Was können die anrichten?

waldieter · 11. November 2019 um 10:28

Hallo Fachleute!

Ja, ich weiß, dass Google existiert, aber ich schreibe lieber hier als mich durch tausende Links durchzukämpfen.

Ich habe gestern eine ausgebaute Festplatte wieder angeschlossen, nachdem ich mein System vor ein paar Wochen neu aufgesetzt habe. Kaspersky kann auf dieser Festplatte nichts entdecken, aber TrojanHunter findet folgende „Kostbarkeiten“.

TrojanDownloader.Genome.225
PWSteal.Agent.146
Rootkit.TDL3
Generic.TorjanDownloader.A

Alle befinden sich in Dateien im Ordner Recycler.

Was können die anrichten? Ich habe keine einzige Datei dieser Festplatte aufgerufen. Besteht trotzdem Gefahr? Wieso erkennt die Kaspersky nicht?

Danke für Eure Antworten und liebe Grüße

Waldi

herrmann_59614f · 11. November 2019 um 10:28

Alle befinden sich in Dateien im Ordner Recycler.

Wie lautet der genaue Fundort bzw. die genaue Meldung?

Gruß

waldieter · 11. November 2019 um 10:28

Hallo Herrmann!

Danke für die prompte Reaktion! Schaue morgen nach, bin gerade am Sprung ins Bett!

Liebe Grüße

Waldi

Anonym_028940377b35 · 11. November 2019 um 10:28

Hallo Waldi

TrojanDownloader.Genome.225
PWSteal.Agent.146
Rootkit.TDL3
Generic.TorjanDownloader.A
Was können die anrichten?

Die Namen deuten es doch an: ‚TrojanDownloader‘ ist ein Trojaner, der weiteren Schadcode nachladen würde. ‚PWSteal.Agent‘ ist ein Schädling, der Passwörter stiehlt. Etc.

Und das ‚Generic‘ deutet darauf hin, dass die betreffende Datei vermutlich etwas machen kann, das vom Scanner als ‚In der Art eines TrojanDownloaders‘ eingestuft wird. Ob das wirklich der Fall ist, ist eine andere Frage.

Ich habe keine einzige Datei dieser Festplatte aufgerufen. Besteht
trotzdem Gefahr? Wieso erkennt die Kaspersky nicht?

Gefahr besteht keine, solange Du die Dinger nicht ausführst. Und Kaspersky erkennt sie nicht, weil dessen Heuristik die Dateien offenbar anders einstuft. Ob die Dateien wirklich verseucht sind oder nicht, ist so oder so nicht sicher. Da sie aber im Ordner ‚Recycler‘ liegen, also im Papierkorb, würde ich sie einfach löschen.

CU
Peter

Thomas_Fischbach_ac0842 · 11. November 2019 um 10:28

Hallo,

ausnahmsweise bin ich mal anderer Meinung.

Der Papierkorb ist ein beliebtes Versteck für Schädlinge aller Art.

Das System kann als infiziert gelten. Wenn die Meldungungen zutreffen, sogar fast als unheilbar. Also unbedingt das übliche Vorgehen, hier schon mehrfach beschrieben.

Die Dinger müssen nicht ausgeführt werden, die führen selbst aus.

Ein einfaches Löschen oder „Nichtstun“ scheint mir doch sehr leichtsinnig.

mfg, tf

herrmann_59614f · 11. November 2019 um 10:28

Wenn die Meldungungen zutreffen

Eben. Den TrojanHunter halte ich für keine Quelle, der man ohne sehr genaue Prüfung vertrauen sollte. Ohne genauere Informationen ist jede konkrete Aussage reine Spekulation.

Gruß

Culles · 11. November 2019 um 10:28

Hallo,
wenn du mit einem aktuellen betriebssystemunabhängigen Virenscanner deine Festplatten prüfst und keine weiterer Befall festgestellt wird, kannst du davon ausgehen, dass dein System sauber ist. Leider kommt es Virenscannern immer wieder zu Fehlalarmen. daher sollte immer eine Gegenkontrolle und eine umgehende Analyse erfolgen.

Unter http://www.free-av.de/en/tools/12/avira_antivir_resc… kann man hierzu das Programm Avira AntiVir Rescue System (rescuecd.exe) von AVIRA herunterladen, das selbstständig eine bootfähige Antivirensoftware auf CD brennt. Das Programm wird mehrmals täglich aktualisiert.

