|
FlashGuard / Drive Guard Trojaner/Dropper Hallo erstmal - wie die meisten bin ich erst durch ein Problem mit meinem Rechner auf dieses Forum gestoßen und hoffe, dass mir hier geholfen werden kann. Am letzten Sonntag meldete sich plötzlich Antivir bei mir, dass in der Datei Flashguard.exe (Pfad ../Programme/Flashguard/Flahguard.exe) ein Dropper gefunden worden sei. Erstmal war der Schreck natürlich groß, aber Antivir konnte die Dateien löschen, und ich war der Meinung, ich hätte noch einmal Glück gehabt. Heute dann allerdings in der Uni meinen Flashstick an den dortigen PC geschmissen, dort meldete sich direkt der AVG Virenscanner, es sei eben jener Dropper (nur von AVG als Trojaner klassifiziert) gefunden worden, der auch versucht hat, sich auf dem Unirechner festzusetzen. Ich habe natürlich sofort auf dem Stick nachgesehen, und im Pfad ../System/Security/Flashguard.exe schlummerte auch wieder eben jene Datei. Dort auch wieder alles gelöscht. Soweit, so gut. Ich war dann natürlich wieder der Annahme, ich wäre knapp davongekommen. Nun habe ich allerdings heute Nachmittag den Laptop meiner Freundin auf den Pfad untersucht, und zur Überraschung auch dort den entsprechenden Flashguard-Ordner gefunden, allerdings (noch) ohne die .exe drin. Ein paar Minuten später erschien diese dann, gleichzeitig startete im Hintergrund der Prozess flashguard.exe . Ich natürlich sofort mit Antivir drübergezogen, allerdings hat er flashguard.exe nicht(!) erkannt, obwohl die neuesten Definitionen geladen waren. Meine Sorge ist jetzt: Kommt das Mistding eventuell auch auf meinem Rechner immer wieder und wird nicht erkannt? Wieso wurde auf dem Laptop meiner Freundin bei gleichen Virendefinitionen flashguard.exe nicht als Schadprogramm erkannt? Wie kann ich sichergehen, dass ich den Trojaner bzw. Dropper sicher entfernt hab und wie kann ich die Verbreitung über USB-Sticks verhindern? Zeitgleich mit dem ersten Fund wurde auch der Ordner ../Programme/Bonjour/ angelegt. Ich hab hier schon im Forum gelesen, dass dies nicht unbedingt ein Schadprogramm sein muss, jedoch hat mich die Tatsache, dass Flashguard bei meiner Freundin nicht gefunden wurde, sensibilisiert. Könnte da eventuell auch ein Schadprogramm hinterstehen, welches vom Dropper installiert wurde und nicht erkannt wird, und sich als Apples Bonjour ausgibt? Danke im Voraus für die Hilfe! |
Hallo nochmal. Ein kleines Update: Antivir hat gerade eben, sowohl bei meiner Freundin als auch bei mir, ein Backdoorprogramm entdeckt, das in einer Datei, die seit ewigen Zeiten anstandslos durch den Scanner gekommen ist. Hier der Bericht von AntiVir: Der Suchlauf über die ausgewählten Dateien wird begonnen: ------------------------------------- Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\emu\wgens\kaillerasrv\kaillerasrv.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Backdoor.Gen [HINWEIS] Die Datei wurde gelöscht. ------------------------------------ Ich hab auch im CC Cleaner die Startup Dateien durchforstet und da den Flash Guard gefunden und gelöscht. Was kann ich sonst noch machen? |
Hallo, das hier mal bei Virustotal hochladen und das komplette Ergebnis posten: Zitat:
mfg Nochwas: Zitat:
1.) Schadprogramme lassen sich ungern löschen ;) 2.) Das kann ich dir leider nicht sagen 3.) Indem du das machst => Neuaufsetzen 4.) Indem du den USB Stick formatierst: - bei gedrückter Shift-Taste anschließen (so wird die Autorun-Funktion unterdrückt) - Rechtsklick und auf Formatieren.. gehen mfg |
