Hallo,
seit einiger Zeit (halt seit Antivir diesen Virus kennt) findet er immer wieder Dateien, die mit TR/HORSE.COH verseucht sind. Die letzte war in System Volume Information. Ich habe diese dann von AntiVir in Quarantäne verschieben lassen. Ist das unbedenklich? Nicht dass Windows die Dateien der Wiederherstellungskonsole prüft und wenn irgendwas fehlt dann muckt. Allerdings war das die einzige EXE-Datei weit und breit, also kann ich wohl davon ausgehen, dass sich der Trojaner nur getarnt hat und die Datei selbst gar nichts mit der Wiederherstellungskonsole zu tun hat, oder? Wie ist eigentlich die Ausbreitungsstufe von dem Trojaner (also wenn er mal längere Zeit drauf war, kann er sich dann ausgebreitet haben auf dem Rechner) und welchen Schaden richtet er an? Sorry dass ich so blöd frage, aber ich hab einfach noch nie das zweifelhafte Vergnügen gehabt, einen zu „besitzen“ und hab deshalb quasi Null Ahnung davon…
Gruß Stephan
Lade die angeblich verseuchte Datei mal bei http://www.virustotal.com/de/ hoch. Auf diese Weise kannstr du relativ sicher überprüfen, ob es sich nicht um einen Fehlalarm handelt. Ist es kein Fehlalarm, könntest du hier mal die Namen posten, unter denen andere Scanner den Schädling identifizieren.
Gruss
Schorsch
Jo hab ich schon gestern gemacht…hier mal die Ergebnisseite von VirusTotal:
http://www.mediafire.com/?1vdjlxxseda
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Jo hab ich schon gestern gemacht…hier mal die Ergebnisseite
von VirusTotal:
http://www.mediafire.com/?1vdjlxxseda
Die Ergebnisse des Scans sind so uneinheitlich, dass ich daraus keinen endgültigen Schluss abzuleiten wage, ob die Datei tatsächlich infiziert ist, oder ob hier ein Fehlalarm vorliegt.
Wenn es sich aber um eine Infektion handelt, dann um eine Infektion mit einem Downloader, und dann stellt sich wesentlich eine Frage: Wurde die Datei auf deinem Rechner jemals erfolgreich ausgeführt? In dem Fall nämlich wurde der eigentliche Schadcode vom Trojaner erst nachgeladen und dann ist auf die Meldungen deines Virenscanners nicht mehr der geringste Verlass.
Dann kann nur noch ein von aussen durchgeführter Systemcheck verlässlich Auskunft geben, ob und womit der Download den Rechner weiter infiziert hat. Durch Umbau der Platten in einen anderen Rechner, durch Verschieben des BS in eine virtuelle Maschine, durch einen Start von Knoppicillin…
Wurde der Trojaner aber nie ausgeführt oder war er dabei nicht erfolgreich, konnte also keinen Schadcode nachladen, dürfte das Verschieben der Datei in Quarantäne ausreichend sein und auch nicht zu Problemen beim Einsatz der Windows-Wiederherstellungsfunktion führen.
Gruss
Schorsch
Das kommt jetz drauf an, wie man ausführen definiert. Ich hab mir halt mal die Eigenschaften der Datei anzeigen lassen. Also halt ein Zugriff drauf. Ausgeführt im Sinne von Doppelklick und warten was passiert hab ich sie nie…hab allerdings ein paar Trojanerverseuchte Archive gehabt, die hab ich ausgeführt, aber nur deswegen, weil zu diesem Zeitpunkt scheinbar noch keine entsprechende Virendefinition da war und AntiVir das halt einfach nicht erkannt hat…welchen Schaden richtet dieser Trojaner an? Ich hab leider nicht viel dazu gefunden, da der scheinbar bei jedem Softwarehersteller anders heißt und man dann halt dementsprechend auch nur deren nicht wirklich informative Seiten entgegengeworfen bekommt…die von dir vorgeschlagenen Sachen könnt ich theorisch alle machen, ich hab VMWare, mehrere andere Rechner und auch Knoppicillin da…letzeres wird wohl die einfachste Variante sein. Dann lass ich da bei Gelegenheit mal nen Scan durchführen…
Gruß Stephan
welchen Schaden
richtet dieser Trojaner an? Ich hab leider nicht viel dazu
gefunden,
Dazu wird dir auch niemand eine brauchbare Auskunft geben können - mit Ausnahme des Trojanerproduzenten selbst. Wenn Trojaner ein weiteres Schadprogramm nachladen, kann das nicht nur ein absolut beliebiges Programm sein. Es kann ein alle paar Minuten wechselndes Programm sein, es kann ein je Infektion individuelles Programm sein…
Das ist das tückische an Download-Trojanern und das ist der Grund, warum auf Antivirenprogramme, wenn ihnen ein solcher Trojaner einmal durchgerutscht ist, nicht der geringste Verlass mehr ist. Wenn das nachgeladene Programm deinen PC einmal kastriert hat, kann ein Virenscanner den ursprünglichen Trojaner ruhig entdecken und löschen - den eigentlichen Schädling wird der Scanner nie erkennen, weil der Scanner nur noch die Informationen über das System bekommt, die der Schädling ihn sehen lässt.
Anders gesagt: Wenn ein Trojaner durchgerutscht ist und erfolgreich war, hilft nur noch Neuinstallation.
Gruss
Schorsch