FlashGuard / Drive Guard Trojaner/Dropper
 

Hallo erstmal - wie die meisten bin ich erst durch ein Problem mit meinem Rechner auf dieses Forum gestoßen und hoffe, dass mir hier geholfen werden kann.

Am letzten Sonntag meldete sich plötzlich Antivir bei mir, dass in der Datei Flashguard.exe (Pfad ../Programme/Flashguard/Flahguard.exe) ein Dropper gefunden worden sei.
Erstmal war der Schreck natürlich groß, aber Antivir konnte die Dateien löschen, und ich war der Meinung, ich hätte noch einmal Glück gehabt.
Heute dann allerdings in der Uni meinen Flashstick an den dortigen PC geschmissen, dort meldete sich direkt der AVG Virenscanner, es sei eben jener Dropper (nur von AVG als Trojaner klassifiziert) gefunden worden, der auch versucht hat, sich auf dem Unirechner festzusetzen.
Ich habe natürlich sofort auf dem Stick nachgesehen, und im Pfad ../System/Security/Flashguard.exe schlummerte auch wieder eben jene Datei.
Dort auch wieder alles gelöscht.

Soweit, so gut. Ich war dann natürlich wieder der Annahme, ich wäre knapp davongekommen.
Nun habe ich allerdings heute Nachmittag den Laptop meiner Freundin auf den Pfad untersucht, und zur Überraschung auch dort den entsprechenden Flashguard-Ordner gefunden, allerdings (noch) ohne die .exe drin.
Ein paar Minuten später erschien diese dann, gleichzeitig startete im Hintergrund der Prozess flashguard.exe .
Ich natürlich sofort mit Antivir drübergezogen, allerdings hat er flashguard.exe nicht(!) erkannt, obwohl die neuesten Definitionen geladen waren.

Meine Sorge ist jetzt:
Kommt das Mistding eventuell auch auf meinem Rechner immer wieder und wird nicht erkannt?
Wieso wurde auf dem Laptop meiner Freundin bei gleichen Virendefinitionen flashguard.exe nicht als Schadprogramm erkannt?
Wie kann ich sichergehen, dass ich den Trojaner bzw. Dropper sicher entfernt hab und wie kann ich die Verbreitung über USB-Sticks verhindern?

Zeitgleich mit dem ersten Fund wurde auch der Ordner ../Programme/Bonjour/ angelegt. Ich hab hier schon im Forum gelesen, dass dies nicht unbedingt ein Schadprogramm sein muss, jedoch hat mich die Tatsache, dass Flashguard bei meiner Freundin nicht gefunden wurde, sensibilisiert. Könnte da eventuell auch ein Schadprogramm hinterstehen, welches vom Dropper installiert wurde und nicht erkannt wird, und sich als Apples Bonjour ausgibt?

Danke im Voraus für die Hilfe!

Hallo nochmal. Ein kleines Update:

Antivir hat gerade eben, sowohl bei meiner Freundin als auch bei mir, ein Backdoorprogramm entdeckt, das in einer Datei, die seit ewigen Zeiten anstandslos durch den Scanner gekommen ist. Hier der Bericht von AntiVir:

Der Suchlauf über die ausgewählten Dateien wird begonnen:
-------------------------------------
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\emu\wgens\kaillerasrv\kaillerasrv.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Backdoor.Gen
[HINWEIS] Die Datei wurde gelöscht.
------------------------------------
Ich hab auch im CC Cleaner die Startup Dateien durchforstet und da den Flash Guard gefunden und gelöscht.

Was kann ich sonst noch machen?

Hallo,
das hier mal bei Virustotal hochladen und das komplette Ergebnis posten:

Erstelle zudem noch ein HijackThis Logfile und poste es hier, vergiss aber nicht alle aktiven Links und persönliche Namen zu editieren.

mfg

Nochwas:

Zu
1.) Schadprogramme lassen sich ungern löschen ;)
2.) Das kann ich dir leider nicht sagen
3.) Indem du das machst => Neuaufsetzen
4.) Indem du den USB Stick formatierst:
- bei gedrückter Shift-Taste anschließen (so wird die Autorun-Funktion unterdrückt)
- Rechtsklick und auf Formatieren.. gehen

mfg

Hi,

danke für die schnelle Antwort. AntiVir hat die Datei bereits gelöscht die ist nicht mehr vorhanden, von daher kann ich die leider nicht mehr hochladen.
Hab allerdings mal ein HijackThis File erstellt:

Ok, dann fixe bitte folgendes:

Bewusst installiert?

