ComputerBase Menü
Aktuelles

Beste Vorgehensweise zu Virusfund!

Iceflo

Iceflo

Cadet 2nd Year
Registriert
Dez. 2004
Beiträge
27
Vorgehensweie wegen Virusfund .....

Hiho! Die Frage mag vielleicht etwas naiv klingen, aber da ich bisher mit Viren zum Glück keine all zu große Erfahrung machen musste stell ich sie trotzdem mal.

Gerade eben hat mein Virenscanner (Antivir) eine Meldung gebracht das ein Trojaner gefunden wurde, worauf mir hin auch mehrere Aktionsmöglichkeiten geboten wurden. Ich habe jetzt die Option "Zugriff verweigern" gewählt. Mein Frage von daher aus sicherheitsrelevanter Hinsicht: war das die beste Wahl? Ist die Datei damit gelöscht? Oder wurden nur die Anwendungsprozesse die von der Schädlingsdatei ausgingen gestoppt?

Ich habe Antivir jetzt nochmal mehrmals das Sys scannen lassen aber bisher wurde kein weiter Schädling gefunden. Meine Frage von daher, was hat mit der Zugriffsverweigerung auf sich? Ich hab zwar schon google zu dem Thema befragt, aber leider keine Schlüssige Antwort auf die Frage erhalten.
 
Zuletzt bearbeitet:
Bei "Zugriff verweigern" ist bestimmt nix gelöscht worden, das wäre bei "löschen" passiert. Zugriff verweigern bedeutet nur das das System daran gehindert wird die Datei zu benutzen, also öffnen, ausführen, bewegen etc ...



Die Frage für mich wäre jetzt: Ist der Trojaner aktiv? Hat er mein System verändert? Kann ich meinem System noch trauen?.


https://www.computerbase.de/forum/threads/malware-spyware-entfernen.302565/#post-2981469 <-- da mal reinlesen
Und dann bitte danach noch https://www.computerbase.de/forum/threads/malware-spyware-entfernen.302565/#post-2981507 <-- da reinlesen.
 
Zuletzt bearbeitet:
Eigentlich blockiert er dann nur die Datei, löscht sie aber nicht.
Wie hieß denn die Datei ? Denn AntiVir schlägt leider zu oft Fehlalarm wegen ihrer Heuristikerkennung.
 
Formatieren.
 
Wow, danke für die superschneller Antworten. Die Datei hieß Dropper.Gen.

die beste wahl? pc neuinstallieren
Zum Vergrößern anklicken....
Das hab ich mir auch schon gedacht, aber in dem Zusammenhang hätte ich auch nochmal ne Frage (auch wenn sie vielleicht etwas doof klingen mag). Reicht es wenn das System einfach normal platt mache (sprich wenn einfach das System neu aufsetze wo die Platte ja auch gleich formatiert wird) oder sollte ich die Platte vorher mal DBAN oder allerlei komplett säubern?
 
Format und Fdisk /MBR reicht :-)
 
Oh ja ... die Zeit der MBR-Viren ... ist lange vorbei! ;) @Hisn: Vielleicht nochmal kräftig mit nem Gummihammer draufhauen?!

Um welche Datei hat es sich überhaupt gehandelt? (Name, wo kommt sie her, in welchem Ordner liegt sie, etc ...)

Oftmals schlägt (wie schon erwähnt) die Heuristik von AV gerne auch fehl. Besonders bei Executables die mit Bytepackern/Exepackern (kkrunchy etc) bearbeitet worden sind. Demos oder Key*hust*gens haben gern mal dieses Problem - wobei das natürlich gerade bei letzteren wenig vertrauenserweckend ist. ;)

Ich würde jetzt nicht gleich in Panik ausbrechen!
 
Zuletzt bearbeitet:
ich würde auch erstmal nicht in panik ausbrechen. am besten man besorgt sich ne live-cd wie knoppicillin (kann man ganz einfach bei heise ordern, ist dann schon alles fix und fertig -> ct heft 26/07) und säubert erstmal das system. jetzt kann man ziemlich sicher sein, dass die schädlinge weg sind, einzig mögliche restbestände könnten noch da sein, dazu finden man dann infos auf den seiten der AV hersteller, dazu sollte man sich natürlich aufschreiben was für teile drauf waren... läuft dann immernoch was nicht rund oder das vertrauen in die sicherheit ist weg, kann man immernoch neu aufsetzen.

aber nen scan von ner live-cd aus, ist definitiv der erste schritt.
 