Hi, danke für die schnelle Antwort. AntiVir hat die Datei bereits gelöscht die ist nicht mehr vorhanden, von daher kann ich die leider nicht mehr hochladen. Hab allerdings mal ein HijackThis File erstellt: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Ok, dann fixe bitte folgendes: Zitat:
Zitat:
Lade dir dann MalwareBytes herunter (Link in meiner Signatur) und lass ihn einen Komplett-Scan durchführen; bei der Installation und des Scans musst du den AntiVir Guard und evtl. andere Hintergrundwächter deaktivieren. mfg |
Danke für die Info! Werd das morgen mal durchlaufen lassen. Im schnellen Modus hat das Prog bisher nichts gefunden. Ist es denn theoretisch möglich, aus so einer Nummer noch mit einem "blauen Auge" davonzukommen? |
Zitat:
Zitat:
mfg |
Also, im Grunde hoffe ich nur, dass ich dieses Mistding wieder vollständig entfernt bekomme, ohne meinen Rechner und den meiner Freundin vollständig neu aufsetzen zu müssen. Bin im Moment noch im Büro, kann daher noch nichts neues über den Stand der Dinge sagen, aber im Moment sieht es so aus, dass ich: - Die schadhaften Dateien löschen konnte - Mit CC Cleaner den startup Eintrag von Flashguard löschen konnte - AntiVir im Moment nichts mehr findet - Super AntiSpyware nichts mehr findet - Der Prozess flashguard.exe nicht mehr ausgeführt wird Wie sicher kann man denn dann davon ausgehen, dass man so einen Mist vollständig entsorgt bekommen hat? |
Zitat:
|
Danke nochmal für die immer schnellen Antworten! Ich hab mich noch ein wenig quer im Internet informiert, anscheinend ist man sich über die Gefährlichket von flahsguard nicht so ganz einig. Einzig den Hinweis fand ich brauchbar: http://blog.threatfire.com/2008/06/removal-tool-no.html Das Problem, dass ich einfach habe, ist der Umstand, dass auf dem Rechner 8 Semester Arbeit schlummern, und ich keine Möglichkeit sehe diese zu sichern, da sich der Mist ja auch per USB weiterverbreitet. Falls Malwarebytes nichts mehr finden sollte im vollständigen Test, kann ich mir dann denn sicher sein, dass ich meinen PC noch ansatzweise gerettet hab, oder könnte sich das Schadprogramm unbekannt noch im Rechner befinden und irgendwann wieder loslegen? |
Zitat:
2.) Das, was du hattest nicht, da es sich nicht um einen Backdoor Server oder Rootkit handelt. Deine Semester Arbeit(en) sind keine ausführbaren Dokumente oder? Wenn nicht, kannst du diese auch auf CD/DVD brennen. mfg |
Ok, super. Da fällt mir schonmal ein erster Stein vom Herzen. Ich meld mich dann heute am Abend nochmal, wenn MalwareBytes den kompletten Scan durchgezogen hat. Vielen Dank nochmal für die kompetente Hilfe! |
Gern geschehen ;) |
Zitat:
Wäre es denn dann damit ausgestanden, dass ich den mutmaßlichen Backdoorserver entfernen konnte und den Dropper ebenfalls entfernt habe? |
Zitat:
Zitat:
Bei Droppern ist das anders, theor. ist jedes Setup.exe ein Dropper, da es Software auf deine HDD installiert. Das was du meinst, ist ein Trojan-Downloader. Dieser ladet neue Schadprogramme und installiert diese mfg |
