Masterboot Record Virus Evil Empire-h befällt Datei pagefile.sys

[Samsara8]

Hallo,
auf zwei meiner Laptops habe ich den Virus Evil Empire-h . Als Antivirensoftware verwende ich Desinfec`t 2020 sowie den jeweils aktuellen Windows Defender.

Der Virus wird jeweils immer nur von Sophos erkannt. Auf der Webseite von Sophos wird er als Master Boot Record Virus angeführt . Siehe beigefügtem Screenshot.

Als befallene Datei wird die pagefile.sys angezeigt, die bei mir 2,6 GB groß ist.

Deswegen kann ich die Datei nicht zu Virustotal oder anderen online Virenscannerdienste hochladen. Mittlerweile habe ich mich etwas in die Materie eingelesen. Deswegen habe ich mir eine CD mit dem neuesten Kaspersky Rescue Disk 2020 gebrannt. Das eine Funktion bietet, explizit den Master Boot Record zu scannen und auch zu reparieren. Leider findet Kaspersky den Virus nicht.

Die Dokumentation zu Evil Empire-h ist etwas dünn. Sein Alias ist PC-AT-h . Mir ist noch nicht klar, wie gefährlich er ist.

Meine Idee ist, dass es sich um einen Fehlalarm handelt. Denn ich verwende auf meinem neuen Lenovo Thinkpad E590 ein Windows 10 Pro mit Linux Mint 19.3 und Ubuntu Linux 18.04 LTS, sowie auf meinem alten, ausgemusterten Sony Vaio ein Windows 10 Home mit Ubuntu Linux 18.04 LTS. Der Master Boot Record ist deswegen meiner Ansicht nach ungewöhnlich, was für einen Fehlalarm spricht.

Alle meine USB-Sticks und meine externen Festplatten habe ich mit Desinfec`t gescanned. Evil-Empire-h wurde dort nirgends erkannt.

Für Hilfestellung bin ich dankbar.

 

[Madman1209]

Hi,

Daten sichern, Systeme neu aufsetzen. Alles andere wäre mir zu riskant und dürfte auch länger dauern.

Sicherungen vorhanden?

VG,
Mad

 

[koech]

Versuch doch mal, die pagefile kleiner zu machen oder ganz auszuschalten.
Vielleicht bist du den Übeltäter dann auch los.

 

[Klikidiklik]

Pagefile ausschalten, neu starten, Pagefile wieder einschalten und wieder neu starten. Anschließend schauen ob der Virus noch da ist bzw. erkannt wird.

 

[amorosa]

Also seltsam finde ich das schon, das wenn man danach googelt, das nur "Sophos" davon schreibt.
Und mit dabei etwas von 1993 (?).

Auch ich rate dazu, mal dein Pagefile deaktivieren/aktivieren, nachprüfen, dann reagieren : Sprich-Platten-Platt machen

 

[NOTAUS]

Es könnte sich um einen Fehlalarm handeln. Zwei Antivirenprogramme gleichzeitig laufen zu lassen, ist auch keine gute Idee. Da wird vermutlich auch der Fehler herkommen. Das eine Programm erkennt das andere als Schädling.

 

[Sulik]

Es könnte sich um einen Fehlalarm handeln. Zwei Antivirenprogramme gleichzeitig laufen zu lassen, ist auch keine gute Idee.

Desinfect ist ne Live-Distri

 

[NOTAUS]

Desinfect ist ne Live-Distri

Er sprach aber von Sophos + Defender!

 

[TP555]

Hi

Lass Mal Malwarebytes drüber laufen , wenn der nix Findet , dann ist da auch nix. !!

Master Boot Record Viren , sind eigentlich schon lange nicht mehr bekannt , den letzten den ich noch kenne war der Junkie 10xx aus MS Dos Zeiten , das war so 1993 , da half nur Low Level Format , war aber dank dem Apaptec 1542CF im BIOS kein Problem.

Der Burglar oder Bulgar , war glaube ich auch einer , das war so 95 oder 96.

