Schönen guten Tag,

ich habe mal wieder meinen PC gescannt, diesesmal mit AVAST.

Nun hat mir Avast 4 Trojaner gleich gefunden und nun möchte ich mal als erstes wissen, was genau diese Trojaner anrichten:

D:\c_auslag\scheiss.002

Bedrohung: Win32:Rbot-ALU [Trj]


D:\c_auslag\scheiss.PQI

Bedrohung: Win32:Rbot-ALU [Trj]


Beide dieser Dateien haben jeweils 1,99 GB und wurden im Dezember 2004 erstellt und auch in der gleichen Uhrzeit geändert.


Ich wollte die 2 Dateien in den Container verschieben, jedoch ging es nicht, da ich zu wenig Speicherplatz auf meiner Festplatte hab.

Löschen wollte ich die 2 Dateien noch nicht, da ich einfach nicht weiß, was sich dahinter verbirgt. 1,99 GB sind schon recht viel, da kann sich etwas wichtiges verbergen wie z.B. etwas von Windows.


Außerdem, habe noch so eine gleiche Datei, die aber mit 003 endet, jedoch ist die nicht infiziert und hat 1,88 GB.


Weiß jemand etwas zu diesem Trojaner (Win32:Rbot-ALU), also was er macht und was dies für Dateien sind bzw. wofür die da sind?



Die anderen 2 Trojaner hat er mir in den Container verschoben und die hießen:

Bedrohung: BV:QHhost-C [Trj]

Bedrohung: BV:QHhost-E [Trj]


Die Teile waren jeweils hier drinne:

C:\WINDOWS\system32\drivers\etc\hosts.2006107-135736.backup

und

C:\WINDOWS\system32\drivers\etc\hosts.2006107-135737.backup



Wäre nett, wenn mir jemand auch etwas zu diesen zwei Trojanern (BV:QHhost-C) & (BV:QHhost-E) was sagen könnte.


Und natürlich auch zu den 2 befallenen Dateien "C:\WINDOWS..."


Freue mich auf eine Antwort.


Schöne Grüße.

Zitat:

D:\c_auslag\scheiss.PQI
Bedrohung: Win32:Rbot-ALU [Trj]
Beide dieser Dateien haben jeweils 1,99 GB und wurden im Dezember 2004 erstellt und auch in der gleichen Uhrzeit geändert.

Du was PQI-Dateien sind? Sagt dir DriveImage von Powerquest etwas?
Damit hat man Images, also Abbilder von Partitionen erstellt. Ich kann mir nicht vorstellen, dass du dieses fast sieben Jahre alte Image (also die PQI-Datei) noch brauchst.

Zitat:

Die Teile waren jeweils hier drinne:

C:\WINDOWS\system32\drivers\etc\hosts.2006107-135736.backup

Das sind Backups der Hostsdatei. Wahrscheinlich sind da Mülleinträge drin. Eigentlich kannst du diese Dateien löschen.

sehr schlechte Neuigkeiten:

Da ich die 2 PQI Dateien

(D:\c_auslag\scheiss.002 und D:\c_auslag\scheiss.PQI )

nicht in den Container schieben konnte, habe ich sie mit Avast löschen lassen, dann habe ich den PC neugestartet und was ist passiert:

Er startet automatisch nach 1 Min wieder neu.

Kam mir alles sehr bekannt vor (hatte ich schonmal vor paar Jahren) und nun wird auch alles logisch:

Win32:Rbot-ALU, der in beiden Dateien steckt,

ist nen Trojaner der mein PC automatisch neustartet. Ob er noch anderen Schaden anrichtet, dass weiß ich nicht.


Also war es doch keine gute Idee, die Dateien mit Avast zu löschen, da sich der Trojaner wohl aktiviert hat. -> Wie zum Teufel, kann der sich aktivieren, obwohl nen Antivirenprogramm (Avast) den gelöscht hat?


Hatte keine andere Wahl, bin den in abgesicherten Modus rein, als Admin angemeldet und zum Glück hat AVAST vor der Installation gestern einen Wiederherstellungspunkt errichtet.

Habe nun mein PC wiederhergestellt und was mich jetzt sehr wundert,
die 2 Dateien, die AVAST gelöscht hat sind nun ganz weg (die sollten doch wiederhergestellt werden oder nicht), Avast ist sowieso nicht installiert und mein PC startet zzt. (10 min vergangen) nicht mehr neu.


Kann mir mal jemand bitte dieses Phänomen erklären?


Und ist nun der Trojaner doch irgendwo noch hinten auf der Platte zu finden?


Und was soll ich nun machen? Lieber Kaspersky mal installieren?

Schöne Grüße!

Die Schlussfolgerungen sind ein wenig merkwürdig.
Erstens ist das eine Imagedatei einer partition. Sie enthält selbst tausende Dateien, was sich eben so alles auf einer Windowspartition ansammelt, alle Dateien in einem proprietären Format "zusammengeklebt" (da in einer PQI-Datei) und wohl auch noch komprimiert. Ist mir schleierhaft wie der Virenscanner da angeblich einen Schädling finden kann. Und das Löschen von Imagedateien kann niemals dazu führen, dass der Rechner danach nicht mehr bootet. Hier muss ein Zufall vorliegen, irgendwas anderes hat Windows zerschossen.

Zitat:

die 2 Dateien, die AVAST gelöscht hat sind nun ganz weg (die sollten doch wiederhergestellt werden oder nicht),

Sei erstmal froh, dass durch den Wiederherstellungspunkt Windows wieder läuft.
Und nein, durch ein Wiederherstellungspunkt werden eben NICHT alle Daten wiederhergestellt, sondern nur bestimmte systemrelevante Dinge! Die selbst draufkopierten bzw. erstellten Imagedateien wandern doch noch nicht in einen Wiederherstellungspunkt.

Zitat:

Kann mir mal jemand bitte dieses Phänomen erklären?

Mach dich lieber erstmal schlau wofür die Systemwiederherstellung gut ist und wo sie ihre Grenzen hat. Ein backup ersetzt sie niemals.

Zitat:

Ist mir schleierhaft wie der Virenscanner da angeblich einen Schädling finden kann

Na ausgedacht hab ich mir das nicht, dass Avast genau dort den Virus gefunden kann

Rbot ist ja nen Virus, der automatisch Restarts macht, dies hab ich aus google entnehmen können.


Ich kann mir halt vorstellen, dass ich vor 7 Jahren nen Image von meiner Platte gemacht habe, und der Virus halt gerade auf meiner Platte drauf war, so wanderte der Virus automatisch in die PQI Datei, aber ob es so ist, dies kann ich nicht beurteilen, da ich kein Experte bin.


Komisch ist auch, dass in den 7 Jahren, AVG dort nie einen Virus gefunden hat.

Entweder ist AVG zu schlecht, oder den Virus hab ich erst seit kurzem, jedoch kann ich mir es nicht vorstellen, da denke ich eher, dass ihn AVG nicht gefunden hat und das Teil da schon sehr lange drinne steckt.

Zitat:

Rbot ist ja nen Virus, der automatisch Restarts macht, dies hab ich aus google entnehmen können.

Wäre mir neu. Quelle?
Rbot als Backdoor soll unauffällig im Hintergrund werkeln und nicht weiter auffallen. Widerspricht dem Ziel der Autoren, wenn Rbot den Rechner neu starten lässt.

Zitat:

Entweder ist AVG zu schlecht, oder den Virus hab ich erst seit kurzem

Wieso seit kurzem? Er wurde - sofern es kein Fehlalarm war - in einer 7 Jahre alten Datei entdeckt!