Es gibt keine Programme, die sich aus dem Papierkorb heraus selbst aufrufen. Zum Starten einer solchen Anwendung sind weitere Manipulationen notwendig, die in der Regel ebenfalls durch ein Schutzsystem erkannt werden. Besonders lobenswert ist hier beispielsweise der Defender und VISTA. Wenn ein Programm Daten nach außen sendet, erfolgt zusätzlich auch eine Meldung durch die Firewall.

Natürlich kann dein System so manipuliert sein, dass Schutzmaßnahmen umgangen werden und daher eine Neuinstallation notwendig wird. Allerdings ist die Wahrscheinlichkeit hier eher gering.

Wohl dem, der sein System und seine Daten ordnungsgemäß gesichert hat, und sich daher um solche Überlegungen nicht zu kümmern braucht, indem er einfach ein Restore ausführt bzw. auf seine Datenkopien zurückgreifen kann. Eine Garantie, dass nicht doch etwas im Hintergrund seine Untaten ausführt, hat aber auch der nicht. Mit einem Restrisiko muss jeder klarkommen.

Grüße Culles

waldieter · 11. November 2019 um 10:30

Hallo Hermann!

Im folgenden der gesamte ScanReport!

Liebe Grüße

Waldi

Found trojan file: N:\RECYCLER\S-1-5-21-1177238915-926492609-839522115-1004\Dn1.com\Zelda Forever\Uninstal.exe (TrojanDownloader.Genome.225)
Found trojan file: N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Extra\School\Converber\Converber.exe/Upx.wmnlsuvd (PWSteal.Agent.146)
Error: Error while unpacking N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Gnumeric Plus\App\Gnumeric\bin\libgnomedb-3.0-4.dll: Access violation at address 77C160B4 in module ‚msvcrt.dll‘. Write of address 419F1CA8
Error: Error while unpacking N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Gnumeric Plus\App\Gnumeric\bin\libgnomedb-3.0-4.dll: Access violation at address 77C160B4 in module ‚msvcrt.dll‘. Write of address 419F1CA8
Error: Error while unpacking N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Gnumeric Plus\App\Gnumeric\bin\libgnomedb_extra-3.0-4.dll: Access violation at address 77C160C1 in module ‚msvcrt.dll‘. Write of address B9578D9A
Error: Error while unpacking N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Gnumeric Plus\App\Gnumeric\bin\libgnomedb_extra-3.0-4.dll: Access violation at address 77C160C1 in module ‚msvcrt.dll‘. Write of address B9578D9A
Error: Error while unpacking N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Gnumeric Plus\App\Gnumeric\bin\libpcreposix-0.dll: Access violation at address 77C160C1 in module ‚msvcrt.dll‘. Write of address 3130C09A
Error: Error while unpacking N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Gnumeric Plus\App\Gnumeric\bin\libpcreposix-0.dll: Access violation at address 77C160C1 in module ‚msvcrt.dll‘. Write of address 3130C09A
Error: Error while unpacking N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Gnumeric Plus\App\Gnumeric\lib\gnumeric\1.9.1\plugins\fn-math\plugin.dll: Access violation at address 77C160B4 in module ‚msvcrt.dll‘. Write of address 10BE49A2
Error: Error while unpacking N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Gnumeric Plus\App\Gnumeric\lib\gnumeric\1.9.1\plugins\fn-math\plugin.dll: Access violation at address 77C160B4 in module ‚msvcrt.dll‘. Write of address 10BE49A2
Error: Error while unpacking N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Gnumeric Plus\App\Gnumeric\lib\gnumeric\1.9.1\plugins\fn-stat\plugin.dll: Access violation at address 77C160B4 in module ‚msvcrt.dll‘. Write of address 196B49A2
Error: Error while unpacking N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Gnumeric Plus\App\Gnumeric\lib\gnumeric\1.9.1\plugins\fn-stat\plugin.dll: Access violation at address 77C160B4 in module ‚msvcrt.dll‘. Write of address 196B49A2
Error: Error while unpacking N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Gnumeric Plus\App\Gnumeric\lib\gnumeric\1.9.1\plugins\fn-string\plugin.dll: Access violation at address 77C160B4 in module ‚msvcrt.dll‘. Write of address B93C88A2
Error: Error while unpacking N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Gnumeric Plus\App\Gnumeric\lib\gnumeric\1.9.1\plugins\fn-string\plugin.dll: Access violation at address 77C160B4 in module ‚msvcrt.dll‘. Write of address B93C88A2
Error: Error while unpacking N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Gnumeric Plus\App\Gnumeric\lib\gnumeric\1.9.1\plugins\openoffice\openoffice.dll: Access violation at address 77C160C1 in module ‚msvcrt.dll‘. Write of address 6D891182
Error: Error while unpacking N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Gnumeric Plus\App\Gnumeric\lib\gnumeric\1.9.1\plugins\openoffice\openoffice.dll: Access violation at address 77C160C1 in module ‚msvcrt.dll‘. Write of address 6D891182
Error: Error while unpacking N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Gnumeric Plus\App\Gnumeric\lib\gtk-2.0\modules\libgail.dll: Access violation at address 77C160B4 in module ‚msvcrt.dll‘. Write of address D648D78D
Error: Error while unpacking N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Gnumeric Plus\App\Gnumeric\lib\gtk-2.0\modules\libgail.dll: Access violation at address 77C160B4 in module ‚msvcrt.dll‘. Write of address D648D78D
Found trojan file: N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Universal Extractor\bin\IsXunpack.exe (Rootkit.TDL3)
Found trojan file: N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Vispa\Vispa.exe (Generic.TrojanDownloader.A)
Found trojan file: N:\RECYCLER\S-1-5-21-1202660629-1844823847-1801674531-1004\Dl1779\Apps\Xpy\Xpy.exe (Generic.TrojanDownloader.A)