Oder kennt jemand von euch Solche Viren die auch noch Win10 befallen würde , so das wirklich ein richtiger Low Level Format nötig wäre ?

https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Evil Empire-h.aspx

Der Virus ist von 1993 !!

Mfg.

 

[inge70]

Er sprach aber von Sophos + Defender!

nö, er sprach erst von

Als Antivirensoftware verwende ich Desinfec`t 2020 sowie den jeweils aktuellen Windows Defender

und dann kam

Der Virus wird jeweils immer nur von Sophos erkannt. Auf der Webseite von Sophos wird er als Master Boot Record Virus angeführt . Siehe beigefügtem Screenshot.

Demnach hat er wohl auch Sophos in Nutzung, denn anders gehts nicht. Somit wohl 3 Virenwächter.

Zum Thema:

schalte die pagefile.sys ab, boote den PC neu und aktiviere sie wieder. Anschließend noch mal prüfen. Mehr geht nicht.

 

[Ic3HanDs]

Desinfec't ist eine Live Distri um den Rechner auf Viren zu scannen. Und in dieser arbeiten 4 Scanner parallel: Eset, F-Secure, Sophos und Kaspersky..

 

[chrigu]

Schon witzig wenn zwei Laptops mit demselben 1993 Virus verseucht wurden die im selben Besitz sind. Was sollen wir nur von dir halten?
Ich würde dir empfehlen beide Laptops zu formatieren und Windows neu zu installieren.... und diesmal ohne alten Tools oder Backups oder welche verseuchte Datei auch immer dazu geführt hat.

 

[PC295]

Das sind Fehlalarme, da brauchst du gar nichts tun.

 

[Samsara8]

Das sind Fehlalarme, da brauchst du gar nichts tun.

Dies sehe ich genauso.

Ergänzung (21. August 2020)

Desinfec't ist eine Live Distri um den Rechner auf Viren zu scannen. Und in dieser arbeiten 4 Scanner parallel: Eset, F-Secure, Sophos und Kaspersky..

Exakt.

Mittlerweile ist sogar noch ein fünfter Scanner dabei. der sogenannte Open Threat Scanner.

 

[Madman1209]

Hi,

und du möchtest nun...was genau? Wenn du meinst es sind Fehlalarme gibt es doch kein Problem, oder übersehe ich etwas?

VG,
Mad

 

[Samsara8]

Hallo,

Vielen Dank für die vielen konstruktiven Beiträge.

Zuerst will ich ein neues Prüfergebnis mit Euch teilen. Nämlich habe ich heute Nacht den Open Threat Scanner über mein Windows 10 System laufen lassen. Er wurde von Mitarbeitern des Heise-Verlags programmiert, um die neueste Generation von Ransomware wie Emotet auf zu spüren. Dieser Scanner lieferte als Ergebnis keinen Virenbefall.

Was meiner Ansicht nach ein weiteres Indiz für einen Fehlalarm ist.

Eine Idee in Bezug auf die Konfiguration von Desinfec`t ist mir noch gekommen. Denn momentan ist die Standardeinstellung „Potentially unwanted Software“ erkennen aktiviert, was die Zahl die Fehlalarme erhöht. Heute Nacht werde ich mein System noch einmal ohne diese Einstellung scannen. Es bleibt ab zuwarten ob der Evil Empire-h sich dann verabschiedet.

Sicherungen meiner Systeme besitze ich.

Eine Frage noch in die Runde: Hat irgendjemand irgend einen Hinweis gefunden wie gefährlich dieser Evil Empire-h ist? Denn ich habe diverse Virendatenbanken von Security-Firmen durchsucht und keinen Eintrag zu diesem ominösen Schädling gefunden.

Die Idee, an der Datei pagefile.sys zu konfigurieren, halte ich für nicht zielführend. Da meines Wissens dies eine wichtige Systemdatei von Microsoft Windows 10 ist.
Vielen Dank für die Hilfestellung.

 

[TorenAltair]

Pagefile.sys kannst Du einfach löschen, das ist die Auslagerungsdatei, die wird dann einfach neu angelegt, also z.B. aus der Desinfect-Distribution heraus.