Pagina 1 van 1

Trojan infecteert Prosim 737 software.

Geplaatst: 11 aug 2017 10:32
door jm003
Geachte ondersteuners,
ik heb 2 PC's (Master en Client) met software van Prosim 737 voor ondersteuning van de Boeing 737-800 simulator. Een aantal weken geleden werd gedurende de installatie van de software in de Master en Client PC (Prosim 737 Suite V 1.50) geïnfecteerd met een Trojan o.a. Heur:Trojan.Win32.Generic. Met de virusscanners Bitdefender en Kaspersky heb ik getracht de Trojans te elimineren. De logs zijn naar Bitdefender opgestuurd maar de virussen waren niet zichtbaar. Nadat het aantal Trojans uitbreidde heb ik besloten alle software van beide PC's te verwijderen, inclusief de backups. De Master PC heb ik in zijn geheel vervangen door een PC met Windows 10 Pro software (i.p.v Windows 7) en in de Client PC is alles gewist (met KillDisk) en voorzien van Windows 10 Pro (i.p.v. Windows 7) Hierna heb ik de originele software Prosim 737 suite V1.50 (zip) opnieuw van de Prosim site geladen. Omdat alle software was verwijderd en met nieuw geïnstalleerde Windows 10 was ik ervan overtuigd dat de virussen niet meer terug zouden komen. Helaas, na het downloaden van de Prosim Suite werd wederom beide PC's met dezelfde Trojan geïnfecteerd! Ik heb hierna de Farbar Recovery Scan Tool 64 bit geïnstalleerd.(voor logbestanden zie bijlage)
FRST_10-08-2017 18.27.55.txt
Addition_10-08-2017 18.27.55.txt
Hitman Pro en Emsisoft Emergency Kit herkennen de Trojan maar de geïnfecteerde (Prosim) bestanden (oa. CDU en MCP) kunnen niet gedesinfecteerd worden, en worden geheel verwijderd. Ik ben al circa 100 uur bezig om te proberen de Trojan te verwijderen maar ik mis de kennis hiervoor en u bent mijn laatste strohalm.

Graag uw expertise in deze, en ik wens u heel veel succes!!!

Bijlage: Hitman Pro- en Emsisoft Emergency kit scan.
http://www.filedropper.com/prosiminfection


Bij voorbaat dank!
Jean.

Re: Trojan infecteert Prosim 737 software.

Geplaatst: 11 aug 2017 12:59
door abbs
Hallo,

Waar download je ProSim737-v1.50.zip vandaan?

Re: Trojan infecteert Prosim 737 software.

Geplaatst: 11 aug 2017 13:52
door jm003
Hallo,

Ik heb het bestand van www.Prosim-ar.com. Ik heb het virusprobleem reeds bij Prosim gemeld. Hun reactie hierop was dat deze software van huis uit geen virussen bevatten.

Groeten,
Jean

Re: Trojan infecteert Prosim 737 software.

Geplaatst: 11 aug 2017 14:31
door abbs
jm003 schreef:
11 aug 2017 13:52
Hallo,

Ik heb het bestand van www.Prosim-ar.com. Ik heb het virusprobleem reeds bij Prosim gemeld. Hun reactie hierop was dat deze software van huis uit geen virussen bevatten.

Groeten,
Jean
Ik heb ook het zip bestand gedownload en bij mij word ook gemeld dat er een virus in zit.(dus het ligt niet aan jou pc)

Wil je de volgende bestanden laten controleren:

Ga hiervoor naar de site Virustotal <==Klik hierop.
De site opent, klik op "Bestand kiezen" je verkenner opent ga één voor één naar het bestand:
C:\Users\jeanm\Downloads\ProSim737-v1.50.zip <==Dubbel klik hierop als je hem via je verkenner heb gevonden, dan staat hij in de regel voor "Bestand Kiezen".
Klik op "Scannen" wacht dat af en plaats daar de uitslag van. Doe dat dan ook met:

D:\Prosim 737\Updater.zip

Klik op re-analyse als het bestand al eens eerder gescand werd.

Wacht het resultaat af, sla dit op en plak dit in je volgende post.

Re: Trojan infecteert Prosim 737 software.

Geplaatst: 11 aug 2017 17:16
door jm003
Geachte ondersteuner,
Geweldig snel resultaat!!!!!
Alvast hartelijk bedankt voor deze snelle analyse !!!!!

Zie onderstaande scans:
https://www.virustotal.com/nl/file/07cc ... /analysis/

https://www.virustotal.com/#/file/6489c ... /detection

In afwachting op uw instructie,
Jean

Re: Trojan infecteert Prosim 737 software.

Geplaatst: 11 aug 2017 18:35
door abbs
Hallo,

Ik ga even in overleg met een collega hierover, je hoort zo snel mogelijk (zie morgen pas de collega).

Re: Trojan infecteert Prosim 737 software.

Geplaatst: 13 aug 2017 10:47
door abbs
Hallo,

Ik heb alles eens besproken, het kan zeker een false positive zijn, het zijn bijna allemaal generieke detecties. (Hier enig uitleg)
Wat je kan doen is de uitslagen weer naar dat bedrijf toe sturen van en hierbij een uitleg over vragen:
Hitman Pro- en Emsisoft Emergency kit scan.

https://www.virustotal.com/nl/file/07cc ... /analysis/

https://www.virustotal.com/#/file/6489c ... /detection

Verder kan je het spel gewoon installeren en gaan gebruiken :)

Re: Trojan infecteert Prosim 737 software.

Geplaatst: 13 aug 2017 17:47
door jm003
Hallo Abbs,

Ik heb al op 30 Juli 2017 gedetailleerd de virus met de CEO van Prosim besproken conform de uitkomsten van Emsisoft en Hitman Pro.
Zij schreef deze mail retour op: 30 jul 2017, 20:47
Hi Jean,
Dank voor je bericht. Ik begrijp je zorgen echter er iets niet aan de hand. Moderne virusscanners analyseren het gedrag van software en kunnen dan concluderen dat er een trojan of virus is terwijl dat niet zo hoeft te zijn. ProSim software is altijd verdacht omdat we vanalles doen, bestanden overschrijven, netwerk verbindingen maken, een webserver starten etc. Met ProSim is niets aan de hand. We zijn aan het onderzoeken hoe we ge-whitelist kunnen worden bij de virusscanner bedrijven.

Groeten, thx, Hanne

Ik heb zojuist weer in een schone SSD opnieuw het bestand Prosim suite V1.50 geïnstalleerd. Na installatie heb ik een systeemscan met Bitdefender uitgevoerd en daarbij heeft Bitdefender het bestand "updater" verwijderd als gevolg van de Trojan. Dit kan toch dan geen fake Trojan zijn? Zo kan ik het programma niet meer gebruiken; het bevat software voor de hardware van mijn Boeing 737 cockpit. Graag uw reactie.
Gr. Jean

Re: Trojan infecteert Prosim 737 software.

Geplaatst: 13 aug 2017 18:05
door abbs
Hallo,

Zoals zij uitleggen klopt het wel, we hebben het bestand verder uitgeplust en er zit geen trojan in of het is geen trojan.
Het gedrag (zoals ze al zeggen) lijkt op een trojan daarom de meldingen, dit komt meer voor daarom moeten ze het laten whitelisten.
Het bestand kan je als uitzondering instellen bij Bitdefender zodat het niet verwijderd word Uitleg.