Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: "Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 20.02.2019, 21:37   #1
Gnocci
 
"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme? - Standard

"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?



Hallo,

eine meiner Verwandten hat ein pdf als Emailanhang geöffnet und erst danach bemerkt, dass es vermutlich verseucht sein könnte.
Ich habe das pdf bei virustotal gescannt und z.B. Kaspersky meldet "Trojan.PDF.Agent.a". Ansonsten ist die Erkennungsrate mit 6/56 eher gering, vermutlich weil es eine neue Signatur ist.

Ein Backup von vor 3 Tagen ist vorhanden. Meine Frage dazu: Reicht es, die Windowspartition wiederherzustellen, oder sollten auch alle Programme und Daten aus dem Backup zurückkopiert werden?

Mein Plan:
1. Ein Backup vom gesamten System machen und dann nur Windows aus dem Backup wiederherstellen, Windows starten und dann einen Virenscan durchführen.

alternativ:
2. Backup erstellen und dann das komplette Backup von vor 3 Tagen zurückkopieren.

2. würde wesentlich länger dauern.

BTW: Kann man anhand der Virenmeldung von Kasperky abschätzen, welches Verhalten bei einer Infektion zu erwarten ist? Den infizierten emailanhang habe ich gesichert. Besteht Interesse an einem Upload? Gibt es hier Experten, die damit genauere Tipps geben könnten?

Alt 20.02.2019, 21:41   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme? - Standard

"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?



Mit der Angabe kann leider niemand was wirklich einigermaßen sicheres sagen, was wir bräuchten wäre die Prüfsumme (sha1 oder sha256) der Datei oder den Link zum VT-Ergebnis.

Was soll denn dieses überstürzt hysterische Systemrollback wenn noch garnix klar ist?
__________________

__________________

Alt 20.02.2019, 21:47   #3
Gnocci
 
"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme? - Standard

"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?



Sorry!

https://www.virustotal.com/de/file/b580e9d936970599f158cc6670177928f2d805e7716906e9890f808472e6e811/analysis/1550688265/

SHA256: b580e9d936970599f158cc6670177928f2d805e7716906e9890f808472e6e811
__________________

Alt 20.02.2019, 22:03   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme? - Standard

"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?



Also...wie gesagt bitte jetzt Ruhe bewahren, das war erstmal nur eine indirekte Bedrohung. Ich bin mir ziemlich sicher, dass in der PDF selbst kein Schadcode war, sondern die PDF nur als solche erkannt wurde, weil darin ein Hyperlink eingebettet war, welcher zur einer infizierten DOC- oder EXE-Datei führte. (hab ich heute erst wieder gesehen, das Öffnen einer PDF allein führt zu nix)

Virenscanner sind tw. extrem hysterisch und widersprüchlich, was sie "sehen" wird als als übertrieben schlimm gemeldet, andererseits wenn sie keinen Schadecode finden wiegeln sie Laien in falsche Sicherheit - denn nur weil ein Scanner nichts meldet, heißt das nicht, dass das nichts ist. Sie melden irgendeine Datei als gefährlich obwohl keine direkte Gefahr von ihnen ausgeht. Brandgefährlich sind eigentlich nur ausführbare Dateien (zB EXE) und danach Containerdateien (ZIP, weil diese ausführebare Dateien enthalten)
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.02.2019, 22:12   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme? - Standard

"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?



ESET scheit meine Vermutung zu bestätigen --> https://forum.eset.com/topic/12587-e...fphishingagen/

Das bedeutet konkret in diesem Fall: PDF öffnen macht nichts, man sollte nur nicht den dort eingebetten Hyperlink anklicken. Da kann nämlich alles verlinkt werden zB eine verseuchte Datei, eine Phishingsite die Daten abgreifen will indem der User gutgläubig seine Daten eintippert oder indem einfach stramm exploits per javaScript hinterlegt sind und Schwachstellen im Browser versuchen auszunutzen.

Die Frage ist nun: Wurde nur die PDF geöffnet oder noch mehr?

