of beter image van hele schijf maar dan niet alles terugkopieren natuurlijk. Eerst backups, meervoud want 1 is geen, dan helemaal leeg, schone installatie, alles updaten, overige software installeren, alles updaten, dan pas beetje voor beetje data terugzetten.

Mogelijk is het overkill en kan je af met verwijderen van het trojan en allerhande dlls en regkeys. Maar haast per definitie weet je dat pas als de bankrekening leeg is gehaald of je ISP je afsluit omdat je een bot bent en aan het DoSsen bent :P

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


  • The_Doman
  • Registratie: Augustus 2005
  • Laatst online: 01:23
P.C_N00B schreef op donderdag 11 juni 2026 @ 18:10:
Mevrouw gaf aan dat ze wel een aantal keren op de "reclames" was ingegaan en dus regelmatig op "klik hier!" had geklikt.
Een goede adblocker zoals uBlock Origin is aan te raden (eigenlijk noodzakelijk), hiermee voorkom je ook al heel veel kwaadaardige sites/ads/scripts.
P.C_N00B schreef op donderdag 11 juni 2026 @ 18:10:Op dit moment is het plan om vandaag en morgen in ieder geval Mallwarebytes nog een keertje te draaien, Defender (offline) en Eset-Online.
Defender offline laten scannen is zeker al een goede, deze doet een zeer grondige scan zonder Windows te laden.
P.C_N00B schreef op donderdag 11 juni 2026 @ 18:36:
Terugzetten naar fabrieksinstelling zou dan misschien een optie kunnen zijn... (of niet?)
Al moeten er dan wel veel bestanden overgezet worden, met misschien toch risico het virus nog steeds mee te nemen?

Ik hoopte het herinstalleren te kunnen vermijden.
Een volledige herinstallatie voor anderen is vaak een vervelend werkje met veel "nazorg" is ook mijn ervaring..
Als je dan al een herinstallatie zou doen doe je dat vanaf aan nieuw aangemaakte installatie Windows USB.
Eerst maar eens afwachten wat de Defender Offline en eventueel ESET nog meldingen geven?
Zoals je ook al aangaf kan het ook nog een false/positive melding zijn.

  • eelco_v
  • Registratie: November 2009
  • Laatst online: 03-07 18:17
my 2cts ...

Risico analyse ; waarvoor wordt deze laptop allemaal ingezet : wanneer functioneel gebruik zonder "te" veel private, financiele risico's dan kun je wellicht wegkomen met het enkel verwijderen van enige infectie. Hoewel je er noot helemaal zeker van zijn dat er toch geen vervelende zaken achteraf eventueel kunnen plaatsvinden. Windows blijft nu eenmaal een echte blackbox waar je niet echt kunt onderzoeken hoe ver enige infectie eventueel zou zijn ...

Wanneer je volledige herinstallatie moet /gaat doen. Eerst op geinfecteerde machine de statische en zichtbare, non interactieve, files overzetten. Liefst dus geen (uitvoer) (=> zoals exe) programma's, enkel plain text files zonder verder meta tags / data en of script achtige interactie mogelijkheden (excel met macro), interactieve pdf, foto's met metadata ongecontroleerd, over kopieren op bijv een non windows file system usb. Met als doen enige toch niet goed ingeschatte interactieviteit van de besmetting niet mede te kopieren met jouw bestanden. Vaak is het kopieren naar bijv een usb met file system ex3/4 geformateerd een goede manier om te onderzoeken wat exact er mee gekopieerd is en welke (raw) files er gekopierd zullen worden, bovendien kun je ook file rechten zien en "de actieve" bits.

https://www.microsoft.com/nl-nl/software-download gebruiken om op een schone windows een nieuwe schone veilige usb install aan te maken. Iso downloaden en vervolgens omzetten naar een bootable / opstartbare USB.

Complete versie installatie verrichten met deze USB op de opnieuw geformateerde laptop, met wel secure boot etc ingeschakeld in de bios.

Als recentelijk dat je nog steeds een W11 kan aanmaken met enkel een offline windows account, als dat zo is, zou ik dat altijd doen , zodat je niet "gekaapd" kan worden door alle ONLINE verplichtingen. Maak een nieuwe installatie met een lege admin account voor jou en een "beperkte " user account voor de gebruiker. Wel even onderling overleg over alle programma's en instellingen deze gebruiker wil in de nieuwe user account.

Persoonlijk maakte ik om de 2/3 maanden een (basis) kale image van een simpele windows installatie direct na bovenstaande stappen plan. Veelal met nog geen ingerichte admin en user account en programma's. Hiervoor gebruikte ik persoonlijk / zakelijk altijd

https://clonezilla.org/downloads.php ...

Het maken van een image kan onder de 30 minuten en je kan een windows installatie voor de img aan te maken met diskmanager resizen tot een heel kleine installatie img. Bij het terugzetten van deze image kun je hem in windows weer groter maken ... een kleinere installatie betekend dat het maken van een img ook minder lang hoeft te duren. Vandaar dat de installatie van de windows waarvan je de img maakt enkel de installatie betreft met de laatste updates, echter zonder ingerichte accounts en ook extra programma's.

Deze img kun je dan altijd gebruiken als basis set up voor bijna alle personen waarvan je de persoonlijke helpdesk bent voor windows problemen.

Succes,

eelco vitalis


ps. Ik heb ooit ruim 90 laptops op deze manier vlekkeloos kunnen servicen

eelcoV


  • P.C_N00B
  • Registratie: Oktober 2012
  • Laatst online: 19-06 08:16
Heel erg bedankt voor de uitgebreide en duidelijke reacties.

Nu na meerdere scans van Eset, Mbam en Defender (Uitgebreid en offline) leek alles goed, totdat ik ineens gisteren uit het niets (terwijl Eset nog een scan deed) Defender met een nieuwe melding kwam:
Trojan:Script/Wacatac.B!ml

Later op de dag, begon de browser ineens raar te doen. (Alsof ik extreem snel met muiswieltje heen en weer scrolde) en ging de geheugen gebruik van Chrome helemaal omhoog.

Mijn conclusie is dat inderdaad een volledig schone installatie eigenlijk de enige (zeker) 'veilige' optie is.
Ik zal dat met mevrouw gaan overleggen, en ik hoop dat zij iemand kan vinden die haar daar bij wil helpen, aangezien ik haar daar op dit moment niet bij kan helpen.

Nog één extra vraagje;
Een vriend van mij adviseerde om in dergelijke gevallen, vooral ook eerst naar 'veilige modus' te gaan en daar de virusscanners van Mbam, Defender en Eset te draaien. Deze zouden dan beter problemen op kunnen sporen, is dit correct?

Nogmaals, héééél erg bedankt voor de reacties! _/-\o_ _/-\o_ _/-\o_
Michiel

  • Arunia
  • Registratie: Februari 2003
  • Laatst online: 06:34
In principe was dat vroeger wel zo omdat je kans had dat trojans en dergelijke niet opgestart werden. Kans is wel aanwezig dat die ondertussen wel gewoon gestart worden omdat de makers ervan ook slimmer zijn geworden. Maar het kan nooit kwaad met zo min mogelijk zooi opgestart.
Pagina: 1