[Manu85]

Hallo hab mir wohl den oben genannten Trojaner eingefangen. Die Fehlermeldung kam per Antivir und der Virus/Trojaner konnte nicht entfernt werden. Als Internetkundiger Mensch hab ich natürlich erstmal gegooglet und bin auf dieses Board gestoßen. Hab auch direkt einen Post gefunden und bin gerade dabei einen Scan mit E-Scan zu machen und hab mir auch bereits das Programm Silent Runners besorgt und werde die Logs dann Posten. Habe Windows XP mit Service Pack 2. Ich hab jetzt gelesen das man den VIrus mit der sogenannten SOD-Mehtode entfernen kann, weiß aber nicht wie das geht. Hab mir jetzt ebenfalls Hijack runtergeladen...! E-Scan läuft jetzt schon mehrere Stunden eshalb kann ich leider keine Loggs Posten und auch der Pfad des Virus ist leider etwas schwierig zu finden da mein ANtivir im Abgesicherten Modus nicht funktioniert. Kann mir eventuell noch jemand TIpps bzw. Hilfe anbieten würde mich sehr freuen.

MFG Manu

[Brummelchen]

Du kannst nichts mehr machen, formatieren ist die einzige Lösung:
http://board.gulli.com/thread/112972...u-formatieren/
http://board.gulli.com/thread/112733...ywaretrojaner/

[stetha]

Zitat:

Zitat von Brummelchen 

Du kannst nichts mehr machen, formatieren ist die einzige Lösung(...)

Aufgrund einer Generic-Meldung von AntiVir (welcher zeitweise zu FPs neigt) würde ich nicht gleich zum formatieren raten.

Zuerst mal die Datei lokalisieren und bei virustotal.com hochladen.
Ergebnis posten.

[Brummelchen]

Aha ja, dann bist du sicherlich auch so ein Experte, der mir aus dem Stegreif sagen kann,
wo sich was bei der Malware verbirgt und solche Probleme in 5 Minuten im Schlaf löst.
Respekt

<plopp> aufgewacht

Wenn er die Quelle des Übels kennen täte -> http://www.virustotal.com/de/
Aber so -> platt machen, neu anfangen

[stetha]

Zitat:

Zitat von Brummelchen 

Aha ja, dann bist du sicherlich auch so ein Experte, der mir aus dem Stegreif sagen kann,
wo sich was bei der Malware(...)

Ich behaupte nicht, dass sich ein infiziertes System ohne Rückstände bereinigen lässt,
aber dazu müsste man zuerst in Erfahrung bringen, ob es sich tatsächlich um Malware handelt.

Würde sich das bestätigen, wäre es noch sinnvoll das Sample an etwaige Antivirenkonzerne weiterzuleiten, die den Trojaner nicht per Signatur erkennen (wie u.a. AntiVir in diesem Fall)

Aber wenn du dem Threadersteller nicht zutraust, dass er den Pfad herausbekommt...
Formatier'n, ganz klar

[BoMb_]

sorry, dass ich diesen Theard wieder ausgrabe aber:

habe mir vor 2 Tagen das Selbe eingefangen:

war in einer Systemwiederherstellungsdatei!
Systemwiederherstellung deaktiviert, Wiederherstellungspunkte gelöscht, Virenchecks - KEINE Viren

das Ding ist ziemlich schlecht für nen Trojaner noch dazu ein Fehlalarm, der nur von Antivir gemeldet wird:

http://img511.imageshack.us/my.php?i...hlalarmhm8.jpg

[Perle84]

Hallo,
habe die Meldung heute auch bekommen,nicht nur 1 mal und habe im Internet gegoogelt und mehrere sachen gelesen.
Wenn das nur ein Fehlalarm ist warum machen sie in anderen Foren so ein Panik drum?

Bin absoluter Laie.
Was soll ich tun?

MfG Perle84

[aNtiCHrist]

Zitat:

Wenn das nur ein Fehlalarm ist warum machen sie in anderen Foren so ein Panik drum?

Es muss kein Fehlalarm sein, die Pauschalisierung von NDS_BoMb ist einfach falsch. Die Begründung ist auch unlogisch, weil in dem Screenshot das Datum 2008-06-06 zu sehen ist und dieses Update damals eben die Fehlerkennung korrigiert hat. Ich habe auch keine Ahnung, was die Geheimnistuerei mit dem Screenshot soll, aber wenn man die Originalseite ansieht, findet man auch schnell heraus, dass diese Meldung ebenso alt ist: http://forum.avira.com/wbb/index.php...threadID=69418

Da es sich wie man am Gen im Namen um eine generische Erkennung handelt, ist die sicherlich etwas anfälliger für Fehlalarme, auch False Positives genannt und von stetha weiter oben als FP abgekürzt. Lade die Datei in der AntiVir die Malware meldet bei dem bereits zwe mal genannten Dienst Virustotal hoch und guck, ob AniVir wirklich der einzige Scanner ist, der die Datei bemängelt. Wenn ja, ist ein Fehlalarm durchaus wahrscheinlich, wenn aber mehrere oder gar die Mehrzahl der Scanner anschlägt, sollte man (sehr) sicher von tatsächlicher Malware ausgehen.Interessant wäre sonst auch noch in was für einer Datei die Malware gemeldet wurde.

Falls du den Scannern nicht traust, kannst du außerdem noch die fragliche Datei an die Antimalware-Anbieter schicken. Sie wird dann dort dann von Experten analsysiert und du erhältst eine qualifizierte Rückmeldung. Kaspersky ist da in der Regel recht fix, mehr als ein paar Stunden musste ich noch nie warten. Allerdings solltest du natürlich vor allem Avira eine Chance geben, die eventuelle Fehlerkennung zu korrigieren und denen in jedem Fall die Datei zukommen lassen, wenn AntiVir die als einziger Scanner erkennt.

Sollte sich herausstellen, dass es kein Fehlalarm war, dann gilt die Aussage von Brummelchen: Setz das System neu auf, bei trojanischen Pferden gibt es keine andere Möglichkeit es zuverlässig sauber zu bekommen.

[Perle84]

Hallo,
danke für die Antwort, habe Spybot dtrüberlaufen lassen und der hat nichts gefunden.
Es sind nur tenp dateien betroffen.

hatte schonmal einen Trojaner,der aber in meiner Registry saß und sich auch am PC bemerkbar machte.

Ich werds mal versuchen wie du es geschrieben hast.

MfG Perle84

[aNtiCHrist]

Zitat:

danke für die Antwort, habe Spybot dtrüberlaufen lassen und der hat nichts gefunden.

Spybot Search & Destroy ist auf Ad- und Spyware ausgerichtet, nicht auf trojanische Pferde. Wenn du dein gesamtes System mit einem anderen Scanner als AntiVir zusätzlich untersuchen lassen willst, nimm MWAV.

Zitat:

Es sind nur tenp dateien betroffen.

Und die liegen wo? Heißen wie? Sind wie groß? Wie alt? Wie viele? ...

Zitat:

hatte schonmal einen Trojaner,der aber in meiner Registry saß und sich auch am PC bemerkbar machte.

Glaube ich kaum. Mir wäre es zumindest neu, dass man Code in die Registry einfügen und dort ausführen kann. Vermutlich stand dort nur irgendwo ein Verweis auf eine separate Datei, damit die beim Systemstart mitgestartet wurde. So läuft das ja normalerweise mit der Malware ab. Es gibt übrigens genug Fälle, wo ein infiziertes System keine besonderen Symptome zeigt. Das ist ja für diejenigen, die an den infizierten Systemen verdienen auch viel attraktiver, schließlich haben die dann sehr viel länger was davon. Ein befallenes System monatelang zum Spammen, zum DoSen, als Proxy nutzen und Daten auszuspähen ist sicherlich ein solideres Geschäftsmodell, als zu versuchen, das System mit sichtbarer Malware zu infizieren und dann dem Nutzer ein Fake-Antispyware-Programm zu verkaufen.

[BoMb_]

Sry für meinen Beitrag

Mein Alarm war warscheinlich ein Fehlalarm, ich habe absolut nichts von irgendeinem Trojaner mitbekommen, keine gefährlichen Dateien o.ä
Außerdem saß meiner ja in der systemwiederherstellung, und den kann man eigentlich dort sehr leicht löschen

habe mittlerweile jeden erdenklichen Virenscanner rüber laufen lassen und der hat nichts gefunden!
Außerdem habe ich im trojaner-Board um Hilfe gebeten und da kam sie auch zum Schluss, dass mein system clean ist