Trojaner-Fund

E

Estarina

Forum Freak
Hallo,

ich lasse wöchentlich einen gesamten Fesplattenscan durchlaufen mit G-DATA-Antivirenkit 2007, heute plötzlich folgende Meldung:

Objekt: html\decChangeAppearanceOfBarsBoxesLinkLines.htm
In Archiv: C:\Programme\Microsoft Office\Office10\1031\PJMN10P.CHM
Status: Virus gefunden
Virus: Win32:Trojan-gen. {Other} (Engine B)
Objekt: PJMN10P.CHM
Pfad: C:\Programme\Microsoft Office\Office10\1031
Status: Virus gefunden
Virus: Win32:Trojan-gen. {Other} (Engine B)


Versuche ich diese beiden Datein zu desinfizieren oder sonst ins Quarantäne zu verschieben, dann erscheint folgende Meldung:

Wenn Sie ein Archiv oder Postfach in die Quarantäne verschieben, sind auch nicht infizierte Teile nicht mehr verfügbar. Beispielsweise kann es sein, dass alle gespeicherten Mails verloren gehen.


Was würdet Ihr mir bzgl. weiterer Vorgehensweise empfehlen?
Soll ich versuchen dieses Archiv durch eine Datensicherung mit Ghost zurückzuholen?

Wie und wo kann ich mir diesen Trojaner eingefangen haben?

Weshalb wird er nur von der Engine B (Avast) und nicht von Engine A (Kaspersky) erkannt)


Mit besten Grüßen
Eure Estarina
 
Weshalb wird er nur von der Engine B (Avast) und nicht von Engine A (Kaspersky) erkannt)
wenn du bei den einstellungen beide engines (leistung optimiert) eingstellt hast, dann findet nicht immer eine doppelprüfung statt.

oder es ist ein fehlalarm von avast.
du kannst die datei auf virustotal http://www.virustotal.com/en/indexf.html hochladen und sie noch einmal überprüfen lassen. damit sie aber hochgeladen werden kann (avk sperrt wahrscheinlich den zugriff auf die datei), wirst du wahrscheinlich den wächter kurz deaktivieren müssen. auf jeden fall daten sichern, falls es sich um einen wirklichen trojanerfund handelt.

Versuche ich diese beiden Datein zu desinfizieren oder sonst ins Quarantäne zu verschieben, dann erscheint folgende Meldung:

Wenn Sie ein Archiv oder Postfach in die Quarantäne verschieben, sind auch nicht infizierte Teile nicht mehr verfügbar. Beispielsweise kann es sein, dass alle gespeicherten Mails verloren gehen.
diese meldung erscheint automatisch, denn wenn du eine datei aus einem archiv (diese outlook-dateien sind auch archive, oder so etwas in der art) löscht, dann kann (muss nicht) es sein, dass das archiv sich nicht mehr öffnen lässt bzw. beschädigt ist. man kann unter windows ja auch nicht einfach eine systemdatei, ohne folgen, löschen.

meine empfehlung:
- daten sichern
- die datei auf virustotal hochladen (erfordert eine eventuelle deaktivierung des wächters)
- im avast forum suchen, ob es ein bekannter fehlalarm ist
- datei eventuell an avast bzw. gdata senden
- ein paar tage warten, vielleicht wird der fehlalarm korrigiert (wenn es einer ist)


*edit*
wenn du willst, kann ich die datei vom laptop meiner schwester (hat office xp) holen und mit gdata internetsecurity 2007 überfprüfen.
 
Zuletzt bearbeitet:
Hallo Gott,

vielen herzlichen Dank für Deine Hilfe.

Habe über VirusTotal gescannt und dort wurde auch der Trojaner von Avast gefunden, die anderen Virenscanner (AhnLab-V3, AntiVir, Authentium, AVG, Bitdefender, Cat-Quick Heal) wurden nicht fündig.

Was lässt sich daraus schließen?


Könntest Du mir bitte Deine Mail-Adresse mitteilen, damit ich Dir die beiden Datein zusenden kann?
!!!! BESTEHT bei dieser Aktion nicht die Gefahr, dass Du Dein bzw. das NB Deiner Schwester infizierst? Dass fände sie bestimmt nicht lustig.
Bzw. müsste der Wächter sofort den infizierten Anhang löschen, noch bevor Du ihn Dir anschauen kannst. Oder?


Habe die Meldung an G-DATA gesandt, mal abwarten, was die meinen.

Hast Du eine Idee, wo ich mir diesen Trojaner aufgegabelt haben könnte?

Nützt es Dir etwas, wenn ich einen Hijack This ins Forum stelle?
 
also das mit ich könnte die datei prüfen war so gemeint:

du hast office xp, meine schwester hat auch office xp auf ihrem notebook. wenn ich mir jetzt die datein von ihrem nb auf mein nb übertrage und avk einen trojaner meldet, dann wissen wir, dass es ein fehlalarm ist.

