Hallo zusammen,

habe heute durch Antiviren-Kit folgende Meldung (Virus, Worm, Trojaner???) erhalten:

Trojan.Spy.Win32.Briss.c

Der "Virus" wurde in folgendem Verzeichnis gefunden:
C:\RESTORE\TEMP\

Zusatz-Infos oder Beschreibungen im Virenprogramm selbst als auch auf der Seite von Trendmicro.de: Fehlanzeige!!

Kann mir mal jemand sagen, was es damit auf sich hat?
Genügt es die betroffenen Dateien, die vom Virenprogramm gefunden und in die "Quarantäne verschoben wurden, zu löschen?

Ist ein Trojanisches Pferd, also um deinen PC auszuspionieren. Normalerweise soltle es reichen diebetreffenden Dateien zu löschen.Zusätzlich empfehle ich dir noch, wichtige Passwörter, die du benutzt zu ändern.

ciao

Hallo Thomas und Willkommen im Board,

aufgrund des Namens gehe ich davon aus, dass es sich bei dem Fundstück um Spy- bzw. Adware handelt.

Ich empfehle Dir Adaware http://www.lavasoft.de/
und
Spybot Search&Destroy http://www.safer-networking.de/

herunterzuladen, zu aktualisieren und dann damit Deinen Rechner zu scannen.

Gruß,
Lutz

Hi Lutz
</font><blockquote>Zitat:</font><hr />
aufgrund des Namens gehe ich davon aus, dass es sich bei dem Fundstück um Spy- bzw. Adware handelt.
</font>[/QUOTE]Du kannst denken, dass ich verrückt bin . aber in dem Fall würde ich doch das Neuformatieren dringendst empfehlen . Schau mal hier.

moin zusammen,

</font><blockquote>Zitat:</font><hr /> C:\RESTORE\TEMP\ </font>[/QUOTE]ich würde die systemwiederherstellung deaktivieren, mein win warten, mit einem av-scanner (up to date) komplett scannen, reboot und dann die swh wieder aktivieren.

da der backdoor nur dort gefunden wurde, kann man davon ausgehen, daß dieser eventuell gar nicht aktiv war. (normalerweise )

</font><blockquote>Zitat:</font><hr />Du kannst denken, dass ich verrückt bin ...</font>[/QUOTE]Das denke ich ganz bestimmt nicht! [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />...aber in dem Fall würde ich doch das Neuformatieren dringendst empfehlen . Schau mal hier. </font>[/QUOTE]Auf jeden Fall hast Du 'sauberer' recherchiert als ich [img]graemlins/daumenhoch.gif[/img]
Das 'Ding' legt in der Tat ein Neuaufsetzen des Systems nahe. Hier hätte ich bei der von NAI beschriebenen Vorgehensweise </font><blockquote>Zitat:</font><hr />...boot to MS-DOS mode or use a boot diskette and use the command line scanner...</font>[/QUOTE]jedenfalls auch 'Bauchschmerzen', wenn der Trojaner aktiv war/ist und nicht nur im Restore-Temp-Verzeichnis 'rumdümpelt'.

Wichtig ist dann aber auch, CyberFreds Hinweis, Passworte zu ändern, da der Keylogger schon aktiv gewesen sein könnte und somit die Passworte nicht mehr sicher sind. Da reicht dann auch kein Neuaufsetzen.

Interessieren würde mich jetzt noch, ob auf dem Rechner die beschriebenen Symptome
</font><blockquote>Zitat:</font><hr />... HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"systray" = C:\test\A.EXE... </font>[/QUOTE]vorhanden sind.

Gruß,
Lutz

[ 17. M&auml;rz 2004, 22:08: Beitrag editiert von: Lutz (DerBilk) ]

Hallo Lutz,

</font><blockquote>Zitat:</font><hr />Interessieren würde mich jetzt noch, ob auf dem Rechner die beschriebenen Symptome

Zitat:
--------------------------------------------------------------------------------
... HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"systray" = C:\test\A.EXE...
--------------------------------------------------------------------------------

vorhanden sind.</font>[/QUOTE]Diese letztere Datei existiert nicht bei mir. Ich habe im angegbenen Pfad auch nichts auffälliges gefunden.
Das mit dem Leeren des RESTORE-Ordners habe ich sofort nach dem Anschlagen meines AntiVirenprogramms veranlaßt, weiterhin hat auch das bei mir installierte Programm "SpyBot- Search & Destroy" nichts gefunden!

Im o.g. Pfad sind bei mir keinerlei Programme, die dort nicht hingehören sollten.

Ich gehe eigentlich davon aus, dass, wenn überhaupt, nur die beiden RESTORE-Dateien betroffen waren und daher noch kein Schaden angerichtet worden ist.