Hallo!

Habe eben mein System wieder einmal mit Avira AntiVir scannen lassen. Dabei wurde leider ein Trojaner (TR/Dropper.Gen) gefunden, und zwar einmal in:

C:\Dokumente und Einstellungen\MeinName\Software\bios-20071126124517\S10V600.exe

und in:

C:\Dokumente und Einstellungen\MeinName\Software\bios-20071126124517.zip

Ich habe die beiden Dateien einmal in Quarantäne geschoben, weiß aber nun nicht, wie ich am besten weiter vorgehen soll.
Kann mir jemand weiterhelfen?

Danke!

Gruß
greenfield

Hallo,

das sieht nach Dateien aus, die für das BIOS-Update relevant sind. Hol die mal aus der Quatantäne wieder raus und werte sie bei Virustotal.com aus, Ergebnisse, Dateigrößen und Prüfsummen posten.


Bitte auch mal diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Danke für den Hinweis! Hier das Ergebnis von virustotal.com:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.10.03 -
AhnLab-V3 5.0.0.2 2009.10.03 -
AntiVir 7.9.1.27 2009.10.02 -
Antiy-AVL 2.0.3.7 2009.10.03 -
Authentium 5.1.2.4 2009.10.03 -
Avast 4.8.1351.0 2009.10.02 -
AVG 8.5.0.420 2009.10.03 -
BitDefender 7.2 2009.10.03 -
CAT-QuickHeal 10.00 2009.10.03 -
ClamAV 0.94.1 2009.10.03 -
Comodo 2501 2009.10.03 -
DrWeb 5.0.0.12182 2009.10.03 -
eSafe 7.0.17.0 2009.10.01 -
eTrust-Vet 31.6.6774 2009.10.02 -
F-Prot 4.5.1.85 2009.10.03 -
F-Secure 8.0.14470.0 2009.10.03 -
Fortinet 3.120.0.0 2009.10.03 -
GData 19 2009.10.03 -
Ikarus T3.1.1.72.0 2009.10.03 Trojan.Win32.Meredrop
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.858 2009.10.01 -
Kaspersky 7.0.0.125 2009.10.03 -
McAfee 5759 2009.10.02 -
McAfee+Artemis 5759 2009.10.02 -
McAfee-GW-Edition 6.8.5 2009.10.03 Trojan.Dropper.Gen
Microsoft 1.5101 2009.10.03 -
NOD32 4477 2009.10.02 -
Norman 6.01.09 2009.10.03 -
nProtect 2009.1.8.0 2009.10.03 -
Panda 10.0.2.2 2009.10.02 -
PCTools 4.4.2.0 2009.10.02 -
Prevx 3.0 2009.10.03 -
Rising 21.49.22.00 2009.09.30 Unknown Script Virus
Sophos 4.45.0 2009.10.03 -
Sunbelt 3.2.1858.2 2009.10.02 -
Symantec 1.4.4.12 2009.10.03 -
TheHacker 6.5.0.2.027 2009.10.02 -
TrendMicro 8.950.0.1094 2009.10.03 -
VBA32 3.12.10.11 2009.10.03 -
ViRobot 2009.10.2.1968 2009.10.02 -
VirusBuster 4.6.5.0 2009.10.02 -
weitere Informationen
File size: 2363487 bytes
MD5...: 5fffc7f377e9416ccdf14cb2d7dd85d4
SHA1..: 4fe51d5062a371e0a2abf44106e96e1d2f6de2a2
SHA256: 6eea097b9f275f502cde94e07fd5ae62f6fc6d020821b9c01a4fd2d521282a9f
ssdeep: 49152:bJJaaaJWWU884KwOSIb9eYpNuuWdJ3zNPXkHExqYy:/YEH4KwOdblq99Un
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x43463a52 (Fri Oct 07 09:05:22 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x13000 0x12600 6.46 bcefd13d879b5aa1628d5731462b1935
.data 0x14000 0x7000 0xa00 4.73 0eb9af4768d13f3fe805922a21fcbf55
.idata 0x1b000 0x1000 0x1000 5.02 7f9440e32acb299f3bda96288136b63a
.rsrc 0x1c000 0x4000 0x3c00 4.59 2ddb54c6a4bf2208d731db445c812c53

