Hallo,

ein Virenscan mit GDATA hat unter C:\windows\system32 einen Trojaner
"BAT.Ftp.ab" gefunden, eine Datei mit dem Namen "o" .
Das GDATA-Virenlexikon und das Trojaner-Board kennen aber keinen solchen
Virus, der woanders als gefährlich eingestuft wird.
Aus einem älteren Abbild habe ich dann "T:\windows\system32" erzeugt und
auch dort die Datei "o" gefunden.
Bei der Prüfung dieses Ordners hat der Virenscanner aber keinen Virus gemeldet. Warum?
Wieso ist der Zugriff auf diese Datei gesperrt (wohlgemerkt auf Laufwerk T: und
nicht im aktiven Bereich auf C: , Attribut = a ) und wie kann ich sie
löschen oder mit einem HEX-Editor ansehen?

Gruß
AB

Hallo,
bitte folgendes mit der Datei BAT.Ftp.ab machen.

Tests durchführen
1. Avira Labor
Sende die verdächtigen Datein ans Avira Labor und vergiss nicht für die Benachrichtigung eine gültige E-Mailadresse anzugeben.

2. Anubis
Lade die Datein einzelnt bei Anubis hoch und poste hier die Links zum aufrufen der Ergebnisse.

3. Virustotal
Lade die Datein bei Virustotal hoch und schreibe bei keinem Fund trotzdem zu dem Dateinamen den MD5 Hasg. Wenn etwas gefunden wurde, füge das ganze Log ein oder poste den Link zu der Ergebnisseite.

Und dann noch:

HijackThis Log erstellen
Bitte lade dir HijackThis runter und erstelle ein Logfile, wessen Inhalt du hier postest. Achte dabei darauf, persönliche Inhalte zu zensieren (C:\Dokumente und Einstellungen\Markus Schmitz -> C:\Dokumente und Einstellungen\Mxxxs Sxxxxz).

Zitat:

Zitat von xonic

Hallo,
bitte folgendes mit der Datei BAT.Ftp.ab machen.

Tests durchführen
1. Avira Labor
Sende die verdächtigen Datein ans Avira Labor und vergiss nicht für die Benachrichtigung eine gültige E-Mailadresse anzugeben.


Das habe ich versucht, aber es kommt zu einem Fehler, weil die Datei ja nicht
lesbar oder zu öffnen ist und damit auch nicht uploaded werden kann.


2. Anubis
Lade die Datein einzelnt bei Anubis hoch und poste hier die Links zum aufrufen der Ergebnisse.


Weil das unter (1) schon nicht geklappt hat, habe ich es hier auch nicht gemacht.


3. Virustotal
Lade die Datein bei Virustotal hoch und schreibe bei keinem Fund trotzdem zu dem Dateinamen den MD5 Hasg. Wenn etwas gefunden wurde, füge das ganze Log ein oder poste den Link zu der Ergebnisseite.

(siehe 1 und 2)


Und dann noch:

HijackThis Log erstellen
Bitte lade dir HijackThis runter und erstelle ein Logfile, wessen Inhalt du hier postest. Achte dabei darauf, persönliche Inhalte zu zensieren (C:\Dokumente und Einstellungen\Markus Schmitz -> C:\Dokumente und Einstellungen\Mxxxs Sxxxxz).

Das hab ich gemacht. Allerdings ist die Datei von GDATA aus dem aktiven
Bereich (C:\windows\system32) in Quarantäne verschoben worden und
somit nicht mehr vorhanden. Die Partition T:\ wird natürlich nicht geprüft und
den File kann ich, wie schon gesagt, nicht verschieben.

Anbei der HijackThis-Log und ein Bildschirmfoto mit dem Dateinamen.

P.S. Sorry für das Durcheinander, aber ich bin halt nicht so firm mit Zitieren
und so.
Vielen Dank die Mühe.

Hallo xonic,

jetzt habe ich den hijack-file auch online prüfen lassen.
Es gibt einige Ungereimtheiten, aber bis auf

" Service: MNS Framework (MNSFramework) - Unknown owner - C:\WINDOWS\system32\MNSFramework.exe"

und

"Desktop Component AutorunsDisabled: (no name) - (no file)"

sind mir alle Einträge bekannt oder werden für gut/sicher gehalten.

Gruß
AB

Da steht bei sonen paar unbekannter Prozess oder Programm.
Wenn du dir nicht 100% sicher bist, dass die clean sind:
(Gerade bei .exe!!!)
Tests durchführen
1. Avira Labor
Sende die verdächtigen Datein ans Avira Labor und vergiss nicht für die Benachrichtigung eine gültige E-Mailadresse anzugeben.

2. Anubis
Lade die Datein einzelnt bei Anubis hoch und poste hier die Links zum aufrufen der Ergebnisse.

3. Virustotal
Lade die Datein bei Virustotal hoch und schreibe bei keinem Fund trotzdem zu dem Dateinamen den MD5 Hasg. Wenn etwas gefunden wurde, füge das ganze Log ein oder poste den Link zu der Ergebnisseite.

Und die Datei kann man auch bzw. sollte man auch aus der Quarantäne wiederherstellen können.

Hallo xonic,

die merkwürdigen Files sind mir tatsächlich alle bekannt, bis auf
MNSFramework.exe .
Den habe ich bei Virustotal prüfen lassen. Ergebnis 3 von 34 : suspicious file
MD5: 1c7addf6f77f39adc2d1a5ff30fb410a
(Anubis hat den File nicht angenommen, Avira prüft noch)

Der Eintrag
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)
könnte von meinem Desktop-Manager "Dexpot" kommen.
Allerdings gibt's da ja keinen File zum Hochladen.

Ich werde jetzt den "o"-File wieder aus der Quarantäne holen und nochmal
einige Prüfungen laufen lassen.

Gruß
AB