Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

TR/Dropper.Gen

Mamfred / 4 Antworten / Baumansicht Nickles

Hallo zusammen,

ich habe neulich beim Systemcheck mit AntiVir das oben genannte Virus entdeckt, das als Trojanisches Pferd eingestuft wurde. Nun habe ich die Foren durchgeguckt, bin aber leider trotzdem nicht schlauer geworden. Kann es dabei um eine "Falschmeldung" handeln (wäre ja schön....) oder komme ich um eine Neuinstallation nicht hin? Hier ist der Bericht von Antivir:
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP60\A0011592.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ced1cd.qua' verschoben!
C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP60\A0011719.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ced1d7.qua' verschoben!

Noch eine Frage: Ich habe die verdächtige Datei in Quarantene verschoben. Ist es besser sie zu löschen?

Vielen Dank für die Hilfe
Mamfred

bei Antwort benachrichtigen
gelöscht_23570 Mamfred „TR/Dropper.Gen“
Optionen

"..\RP60\A0011592.exe" ist ein übliche Pfad bzw. Dateiname wie sie Windows XP eben in diesem verstecken Ordner für die Systemwiederherstellung speichert.

Meines Wissens nach kannst Du auf diesen Ordner nicht zugreifen. Mit einem weiteren Windows auf einer anderen Partition ist das möglich.

Im übrigen spuckt Google rund 30000 Treffer zu "TR/Dropper.Gen" aus. Würde mich wundern, wenn da nicht der eine oder andere Hinweis dabei wäre, ob es sich hier um einen echten Fund oder nur eine Falschmeldung handelt.

Da aber im Ordner "System Volume Information" Dateien aus dem laufenden Windows gesichert werden, müsste eigentlich auch eine andere Datei die selbe Warung erzeugen.

Da Du die Datei in Quarantäne verschoben hast, würde ich mir persönlich keine Sorgen mehr machen. Vermutich ist es sowieso ein Fehlalarm.

Wie kam Antivir eigentlich zu diesem Alarm, war das ein vollständiger Scan (von Dir ausgelöst) oder ist das beim laufenden Betrieb passiert?



Gruß Alois

bei Antwort benachrichtigen
Mamfred gelöscht_23570 „ .. RP60 A0011592.exe ist ein übliche Pfad bzw. Dateiname wie sie Windows XP...“
Optionen

Hallo,

Du hast Recht, Alois, diesen Ordner konnte ich gar nicht öffnen. Den Scan habe ich manuell gestartet, dabei hat AntiVir die zwei o.g. Dateien aus dem Ordner "System Volume Information" als Virus identifiziert.
Habe gerade den Systemscan erneut durchgeführt und nichts mehr entdeckt.

Danke für den Tipp mit Google. HAbe da ein bißchen gelesen und festgestellt, dass es tatsächlich massenweise ähnliche Meldungen gibt, die ebenfalls auf den Ordner "System Volume Information" gehen. Kann man den aufgrund z.B. von Aussage von HijackThis sicher sein, dass der Rechner nihct infiziert ist? Oder kann man das jetzt nicht mehr sicher sagen?

Danke und Gruß
Mamfred

bei Antwort benachrichtigen
gelöscht_23570 Mamfred „Hallo, Du hast Recht, Alois, diesen Ordner konnte ich gar nicht öffnen. Den...“
Optionen

Nun, sicher sein kann man dabei eigentlich nie. Wenn aber bei den Google-Ergebnissen nicht mehrere Hinweise auf eine Gefährdung dabei sind, würde ich Entwarung geben.

Ist aber wie gesagt, nur so aus dem Bauch raus.

Kannst ja das Log von HijackThis mal Posten um zu sehen, ob noch was übrig geblieben ist. In aller Regel ist das der reale Zustand des Rechners, gäbe es nicht besondere Fieslinge, welche sich erfolgreich verstecken (z.B. Rootkits).


Gruß Alois


bei Antwort benachrichtigen
Mamfred gelöscht_23570 „Nun, sicher sein kann man dabei eigentlich nie. Wenn aber bei den...“
Optionen

Hallo,

entschuldigung, hat etwas länger gedauert...

Hab HiJackThis parallel auf dem "TrojanerBoard" gepostet und nach weiteren Analysen und Bereinigung scheint jetzt alles wieder in Ordnung zu sein.

Vielen Dank noch mal für die Tipps,
Mamfred

bei Antwort benachrichtigen