Was lässt sich daraus schließen?
da nur avast einen trojaner in der datei gefunden hat, wird es ein fehlalarm sein.
Nützt es Dir etwas, wenn ich einen Hijack This ins Forum stelle?
da du wahrscheinlich nicht infiziert bist, ist dies nicht nötig.

*edit*
meine schwester hat die datei nicht :confused:, vielleicht, weil sie kein service pack (für office) drauf hat.
ich würde auf die meldung von gdata warten. in der zwischenzeit kann avk ja den zugriff auf die datei sperren (ist ja nur ein heplfile, oder so)

Hast Du eine Idee, wo ich mir diesen Trojaner aufgegabelt haben könnte?
... wenn es überhaupt einer ist.
 
Zuletzt bearbeitet:
Über Eingabe: netstat -a --> werden doch alle offenen Ports des TCP- und UDP-Protokolls aufgelistet.
Allerdings weiß ich nicht, was dort erscheinen darf und was evtl. ein Hinweis auf Tätigkeit des Trojaners sein könnte:

siehe Anhang
 
Also *.doc war der Anhang zu groß - deshalb jetzt als pdf-Datei
 

Anhänge

  • Anzeige der offenen Ports.pdf
    29,1 KB · Aufrufe: 148
also den befehl hatten wir vor längerem in der schule (fach: netzwerktechnik). der lehrer konnte mir die frage ...
was dort erscheinen darf und was evtl. ein Hinweis auf Tätigkeit des Trojaners sein könnte
... nicht beantworten.

bin mir aber immer noch ziehmlich sicher, dass es nur ein fehlalarm ist ;).

wenn du dir ganz unsicher bist, dann mach einen onlinescan bei trendmicro (erzeugt einen fehlalarm in zusammenhang mit spybot, trendmicro will nicht kooperieren :mad:), kaspersky, mcaffe, symantec.
 
Estarina schrieb:
Über Eingabe: netstat -a --> werden doch alle offenen Ports des TCP- und UDP-Protokolls aufgelistet.
Allerdings weiß ich nicht, was dort erscheinen darf und was evtl. ein Hinweis auf Tätigkeit des Trojaners sein könnte:
Du kannst mal im Internet über google etc. einen nach dem anderen Port durchgehen, welches Programm den benutzt. Dann ist es einfacher, wenn du netstat zumindest noch mit dem Parameter -n startest, dann werden alle Ports numerisch angezeigt.

btw, mit > kannst du die Ausgabe auf die Standardausgabe in eine Datei umleiten, dann müsstest du nicht mit Bildern hantieren.
 
schon eine antwort von avast / gdata bekommen?
 
Hallo,

AVK-Ambulanz hat sich leider noch gar nicht gemeldet - da ruckelt sich einfach nichts.
Avast zieht es auch vor zu Schweigen
Kaspersky schrieb, dass zwar eine der beiden Engines von ihnen ist, dass aber ihr Support für solche Anfragen nicht zuständig sei und sie glaubten auch eher an Fehlalarm.

Virustotal - bei den 32 Engines - unverändertes Ergebnis - nur Avast behauptet einen Trojaner gefunden zu haben.


Also wird es wahrscheinlich auch so sein.


Danke der Nachfrage - und noch einen schönen Ostermontagsrest.


Estarina
 
Danke der Nachfrage - und noch einen schönen Ostermontagsrest.
danke, dir auch! :cool:


Kaspersky schrieb, dass zwar eine der beiden Engines von ihnen ist, dass aber ihr Support für solche Anfragen nicht zuständig
hmm, irgendwie klar, aber sie könnten es trotzdem überpfürfen :-/.

Avast zieht es auch vor zu Schweigen
oft liest man, dass sich avast schnell um solche dinge kümmert -> wundert mich jetzt etwas. wenn du kannst mir die datei per mail zukommen lassen, dann werde ich nochmal nachhacken -> siehe pm

AVK-Ambulanz hat sich leider noch gar nicht gemeldet - da ruckelt sich einfach nichts.
der support von gdata war ja bis vor kurzem nicht gerade erste klasse. seit ein paar monaten hat sich das aber geändert (habe mich selbst ein paar mal überzeugt :p:D). schade, dass sie sich noch nicht gemeldet haben.
Virustotal - bei den 32 Engines - unverändertes Ergebnis - nur Avast behauptet einen Trojaner gefunden zu haben.
dann wird auch alles in bester ordnung sein :)
 
S O S

Heutiger Virenscann erzeugte folgende Meldungen:

Virenprüfung mit AntiVirenKit
Version 17.0.6254
Virensignaturen vom 15.04.2007
Job: Lokale Festplatten
Startzeit: 15.04.2007 12:31
Engine(s): Engine A (AVK 17.3992), Engine B (AVKB 17.199)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein

Prüfung der Systembereiche...
Prüfung aller lokalen Festplatten...
Objekt: PJMN10P.CHM\html\decChangeAppearanceOfBarsBoxesLinkLines.htm
In Archiv: C:\System Volume Information\_restore{C6BC282D-03CC-4BF8-87FA-B232F83DF1A5}\RP465\A0094546.exe
Status: Virus gefunden
Virus: Win32:Trojan-gen. {Other} (Engine B)
Objekt: A0094546.exe
Pfad: C:\System Volume Information\_restore{C6BC282D-03CC-4BF8-87FA-B232F83DF1A5}\RP465
Status: Virus gefunden
Virus: Win32:Trojan-gen. {Other} (Engine B)
Objekt: Toolbar.exe
In Archiv: C:\System Volume Information\_restore{C6BC282D-03CC-4BF8-87FA-B232F83DF1A5}\RP469\A0096017.exe
Status: Virus gefunden
Virus: not-a-virus:AdTool.Win32.MyWebSearch (Engine A)
Objekt: A0096017.exe
Pfad: C:\System Volume Information\_restore{C6BC282D-03CC-4BF8-87FA-B232F83DF1A5}\RP469
Status: Virus gefunden
Virus: not-a-virus:AdTool.Win32.MyWebSearch (Engine A)
Analyse vollständig durchgeführt: 15.04.2007 16:01
83238 Dateien überprüft
2 infizierte Dateien gefunden
0 verdächtige Dateien gefunden

Selbst wenn ich mir die geschützten Systemdateien nicht ausblende und somit System Volume sehe, kann ich nicht darauf zugreifen (Meldung: Auf C:\System Volume Information kann nicht zugegriffen werden. Zugriff verweigert).

Woher kommt dieser Trojaner bzw. Virus?

Den Trojaner hatte ich vor ca. 2 Wochen in einer Datei (PJMN10P.chm) - mehrfach an AVK Ambulanz geschickt - keine Rückmeldung erhalten, diret Avast hat sich bisher auch noch nicht dazu geäußert.

Virustotal - hat PJMN10P.chm gecheckt und einzigst Avast meldet auch hier diesen Trojaner - die anderen 31 Virenscanner finden nichts.

Der Virus muss in der Nero-Aktualisierung gewesen sein, ließ sich direkt bei der Installation aber desinfizieren - um so mehr wundert mich der heutige Scan.

BITTE HELFT MIR !!!!!

Eure Estarina
 
Der Virus muss in der Nero-Aktualisierung gewesen sein,

hab mir auch das neueste update gezogen und darin wurde eine toolbar, also ein spyware-programm gefunden. OB und wie schädlich das programm ist weiß ich nicht.

C:\System Volume Information\
dieser ordner ist für die Systemwiederherstellung.
hast du die datei *.chm in quarantäne verschoben? wenn ja, dann könnte windows eine sicherung angelegt haben und diese ist nun im verzeichnis für die systemwiederherstellung.
solltest du dir in zukunft einen virus oder trojaner einfangen, dann die systemwiederherstellung vor dem desinfizieren/löschen deaktivieren.

alle dateien in diesem Verzeichnis kannst du ohne bedenken löschen, nur wenn du dies tust, dann funktioniert die letzte (können auch alle betroffen sein) nicht mehr.

zugriff auf dieses verzeichnis bekommst du indem du in die eigenschaften des ordners gehst -> register sicherheit (bei xp die einfach dateifreigabe deaktivieren und du bekommst dieses register, bei home musst du mich noch einmal fragen) -> einen neuen benutzer hinzufügen -> jetzt suchen (auswendig weiß ich es jetzt nicht mehr so genau) -> administrator/administratoren hinzufügen und bei allen rechten einen haken machen.

am besten deaktivierst du die systemwiederherstellung, dann werden alle punkte gelöscht und du kannst einen neuen wiederherstellungspunkt erstellen. :cool:
 
Hallo Gott,

ja - so bin ich auch vorgegangen - habe die Systemwiederherstellung deaktiviert, und habe darüber hinaus im 2. Schritt im abgesicherten Modus die temporären Dateien gelöscht.

Dann noch einmal gescannt - und es war sauber.

Bis auf die PJMN10P.chm - diese befindet sich ja noch immer in Quarantäne - bisher seitens G-DATA oder/und Avast noch nichts passiert.

Konntest Du evtl. schon etwas in Erfahrung bringen?

Danke Dir für Deinen Tipp.
Mit besten Grüßen
Estarina

P.S. Guten Start in die neue Woche - eigentlich schade, dass wir nicht Montag wieder frei haben - könnte öfter Feiertage geben :D
 
Konnte heute mit der neuen Virensignatur die Datei (PJMN10P.chm) aus der Quarantäne säubern und zurückbewegen.

Noch einmal ein riesengroßes Dankeschön für Deine Hilfe.
Mit besten Grüßen

Estarina
 
Zurück
Oben