Hallo „Wissende“, habe seit gestern den Trojaner „Horse“ auf meinem Laptop. Das Antivirenprogramm Norton erkennnt ihn und meldet HOHES RISIKO. Er befindet sich in Partition C:/WINDOWS/System32/ams491.dat
Leider kommt das Antivirenprogramm nicht weiter. Es meldet: „Der Zugriff auf die Datei wurde verwehrt“ u. als Akton: „Die Datei konnte nicht repariert werden“.
Brauche eure Hilfe. Was kann ich machen? Für Tipps wäre ich dankbar.
Hallo Peter
Hallo „Wissende“, habe seit gestern den Trojaner „Horse“ auf
meinem Laptop.
Offenbar ein Sammelbegriff, den Norton Antivirus für verschiedene Trojanische Pferde verwendet, die ähnlich bis nahezu identisch sind. Lies Dir z.B. mal diese Informationen durch:
http://securityresponse.symantec.com/avcenter/venc/d…
(englisch)
Arbeite die Angaben zur manuellen Entfernung durch. Oder mach die Radikalmethode ‚Flachmachen und neu aufsetzen‘.
„Der Zugriff auf die Datei wurde verwehrt“ u. als Akton: „Die
Datei konnte nicht repariert werden“.
Du musst ggf. im abgesicherten Modus booten. Oder von einem anderen Medium, z.B. von einer Knoppix-CD.
CU
Peter
Hallo Peter
Hallo „Wissende“, habe seit gestern den Trojaner „Horse“ auf
meinem Laptop. Das Antivirenprogramm Norton erkennnt ihn und
meldet HOHES RISIKO. Er befindet sich in Partition
C:/WINDOWS/System32/ams491.dat
Ich habe zwar eine sehr hohe Allergie bezüglich Symantec, das zeigt sich in diesem Fall darin, das nur die Software dieses Herstellers etwas mit diesem Namen anfangen kann und darum solltest du dich auch an dessen Anweisungen halten
http://www.symantec.com/region/de/techsupp/avcenter/…
Vom Prinzip her das selbe wie von Peter, aber diesmal in deutsch. Dort steht zwar, das die Entfernung einfach ist, aber das ist nicht glaubwürdig, da es keine gesicherte Aussage darüber gibt, wie oft er schon Verbindungen aufgenommen und andere „BÖSE“ Software nachgeladen hat. Und darum auch meine Empfehlung: http://faq.jors.net/virus
Da dieser Trojaner über Mails (speziell wenn mit OjE geöffnet) seine Verbreitung findet, sollte er Anlass für dich sein, über einen anderen Browser und Client ernsthaft nachzudenken. Weiterhin haben die meisten Provider, so auch web.de Optionen zum Mailaccount, die schon beim Eintreffen scannen und infizierter Mails löschen.
der hinterwäldler
Hallo Manfred
Ich habe zwar eine sehr hohe Allergie bezüglich Symantec
Gegenüber ihren Produkten hab ich das auch. Die Informationen in der Security Response sind dagegen meist durchaus brauchbar.
Und Symantec ist nach meiner bisherigen Beobachtung wohl so ziemlich der einzige Hersteller von Antivirenprodukten, der Empfehlungen wie diese auf solchen Informationsseiten platziert:
**Symantec Security Response empfiehlt allen Anwendern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:
* Beenden und entfernen Sie all nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht kritisch sind, wie FTP-Clients, Telnet und einen Internetbrowser. Diese Dienste öffnen Angriffen Tür und Tor. Wenn Sie entfernt werden, bestehen weniger Angriffsflächen und Sie haben weniger Programme zu pflegen.
* Wenn eine komplexe Bedrohung über mehr als ein Netzwerkdienst verteilt wird, werden diese deaktiviert oder blockiert, bis ein Patch ausgeführt wurde.
* Halten Sie Ihre Patches immer auf dem neuesten Stand, besonders auf den Computern, auf denen öffentliche Dienste angeboten werden und auf die durch eine Firewall über z. B. http, FTP, E-Mail und DNS-Dienste zugegriffen werden kann.
* Richten Sie einen Passwortschutz ein. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf beschädigten Computern. Dies hilft Ihnen, die Folgen eines Computereinbruchs zu mindern.
* Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails, die Dateianhänge enthalten, über die häufig Viren verbreitet werden, wie Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr, blockiert oder entfernt werden.
* Isolieren Sie infizierte Computer schnell, um weiteren Schaden zu vermeiden. Führen Sie eine forensische Analyse durch und reparieren Sie den Computer mit Hilfe vertraulicher Medien.
* Schulen Sie Ihre Angestellten daraufhin, keine Anhänge zu öffnen, wenn diese unaufgefordert eingesendet werden. Führen Sie ebenfalls keine Software aus, die aus dem Internet geladen wurde, wenn die Dateien zuvor nicht auf Viren geprüft wurden. Schon der einfache Besuch einer beschädigten Internetseite kann eine Infektion hervorrufen, wenn bestimmte Browserschäden nicht repariert werden.**
Das sind IMHO sinnvolle Empfehlungen.
CU
Peter
Vorgehensweise bei Trojaner und Spywarebefall
Keiner der am Markt angebotenen Virenscanner ist perfekt. Es ist deshalb eine gute Idee mit einem zweiten oder dritten Antivirenprogramm zu scannen. Sehr leistungsfähige (kostenlose) Virenscanner sind escan (Kaspersky Engine) und BitdefenderFree.
Da aber alle Virenscanner Probleme mit Trojanern und Spyware haben, grundsätzlich mit Spyware- und Trojanerscanner zusätzlich prüfen: Spybot Search&Destroy und a² (emisoft). Für alle eingesetzten Programme gilt: Vor dem Einsatz aktualisieren (updaten)!
Dannach checken mit HijackThis und MSConfig.
Dann Systemwiederherstellung (nur Windows XP) deaktivieren und im abgesicherten Modus booten. Nochmal Virenscanner, Spybot und a² drüber laufen lassen und mit HijackThis überprüfen/fixen. Wenn keine Fehler mehr, neu booten und die Systemwiederherstellung wieder aktivieren.
Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte. Eine Anleitung findest du hier http://www.trojaner-board.de/showthread.php?t=16918.
Du solltest dir aber mal grundlegende Gedanken machen, warum du den Schädling bekommen hast und entsprechende Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln).
Infos und Downloads zum Thema findest du auf meiner Webpage http://www.comsafe.de