Schock!
Habe antivir, Classic auf dem Rechner, der fand eben folgenden Trojaner:
TR/Dropper.GEN
Wie bekomme ich den weg??
Bin für jede Hilfe, wie immer, dankbar!
Trojaner gefunden, wie bekomme ich den weg?
-
Abgesicherter Modus, ich empfehle Malwarebytes!
-
TR/Dropper.GEN klingt spontan stark nach Heuristik. Also schwer einzuschätzen was du dir wirklich eingefangen hast, oder ob es sich einfach nur um einen Fehlalarm handelt. Welche Datei ist denn befallen (Pfad)?
Grundsätzlich: Falls sich der Befall bestätigen sollte kann ich dir nur raten das System neu aufzusetzen (Image / Neuinstallation).
Kleiner Tipp:
Versuchs mit deinem Anliegen am Besten mal dort. Die beschäftigen sich fast ausschließlich mit solchen Themen. -
Lade Die Datei doch erst zur Überprüfung hier hoch: http://www.virustotal.com/de/ , hatte ich auch schon mal gemacht, bei mir war es nämlich Fehlalarm, kommt ja immer häufiger vor!
-
Zitat von be
Ich habe eben gelesen, das es hilft, die Sytemwiederherstellung auf allen Laufwerken zu deaktivieren, den Rechner herunter zu fahren, neuzustarten und die Systemherstellung wieder zu aktivieren, anschließend Ccleaner laufen zu lassen.
Das ist sinnlos. Ccleaner ist kein Antimalwareprogramm. Der Tipp, den Du zitiert hast, bezieht sich auf das Scannen mit dem Antivirus- oder Antispywareprogramm im abgesicherten Modus von Windows.
Konkret heisst es: alle Systemwiederherstellungspunkte löschen, Rechner im abgesicherten Modus hochfahren, scannen, Malware löschen lassen, neu starten.
Aber lasse die Datei erst bei virustotal überprüfen. Wo Du sie bei antivir in der Quarantäne findest, kann ich nicht sagen, da ich avast verwende. Aber antivir sollte dich auch einen Menüpunkt Hilfe haben, wo Du nachsehen kann
-
Jeder Gedanke über eine mögliche Maßnahmen ist Zeitverschwendung.
Das System platt machen und neu aufsetzen ist die einzig richtige Methode. -
Es sollte genügen, ein sauberes Image einzuspielen. Aber leider hat nicht jeder sowas auf Lager.
-
Abends!
Zitat von beSchock!
Habe antivir, Classic auf dem Rechner, der fand eben folgenden Trojaner:
TR/Dropper.GENWäre interessant , wie Avira den gefunden hat.
Hast Du einen SystemScan veranstaltet?
Oder kam eine Meldung so zwischendurch vom Guard?
Irgendeine erhellende Meldung wird's ja wohl gegeben haben...Rechtsklicke auf das Avira-Symbol in der Taskleiste , wähle hier
"AntiVir starten".
Im folgenden Fenster kannst Du Dich über die Navigationsleiste links
weiterbewegen :
[Blockierte Grafik: http://www.etceteradesign.de/dada/Avira_Q.png]Dort sollte u.a. die Quelle feststellbar sein , hier gibt's auch die Möglichkeit , die Datei an Avira zu schicken usf.
Über den Button "Übersicht" erreichst Du auch so Dinge wie "Ereignisse" und "Berichte".
Berichte Du doch bitte erstmal , wann wie wobei warum weshalb wieso
diese Meldung erschienen ist...
Generell wäre aber eine "zweite Meinung" nicht uninteressant.
Der Tipp mit Malwarebytes ist einen Blick wert.
Zum Thema Plätten :
Wesentlich ist ja wohl,wann das AV eine Meldung ausgibt , gelle?
Waidmannsheil !P.
-
Also der zweite Fund ist wohl in einem Wiederherstellungspunkt, den müsstest du dann löschen. Hast du die beanstandete Datei noch? Wie schon empfohlen, solltest du die mal von einem Online-Virenscanner prüfen lassen.
-
Zitat
Wie bekomme ich den weg??
Daten sichern
Formatieren
Windows neu installieren
Passwörter ändernWarum ihr immer noch als Malware-DAUs eine "Reinigung" empfehlt, wird wohl immer euer
Geheimnis bleiben - ausser ihr kennt den Quellcode und seine Auswirkungen :roll:Und nein - die Systemwiederherstellung ist kein sicheres Backup - sieht man doch!?