waldieter · 11. November 2019 um 10:30

Hallo Ihr!

Zunächst einem vielen Dank für all Eure Antworten. Teilweise widersprechen sie sich zwar ein wenig, aber im großen und ganzen scheint doch keine allzu große Gefahr von den Fundstücken auszugehen. Ich habe mir die ISO-Datei von Avira Rescue heruntergeladen und werde das Programm beim nächsten PC-Hochfahren laufen lassen.

Weiter unten habe ich den gesamten Scan-Report von TrojanHunter hereinkopiert, falls vielleicht jemandem noch etwas dazu einfällt.

Nochmals besten Dank und liebe Grüße

Waldi

herrmann_59614f · 11. November 2019 um 10:30

Ich habe mir den TrojanHunter mittlerweile mal genauer angeschaut. Entgegen meiner ersten Vermutung scheint dieses Werkzeug nicht zu unnötigem Alarmismus zu neigen. Das System, aus dem die Platte ausgebaut wurde, scheint demnach ganz schön verseucht gewesen zu sein. Es wundert mich zwar, dass Kaspersky nichts findet, das mag aber an deinen Scan-Einstellungen liegen.

Ansonsten schließe ich mich Peter an: Solange die Schädlinge im Papierkorb liegen, sind sie grundsätzlich harmlos. Papierkorb leeren und gut ist. Sollten auf dieser Platte von früher her aber noch sonstige ausführbare Downloads (Programm-Setups u. ä.) gespeichert sein, würde ich denen nicht mehr trauen. Auch wenn sie nicht infiziert sind, mögen sie derart verändert sein, dass sie die Systemstabilität beeinträchtigen könnten.

Gruß

waldieter · 11. November 2019 um 10:31

Hallo Herrmann!

Danke für Deine Antwort! Ich werde mir die Daten sichern (sind zwar in einem Gesamtbackup enthalten, aber sicher ist sicher) und dann die Festplatte formatieren.

Liebe Grüße

Waldi

Anonym_028940377b35 · 11. November 2019 um 10:33

ausnahmsweise bin ich mal anderer Meinung.

Das darfst Du natürlich.

Der Papierkorb ist ein beliebtes Versteck für Schädlinge aller
Art.

Vielleicht hat es der Threadstarter nicht deutlich genug angegeben. Ich für meinen Teil ging jedenfalls davon aus, dass es sich um das Recycler-Verzeichnis auf der Festplatte handelt, die er zusätzlich eingebaut hat und auf die er wohl nur lesend zugreift. Ergo wären die Recycler-Funde harmlos, da sie nur dort liegen, aber nicht ausgeführt werden.

Die Dinger müssen nicht ausgeführt werden, die führen selbst
aus.

Wie soll das gehen?

CU
Peter