|
Plagegeister aller Art und deren Bekämpfung: TR/Dropper gefunden, welches Risiko ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
02.04.2009, 13:09 | #1 |
| TR/Dropper gefunden, welches Risiko ? Hallo zusammen, nach Jahren des virenfreien Lebens unter MacOSX habe ich nun doch wieder einen Rechner mit Windows in den Fingern und direkt meldet sich AntiVir recht freundlich Direkt nach dem Download eine Datei die infizierte Datei entdeckt ... löschen funktioniert soweit. Das System hat also noch nichts ab bekommen. Nachdem ich hier im Forum ein wenig zum Dropper laß, habe ich die Datei mal bei virustotal.com testen lassen. Mich verwundert, dass nur so wenige Engines diesen Trojaner erkennen ( 5 von 40 ). Sind die Engines wirklich so unterschiedlich in der Erkennung oder kann es sich hierbei auch nur um eine versehentliche Einstufung als Trojaner handeln ? Was mich auch wundert ist, dass verschiedene Trojaner erkannt wurden. Schon mal danke für Eure Hilfe ! Hier das Protokoll von VirusTotal.com: Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.04.02 - AhnLab-V3 5.0.0.2 2009.04.02 - AntiVir 7.9.0.129 2009.04.02 TR/Dropper.Gen Antiy-AVL 2.0.3.1 2009.04.02 Trojan/Win32.Chifrax Authentium 5.1.2.4 2009.04.01 - Avast 4.8.1335.0 2009.04.01 - AVG 8.5.0.285 2009.04.02 - BitDefender 7.2 2009.04.02 - CAT-QuickHeal 10.00 2009.04.01 - ClamAV 0.94.1 2009.04.02 - Comodo 1093 2009.04.01 - DrWeb 4.44.0.09170 2009.04.02 - eSafe 7.0.17.0 2009.04.02 - eTrust-Vet 31.6.6430 2009.04.02 - F-Prot 4.4.4.56 2009.04.01 - F-Secure 8.0.14470.0 2009.04.02 - Fortinet 3.117.0.0 2009.04.02 - GData 19 2009.04.02 - Ikarus T3.1.1.49.0 2009.04.02 - K7AntiVirus 7.10.690 2009.04.01 - Kaspersky 7.0.0.125 2009.04.02 - McAfee 5571 2009.04.01 - McAfee+Artemis 5571 2009.04.01 - McAfee-GW-Edition 6.7.6 2009.04.01 Trojan.Dropper.Gen Microsoft 1.4502 2009.04.02 - NOD32 3983 2009.04.02 - Norman 6.00.06 2009.04.01 - nProtect 2009.1.8.0 2009.04.02 Trojan/W32.Chifrax.559024 Panda 10.0.0.14 2009.04.01 - PCTools 4.4.2.0 2009.04.01 - Prevx1 V2 2009.04.02 - Rising 21.23.32.00 2009.04.02 - Sophos 4.40.0 2009.04.02 - Sunbelt 3.2.1858.2 2009.04.02 Trojan-Dropper.Gen Symantec 1.4.4.12 2009.04.02 - TheHacker 6.3.4.0.298 2009.04.01 - TrendMicro 8.700.0.1004 2009.04.02 - VBA32 3.12.10.2 2009.04.02 - ViRobot 2009.4.2.1673 2009.04.02 - VirusBuster 4.6.5.0 2009.04.01 - weitere Informationen File size: 2078005 bytes MD5...: ba3cf4e80842db8a6327547ae7a8a23c SHA1..: 8c4cb39e887d5654994a780db01f66c0796ae00b SHA256: dd8223a703f2c6c2f3ea391132d1275796d270456e5112b5db2ee891f7af411f SHA512: be480c7ecbe33e86b9c8ca7fb1cac00760493b07696d6d64fd5d0ef8d1ace7fb 773bceebb0229211320500e8b6b296559f9c9321e3047b68e169f42287d2a9ba ssdeep: 49152:R1zXh1sAviw81TdgyHmJsyRDHDH/4r2rYfDo//mWhCB7:tBKwcTdfmJbHD H/4r2MLo//GB7 PEiD..: - TrID..: File type identification WinRAR Self Extracting archive (96.2%) Win32 Executable Generic (1.5%) Win32 