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.02.2019, 22:27   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme? - Standard

"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?



Hier ist auch was bei heise zu lesen --> https://www.heise.de/security/meldun...n-4313471.html

Sonst les ich immer viel mehr heise
__________________
--> "Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?

Alt 20.02.2019, 22:45   #7
Gnocci
 
"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme? - Standard

"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?



Erst mal vielen Dank für die Infos.
Ich war bisher immer der Meinung, dass auch schon durch bloßes Öffnen eines entsprechenden pdf-Dokuments Schadcode ausgeführt werden kann.
Hier z.B.:
https://www.heise.de/security/artikel/Analysiert-Alte-Masche-neue-Verpackung-Infektion-durch-PDFs-3722708.html

In dem Artikel wird zwar beschrieben, dass weitere Aktionen des Benutzers notwendig seien, aber ich vermute, dass das evtl. auch umgangen werden kann. Als pdf-Viewer kam wahrscheinlich ein alter Foxit-Reader zum Einsatz. Ob dieser mit integrierten Scripten umgehen kann, weiß ich nicht. Mit JS kenne ich mich nicht aus, sodass es auch nichts bringen würde, wenn ich mir das pdf näher ansehen würde. Für solche Untersuchungen mit passend bestückter VM bin ich auch nicht ausgerüstet.

Ich hätte natürlich nichts dagegen, wenn ich keine Dateien wiederherstellen müsste, aber im Moment bin ich mir nicht sicher. Normalerweise haben fast alle Programme Sicherheitslücken, die ausgenutzt werden könnten, sodass evtl. keine weitere Benutzeraktion für eine Aktivierung eines Schädling notwendig ist.

Alt 20.02.2019, 23:02   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme? - Standard

"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?



Also ich werd jetzt nach Diskussion verschieben. Wenn läuft das ja eh auf Neuinstallation hinaus oder das System bleibt so wie es ist.

Es ist schon ein himmelweiter Unterschied zwischen normaler "Datendatei" und ausführbarer Datei. Natürlich kann jedes Programm Lücken enthalten, aber du tust ja so, als wenn die Malwareautoren Magier sein, die immer und zu jeder Zeit mehr wissen als alle anderen.
Diese pessimistische Einstellung darfst du gerne behalten, ich halte das aber für ungesund und hysterisch. Denn dann darfst du auch keine VM benutzen, rein theoretisch kann nämlich auch ein Schädling aus einer VM ausbrechen und den Wirt bzw alles im Netzwerk lahmlegen.

Man sollte aber auch mal dir Kirche im Dorf lassen und die aktuellen Fakten zur Kenntnis nehmen. Und die lauten: hyperlink in ansonsten harmloser PDF-Datei. Nur weil ein Virenscanner da aufheult muss man kein unnötiges Drama draus machen.

Aber wenn die das nicht reicht mach halt das System flach und installier alles neu.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.02.2019, 00:02   #9
Gnocci
 
"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme? - Standard

"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?



Wieso bewertest du meine Skepsis als unangemessen? pdfs können Skripte enthalten und die Programme, mit denen man diese öffnet, können darauf reagieren. Im verlinkten Heiseartikel steht ausdrücklich:
"Aus Sicherheitsgründen sollte man nicht jedes per Mail erhaltene PDF blind öffnen: Aufgrund der generellen Möglichkeit, ausführbaren Code in PDFs zu packen, ist auch Vorsicht bei diesem Dateiformat geboten – und zwar völlig unabhängig davon, welche Anwendung man zum Öffnen verwendet. (des)"

Ob das betreffende pdf ein Skript enthält, weiß ich nicht. Ich hatte die Hoffnung, dass ich das hier in Erfahrung bringen kann.

Eine Neuinstallation ist nicht notwendig, denn es gibt ein nur 3 Tage altes Backup.

Alt 21.02.2019, 00:16   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme? - Standard

"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?