Lade dir dann MalwareBytes herunter (Link in meiner Signatur) und lass ihn einen Komplett-Scan durchführen; bei der Installation und des Scans musst du den AntiVir Guard und evtl. andere Hintergrundwächter deaktivieren.

mfg

Danke für die Info!

Werd das morgen mal durchlaufen lassen.
Im schnellen Modus hat das Prog bisher nichts gefunden.

Ist es denn theoretisch möglich, aus so einer Nummer noch mit einem "blauen Auge" davonzukommen?

Komplett-Scan wäre angebracht, schneller Scan ist sinnfrei :daumenhoc

Kommt darauf an, auf was du andeutest ;)

mfg

Also, im Grunde hoffe ich nur, dass ich dieses Mistding wieder vollständig entfernt bekomme, ohne meinen Rechner und den meiner Freundin vollständig neu aufsetzen zu müssen.

Bin im Moment noch im Büro, kann daher noch nichts neues über den Stand der Dinge sagen, aber im Moment sieht es so aus, dass ich:

- Die schadhaften Dateien löschen konnte
- Mit CC Cleaner den startup Eintrag von Flashguard löschen konnte
- AntiVir im Moment nichts mehr findet
- Super AntiSpyware nichts mehr findet
- Der Prozess flashguard.exe nicht mehr ausgeführt wird

Wie sicher kann man denn dann davon ausgehen, dass man so einen Mist vollständig entsorgt bekommen hat?

Je nachdem, um welche Art Schadprogramm es sich handelt.

Danke nochmal für die immer schnellen Antworten!

Ich hab mich noch ein wenig quer im Internet informiert, anscheinend ist man sich über die Gefährlichket von flahsguard nicht so ganz einig.
Einzig den Hinweis fand ich brauchbar:

http://blog.threatfire.com/2008/06/removal-tool-no.html

Das Problem, dass ich einfach habe, ist der Umstand, dass auf dem Rechner 8 Semester Arbeit schlummern, und ich keine Möglichkeit sehe diese zu sichern, da sich der Mist ja auch per USB weiterverbreitet.

Falls Malwarebytes nichts mehr finden sollte im vollständigen Test, kann ich mir dann denn sicher sein, dass ich meinen PC noch ansatzweise gerettet hab, oder könnte sich das Schadprogramm unbekannt noch im Rechner befinden und irgendwann wieder loslegen?

1.) Ja, MalwareBytes ist in der hinsicht recht aggressiv ;)
2.) Das, was du hattest nicht, da es sich nicht um einen Backdoor Server oder Rootkit handelt.

Deine Semester Arbeit(en) sind keine ausführbaren Dokumente oder?
Wenn nicht, kannst du diese auch auf CD/DVD brennen.

mfg

Ok, super. Da fällt mir schonmal ein erster Stein vom Herzen.
Ich meld mich dann heute am Abend nochmal, wenn MalwareBytes den kompletten Scan durchgezogen hat.

Vielen Dank nochmal für die kompetente Hilfe!

Gern geschehen ;)

Wäre es denn theoretisch möglich, dass der Dropper den Backdoorserver, den Antivir gefunden und gelöscht hatte, in die .exe eingebaut hat?
Wäre es denn dann damit ausgestanden, dass ich den mutmaßlichen Backdoorserver entfernen konnte und den Dropper ebenfalls entfernt habe?

Seien wir mal froh, das Malware keine Intelligenz hat :daumenhoc

Backdoor Server kann man nicht so leicht entfernen, nur durch Neuaufsetzen kann man sicher gehn, das wieder alles i.O. ist: Technische Kompromittierung
Bei Droppern ist das anders, theor. ist jedes Setup.exe ein Dropper, da es Software auf deine HDD installiert.
Das was du meinst, ist ein Trojan-Downloader. Dieser ladet neue Schadprogramme und installiert diese

mfg