Trojaner-Fund

Dieses Thema im Forum "Allgemeine Softwarethemen" wurde erstellt von Estarina, 31.03.2007.

  1. #1 Estarina, 31.03.2007
    Estarina

    Estarina Forum Freak

    Dabei seit:
    07.02.2006
    Beiträge:
    143
    Zustimmungen:
    0
    Ort:
    Thüringen
    Mein Notebook:
    DELL Latitude E5500
    Hallo,

    ich lasse wöchentlich einen gesamten Fesplattenscan durchlaufen mit G-DATA-Antivirenkit 2007, heute plötzlich folgende Meldung:

    Objekt: html\decChangeAppearanceOfBarsBoxesLinkLines.htm
    In Archiv: C:\Programme\Microsoft Office\Office10\1031\PJMN10P.CHM
    Status: Virus gefunden
    Virus: Win32:Trojan-gen. {Other} (Engine B)
    Objekt: PJMN10P.CHM
    Pfad: C:\Programme\Microsoft Office\Office10\1031
    Status: Virus gefunden
    Virus: Win32:Trojan-gen. {Other} (Engine B)


    Versuche ich diese beiden Datein zu desinfizieren oder sonst ins Quarantäne zu verschieben, dann erscheint folgende Meldung:

    Wenn Sie ein Archiv oder Postfach in die Quarantäne verschieben, sind auch nicht infizierte Teile nicht mehr verfügbar. Beispielsweise kann es sein, dass alle gespeicherten Mails verloren gehen.


    Was würdet Ihr mir bzgl. weiterer Vorgehensweise empfehlen?
    Soll ich versuchen dieses Archiv durch eine Datensicherung mit Ghost zurückzuholen?

    Wie und wo kann ich mir diesen Trojaner eingefangen haben?

    Weshalb wird er nur von der Engine B (Avast) und nicht von Engine A (Kaspersky) erkannt)


    Mit besten Grüßen
    Eure Estarina
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort ist für jeden was dabei!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 Gott, 31.03.2007
    Zuletzt bearbeitet: 31.03.2007
    Gott

    Gott Ultimate Member

    Dabei seit:
    22.03.2005
    Beiträge:
    4.029
    Zustimmungen:
    0
    Ort:
    Österreich
    Mein Notebook:
    Maxdata Pro 8100X
    wenn du bei den einstellungen beide engines (leistung optimiert) eingstellt hast, dann findet nicht immer eine doppelprüfung statt.

    oder es ist ein fehlalarm von avast.
    du kannst die datei auf virustotal http://www.virustotal.com/en/indexf.html hochladen und sie noch einmal überprüfen lassen. damit sie aber hochgeladen werden kann (avk sperrt wahrscheinlich den zugriff auf die datei), wirst du wahrscheinlich den wächter kurz deaktivieren müssen. auf jeden fall daten sichern, falls es sich um einen wirklichen trojanerfund handelt.

    diese meldung erscheint automatisch, denn wenn du eine datei aus einem archiv (diese outlook-dateien sind auch archive, oder so etwas in der art) löscht, dann kann (muss nicht) es sein, dass das archiv sich nicht mehr öffnen lässt bzw. beschädigt ist. man kann unter windows ja auch nicht einfach eine systemdatei, ohne folgen, löschen.

    meine empfehlung:
    - daten sichern
    - die datei auf virustotal hochladen (erfordert eine eventuelle deaktivierung des wächters)
    - im avast forum suchen, ob es ein bekannter fehlalarm ist
    - datei eventuell an avast bzw. gdata senden
    - ein paar tage warten, vielleicht wird der fehlalarm korrigiert (wenn es einer ist)


    *edit*
    wenn du willst, kann ich die datei vom laptop meiner schwester (hat office xp) holen und mit gdata internetsecurity 2007 überfprüfen.
     
  4. #3 Estarina, 31.03.2007
    Estarina

    Estarina Forum Freak

    Dabei seit:
    07.02.2006
    Beiträge:
    143
    Zustimmungen:
    0
    Ort:
    Thüringen
    Mein Notebook:
    DELL Latitude E5500
    Hallo Gott,

    vielen herzlichen Dank für Deine Hilfe.

    Habe über VirusTotal gescannt und dort wurde auch der Trojaner von Avast gefunden, die anderen Virenscanner (AhnLab-V3, AntiVir, Authentium, AVG, Bitdefender, Cat-Quick Heal) wurden nicht fündig.

    Was lässt sich daraus schließen?


    Könntest Du mir bitte Deine Mail-Adresse mitteilen, damit ich Dir die beiden Datein zusenden kann?
    !!!! BESTEHT bei dieser Aktion nicht die Gefahr, dass Du Dein bzw. das NB Deiner Schwester infizierst? Dass fände sie bestimmt nicht lustig.
    Bzw. müsste der Wächter sofort den infizierten Anhang löschen, noch bevor Du ihn Dir anschauen kannst. Oder?


    Habe die Meldung an G-DATA gesandt, mal abwarten, was die meinen.