Dynamic Link Library (generic) (1.4%) Generic Win/DOS Executable (0.3%) DOS Executable Generic (0.3%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1000 timedatestamp.....: 0x4894133d (Sat Aug 02 07:56:45 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x14000 0x13a00 6.48 b4fb79885c55492e7af6d4be13b922cf .data 0x15000 0x8000 0xa00 4.94 6b3642729564e92f38646d9f50a5c940 .idata 0x1d000 0x2000 0x1200 4.79 4223794b90a12cb19ec33fbd0cd56503 .rsrc 0x1f000 0x19764 0x19800 7.54 81984b448e3bd8d0a16a103cdf3060dc ( 8 imports ) > ADVAPI32.DLL: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, SetFileSecurityA, SetFileSecurityW > KERNEL32.DLL: CloseHandle, CompareStringA, CreateDirectoryA, CreateDirectoryW, CreateFileA, CreateFileW, DeleteFileA, DeleteFileW, DosDateTimeToFileTime, ExitProcess, ExpandEnvironmentStringsA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, FindResourceA, FreeLibrary, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetDateFormatA, GetFileAttributesA, GetFileAttributesW, GetFileType, GetFullPathNameA, GetLastError, GetLocaleInfoA, GetModuleFileNameA, GetModuleFileNameW, GetModuleHandleA, GetNumberFormatA, GetProcAddress, GetProcessHeap, GetStdHandle, GetSystemTime, GetTempPathA, GetTickCount, GetTimeFormatA, GetVersionExA, GlobalAlloc, HeapAlloc, HeapFree, HeapReAlloc, IsDBCSLeadByte, LoadLibraryA, LocalFileTimeToFileTime, MoveFileA, MoveFileExA, MultiByteToWideChar, ReadFile, SetCurrentDirectoryA, SetEndOfFile, SetEnvironmentVariableA, SetFileAttributesA, SetFileAttributesW, SetFilePointer, SetFileTime, SetLastError, Sleep, SystemTimeToFileTime, WaitForSingleObject, WideCharToMultiByte, WriteFile, lstrcmpiA, lstrlenA > COMCTL32.DLL: - > COMDLG32.DLL: CommDlgExtendedError, GetOpenFileNameA, GetSaveFileNameA > GDI32.DLL: DeleteObject > SHELL32.DLL: SHBrowseForFolderA, SHChangeNotify, SHFileOperationA, SHGetFileInfoA, SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteExA, SHGetPathFromIDListA > USER32.DLL: CharToOemA, CharToOemBuffA, CharUpperA, CopyRect, CreateWindowExA, DefWindowProcA, DestroyIcon, DestroyWindow, DialogBoxParamA, DispatchMessageA, EnableWindow, EndDialog, FindWindowExA, GetClassNameA, GetClientRect, GetDlgItem, GetDlgItemTextA, GetMessageA, GetParent, GetSysColor, GetSystemMetrics, GetWindow, GetWindowLongA, GetWindowRect, GetWindowTextA, IsWindow, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadIconA, LoadStringA, MapWindowPoints, MessageBoxA, OemToCharA, OemToCharBuffA, PeekMessageA, PostMessageA, RegisterClassExA, SendDlgItemMessageA, SendMessageA, SetDlgItemTextA, SetFocus, SetMenu, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow, WaitForInputIdle, wsprintfA, wvsprintfA > OLE32.DLL: CLSIDFromString, CoCreateInstance, CreateStreamOnHGlobal, OleInitialize, OleUninitialize ( 0 exports ) |
02.04.2009, 15:22 | #2 |
/// AVZ-Toolkit Guru | TR/Dropper gefunden, welches Risiko ? Hallöle.
