Masterboot Record Virus Evil Empire-h befällt Datei pagefile.sys

Samsara8

Newbie
Registriert
Jan. 2020
Beiträge
4
Hallo,
auf zwei meiner Laptops habe ich den Virus Evil Empire-h . Als Antivirensoftware verwende ich Desinfec`t 2020 sowie den jeweils aktuellen Windows Defender.

Der Virus wird jeweils immer nur von Sophos erkannt. Auf der Webseite von Sophos wird er als Master Boot Record Virus angeführt . Siehe beigefügtem Screenshot.

Als befallene Datei wird die pagefile.sys angezeigt, die bei mir 2,6 GB groß ist.

Deswegen kann ich die Datei nicht zu Virustotal oder anderen online Virenscannerdienste hochladen. Mittlerweile habe ich mich etwas in die Materie eingelesen. Deswegen habe ich mir eine CD mit dem neuesten Kaspersky Rescue Disk 2020 gebrannt. Das eine Funktion bietet, explizit den Master Boot Record zu scannen und auch zu reparieren. Leider findet Kaspersky den Virus nicht.

Die Dokumentation zu Evil Empire-h ist etwas dünn. Sein Alias ist PC-AT-h . Mir ist noch nicht klar, wie gefährlich er ist.

Meine Idee ist, dass es sich um einen Fehlalarm handelt. Denn ich verwende auf meinem neuen Lenovo Thinkpad E590 ein Windows 10 Pro mit Linux Mint 19.3 und Ubuntu Linux 18.04 LTS, sowie auf meinem alten, ausgemusterten Sony Vaio ein Windows 10 Home mit Ubuntu Linux 18.04 LTS. Der Master Boot Record ist deswegen meiner Ansicht nach ungewöhnlich, was für einen Fehlalarm spricht.

Alle meine USB-Sticks und meine externen Festplatten habe ich mit Desinfec`t gescanned. Evil-Empire-h wurde dort nirgends erkannt.

Für Hilfestellung bin ich dankbar.
 

Anhänge

  • Screenshot_2020-08-20 Evil Empire-h - Viruses and Spyware - Advanced Network Threat Protection...png
    Screenshot_2020-08-20 Evil Empire-h - Viruses and Spyware - Advanced Network Threat Protection...png
    100,1 KB · Aufrufe: 355
Hi,

Daten sichern, Systeme neu aufsetzen. Alles andere wäre mir zu riskant und dürfte auch länger dauern.

Sicherungen vorhanden?

VG,
Mad
 
  • Gefällt mir
Reaktionen: DJServs, Reinh4rd, amorosa und 2 andere
Versuch doch mal, die pagefile kleiner zu machen oder ganz auszuschalten.
Vielleicht bist du den Übeltäter dann auch los.
 
  • Gefällt mir
Reaktionen: inge70, amorosa und Asghan
Pagefile ausschalten, neu starten, Pagefile wieder einschalten und wieder neu starten. Anschließend schauen ob der Virus noch da ist bzw. erkannt wird.
 
  • Gefällt mir
Reaktionen: amorosa
Also seltsam finde ich das schon, das wenn man danach googelt, das nur "Sophos" davon schreibt.
Und mit dabei etwas von 1993 (?).

Auch ich rate dazu, mal dein Pagefile deaktivieren/aktivieren, nachprüfen, dann reagieren : Sprich-Platten-Platt machen :D
 
Es könnte sich um einen Fehlalarm handeln. Zwei Antivirenprogramme gleichzeitig laufen zu lassen, ist auch keine gute Idee. Da wird vermutlich auch der Fehler herkommen. Das eine Programm erkennt das andere als Schädling.
 
NOTAUS schrieb:
Es könnte sich um einen Fehlalarm handeln. Zwei Antivirenprogramme gleichzeitig laufen zu lassen, ist auch keine gute Idee.
Desinfect ist ne Live-Distri
 
  • Gefällt mir
Reaktionen: Samsara8, Hayda Ministral und AudioholicA
Hi

Lass Mal Malwarebytes drüber laufen , wenn der nix Findet , dann ist da auch nix. !!

Master Boot Record Viren , sind eigentlich schon lange nicht mehr bekannt , den letzten den ich noch kenne war der Junkie 10xx aus MS Dos Zeiten , das war so 1993 , da half nur Low Level Format , war aber dank dem Apaptec 1542CF im BIOS kein Problem.