Ja, da steht können. Ich hab dir aber mehrere Anhaltspunkte geliefert, dass es eben keine Scripte waren. Sondern nur ein dummes PDF mit Hyperlink. Nicht mehr, aber auch nicht weniger. Also eben keine bösartigen JS oder was wasauchimmer codes direkt in der PDF.

Neuinstallatio nicht notwendig, was hat das damit zu tun? Du hast hast doch hier sofort hysterisch das System zurückrollen wollen? Egal wie man das nun nennt, wenn man schon so hysterische ist, muss man es vernünftig machen, also neu aufsetzen oder das letztes Image zurückspielen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.02.2019, 12:18   #11
Explo
 
"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme? - Standard

"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?



Gnocci, wenn du alles, was cosinus sagst in Frage stellst, hinterfragst und mit Halbwissen torpedierst, warum gehst du dann in das Forum hier?

Skepsis ist ja ok aber, wenn dir ein Experte hier etwas sagst und du das dann trotzdem in Frage stellst macht eben das Forum auch keinen Sinn

Alt 21.02.2019, 12:44   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme? - Standard

"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?



V.a. hab ich ja nicht nur gesagt "yo ey das ist so weil ich das sage alter ey!" () sondern auch noch meine Vermutung erst nur als solche beschrieben und hinterher Artikel (ESET+heise) verlinkt habe, die meine Vermutungen untermauern.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.02.2019, 20:23   #13
Gnocci
 
"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme? - Standard

"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?



Versucht es mal aus meiner Perspektive zu sehen.

Anfangs habt ihr gesagt, dass ihr mit der Angabe des Virennamens, bzw. der Scannermeldung nichts anfangen könnt und dass dafür die Prüfsumme notwendig wäre.
Dann verlinkt ihr auf einen Forumsbeitrag, der nur über den Virennamen auf die genaue Art der verseuchten Datei schließt. Deswegen habe ich den Hinweis so verstanden, dass das betreffende pdf "sehr wahrscheinlich" nur einen fiesen Link enthält.

Gleichzeitig bin ich davon ausgegangen, dass grundsätzlich jede Datei zu einer Infektion führen kann. Sowas habe ich schon zum Winamp-2.91-Zeiten gelesen und auch erst letzte Woche wieder.
https://www.heise.de/security/meldung/Patchday-Das-Oeffnen-von-PNG-Bildern-kann-Android-Geraete-kompromittieren-4300362.html
Dann habe ich noch den gestern verlinkten Artikel bei heise gefunden, der für pdfs vor integrierten Skripten warnt.

Hinzu kam noch, dass ich bis dahin nicht wusste, was meine Verwandte genau gemacht hatte. Ob sie innerhalb des pdfs noch weitere Sachen angeklickt hatte, stand bis dahin nicht fest.

Für mich ist immer noch nicht klar, warum ihr sicher ward und seid, dass keine Infektion stattgefunden hat.

Ein Forum ist doch unter anderem dazu da, Unklarheiten auszuräumen. Daher habe ich weiter nachgefragt und meinen Kenntnisstand mitgeteilt.

Alt 21.02.2019, 21:58   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme? - Standard

"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?



Ich weiß nicht was du jetzt schon wieder willst. Ja ich habe den Link zu VT angefordert. Und nun stell dir mal vor ich hab die angezeigten Schädlingsnamen als Infos genommen und dir daraus erklärt was das ist. Das Teil will nämlich dass ein Worddoc runtergeladen und geöffnet wird, aber nicht nur das, das Opfer muss auch noch so doof sein und Makros aktivieren. DANN hat man erst ein Problem. Das ist der eigentliche Schädling und nicht die PFD-Datei! Weitere Infos standen bei heise.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.02.2019, 15:46   #15
Gnocci
 
"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme? - Standard

"Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?



Zitat:
Zitat von cosinus Beitrag anzeigen
Ich weiß nicht was du jetzt schon wieder willst.[..]
Und nun stell dir mal vor [..]
das Opfer muss auch noch so doof sein [..]
Danke, mir reicht's. Ich will nichts mehr.
Für die technische Information bedanke ich mich aufrichtig, aber ich habe keine Lust für Rückfragen angepflaumt zu werden, die aufgrund von nicht eindeutigen Aussagen zustande kommen.