( 8 imports )
> ADVAPI32.DLL: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, SetFileSecurityA, SetFileSecurityW
> KERNEL32.DLL: CloseHandle, CompareStringA, CreateDirectoryA, CreateDirectoryW, CreateFileA, CreateFileW, DeleteFileA, DeleteFileW, DosDateTimeToFileTime, ExitProcess, ExpandEnvironmentStringsA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, FindResourceA, FreeLibrary, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetDateFormatA, GetFileAttributesA, GetFileAttributesW, GetFileType, GetFullPathNameA, GetLastError, GetLocaleInfoA, GetModuleFileNameA, GetModuleHandleA, GetNumberFormatA, GetProcAddress, GetProcessHeap, GetStdHandle, GetTempPathA, GetTickCount, GetTimeFormatA, GetVersionExA, GlobalAlloc, HeapAlloc, HeapFree, HeapReAlloc, IsDBCSLeadByte, LoadLibraryA, LocalFileTimeToFileTime, MoveFileA, MoveFileExA, MultiByteToWideChar, ReadFile, SetCurrentDirectoryA, SetEndOfFile, SetEnvironmentVariableA, SetFileAttributesA, SetFileAttributesW, SetFilePointer, SetFileTime, SetLastError, Sleep, SystemTimeToFileTime, WaitForSingleObject, WideCharToMultiByte, WriteFile, lstrcmpiA, lstrlenA
> COMCTL32.DLL: -
> COMDLG32.DLL: CommDlgExtendedError, GetOpenFileNameA
> GDI32.DLL: DeleteObject
> SHELL32.DLL: SHBrowseForFolderA, SHChangeNotify, SHFileOperationA, SHGetFileInfoA, SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteExA, SHGetPathFromIDListA
> USER32.DLL: CharToOemBuffA, CharUpperA, CopyRect, CreateWindowExA, DefWindowProcA, DestroyIcon, DestroyWindow, DialogBoxParamA, DispatchMessageA, EnableWindow, EndDialog, FindWindowExA, GetClassNameA, GetClientRect, GetDlgItem, GetDlgItemTextA, GetMessageA, GetParent, GetSysColor, GetSystemMetrics, GetWindow, GetWindowLongA, GetWindowRect, GetWindowTextA, IsWindow, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadIconA, LoadStringA, MapWindowPoints, MessageBoxA, OemToCharA, OemToCharBuffA, PeekMessageA, PostMessageA, RegisterClassExA, SendDlgItemMessageA, SendMessageA, SetDlgItemTextA, SetFocus, SetMenu, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow, WaitForInputIdle, wsprintfA, wvsprintfA
> OLE32.DLL: CLSIDFromString, CoCreateInstance, CreateStreamOnHGlobal, OleInitialize, OleUninitialize

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: WinRAR Self Extracting archive (95.7%)
Win32 Executable Generic (1.5%)
Win32 Dynamic Link Library (generic) (1.4%)
Win32 Executable Watcom C++ (generic) (0.4%)
Generic Win/DOS Executable (0.3%)
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=5fffc7f377e9416ccdf14cb2d7dd85d4' target='_blank'>http://www.threatexpert.com/report.aspx?md5=5fffc7f377e9416ccdf14cb2d7dd85d4</a>
packers (F-Prot): RAR
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned


___

Es haben also nur drei Scanner von 41 etwas gefunden. Ähnliches Ergebnis bei Jottis Malwarescanner. Im Übrigen wurde das Teil nochmal entdeckt im Ordner "System Volume Information"/_restore***
Das hängt doch mit der Systemwiederherstellung zusammen, oder?

Da sich die Dateien in meinem Software-Ordner befanden, in dem ich nur aus dem Internet heruntergeladene Dateien "sammle" um sie später zu installieren, dachte ich mir, dass ein Löschen der Datei eigentlich keinen Schaden anrichten sollte.
Habe jetzt die Datei gelöscht, dazu noch die Systemwiederherstellung deaktiviert, neugestartet und wieder aktiviert.
Nun lasse ich noch einen neuen Komplettscan laufen und hoffe, dass nun alles ok ist. Im Ordner "Software" zumindest hat Avira jetzt nichts mehr entdeckt.

Gruß
greenfield

Ja, das ist für die Systemwiederherstellung.
hast Du Dir mal Dateien für ein BIOS-Update heruntergeladen?

Genau, hatte mal diese Dateien vor mehreren Monaten heruntergeladen. Komischerweise hat Avira beim letzten Komplettscan vor einigen Wochen noch keinen Trojaner entdeckt.

Ich habe jetzt also einfach die beiden betroffenen Dateien gelöscht, ebenso die Systemwiederherstellungspunkte und bei einem erneuten Systemscan heute wurde nichts mehr gefunden.

Das Problem scheint also gelöst ...

Gruß
greenfield

Du kannst ja sicherheitshalber trotzdem mal die Liste abarbeiten....