Der Burglar oder Bulgar , war glaube ich auch einer , das war so 95 oder 96.

Oder kennt jemand von euch Solche Viren die auch noch Win10 befallen würde , so das wirklich ein richtiger Low Level Format nötig wäre ?

https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Evil Empire-h.aspx

Der Virus ist von 1993 !!

Mfg.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Samsara8
NOTAUS schrieb:
Er sprach aber von Sophos + Defender!
nö, er sprach erst von
Samsara8 schrieb:
Als Antivirensoftware verwende ich Desinfec`t 2020 sowie den jeweils aktuellen Windows Defender

und dann kam
Samsara8 schrieb:
Der Virus wird jeweils immer nur von Sophos erkannt. Auf der Webseite von Sophos wird er als Master Boot Record Virus angeführt . Siehe beigefügtem Screenshot.

Demnach hat er wohl auch Sophos in Nutzung, denn anders gehts nicht. Somit wohl 3 Virenwächter.

Zum Thema:

schalte die pagefile.sys ab, boote den PC neu und aktiviere sie wieder. Anschließend noch mal prüfen. Mehr geht nicht.
 
Zuletzt bearbeitet:
Desinfec't ist eine Live Distri um den Rechner auf Viren zu scannen. Und in dieser arbeiten 4 Scanner parallel: Eset, F-Secure, Sophos und Kaspersky..
 
  • Gefällt mir
Reaktionen: Samsara8
Schon witzig wenn zwei Laptops mit demselben 1993 Virus verseucht wurden die im selben Besitz sind. Was sollen wir nur von dir halten?
Ich würde dir empfehlen beide Laptops zu formatieren und Windows neu zu installieren.... und diesmal ohne alten Tools oder Backups oder welche verseuchte Datei auch immer dazu geführt hat.
 
  • Gefällt mir
Reaktionen: amorosa
Das sind Fehlalarme, da brauchst du gar nichts tun.
 
  • Gefällt mir
Reaktionen: Samsara8 und Evil E-Lex
PC295 schrieb:
Das sind Fehlalarme, da brauchst du gar nichts tun.
Dies sehe ich genauso.
Ergänzung ()

Ic3HanDs schrieb:
Desinfec't ist eine Live Distri um den Rechner auf Viren zu scannen. Und in dieser arbeiten 4 Scanner parallel: Eset, F-Secure, Sophos und Kaspersky..
Exakt.

Mittlerweile ist sogar noch ein fünfter Scanner dabei. der sogenannte Open Threat Scanner.
 
Hi,

und du möchtest nun...was genau? Wenn du meinst es sind Fehlalarme gibt es doch kein Problem, oder übersehe ich etwas?

VG,
Mad
 
Hallo,

Vielen Dank für die vielen konstruktiven Beiträge.

Zuerst will ich ein neues Prüfergebnis mit Euch teilen. Nämlich habe ich heute Nacht den Open Threat Scanner über mein Windows 10 System laufen lassen. Er wurde von Mitarbeitern des Heise-Verlags programmiert, um die neueste Generation von Ransomware wie Emotet auf zu spüren. Dieser Scanner lieferte als Ergebnis keinen Virenbefall.

Was meiner Ansicht nach ein weiteres Indiz für einen Fehlalarm ist.

Eine Idee in Bezug auf die Konfiguration von Desinfec`t ist mir noch gekommen. Denn momentan ist die Standardeinstellung „Potentially unwanted Software“ erkennen aktiviert, was die Zahl die Fehlalarme erhöht. Heute Nacht werde ich mein System noch einmal ohne diese Einstellung scannen. Es bleibt ab zuwarten ob der Evil Empire-h sich dann verabschiedet.

Sicherungen meiner Systeme besitze ich.

Eine Frage noch in die Runde: Hat irgendjemand irgend einen Hinweis gefunden wie gefährlich dieser Evil Empire-h ist? Denn ich habe diverse Virendatenbanken von Security-Firmen durchsucht und keinen Eintrag zu diesem ominösen Schädling gefunden.

Die Idee, an der Datei pagefile.sys zu konfigurieren, halte ich für nicht zielführend. Da meines Wissens dies eine wichtige Systemdatei von Microsoft Windows 10 ist.
Vielen Dank für die Hilfestellung.
 
Pagefile.sys kannst Du einfach löschen, das ist die Auslagerungsdatei, die wird dann einfach neu angelegt, also z.B. aus der Desinfect-Distribution heraus.
 
Zurück
Oben