| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Jede Menge Trojaner oder lauter Fehlalarme?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
29.11.2007, 17:48
| #1 |
| |  Jede Menge Trojaner oder lauter Fehlalarme? Hallo zusammen! Ich habe einen Rechner mit Windows XP Professional und FreeBSD im Dualboot. Unter Windows läuft McAfee als Virenwächter ständig im Hintergrund. Vor kurzem habe ich einen Scan mit clamav von FreeBSD aus auf die Windows-Partition gemacht und folgende Meldung erhalten: /media/win_c/pagefile.sys: Trojan.Bat.FormatC-6 FOUND Im restlichen System war nichts, und alle anderen Scanner (Avira, AVG Antivir, BitDefender, F-Prot, G-Data BootCD) haben garnichts gefunden - auch nicht in der Auslagerungsdatei. Also habe ich die Auslagerungsdatei von FreeBSD aus gelöscht, Windows neu gebootet und dort Scans mit AVG, AVG Anti-Rootkit, Sophos Anti-Rootkit und McAfee Rootkit Detective gemacht - alle sauber. Unter FreeBSD meldete clamav aber wieder einen Trojan.Bat.FormatC-6 in der pagefile.sys. Also habe ich noch einen Scan mit eScan unter Windows gemacht. Der lieferte mir mehrere Meldungen mit "System found infected with multipassrecover Spyware". Also bin ich nach Euren Anweisungen vorgegangen, habe im abgesicherten Netzwerk-Modus neu gebootet und nach Find.bat dann folgendes erhalten: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.5.6 Sprache: German Virus-Datenbank Datum: 11/29/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\ssubtmr.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\miktex 2.6\miktex on the web\support.url Offending file found: C:\WINDOWS\system32\ssubtmr.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Programme\tools ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d3dac64a-0ac5-11dc-a14f-0011d8cae18b} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\***\LOKALE~1\Temp\GLB4BC.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\***\LOKALE~1\Temp\GLB9D.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\***\LOKALE~1\Temp\GLBC63.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB1.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB4BC.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB9D.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLBC63.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Software\iview398.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 247492 Gefundene Viren: 5 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 155 Dauer des Scans bisher: 02:37:54 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 17:02:38,01 Batchende: 17:02:44,10 "multipassrecover" wird plötzlich nicht mehr gefunden - dafür aber jede Menge anderer Schädlinge?! Die Datei C:\WINDOWS\system32\ssubtmr.dll habe ich daraufhin bei h**p://virusscan.jotti.org/ prüfen lassen - laut deren Meldungen ist die Datei sauber. Kann eScan mehr als eine Handvoll anderer Scanner? Oder sind das eher false positives? Wie kann ich herausfinden, ob mein System noch sauber ist oder nicht? Vielen Danke schonmal für alle Tips - mir fällt langsam echt nichts mehr ein! |
|
02.12.2007, 00:51
| #2 |
| | Jede Menge Trojaner oder lauter Fehlalarme? Ich bringe den Thread mal wieder etwas nach oben. Fällt dazu hier niemandem etwas ein?
__________________Was würdet Ihr an meiner Stelle machen? Das System neu aufsetzen? Oder gibt es irgendeine Möglichkeit, einen Trojaner-Befall auszuschließen? |
|
02.12.2007, 19:10
| #3 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Jede Menge Trojaner oder lauter Fehlalarme? Hallo.
__________________Zitat:
Verhält sich das System denn sonst irgendwie merkwürdig?
__________________ |
|
02.12.2007, 19:32
| #4 | |
| | Jede Menge Trojaner oder lauter Fehlalarme?Zitat:
Das System verhält sich eigentlich unauffällig wie immer - wenn escan nicht Alarm geschlagen hätte, hätte ich keinerlei Verdacht geschöpft. Allerdings ist mir auch nicht bekannt, wie sich die gefundenen Trojaner (multipassrecover, saminside, Fujacks-type Worm, winfixer, savenow) möglicherweise bemerkbar machen könnten. Wie würdest Du denn an meiner Stelle jetzt vorgehen? |
|
02.12.2007, 20:01
| #5 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Jede Menge Trojaner oder lauter Fehlalarme? Ich würd mir da keine weiteren Gedanken machen. Das was angezeigt wurde sind Fehlalarme, die anderen Scanner haben nichts gefunden und das System läuft unauffällig wie immer.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
03.12.2007, 07:26
| #6 |
 | Jede Menge Trojaner oder lauter Fehlalarme? Ich hatte auch jede Menge Funde, [edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA  [/edit] |
|
| Themen zu Jede Menge Trojaner oder lauter Fehlalarme? |
| antivir, avg, avira, dateisystem, defender, drivers, einstellungen, explorer, fehler, festplatte, g-data, hosts-datei, infected, langsam, maßnahme, mehrere, object, ordner, programme, prozesse, prüfen, registry, scan, software, sophos anti-rootkit, spyware, system, temp, trojaner, windows, windows xp, windows\system32\drivers |
Linear-Darstellung
