Erkannter Trojaner, beschädigte pdfs und mehr

Hi Ihr,

ich bin PC Anwenderin, aber keine Fachfrau. Jaja, nennt mich DAU, wenn ihr wollt. Nun, folgendes:

Vor einer Weile bekam ich per email eine Ladung pdfs. Manche gingen zu öffnen, bei den anderen gab es die Fehlermeldung ‚This file is damaged and could not be repaired‘ (in Foxit Reader). Ich konnte sie also nicht öffnen.

Jetzt hab ich mir halt Adobe Reader runtergeladen, und siehe da: Bei den ‚beschädigten‘ pdfs kommt die Meldung ‚Die Datei ist beschädigt. Sie wird repariert‘. Und dann wird sie repariert und öffnet nun endlich.

Nur: Bei allen anderen, die diese pdfs brauchten, öffneten sie von vornherein problemlos, ohne jegliche Fehlermeldung!

Nun, wenn mein Adobe Reader behauptet, die Datei sei beschädigt, dann wird das ja wohl so sein. Wieso passiert das nur bei mir?

Der Mensch, von dem die Dateien kamen, hat nämlich ziemlich viel Stress gemacht - es liegt natürlich an mir und meinem PC, dass die Dateien nicht öffneten (ok, wie oben zu lesen, stimmt das ja auch), und die Dateien seien auf keinen Fall beschädigt (stimmt wohl eher nicht, siehe auch oben), und sowieso könnte ein pdf keinen Virus in sich tragen.

Das mit dem Virus ist nämlich die andere Sache:
Da die Dateien, die ich per email bekommen hatte, nicht öffneten, wurden sie mir dann auf nem usb stick gegeben (ja, dieSELBEN Dateien, nicht neu abgespeichert, nicht repariert). Nun, ein usb stick war ok.

Dann gab’s weitere Dateien auf nem usb stick. Nur enthielt dieser netterweise einen kleinen süßen Trojaner (TR/Dropper.Gen). Mein Antivirusprogramm funktioniert zum Glück, ich hab den usb stick also nie ‚aufgemacht‘.

Nun, nachdem ich Bescheid gesagt hatte, dass da ein Virus drauf sei, bekam ich einen neuen usb stick mit denselben Daten. ‚Ja, war nen Trojaner, sonst nix‘ war so in etwa der Kommentar. Danke.

Nun, auf dem nächsten usb stick war derselbe verdammte Trojaner!
Dass ich mir ein bisschen vera****t vorkam, dürfte ja klar sein.

Aber zu meiner Frage:
Da mein Mozilla etwa seit der Zeit, zu der ich die ersten emails mit Dateien bekam, zickt (anfangs: elend langsam. Dann: stürzt ständig ab. Dann: gibt Fehlermeldung wegen fehlender Skripte oder eines fehlenden Skripts), würde ich gerne wissen, ob da ein Zusammenhang sein KÖNNTE.

Ich habe jetzt die neuste Version von Mozilla Firefox runtergeladen. Soweit, so gut. Mal sehen. Ich habe aber dummerweise nur ein update gemacht. Hätte ich nach dem download lieber den alten Firefox ganz deinstallieren sollen, bevor ich den neuen drauf mache?

Ich habe noch keinen vollen Virenscan laufen lassen - der dauerte beim letzten Mal mindestens zwei Stunden (Avira Antivir freeware).

Aber Antivir scheint doch ‚alle‘ Viren zu entdecken, vor allem hat es genau diesen Trojaner auf dem usb erkannt?

Oder könnte da dennoch irgendetwas böses lungern?

Vielen Dank schonmal für etwaige Tips,
gruss, isabel

PS: Wie würdet Ihr übrigens in meiner Situation reagieren? Ich bin so weit, dass ich am liebsten die Zeit, die ich damit verbracht habe, das Problem zu identifizieren, um sicher zu gehen, dass mein PC nicht gefährdet ist, in Rechnung zu stellen. Ich weiss aber auch, dass das gar nicht gut ankommen würde…

Hallo,

viele Fragen, einige Antworten.

die Avira-Meldung „TR/Dropper.Gen“ ist nicht sehr aussagekräftig, da die Meldung auf einer heuristischen Analyse beruht. Mag stimmen, muß aber nicht.

Grundsätzlich würde ich erst einmal eine LIVE-Antiviren-CD herunterladen, brennen und das System davon starten.

Z.B. Avira Rescue System:

http://www.avira.de/de/support/support_downloads.html

(Download 5, das ISO).

Verdächtige Dateien einmal nach

http://virustotal.com

hochladen und überprüfen.

Eine Aussage, ob dies mit Firefox und den Abstürzen zusammen hängt, ist so nicht möglich.

Nimm Dir bitte die Zeit, einen kompletten Virenscan durchlaufen zu lassen. Dies ist unbedingt nötig. Die Stunden (kannste ja über Nacht machen) sind letztendlich gut angelegt.