Ok, schonmal danke für diese Aufklärung - was man nicht alles innerhalb von zwei Tagen dazulernt, wenn man ein Problem hat... ;-) Also, hab Malwarebytes mal komplett durchlaufen lassen. Zuerst hatte ich vergessen, AntiVir auszustellen. Dieses meldete sich prompt, als Malwarebytes zu den Systemwiederherstellungsdateien kam. Da drin war noch einmal das Schadprogramm "BDS/Backdoor.GEN", so wie schon in der einen befallenen .exe von gestern Abend. Machte für mich aber dahingehend Sinn, als dass das Schadprogramm ja auch nur ein Teil des Systems darstellt, welches von der Wiederherstellung gespeichert wird. Hab daraufhin die Datei von AntiVir löschen lassen und gleichzeitig die Systemwiederherstellung deaktiviert, so dass auch die Wiederherstellungsdateien gelöscht wurden. Danach hab ich AntiVir komplett durchlaufen lassen - von "BDS/Backdoor.Gen" war nichts mehr zu sehen. Dann Neustart und ohne den AVGuard Malwarebytes durchlaufen lassen. Hier das Ergebnis: Code: Malwarebytes' Anti-Malware 1.20 |
Wenn du die betroffene Datei in der Quarantäne von AntiVir hättest, dann könnten wir die bei Virustotal hochladen und auswerten lassen. Dateien in dem Ordner System Volume Information sind öfters beschädigt und werden deswegen von der generischen Suche (Kenntlich an der Endung .Gen) des AV als bösartig erkannt. War bei mir auch schon oft der Fall, hab die Dateien analysieren lassen, und das oben genannte kam dabei raus :) Aber um sicher zu gehen, solltest du deine Passwörter von einem sauberen Rechner aus ändern und das Verhalten des Betroffenen im Auge behalten. Falls du was Ungewöhnliches feststellst, melde es bitte. mfg |
Danke, super. Also - nur um nochmal sicher zu gehen - sieht es doch bisher ganz gut aus, oder? Kann Dir wirklich gar nicht genug danken, finde es immer wieder erstaunlich, dass es Leute wie Dich gibt, die für lau anderen so schnell unter die Arme greifen. :daumenhoc Ich werd dann ganz einfach jedes Mal, wenn ich mich an den Rechner setze, AntiVir und Malwarebytes durchlaufen lassen, dann sollten mir doch Veränderungen auffallen, oder? Ansonsten gibt es allerdings immer noch das Problem mit dem Laptop meiner Freundin. Das Komische ist, dass dort auch an den üblichen Pfaden Dateien von Driveguard und Flashguard sind, diese aber einfach von AntiVir und anderen Programmen nicht erkannt werden, trotz neuester Definitionen, wohingegen AntiVir bei mir ja sofort angeschlagen war... |
Zitat:
Zitat:
Zitat:
Ich will da aber jetzt keine voreiligen Schlüsse ziehn, ich denke ihr wird man da auch helfen. Mein Rat, ein sauberes Neuaufsetzen schafft jedes Malwareproblem beiseite ;) mfg |
Hallo nochmal. Also, es gibt Neuigkeiten bezüglich meines ominösen Besuchers auf dem Rechner: Zum einen habe ich das Uninetzwerk definitiv als Quelle festmachen können, da ich mich heute mit einigen Kommilitonen ausgetauscht habe, die alle(!), auch in verschiedenen Übungsräumen auf Flashguard gestoßen sind, der sich auch auf deren USB-Sticks gesetzt hat. Allerdings habe ich jetzt noch eine Frage zu dem mutmaßlichen Backdoor Server (BDS/Backdoor.GEN). Die Datei, in der er gefunden wurde, also "kailleraserv.exe" gehört zu einem Emulator, der über diese .exe auch in der Lage ist, eine Verbindung ins Internet aufzubauen. Seit fast zwei Jahren habe ich den Emulator nicht mehr verwendet, und AntiVir hat bei den Tests in diesem Zeitraum nie etwas gefunden. Dann allerdings sowohl bei meiner Freundin, als auch heute bei meinen Eltern auf dem heimatlichen PC, den ich seit fast drei Monaten auch nicht mehr benutzt habe. Könnte der Fund eventuell wirklich nur ein falscher Alarm von Antivir sein? Es wäre doch auf der einen Seite recht ungewöhnlich, wenn entweder das Programm erst nach mehreren Jahren ohne Benutzung aktiv wird, oder aber Avira seit zwei Jahren keine Definitionsdatei rausbringen würde, die dieses Problem nicht schon früher gefunden hätte, oder? Ich habe die Vermutung eines Fehlalarms daher, weil auch bei meinen Eltern, die nun wie gesagt schon seit langer Zeit nichts mehr mit USB Sticks o.