Nun nicht gleich in Panik versetzen lassen. Zugriff verweigert kann alles sein. Kann sein das der Dropper drauf ist, aber auch nicht. Poste mal ein HijackThis Log in das geeignete Forum. Anhand der Einträge kann man vielleicht erkennen ob das was ist oder nicht.

Antivir ist zwar ein sehr gutes Programm, aber meistens schlägt es aus wenn der Schädling schon auf der Platte ist - leider.

Allerdings, wenn du kein Skrupel hast zu Formatieren dann tu es.

Ein Tipp für Zukunft:
Legt dir eine vernünftige Backupstrategie zu, wenn dann sowas nochmal passiert erst gar nicht lange Fackeln, altes Backup ist innerhalb 30 Min wieder zurückgespielt und du hast ein sauberes System.

Gruss,
aido
 
30Minuten? Das ist ne Sache von 3-5 Minuten!
 
Um welche Datei hat es sich überhaupt gehandelt? (Name, wo kommt sie her, in welchem Ordner liegt sie, etc ...)
Zum Vergrößern anklicken....

Ja das ist das seltsame daran, der Virus wurde auf der externen USB-Festplatte gefunden, als ich mit dem Programm Erease diese gereinigt habe, bei genau 100 % kam die Virenmeldung:

:\~ERAFSWD.TMP\write.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.

Von daher bin ich mir gar nicht so sicher obs wirklcih ein virus ist. Aber werd lieber auf Nummer sicher gehn und das sys neu machen ...
 
Zuletzt bearbeitet:
Bei mir ist heute der gleiche Trojaner aufgetaucht ('TR/Dropper.Gen'). Zuerst habe ich meine Partition F:\ mit Windows normal formatiert (kein Schnellformat). Unmittelbar danach habe ich das Programm Eraser nochmal drübergehen lassen. Während der Eraser den freien Speicherplatz überschrieben hat, meldet sich AntiVir mit der Meldung, daß in F:\~ERAFSWD.TMP\regedt32.exe der Trojaner 'TR/Dropper.Gen' aufgetaucht ist.

Ich surfe mit einen aktuellen XP mit eingeschränkten Benutzerrechten und habe bei Firefox Javascript und Java bis auf wenige Ausnahmen (Ebay, Amazon) ständig deaktiviert. Addons habe ich keine installiert. Außerdem stecke ich hinter einen Router mit Firewall und habe auch noch sicherheitshalber die XP-Firewall aktiviert. Ich wüßte nicht wie ich mir einen Trojaner eingefangen habe. Auch die Auswertung des Logfiles auf Hijackthis.de zeigte nichts negatives.

Ich vermute, daß Antivir einen Prozess von Eraser aufgrund von ähnlichem Verhalten als Trojaner erkennt. Ich habe soetwas früher schon einmal gemacht, aber nie ist dieser Fehler aufgetaucht. Ist bei Dir der Fehler nocheinmal aufgetaucht?
 
@anareo

Ich vermute mal ein Fehlalarm seitens deiner Virenklingel.
Wenn du mit eingeschränkten Rechten unterwegs bist, dann dürfte der Trojaner (wenns einer ist) nicht funktionieren, da eine Installation verhindert wird. Sonst müsste Windows eine Meldung herausgeben das z.B. für die Intallation Admin-Rechte benötigt werden.
In diesem Fall ist nicht einmal eine Formatierung nötig, einfach das Benutzerkonto löschen und ein neues erstellen.

Wenn du an die Datei herankommst, kannst du die mal zur Analyse nach Antivir schicken und auch bei Virustotal mal testen lassen.

Ich verwende z.B. ein vbs-Script zur Regsuche nach Schlüsselwörter.
Sophos meldet Suspicious
Antivir meldet Trojan
Kasperky bleibt stumm
und Counterspy löscht die Datei.

Gruss,
aido
 
Danke Aido für die rasche Antwort!

Um die Festplatte normal zu formatieren habe ich zum Admin-Modus gewechselt. Die normale Formatierung müsste eigentlich alles gelöscht haben. Sicherheithalber habe ich die nun schon leere Partition nochmals mit Eraser tiefengereinigt. Dabei ist die Meldung aufgetaucht. Im Admin-Modus benutze ich aber nie den Browser, surfe also nicht im Netz.

