Viren, Spyware, Datenschutz 11.230 Themen, 94.474 Beiträge

Verfolgung starten Optionen

Ein grauslicher Zombi

jueki / 8 Antworten / Flachansicht Nickles

Man bat mich um Hilfe bei einem PC, der laufend ins Internet sendete und empfing.
Der Eigentümer bemerkte das, weil es ewig dauerte, bis er eine einfache mail senden konnte.
Ich installierte dann mal schnell mein Traffic- Tool (TrafficMonitor) und stellte fest, das der mit maximaler Performance sendete...

Daraufhin hab ich den sofort vom Netz getrennt und mit dem neuen Avira AntiVir Professional untersucht.
Ein klassischer Zombi nach meiner laienhaften Auffassung.
Avira teilte mir mit, das sich im Ordner "System Volume Information" Schädlinge befinden.
Hier ein Text:

D:\System Volume Information\_restore{805468D7-50BF-425C-813D-C7291BFD683E}\RP2\A0000461.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen

Bevor ich den PC formatierte, habe ich mir die Besitzrechte dieses Ordners übernommen und hineingeschaut.
Besser gesagt - der Reihe nach diese Ordner aller 6 vorhandenen Partitionen.
Nur (seltsam!) der Ordner in C war leer - bei allen anderen, den logischen Laufwerken also, beinhaltete dieser Ordner zwischen 196 bis 274MB.
Inhalt - weitere Ordner "RP0" bis "RP18".

Hab, wie gesagt, den sofort vom Netz getrennt und nach der obigen Aktion formatiert.
Könnt Ihr Euch einen Reim darauf machen, was da wirklich los war?

Danke für Eure Meinungen.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Manchmal schaue ich auch genauer in infizierte Rechner, um einen Eindruck ... shrek3
Danke für Deine Antwort. ...ein einzelner Fund in den ... jueki
Schädlinge sollten durchaus dazu in der Lage sein, die ... shrek3
um herauszufinden welche anwendung tatsächlich sendet, gibt es dann noch ... Synthetic_codes
SoulMaster jueki „Danke für Deine Antwort. ...ein einzelner Fund in den...“
Optionen

Ich hatte auch einmal eine solche Viren Meldung von GDATA 2008.
Habe das file erst mal in die Quarantäne verbannt und dort schmoren lassen.

Dann habe ich den "angeblichen" Trojaner im GDATA LAB analysieren lassen. Keinerlei Reaktion von GDATA!. Ich meine keine Rückmeldung.

Danach habe ich auf den sog. Trojaner, auf einer anderen Kiste den Kaspersky und den MCAffe, natürlich immer nur eine Security Suite angesetzt. Und was kam raus??? Nothing, nada nichts.
KEINE INFEKTIONS Gefahr, nichts Verdächtiges gefunden.

Na nun wurde ich natürlich richtig wachsam und habe GDATA direkt an gemailt und explizit um Aufklärung gebeten. Erst hat man mich wie immer auf die FAQs gehetzt.
Da gabs nichts Neues. Dann hab ich eben mal Uncle Google angetriggert und fand einiges in den Foren. ALs Ergebnis kam folgen heraus:
Sämtliche Virenscanner sind auf einem bestimmten aktuellen Stand, klar. Bei der unglaublichen Vielfalt der "STÖRENFRIEDE" die in den Weiten des Netzes herumgeistern ist dies ja jedem klar. Allerdings lässt es sich nun NICHT mehr vermeiden, dass die eine oder andere "MASKE" einem tatsächlichen Schädling eben sehr, sehr ähnlich ist.
Folge, die Proggies, Antivir, GDATA, KAspersky und andere reagieren mit VIRENALARM obwohl dies oftmals nicht gerechtfertigt ist.
Du erwähnst selbst eine der verdächtigsten Anwendungen überhaupt, die keyfinder.exe. Key* finder und exe)
Ist ein Freewaretool m. W. von Software Load.
Das Schlüsselwort KEY* ist für Security Suites ein ROTES MAHNMAL.

GDATA hat am keyfinder solange und beharrlich rumgenörgelt, bis ich es in die Tonne gehauen habe und nur noch den Kaspersky verwende. Der ist nicht ganz so sensibel.
Ich weiss natürlich genausdo wie ihr alle, das Kaspersky auch nicht fehlerfrei sein KANN!

Ich würde die: A0000515.exe und die A0000461.exe mal zum AntiVir LAb einsenden und sonst mal aud einen USB Stick kopieren und dann eine anders Virenproggy darauf ansetzen.

Ich kann nur sagen , die ganze Sucherei und Analyse der ganzen unterschiedlichen Auslegungen hat mich unangemessen viel Zeit ( zu viel) gekostet. Man kann also nicht per se sagen das ist ein "echter" Schädling, LEIDER.

Aber ich reagiere eben auch auf Meldungen, manchmal auch etwas überzogen:-)

Gruß
SoulMAster






bei Antwort benachrichtigen
Ich bedanke mich noch einmal für die Antworten. Mir ging es in der ... jueki
Wie schnell einen doch Halbwissen ereilen kann... Da glaubt man jahrelang, ... shrek3
falscher Ort, sry jueki