Den Firefox solltest du unbedingt mit dem Add-On NoScript laufen lassen, niemals mit Administrator Rechten arbeiten und immer die aktuellste Acrobat-Reader-Version laufen lassen. Der Reader ist ein nicht nur potentielles Sicherheitsrisiko.

Natürlich auch alle USB-Sticks checken und die Autorun-Funktion deaktivieren.

mfg

tf

Hi, und danke erstmal!

die Avira-Meldung „TR/Dropper.Gen“ ist nicht sehr
aussagekräftig, da die Meldung auf einer heuristischen Analyse
beruht. Mag stimmen, muß aber nicht.

Ok, du willst sagen, dass ich dazu den kompletten Virenscan machen muss. Nun, aufm PC scheint er nicht zu sein (ja, scan wird noch gemacht), aber wie finde ich denn raus, ob der Trojaner tatsächlich auf dem usb stick ist? Der usb stick Besitzer hat ja immerhin schon bestätigt, dass er selbst nen Trojaner gefunden hat. Der auf dem nächsten usb stick eben ANGEBLICH nicht mehr drauf war.

Grundsätzlich würde ich erst einmal eine LIVE-Antiviren-CD
herunterladen, brennen und das System davon starten.

Z.B. Avira Rescue System:

http://www.avira.de/de/support/support_downloads.html

(Download 5, das ISO).

Was ist denn der Unterschied zwischen einer LIVE Antiviren CD, und dem meinigen Antivir? Sorry…

Verdächtige Dateien einmal nach

http://virustotal.com

hochladen und überprüfen.

Ok, werd’ ich gleich mal machen. Aber wenn eine Datei ‚beschädigt‘ ist, muss das doch nicht zwangsläufig ein Virus sein, oder?

Eine Aussage, ob dies mit Firefox und den Abstürzen zusammen
hängt, ist so nicht möglich.

Nimm Dir bitte die Zeit, einen kompletten Virenscan
durchlaufen zu lassen. Dies ist unbedingt nötig. Die Stunden
(kannste ja über Nacht machen) sind letztendlich gut angelegt.

Ja, werd’ ich machen, danke. Das letze Mal wollte ich den PC nicht die ganze Nacht anlassen, weil ich nicht wusste, ob bei einem Fund von mir verlangt würde, dass ich irgendwo ‚ok‘ klicke. Irgendwas war passiert, das mir Sorgen machte, ich wollte gerade ins Bett gehen, und dann blieb ich auf, bis der Virenscan fertig war. Es wurde also ziemlich spät… Nun, muss noch 2, 3 Stündchen am PC arbeiten, danach wird er gestartet.

Den Firefox solltest du unbedingt mit dem Add-On NoScript
laufen lassen, niemals mit Administrator Rechten arbeiten und
immer die aktuellste Acrobat-Reader-Version laufen lassen. Der
Reader ist ein nicht nur potentielles Sicherheitsrisiko.

Die Skripte sind also nicht notwendig? Was heisst 'nicht mit Administratorrechten arbeiten?

Verzeih die vielen Fragen.

Natürlich auch alle USB-Sticks checken und die
Autorun-Funktion deaktivieren.

Ach ja, stimmt - das Problem hatte noch früher angefangen, hatte ich ganz vergessen! Zu allererst steckte der Dateienbesitzer nämlich MEINEN usb stick in SEINEN laptop, mit der Konsequenz, dass der usb stick hinüber war! Wenn ich das Verzeichnis öffnen wollte, kam immer nur für einen Bruchteil einer Sekunde ein SCHWARZES Fenster, das oben den Pfad …TREKSTORE…irgendwas stehen hatte. Konnte man in dem Bruchteil der Sekunde leider nie gänzlich entziffern.

Inzwischen hat mir jemand das autorun disabled, und ich kann an meine Daten auf dem stick wieder ran. Der Ordner, der mir draufgespielt wurde, ist gähnend leer.

Aber er war’s natürlich nicht - mit seinem laptop ist alles in Ordnung!

Sorry about the rant - und tausend Dank für Deine bisherigen Tips!
gruss, isabel

PS

Verdächtige Dateien einmal nach

http://virustotal.com

hochladen und überprüfen.

Eine sample Datei hab ich hochgeladen, es wurde nichts gefunden.

Danke nochmal & LG, isabel

Vielleicht kann ich auch helfen
Hallo Isabel,

Ok, du willst sagen, dass ich dazu den kompletten Virenscan
machen muss.

Unbedingt! Das ist wirklich wichtig! Du kannst ja den Scan im Hintergrund laufen lassen wenn dich die geringere Leistung nicht stört.

Nun, aufm PC scheint er nicht zu sein (ja, scan
wird noch gemacht),

Das ist gut. Zur Sicherheit würde ich dir empfehlen HijjackThis (http://www.hijackthis.de/de, Ja nicht hijackthis.com!!) noch laufen zu lassen und das Logfile bei denen auswerten lassen oder hier posten.

aber wie finde ich denn raus, ob der
Trojaner tatsächlich auf dem usb stick ist?

Du musst den USB-Stick scannen und nicht nur den Computer. Das machst du mit Avira indem du mit dem Explorer auf Arbeitsplatz gehst, einen Rechtsklick auf den Stick machst und „Scan with Avira AntiVir“ (oder so ähnlich) auswählst. Ich hoffe das stimmt, ich benutz schon länger kein Windows mehr.

Der usb stick
Besitzer hat ja immerhin schon bestätigt, dass er selbst nen
Trojaner gefunden hat. Der auf dem nächsten usb stick eben
ANGEBLICH nicht mehr drauf war.

Das ist doch eine Frechheit! Wenn er dir Files gibt, hat er doch dafür zu sorgen, dass sie keinen Virus enthalten!
Und wenn er den Virus auf dem ersten Stick auch gefunden hat, dann liegt es nicht daran, dass Avira übervorsichtig ist. Und wenn du sagst dass es wieder genau der selbe Virus ist, müsste er den auch erkennen. Kannst du mir das Virusfile vll. mal schicken? (keine Angst, ich benutz Linux)

Grundsätzlich würde ich erst einmal eine LIVE-Antiviren-CD
herunterladen, brennen und das System davon starten.

Z.B. Avira Rescue System:

http://www.avira.de/de/support/support_downloads.html

(Download 5, das ISO).

Seeehr gute Idee.

Was ist denn der Unterschied zwischen einer LIVE Antiviren CD,
und dem meinigen Antivir? Sorry…

Der Unterschied ist, dass es kein Programm ist, dass innerhalb von Windows läuft, sondern eine Art eigenes Betriebssystem. Daher lässt es sich auch nicht von sog. Root-Kits beeinflussen, die Files und Prozesse vor Windows-Virenjägern verstecken.

Verdächtige Dateien einmal nach

http://virustotal.com

hochladen und überprüfen.

Jup.

Ok, werd’ ich gleich mal machen. Aber wenn eine Datei
‚beschädigt‘ ist, muss das doch nicht zwangsläufig ein Virus
sein, oder?

Nein. Sogar wahrscheinlich eher nicht. Beschädigte Dateien gibt es zum Beispiel wenn du die Datei gerade in einem Programm geöffnet hast und den USB-Stick abziehst.

Lad einfach mal alle Dateien vom USB-Stick zu VirusTotal hoch, auch wenn es lang dauert, es lohnt sich.

Den Firefox solltest du unbedingt mit dem Add-On NoScript
laufen lassen, niemals mit Administrator Rechten arbeiten und
immer die aktuellste Acrobat-Reader-Version laufen lassen. Der
Reader ist ein nicht nur potentielles Sicherheitsrisiko.

Die Skripte sind also nicht notwendig?

Skripte führen etwas aus. Skripte wie Javascript sind meistens eher harmlos, Javascript kann z.B. Grösse des Fensters, Inhalt des Fensters, Mauszeiger innerhalb des Fenster usw. ändern. Sie können aber auch durch Sicherheitslücken gefährlich werden. Happiger ist jedoch z.B. Java (ist aber soweit ich weiss kein Skript). Das kann direkt auf deinen Computer zugreifen, genauso wie ActiveX, was es aber glaub ich nur beim Internet Explorer gibt. Skriptsprachen wie Asp und PHP werden schon auf dem Server ausgeführt, um die musst du dich nicht kümmern.

Was heisst 'nicht mit
Administratorrechten arbeiten?

Es gibt Administrator-Accounts, die alle Rechte haben, alles machen können und alles verändern können (wie z.B. Viren und Programme installieren) und Normaluser-accs, die nur ihre Dateien und bereits installierten Programme ausführen können, also nichts installiern können. Um PDFs zu lesen und im Internet zu surfen reicht so ein Account aus.

Verzeih die vielen Fragen.

Wer nicht fragt lernt nichts. Dafür gibt es ja dieses Forum =)

Autorun-Funktion deaktivieren.

Das musst du in der Systemsteuerung irgendwo machen, aber da frag besser einen der mehr Ahnung von Windows hat als ich.

Aber er war’s natürlich nicht - mit seinem laptop ist alles in
Ordnung!

Sind die Dateien im Ordner vll. versteckt und du hast versteckte Dateien ausgeblendet? Einblenden tust du sie im Explorer unter Extras > Ordneroptionen
Dort findest du irgendwo eine Liste mit Checkboxen davor. Relativ weit unten siehst du irgendwas mit „Versteckte Dateien ausblenden“ oder „Alle Dateien und Ordner anzeigen“. Dort wählst du „Alle Dateien und Ordner anzeigen“ aus und klickst auf OK.

Uff, das war jetzt richtig viel…

Sorry dass das alles nur sehr vage Angaben sind, ich benutz Windoof halt schon länger nicht mehr.

Mfg,
Jannik

Hi Jannick,
danke für Deine Erklärungen!

Ich werd’ mich dann mal demnächst an die Arbeit machen… und dann tauchen die nächsten Fragen auf…

Danke nochmal & gruss,
Isabel