Ich weiß nicht ob ein Trojaner so schlau ist, und abwartet bis jemand irgendwann einmal in den Admin-Modus wechselt um sich dann zu installieren. Die infizierte Datei war meines Wissens nach nur eine temporäre Datei, die Eraser anlegt um die Festplatte zu "plätten". Nach der Reinigungsaktion werden diese Dateien von Eraser wieder gelöscht. Als der Trojaner auftauchte brach ich Eraser ab, las mir die Fehlermeldung durch und "plättete" die Platte ein zweitesmal ohne nun eine Fehlermeldung zu erhalten. Deshalb besitze ich diese Datei nun nicht um sie einzuschicken.

Ich denke es war ein Fehlalarm von Antivir, trotzdem ein leiser Zweifel bleibt natürlich. Andererseits habe ich keinen Bock, daß ganze System neu aufzusetzen, XP updaten, Programme zu installieren und alles ordentlich zu konfigurieren.


P.S. Ich sehe gerade, daß es einen ganzen Thread "TR/Dropper.Gen" hier im Forum gibt, es scheint mir wirklich so, daß es ein Fehlalarm seitens Antivir war.
 
Zuletzt bearbeitet:
Nich unbedingt. Tr./Dropper.Gen ist die allgemeine Bezeichnung von noch einen unbekannten bzw. veränderten Trojaner. In den meisten Fällen sind es Downloader.
Weil diese die ersten sind, die installiert werden. Sie enthalten Informationen über Zielserver und sind in der Lage Ports zu öffnen und zu verstecken.

Ist der Downloader aktiv dann werden weitere Schädlinge auf deine Platte geladen. Backdoor-Programme für den direkten Zugriff aus der Ferne, Keylogger (diese legen .dat Dateien an) und senden in regelmässigen Abständen diese an den Zielserver. Und noch einiges andere. Zum bsp. in letzter Zeit sehr häufg die sog. Fake-Sicherheitstools wie Antivirus 2009 und konsorten.
Es ist so wie mit dem Igel und dem Hasen (der Igel ist deine Virenklingel:D)

Du brauchst keine Tiefenreinigung machen wenn du dein System neu installiesrst.
Eine einfache Formatierung während der Installation reicht völlig aus.

Besser wäre es, wenn du regelmässig ein Image deiner Platte machst. Da musst du dich nicht mehr mit installationen rumärgern. Ein älteres Image ist schnell wieder zurück gespielt.
Und Daten vom System trennen !
 
Ja, nun bereue ich es mich nie mit Images auseinandergesetzt zu haben. Ich habe jetzt zwei Open-Source Programme gefunden die wohl Images erstellen können.

Das eine heißt Clonezilla (www.clonezilla.org) und das andere heißt PING (Partimage is not Ghost; ping.windowsdream.com ). Taugen diese beiden Programme etwas? Welche Programme kannst Du empfehlen?

Danke für Deine Hilfe!
 
Besten Dank für die Liste! Ich werde mir die einzelnen Programme mal genau ansehen. Wenn möglich benutze ich gern Open Source Programme. Mal sehen ob ich mit Clonzilla zurechtkomme. Wahrscheinlich warte ich noch ein bißchen bevor ich das System neu aufsetze und ein Image erstelle. Bis dahin überprüfe ich mein System noch mit anderen Programmen auf Spyware etc.

Wenn noch jemand etwas ähnliches mit Eraser und TR/Dropper.Gen erlebt hat, würde ich mich über Infos und Berichten dazu freuen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Binge-Watcher
Aus Win 10 Pro ausgesperrt, beste Vorgehensweise?
2
Antworten
35
Aufrufe
3.881
Binge-Watcher
Binge-Watcher
M
Beste Vorgehensweise von Win7 auf Win10
2
Antworten
22
Aufrufe
3.263
Incanus
Incanus
W
Was ist die beste Vorgehensweise / Software für das papierlose/arme Büro?
Antworten
11
Aufrufe
4.152
Rickmer
Rickmer
grincat64
Beste Vorgehensweise Providerwechsel
2
Antworten
26
Aufrufe
2.982
grincat64
grincat64
A
Zeitnaher GPU-Kauf für Gaming PC – 4k-VR und WQHD – beste Vorgehensweise?
Antworten
2
Aufrufe
1.525
RaptorTP
RaptorTP
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz