Hallo,

ich habe gestern eine relativ alte externe Festplatte an meinen Laptop angeschlossen, auf der sich Daten meines alten Rechners befinden, der seit vier Jahren nicht mehr im Betrieb ist. Weder auf dem alten Rechner noch bei der Platte gab es bisher solche Probleme, gestern wurde mir jedoch plötzlich bei einer 441 KB großen Datei "Firefox Setup 2.0.0.1.exe" vom Avira-Guard der Trojaner "TR/Dldr.Banload.bieb" gemeldet.

Nach Einsenden der Datei hat Avira diesen Fund bestätigt: "Die Datei '5a0cd1a2.vir' wurde als 'DAMAGED FILE (MALWARE)' eingestuft. Dies bedeutet, dass diese Datei beschädigt und nicht richtig lauffähig ist. Dennoch konnten wir feststellen, dass es sich hierbei um eine Datei handelt welche schädliche Codefragmente aufweist."

Allerdings bin ich im Avira-Forum auch auf einen augenscheinlich ähnlichen Fall gestoßen, wo es sich um eine Fehlmeldung handelte: hxxp://forum.avira.com/wbb/index.php?page=Thread&threadID=152251 . Auf Nachfrage hin hat Avira aber noch einmal bestätigt, dass es sich um Malware handele. Virustotal hatte ein Ergebnis von 5/47 (darunter Avira und die beiden McAfee-Varianten).

Die betreffende Datei ist derzeit in Quarantäne, ich hatte sie aber zwischenzeitlich einmal daraus befreit und sie in ein eigenes Verzeichnis auf der Systempartition verpflanzt, um sie bei Virustotal hochzuladen. (Ich hoffe, das war kein Fehler...)

Mich wundert das alles doch sehr, einmal, weil die Meldung jetzt erst kommt für eine jahrealte Datei, und dann, weil ich ziemlich sicher bin, Firefox immer von seriösen Seiten heruntergeladen zu haben (und auch sonst keine dubiosen Downloads). Aber jedenfalls frage ich mich jetzt, a) ob die Datei irgendwas am System angerichtet haben kann und b) ob es reicht, sie aus der Quarantäne heraus zu löschen, oder ob ich bei der externen Platte und / oder der Systempartition mehr unternehmen muss.

Vielen Dank für eure Hilfe!

Hallo und

Warum löscht du dieses alte FF-Setup nicht einfach? Selbst wenn wir mal von einem FalsePositive ausgehen, was willst du mit einem Setup vom FF 2.0?

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die jemals fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Hallo,

ich habe damals die komplette Datenpartition 1:1 auf die externe Festplatte rüberkopiert, weil mir das zu viel Aufwand war, im Einzelnen durchzusortieren, was ich künftig noch mal brauchen würde und was nicht. Ich hätte jetzt natürlich kein Problem damit, es zu löschen, aber erst einmal wollte ich abklären, wie ich vorgehen sollte, und da wusste ich halt nicht, ob es da sinnvoll es, die Datei schon zu löschen.

Auf meinen beiden Rechnern, an denen ich die Platte gelegentlich anschließe, ist jeweils Avira drauf (aktuell Avira Premium, vorher auch schon mal Free), das hatte bis jetzt nichts zu beanstanden, weder an den Rechnern, noch an der externen Platte.

Malwarebytes meldet nur bei vollständigem Scan einen Adware-Fund auf der alten Platte in einer alten Installationsdatei von Exact Audio Copy, die ich mit ziemlicher Sicherheit von chip.de bezogen habe. Den Trojaner in der FF-exe sieht Malwarebytes nicht. (Wobei ich die Datei derzeit bei Avira in Quarantäne habe, ich weiß nicht, ob Malwarebytes sie da finden würde?).

Avira findet derzeit gar nichts mehr (wobei die FF-Datei ja in Quarantäne ist). Allerdings gibt es über 3000 versteckte Files, was aber an einem Bug liegen sollte, durch den Avira immer wieder bei einer Datei hängen bleibt. Das hatte ich auch früher schon mal, und im Netz finden sich da diverse Berichte drüber. Das Avira-Logfile lasse ich aufgrund der Länge erst einmal weg, wenn Du es brauchst, habe ich es aber abgespeichert.

Hier das Logfile des Vollscans mit MBAM:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.23.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
***:: NOTEBOOK [Administrator]

23.05.2013 11:42:08
MBAM-log-2013-05-23 (14-36-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|J:\|K:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 735617
Laufzeit: 2 Stunde(n), 47 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
J:\Sicherung alte externe\downloads\eac-0.99pb4.exe (Adware.Yabector) -> Keine Aktion durchgeführt.

(Ende)