__________________Was hast du dir da runtergeladen? Hast du die Datei ausgeführt? Oder nur gescannt? Denn nur weil AntiVir irgendwas löscht heisst das nicht, dass das System nicht doch infiziert wurde. Das ist nämlich eher die Regel als die Ausnahme. Risiko eines Droppers: Sehr hoch! Da du keine Ahnung hast was gedroppt wurde. Über Virenscanner AV-Programme schützen dich nur rudimentär. Den rest muss dein Hirn und ein abgesichertes System übernehmen.
__________________ |
02.04.2009, 16:30 | #3 |
| TR/Dropper gefunden, welches Risiko ? HIHO
__________________undoreal hat recht das Risiko ist riesig. Hatte das selbe Problem mit einer Datei die irgendwie A00irgendwas.exe hieß und 2 weitere A00irgendwas.exe Dateien gedroppt hat. Diese wiederum waren ein Trojaner und ein Rootkit. Das hat sich dann auf eine Neuaufsetzung belaufen weil die Datei mit nichts verschwunden ist. Neuaufsetzen empfehle ich dir aber noch lange nicht denn nicht jeder Virus kann nur mit einer Neuaufsetzung gelöscht werden Ob es in deinem Fall eine Fehlermeldung war ist schwer zu sagen denn 5 / 40 antivirus programmen können lügen , müssen es aber nicht! Deswegen bist du noch nicht auf der sicheren Seite wenn du "Löschen" drückst!! Der Virus kann sich wiederherstellen oder neu downloaden oder es war tatsächlich eine Fehlermeldung und du hast eine wichtige Datei gelöscht? Man schiebt infizierte Daten grundsätzlich in quarantäne und guggt im Internett ob es Fehler war oder nicht. Wenn es mit mehrfacher (!) bestätigung ein Fehler ist dann wieder freigeben ansonsten Löschen! |
02.04.2009, 16:33 | #4 |
| TR/Dropper gefunden, welches Risiko ? FORTSETZUNG Aber wie gesagt der Virus kehrt warscheinlich zurück. Mit Neuaufsetzen ist man mit 99% auf der sicheren Seite. Die Viren heißen anders weil manche antivir programme den genauen Namen des Virus wussten die anderen nicht und eben nur als Dropper einstuften. |
02.04.2009, 17:30 | #5 |
| TR/Dropper gefunden, welches Risiko ? Danke erstmal für eure Antworten. Wie ich bereits im ersten Post geschrieben hatte, habe ich die Datei nicht ausgeführt. Direkt nach dem Download und vor irgendeiner Interaktion meinerseits mit der Datei hat sich AntiVir gemeldet. Demnach ist der Trojaner auch noch nicht zur Ausführung gekommen. Zum Glück hat der Firefox ja nicht so eine "Autostart"-Funktion wie beispielsweise Safari. Ich denke mal, dass das Thema sich damit erledigt hat und ich den Download direkt nach /dev/null verschieben werde Danke nochmal. |
03.04.2009, 10:02 | #6 |
| TR/Dropper gefunden, welches Risiko ? HI, also nur weil du nichts ausgeführt hast bedeutet das nicht das du schon damit fertig bist. Viren können sich nach dem Download in autoexc.bat kopieren , dann werden sie automatisch beim nächsten Neustart aktiv. Dein Dropper könnte auch gedroppt haben. Hast du bei einem Avira Suchlauf etwas gefunden? Wenn du keinen gemacht hast, mach bitte einen! |
Themen zu TR/Dropper gefunden, welches Risiko ? |
.dll, antivir, code, datei, download, dropper, erkannt, erkennung, error, focus, forum, freundlich, funktioniert, generic, handel, ide, infizierte, infizierte datei, link, löschen, macosx, rechner, shell32.dll, system, tr/dropper, trojaner, unterschiedlich, virus, virustotal.com, windows |