ä. vonmir zu tun hatten, auch plötzlich nach einem Definitionsupdate in eben genau dieser jahrealten Datei eben genau jenen "Fund" haben. Ist diese Hypothese plausibel, oder nicht?:confused: Ach ja, hier auch nochmal eine aktuelle HijackThis Logdatei: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hallo, Ich würde die betroffene Datei Avira zur Analyse senden. Berichte uns dann, was sie zu der Datei sagen. Wichtig: Du musst bei dem Punkt Typ: Verdacht auf Fehlalarm auswählen. Das hier mit HijackThis fixen: - Schließe alle anderen Programme - Klicke auf den Button Do only a system scan - Setze ein Häkchen bei dem betroffenen Eintrag - Klicke auf fix checked - Reboote den Rechner neu Zitat:
Mache mal bitte folgendes: Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. mfg |
Hallo nochmal, also, bin ab morgen wieder im Semesterurlaub bei meinen Eltern, die haben die fragliche Datei zum Glück noch, und ich werde die mal zu Avira schicken und auch bei Viroustotal hochladen. Hier das Scanergebnis: Code: Search Navipromo version 3.6.0 began on 17.07.2008 at 23:27:11,36 |
Du bist sauber, keine Malware gefunden :) mfg |
Also, hatte endlich die Möglichkeit, den potentiellen Backdoorserver in der Datei kailleraserv.exe bei meinen Eltern an VirusTotal zu schicken. Hier das Ergebnis, stützt eigentlich meine These des Fehlalarms, oder?: Code: Antivirus Version letzte aktualisierung ErgebnisCode: Logfile of Trend Micro HijackThis v2.0.2EDIT: Allerdings habe ich gerade einmal MalwareBytes durchlaufen lassen, das hat im Schnelltest bereits 20(!) Dateien gefunden. Bin gerade etwas baff - wie ernst ist die Lage?: Code: Malwarebytes' Anti-Malware 1.21 |
Also, neueste Entwicklung am Rechner: MalwareBytes startet seit der Bereinigung der gefundenen Dateien nicht mehr. Es erscheint ein Fenster mit der Überschrift "vbAccelerator SGrid II Control" und dem Inhalt Laufzeitfehler '0' und der Möglichkeit, auf OK zu klicken. Macht man dies, erscheint ein weiteres Windows-Popup mit der Überschrift "MalwareBytes' Anti-Malware" und dem Inhalt "Laufzeitfehler '440': Automatisierungsfehler", und MalwareBytes startet nicht. Auch eine Neuinstallation (bei der das Problem während der Deinstallation und der Neuinstallation wieder auftrat), bringt keine Lösung - gerade eben hatte es aber doch noch anstandslos funktioniert!? |
Hier noch das Log von NaviLog: Code: Search Navipromo version 3.6.0 began on 19.07.2008 at 12:53:29,53 |
Also, wenn es bei diesen Logs vom dem Rechner deinen Eltern handelt, rate ich dir Neuaufzusetzen. Eine Bereinigung wär nur bedingt sinnvoll und würde bestimmt länger dauern, du kannst es dir (bzw. deine Eltern) aussuchen. Allerdings, wenn diese PayPal, ebay oder Online Banking nutzen, wär Letzteres bestimmt besser.:daumenhoc mfg |
Ok, danke für die Info. Allerdings hat Malwarebytes (ich hab es dann doch wieder zum Laufen bekommen) im erneuten Durchlauf nichts mehr gefunden - ist denn bei dem geposteten Navilog Bericht irgendetwas auffällig? |
Nein, das kannst du sogar selber rauslesen :) Wäre was gefunden worden, würde die betroffene Datei angezeigt und dahinter found! gestanden mfg |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board