    Hast Du eine Idee, wo ich mir diesen Trojaner aufgegabelt haben könnte?

    Nützt es Dir etwas, wenn ich einen Hijack This ins Forum stelle?
     
  5. #4 Gott, 31.03.2007
    Zuletzt bearbeitet: 31.03.2007
    Gott

    Gott Ultimate Member

    Dabei seit:
    22.03.2005
    Beiträge:
    4.029
    Zustimmungen:
    0
    Ort:
    Österreich
    Mein Notebook:
    Maxdata Pro 8100X
    also das mit ich könnte die datei prüfen war so gemeint:

    du hast office xp, meine schwester hat auch office xp auf ihrem notebook. wenn ich mir jetzt die datein von ihrem nb auf mein nb übertrage und avk einen trojaner meldet, dann wissen wir, dass es ein fehlalarm ist.

    da nur avast einen trojaner in der datei gefunden hat, wird es ein fehlalarm sein.
    da du wahrscheinlich nicht infiziert bist, ist dies nicht nötig.

    *edit*
    meine schwester hat die datei nicht :confused:, vielleicht, weil sie kein service pack (für office) drauf hat.
    ich würde auf die meldung von gdata warten. in der zwischenzeit kann avk ja den zugriff auf die datei sperren (ist ja nur ein heplfile, oder so)

    ... wenn es überhaupt einer ist.
     
  6. #5 Estarina, 01.04.2007
    Estarina

    Estarina Forum Freak

    Dabei seit:
    07.02.2006
    Beiträge:
    143
    Zustimmungen:
    0
    Ort:
    Thüringen
    Mein Notebook:
    DELL Latitude E5500
    Über Eingabe: netstat -a --> werden doch alle offenen Ports des TCP- und UDP-Protokolls aufgelistet.
    Allerdings weiß ich nicht, was dort erscheinen darf und was evtl. ein Hinweis auf Tätigkeit des Trojaners sein könnte:

    siehe Anhang
     
  7. #6 Estarina, 01.04.2007
    Estarina

    Estarina Forum Freak

    Dabei seit:
    07.02.2006
    Beiträge:
    143
    Zustimmungen:
    0
    Ort:
    Thüringen
    Mein Notebook:
    DELL Latitude E5500
    Also *.doc war der Anhang zu groß - deshalb jetzt als pdf-Datei
     

    Anhänge:

  8. Gott

    Gott Ultimate Member

    Dabei seit:
    22.03.2005
    Beiträge:
    4.029
    Zustimmungen:
    0
    Ort:
    Österreich
    Mein Notebook:
    Maxdata Pro 8100X
    also den befehl hatten wir vor längerem in der schule (fach: netzwerktechnik). der lehrer konnte mir die frage ...
    ... nicht beantworten.

    bin mir aber immer noch ziehmlich sicher, dass es nur ein fehlalarm ist ;).

    wenn du dir ganz unsicher bist, dann mach einen onlinescan bei trendmicro (erzeugt einen fehlalarm in zusammenhang mit spybot, trendmicro will nicht kooperieren :mad:), kaspersky, mcaffe, symantec.
     
  9. bene

    bene Ultimate Member

    Dabei seit:
    16.06.2006
    Beiträge:
    1.136
    Zustimmungen:
    0
    Mein Notebook:
    Inspiron 6400
    Du kannst mal im Internet über google etc. einen nach dem anderen Port durchgehen, welches Programm den benutzt. Dann ist es einfacher, wenn du netstat zumindest noch mit dem Parameter -n startest, dann werden alle Ports numerisch angezeigt.

    btw, mit > kannst du die Ausgabe auf die Standardausgabe in eine Datei umleiten, dann müsstest du nicht mit Bildern hantieren.
     
  10. Anzeige

    Auf der Suche nach Notebook-Zubehör?
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  11. Gott

    Gott Ultimate Member

    Dabei seit:
    22.03.2005
    Beiträge:
    4.029
    Zustimmungen:
    0
    Ort:
    Österreich
    Mein Notebook:
    Maxdata Pro 8100X
    schon eine antwort von avast / gdata bekommen?
     
  12. #10 Estarina, 09.04.2007
    Estarina

    Estarina Forum Freak

    Dabei seit:
    07.02.2006
    Beiträge:
    143
    Zustimmungen:
    0
    Ort:
    Thüringen
    Mein Notebook:
    DELL Latitude E5500
    Hallo,

    AVK-Ambulanz hat sich leider noch gar nicht gemeldet - da ruckelt sich einfach nichts.
    Avast zieht es auch vor zu Schweigen
    Kaspersky schrieb, dass zwar eine der beiden Engines von ihnen ist, dass aber ihr Support für solche Anfragen nicht zuständig sei und sie glaubten auch eher an Fehlalarm.

    Virustotal - bei den 32 Engines - unverändertes Ergebnis - nur Avast behauptet einen Trojaner gefunden zu haben.


    Also wird es wahrscheinlich auch so sein.


    Danke der Nachfrage - und noch einen schönen Ostermontagsrest.


    Estarina
     
Thema:

Trojaner-Fund