Antwort

Themen zu "Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?
daten, experten, frage, infektion, infizierte, kaspersky, länger, melde, meldet, meldung, neue, pdf, programme, signatur, starten, system, tipps, trojan.pdf.agent.a, upload, verhalten, verseucht, virenscan, virus, virustotal, windows, windowspartition




Ähnliche Themen: "Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?


  1. MBAM findet "Trojan.Agent.WSB" in "C:\WINDOWS\SYSWOW64\KBDURDUD.DLL
    Log-Analyse und Auswertung - 02.02.2019 (6)
  2. Windows 7 Home: 'TR/FireHooker.1825' und andere "unerwünschte Programme"
    Log-Analyse und Auswertung - 09.01.2016 (18)
  3. AdwCleaner erkennt Probleme, andere Programme hingegen nicht | Adware eingefangen "Ads by SASA"
    Plagegeister aller Art und deren Bekämpfung - 11.07.2015 (3)
  4. WIN 8: PC installiert automatisch neue Programme/Apps: z.B. "Game Hug Acarde" oder "Any Protect"
    Log-Analyse und Auswertung - 19.02.2015 (10)
  5. Windows 7: Malwarebytes und Avira Fund von "Viren oder unwerwünschte Programme"
    Log-Analyse und Auswertung - 07.02.2015 (11)
  6. "TR/Dldr.Agent.1169920.4 in c:\windows\temp\db22.exe" & "ADWARE\InstallCore.771128 in c:\Users\Julian\Downloads\openal-2.0.7.0.exe"
    Plagegeister aller Art und deren Bekämpfung - 26.01.2015 (9)
  7. Chrome zeigt die Nachricht "Kein Zugriff auf das Netzwerk", auch andere Browser langsam
    Plagegeister aller Art und deren Bekämpfung - 20.01.2015 (20)
  8. Windows 7 PRO, SP1 wird zunehmend langsamer! Gefunden "DealPly", "HideIcon" und andere
    Log-Analyse und Auswertung - 06.11.2013 (19)
  9. Virus nach installation von "hdplugin_firefox.exe" - Office und andere Programme gelöscht?
    Plagegeister aller Art und deren Bekämpfung - 23.08.2013 (29)
  10. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  11. DownlaodNSave und andere kleine"Programme"
    Plagegeister aller Art und deren Bekämpfung - 05.12.2012 (2)
  12. Programme und gestartete Anwendungen (auch im Hintergrund) schließen nicht "normal"
    Plagegeister aller Art und deren Bekämpfung - 08.08.2012 (7)
  13. "trojan-dropper.win32.Agent.dglg" und "trojan.Win32.Autohit.wh"
    Log-Analyse und Auswertung - 03.02.2011 (10)
  14. JAVA/Agent.M.3 und andere ("Trojan.Downloader"?)
    Plagegeister aller Art und deren Bekämpfung - 07.09.2010 (11)
  15. AVG findet "Trojan horse Generic15.EAM", Antimalware "Trojan.Agent" + "Rootkit.Agent"
    Plagegeister aller Art und deren Bekämpfung - 03.11.2009 (13)
  16. "I-Worm.Bagele.AAKP" oder "Trojan.DL.Bagele.ABLT" auf andere PC's übertragbar?
    Mülltonne - 31.10.2009 (1)
  17. Hilfe! "Trojan.Agent" und "Rogue.Residue" auf dem Rechner.
    Plagegeister aller Art und deren Bekämpfung - 02.05.2009 (13)

Zum Thema "Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme? - Hallo, eine meiner Verwandten hat ein pdf als Emailanhang geöffnet und erst danach bemerkt, dass es vermutlich verseucht sein könnte. Ich habe das pdf bei virustotal gescannt und z.B. Kaspersky - "Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme?...
Archiv
Du betrachtest: "Trojan.PDF.Agent.a " - nur Windows betroffen, oder auch andere Programme? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.