| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/PSW.Agent.mrh / Generic PWS.y nach jedem RebootWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.04.2009, 17:04
| #1 |
| |  TR/PSW.Agent.mrh / Generic PWS.y nach jedem Reboot Hallo! Auf dem Rechner eines Kollegen tauchte vor ein paar Tagen die Meldung auf, dass sich auf dem Rechner der Trojaner "Generic PWS.y" befände. Die Meldung tauchte das erste Mal auf einen Tag nachdem auf dem PC eine abgelaufene Version von McAfee durch eine neu gekaufte, aktuelle Version von McAfee ersetzt wurde. Möglicherweise war der Virus also schon vorher drauf, wurde aber mangels aktueller Definitions/Engine vielleicht nicht gefunden. Sinnigerweise gab es keine Meldung das das Abo abgelaufen war. Die automatischen Updates lieferten schlichtweg keine neuen Definitionen mehr.  Die betroffene Datei heisst "wineerwp.dll" (425kb) und befindet sich im System32 Verzeichnis. MD5: b08d45aa8ee6885f77de73281111f747 SHA1: 3e318b90cd95b7cbc51a14702532d88b98d41ff1 Meist taucht die Meldung auf, wenn man den Firefox nach dem Rechnerstart öffnet, manchmal aber auch beim Start anderer Programme. Der Echzeitschutz von McAfee springt darauf an und meldet, dass der Trojaner automatisch entfernt wurde. Die Datei ist daraufhin auch tatsächlich (erstmal) weg und bis zum nächsten Neustart gibt es auch keine weiteren Meldungen. Nach einem Reboot im normalen Modus ist die Datei dann aber wieder da und der Spaß geht von vorne los. Im Abgesicherten Modus wird die Datei dagegen nicht wieder neu angelegt. Ich habe den PC im Abgesicherten Modus einmal komplett mit Dr Web "CureIT" gescannt und mit Spybot SD - ohne Befund. Offenbar kennen beide aktuell den Schädling oder die Variante nicht, denn auch nach einem Neustart und wieder aufgetauchter Datei (und deaktiviertem Echtzeitschutz) bemängeln die beiden Programme die Datei nicht. Ebenfalls ohne Meldung: ClamAV. Ich habe die Datei bei Virustotal hochgeladen und von mehreren Scan-Engines die Bestätigung erhalten, dass es sich in der Tat um den Virus/Trojaner Generic PWS.y alias Trojan-PSW.Win32.Agent.mrh alias TR/PSW.Agent.mrh handelt. Ein Avira Professional auf einem anderen PC erkannte die Datei auf USB Stick auch sofort. Jetzt ist die Frage, wie ich den Schädling dauerhaft loswerde.  Ich habe während schließlich McAfee einen Komplettscan im abgesicherten Modus machte, ein HijackThis Log gemacht. Das Ergebnis des Scans konnte ich aber nicht mehr abwarten, da Betriebsschluß war und ich nicht länger bleiben konnte, weitere Aktionen kann ich also erst Anfang der Woche machen. Wie so oft handelt es sich natürlich ausgerechnet um einen PC der nicht "mal eben" neu installiert werden kann - jedenfalls nicht ohne ausreichende Vorlaufzeit.  In den Autostart-Bereichen des Rechners war nichts auffälliges zu finden ("run" in der Registry, Autostart Folder, etc.). Auf dem PC sind keine Filesharer, keine Spiele oder Software fragwürdigen Ursprungs installiert. |
| Themen zu TR/PSW.Agent.mrh / Generic PWS.y nach jedem Reboot |
| abgesicherten modus, anfang, avira, erste mal, firefox, frage, generic, handel, hijack, hijackthis, hijackthis log, log, mcafee, neu, neue, neustart, registry, schutz, schädling, software, stick, system, system32, trojaner, updates, usb, usb stick, virus, virus/trojaner, virustotal, öffnet |
Baum-Darstellung