Trojaner auf USB-Stick und Schutz durch Antivir
 

Hallo zusammen!
Vorgeschichte: Mein Sohn hat Dateien von einem USB-Stick bei einem Copyshop ausdrucken lassen. Dabei hat er mit dem Copyshpo-Computer eine kleine Korrektur auf dem USB-Stick vorgenommen (ja, ja, tut er auch nie wieder, nimmt in Zukunft eine CD-ROM). Wieder zu Hause meldet Antivir beim Einstecken des USB-Sticks in seinen Computer ( 6 Jahre altes Medion-Laptop mit Windows XP, Wlan-Router) "TR/Crypt.ZPACK.Gen" auf dem USB-Stick. Er hat die Datei in die Antivir-Quarantäne geschoben und anschließend Laptop und USB-Stick mit Antivir und Malwarebytes geprüft: kein Malwarefund auf Laptop und Stick. Der Hijackthis online Logfileauswertung (h**p://www.hijackthis.de/) ergab auch keine Besonderheiten, das Laptop läuft völlig problemlos.
Wegen der prinzipiellen Möglichkeit des "false positive" Befundes habe ich geraten, doch mal die Datei aus der Antivir-Quarantäne (in der versteckten Datei "Infected) bei Jotti überprüfen zu lassen: bei allen Scannern wurde kein Virus nachgewiesen.
Nun meine Fragen:
1.) Wie hoch ist die Chance, daß sich der Trojaner an Antivir vorbei auf die Festplatte geschlichen hat?
2.) Warum melden alle Scanner bei Jotti keine Virussoftware bei der Quarantänedatei?
Es gab bei mir auf dem Computer in den letzten Tagen zwei false positives bei Antivir, die in 2 exe.-Dateien der HP-Druckersoftware angegeben wurden. Antivir war bei Jotti das einzige Programm, welches Virussoftware vermutete. Das wurde auch so erkannt, nachdem ich die Endung in .txt geändert hatte. Nach zwei Tagen war der Fehlalarm behoben.
Es könnte also sein, daß "TR/Crypt.ZPACK.Gen" ein Fehlalarm war und der Antivir-Fehler bei Jotti schon korrigiert war, während das Laptop noch false positive produziert hat. Das führt zu einer weiteren Frage:
3.) Gibt es eine zugängliche Liste, auf der die false positives von Antivir mit Datum der Korrektur gelistet sind?
Bis dann. Gruß harlud

Kann man nicht in Prozent ausdrücken, entweder wurde der Rechner befallen oder nicht. Wenn man es versuchen würde, 50:50 :D
Die Meldung, dass die Computer der Fotolabore verseucht sind, hab ich jetzt schon öfter vernommen, gut möglich, dass Du da nochmal mit einem blauen Auge davongekommen bist weil Du Glück hattest, dass AntiVir was auf den Stick fand.

Halte Dich am besten grob an diese fünf Regeln, um das Risiko eines Befalls noch weiter zu minimieren, sich nur auf den Virenscanner zu verlassen ist viel zu wenig!

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6) Autoplay auf allen Laufwerk deaktivieren (verhindert zB automatisches Starten von inifzierten USB-Sticks)

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Weil diese idR verschlüsselt abgelegt werden. Hat den Sinn, dass andere Virenscanner die Quarantänedateien nicht als Schädlinge erkennen können und der Nutzer dann meinen müsste diese löschen zu müssen. Wenn Dateien in der Quarantäne liegen, möchte man die aber zu einem späteren Zeitpunkt vllt noch mal wiederherstellen.

Ist mir nicht bekannt. Wenn Du einen eindeutigen Fehlalarm hast, schreib ne Mail an AntiVir mit der Datei.

Ich weiß schon, warum ich die letzten (zumindest mir bekannten Modelle) Sticks mit Schiebeschalter-Schreibschutz gehortet habe.

Als misanthropischer aber realistischer Mensch halte ich den Teil nach "und" (von mir unterstrichen) für sehr nebensächlich. Viel entscheidender dürfte die (verständliche) Reaktion nicht-fachlicher Kunden sein: "Warum findet XY-Antivirus noch Viren, wo ich doch ABC-Antivirus drauf habe. ABC-Antivirus ist ein Mist."
Auch AV-Hersteller wollen (auch falsche) Negativ-Reklame verhindern.

@ harlud: Es ist nicht undenkbar, dass man "sich in einem Copyshop was holt" :balla:
Es ist nicht unwahrscheinlich, dass Avira rechtzeitig den Schädling entdeckt hat. Jedes(?) AV-Programm (zumindest auch Avira in der Pro-Version) versucht heute vor jedem anderen Zugriff selber die Wechseldatenträger zu durchsuchen.
Es wäre aber nicht unmöglich, dass Avira mal wieder einen Fehlalarm ausgelöst hat. Du könntest die Quarantäne-Datei an Avira senden, dann solltest du Gewissheit bekommen.
Andererseits, wenn auf dem Stick jetzt nichts fehlt, war wohl plötzlich zu viel drauf. :D

Hallo Cosinus, hallo Shadow!
Danke für die Antworten! Ich werde meinem Sohn die Lektüre empfehlen. Zur Ergänzung für Euch: Der Copy-Shop-Besitzer hat die Möglichkeit der Infektion in seinem Laden nicht ausgeschlossen, weil zur Zeit leider ca. 50% der Sticks seiner Kunden mit Malware verseucht seien, er müsse sich ein neues Sicherheitskonzept zulegen.
Bemerkenswert und für die Allgemeinheit zu beherzigen finde ich Shadows AussageGruß harlud

Bemerkenswert finde ich, dass der Copy-Shop-Besitzer offensichtlich eigentlich kein Sicherheitskonzept hat, jedenfalls nichts, was wirklich sich so nennen darf.
Einfach gnadenlos eingeschränkte Rechte (Gast), automatsiches Löschen des Kunden-Dateiordners (falls sowas überhaupt nötig ist) und ein gutes (aber mit € 20 - 30 pro Jahr "furchtbar teures") AV-Programm - so mein erster Gedanke.

Zweiter Gedanke als Nachtrag: Hardwareschutz. Lenkt alle(!) Änderungen um, nach einem Neustart steht das Originalsystem wieder zur Verfügung, umgelenkte Änderung sind im Nirwana.