|
GDATA findet Trojaner BAT.Ftp.ab Hallo, ein Virenscan mit GDATA hat unter C:\windows\system32 einen Trojaner "BAT.Ftp.ab" gefunden, eine Datei mit dem Namen "o" . Das GDATA-Virenlexikon und das Trojaner-Board kennen aber keinen solchen Virus, der woanders als gefährlich eingestuft wird. Aus einem älteren Abbild habe ich dann "T:\windows\system32" erzeugt und auch dort die Datei "o" gefunden. Bei der Prüfung dieses Ordners hat der Virenscanner aber keinen Virus gemeldet. Warum? Wieso ist der Zugriff auf diese Datei gesperrt (wohlgemerkt auf Laufwerk T: und nicht im aktiven Bereich auf C: , Attribut = a ) und wie kann ich sie löschen oder mit einem HEX-Editor ansehen? Gruß AB |
Hallo, bitte folgendes mit der Datei BAT.Ftp.ab machen. Tests durchführen 1. Avira Labor Sende die verdächtigen Datein ans Avira Labor und vergiss nicht für die Benachrichtigung eine gültige E-Mailadresse anzugeben. 2. Anubis Lade die Datein einzelnt bei Anubis hoch und poste hier die Links zum aufrufen der Ergebnisse. 3. Virustotal Lade die Datein bei Virustotal hoch und schreibe bei keinem Fund trotzdem zu dem Dateinamen den MD5 Hasg. Wenn etwas gefunden wurde, füge das ganze Log ein oder poste den Link zu der Ergebnisseite. Und dann noch: HijackThis Log erstellen Bitte lade dir HijackThis runter und erstelle ein Logfile, wessen Inhalt du hier postest. Achte dabei darauf, persönliche Inhalte zu zensieren (C:\Dokumente und Einstellungen\Markus Schmitz -> C:\Dokumente und Einstellungen\Mxxxs Sxxxxz). |
Liste der Anhänge anzeigen (Anzahl: 1) Zitat:
Das hab ich gemacht. Allerdings ist die Datei von GDATA aus dem aktiven Bereich (C:\windows\system32) in Quarantäne verschoben worden und somit nicht mehr vorhanden. Die Partition T:\ wird natürlich nicht geprüft und den File kann ich, wie schon gesagt, nicht verschieben. Anbei der HijackThis-Log und ein Bildschirmfoto mit dem Dateinamen. P.S. Sorry für das Durcheinander, aber ich bin halt nicht so firm mit Zitieren und so. Vielen Dank die Mühe. |
Hallo xonic, jetzt habe ich den hijack-file auch online prüfen lassen. Es gibt einige Ungereimtheiten, aber bis auf " Service: MNS Framework (MNSFramework) - Unknown owner - C:\WINDOWS\system32\MNSFramework.exe" und "Desktop Component AutorunsDisabled: (no name) - (no file)" sind mir alle Einträge bekannt oder werden für gut/sicher gehalten. Gruß AB |
Da steht bei sonen paar unbekannter Prozess oder Programm. Wenn du dir nicht 100% sicher bist, dass die clean sind: (Gerade bei .exe!!!) Tests durchführen 1. Avira Labor Sende die verdächtigen Datein ans Avira Labor und vergiss nicht für die Benachrichtigung eine gültige E-Mailadresse anzugeben. 2. Anubis Lade die Datein einzelnt bei Anubis hoch und poste hier die Links zum aufrufen der Ergebnisse. 3. Virustotal Lade die Datein bei Virustotal hoch und schreibe bei keinem Fund trotzdem zu dem Dateinamen den MD5 Hasg. Wenn etwas gefunden wurde, füge das ganze Log ein oder poste den Link zu der Ergebnisseite. Und die Datei kann man auch bzw. sollte man auch aus der Quarantäne wiederherstellen können. |
Hallo xonic, die merkwürdigen Files sind mir tatsächlich alle bekannt, bis auf MNSFramework.exe . Den habe ich bei Virustotal prüfen lassen. Ergebnis 3 von 34 : suspicious file MD5: 1c7addf6f77f39adc2d1a5ff30fb410a (Anubis hat den File nicht angenommen, Avira prüft noch) Der Eintrag O24 - Desktop Component AutorunsDisabled: (no name) - (no file) könnte von meinem Desktop-Manager "Dexpot" kommen. Allerdings gibt's da ja keinen File zum Hochladen. Ich werde jetzt den "o"-File wieder aus der Quarantäne holen und nochmal einige Prüfungen laufen lassen. Gruß AB |
jetzt habe ich den "o"-File aus der Quarantäne geholt. Ein Scan mit GDATA über C:\windows\system32 hat diesmal keinen Fehler gefunden. Als ich aber die Datei aus dem Explorer heraus öffnen wollte, meldete GDATA einen Zugriff auf einen infizierten File, mit der bekannten Fehlermeldung. Daraufhin habe ich "mbam" (MajorGeeks) installiert und einen Scan ausführen lassen. Dabei wurde ebenfalls kein Virus gefunden. Allerdings gibt's da die Möglichkeit, einen gesperrten File zu löschen. Nach einigem Überlegen habe ich das dann mit feuchter Stirn gemacht. Der File ist tatsächlich weg. Schaun mer mal, was demnächst so alles nicht mehr läuft.:teufel2: Vielen Dank erst mal AB |
Was ist den MajorGeeks sieht eigentlich eher nach ner Auflistung von Securitysoftware aus. Warum die Datei nur gefunden wird, wenn sie ausgeführt wird, deutet schonmal auf eine Malware hin. Sobald die Datei geöffnet wird schreibt sich ein Teil in den Speicher, wenn dabei kein Virenscanner Alarm schlagen soll muss die Datei auch runtimecrypted sein, was sie in dem Fall nicht war und der AV zugeschlagen hat. Wenn du wichtige Passwörter oder ähnliches wo eingibst formatier lieber. |
Zitat:
Muss nicht unbedingt nötig sein. @Back Topic@ Lösche den Trojaner erst mal und schau was passiert. Scanne dein System mit http://www.trojaner-board.de/51187-a...i-malware.html und poste den Bericht. |
Hallo Sternensucht, genau das Programm habe ich ja benutzt, nennt sich mbam. Hat kleinerlei Probleme gefunden. Und mit dem Programm habe ich ja auch den File abgeschossen. Was mich nur wundert: ich kann diesen File nicht öffnen, auch nicht, wenn er in einem "angehängten" Laufwerk aus einem Backup (Acronis True Image) stammt und mit dem aktuell laufenden System nichts zu tun hat . Ich mache jetzt täglich einen Scan über den system32-Ordner und werde auch sonst mal häufiger das System scannen. Hatte jahrelang Ruhe. Ansonsten: Avira hat sich gemeldet, der File "MNSFramework.exe" enthält keinen Schadcode und wird als clean eingestuft. Gruß AB |
Zitat:
Zitat:
MNSFramework.exe - Google-Suche Frage zu HJT - Viren und andere Sicherheitsrisiken - Avira Support Forum Desweiteren solltest du mal in den Datenbanken von Antivir nachschauen ob sich die genannte Datei dort vielleicht befindet, denn ein "unnötiges" hochladen, so versuchte ich es dir kürzlich erst zu erklären, ist absolut kontra-produktiv. Zitat:
@xonic Desweiteren solltest du nicht auf die automatische Auswertung auf hijackthis.de vertrauen sondern zukünftig lernen ein Logfile selbst auszuwerten! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board