-
Abends!
Mich hätte eher interessiert , welche Datei dort als infiziert aufgeführt war.
Am Besten mit dem kompletten Pfad aus dem Protokoll.
Und eine etwas genauere Beschreibung dessen,was abgelaufen ist.
Der Hintergrund :
Ein AV ist ganz genausolange für'n Eimer,solange dessen Funktionen nicht genutzt werden - sei es das Update der Signaturen oder die Nutzung der "Guards".
Daher zunächst die Fragen.@ Brummelchen :
Wer bitte , hat hier bislang 'ne Reparatur vorgeschlagen?
Mal ganz davon ab :
Den gebetsmühlenartig vorgetragenen Ansatz :
"Daten sichern -Plätten - Neu machen - Glücklich sein" halte ich persönlich aber auch für Dummfug...:roll:
Gruß
P.
-
Zitat von PvW
- Den gebetsmühlenartig vorgetragenen Ansatz :
"Daten sichern -Plätten - Neu machen - Glücklich sein" halte ich persönlich aber auch für Dummfug...
Ich nicht!
Vorher noch den Stecker aus der Wand ziehen.Alternativ zum Vorschlag @Brummelchen:
Gehäuse öffnen; Steckverbindung kappen; 4 Schräubchen lösen; HDD-alt ziehen; HDD-neu (Wechsel-HDD) stecken; Schräubchen, Steckverbindung und Gehäuse! PW'ter - klar sofort ändern! -
Zitat von be
Die Datei aus der Quarantäne, wo finde ich die denn?
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\INFECTED\
der Inhalt hat bei mir die Endung *.qua
Sind wohl aber verschlüsselte Dateien die nur Avira lesen/entschlüsseln kann. -
Zitat
Den gebetsmühlenartig vorgetragenen Ansatz :
"Daten sichern -Plätten - Neu machen - Glücklich sein" halte ich persönlich aber auch für Dummfug...
Dann hätte ich dazu auch gerne eine gute Begründung, meine konntest du ja lesen.PS
Zitat von pittifoxLade Die Datei doch erst zur Überprüfung hier hoch: http://www.virustotal.com/de/ , hatte ich auch schon mal gemacht, bei mir war es nämlich Fehlalarm, kommt ja immer häufiger vor!
Halte ich für einen guten Kompromiss, solange sichergestellt ist, dass die Dateien nicht anderweitig
auf diesem Weg kompromitiert werden können. Sich was neues herunterzuladen, was wieder
infiziert werden kann, halte ich nicht für ratsam - einem kompromitiertem System darf man nicht
mehr trauen noch lässt es sich bereinigen.Was mir grad noch einfällt, irgendwo hat heute jemand ein ähnliches Problem mit all seinen AutoIt-
Programmen gehabt, falls es das sein sollte, da hilft nur ein Signaturupdate.
Das Avira gut und gerne bei Fehlalarmen zuschlägt, sollte nichts neues sein - deswegen ist es
hier ja auch wieder runtergeflogen, weil es nur nervig in meiner "Umgebung" war.
Ansonsten sollte man diverse Alarme schon ernst nehmen. -
Wenn das Ding aktiv ist, davon gehe ich aus, lässt es sich ohnehin so ohne weiteres nicht entfernen. Um das Ding entfernen zu können, müsste das Betriebssystem inaktiv sein. Das erreichst du, in dem du die Festplatte ausbaust, als Slave jumperst und in einen anderen, sauberen Rechner einbaust. Dort scanst du die Slave-Platte mit einem aktuellen Virenscanner und entfernst den Schädling. Das geht auf jeden Fall.
Da es sich bei dem Schädling um einen Dropper handelt, kann es sein, dass weitere, ggf. neue und unbekannte Malware auf dem Rechner schlummert. Diese wird dann vermutlich auch nicht erkannt werden. Das heißt, dass nach erfolgter Entfernung des Droppers noch immer Schädlinge an Bord sein können.
Wenn der Schädling erntfernt wurde, baut man die Platte wieder aus, jumpert sie als Master und baut sie in den alten Rechner wieder ein. Dort erfolgt nochmals ein Scan, um die Registry von den Resten zu befreien.
Quelle : http://forum.avira.com/wbb/index.php?…d&postid=252444
-
Achtung: zur Nachahmung nicht empfohlen
:
[Blockierte Grafik: http://www.smileygarden.de/smilie/Computer/53.gif]
