Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Trojaner macht immer wieder Zugriffsversuch und wir geblockt

tina-w2k / 3 Antworten / Baumansicht Nickles

ich Grüsse die Gemeinde

tja, da habe ich mir was schönes eingefangen

Der TR/drop.softmate.an  lässt sich offenbar durch einen Suchlauf nicht mehr aufspüren, weder durch Avira, noch durch Malwarebyte.

beide sagen immer: nix gefunden, ihr System ist sicher, aber der Avira meldet ab und zu eine Zugriffsversuch auf eine Datei im Ordner System Volume Information. Dann kann ich den Krüppel in die Quarantäne schieben, was aber das grundlegende Problem seiner Anwesenheit nicht löst.

hier ist das Avira-Protokoll:

---------------------------------

Typ:    Datei
Quelle:    C:\System Volume Information\_restore{9BCA5D28-F7DB-4510-AFD8-2252536A60E0}\RP277\A0062353.exe
Status:    Infiziert
Quarantäne-Objekt:    505a3542.qua
Wiederhergestellt:    NEIN
Zu Avira hochgeladen:    NEIN
Betriebssystem:    Windows XP/VISTA Workstation/Windows 7
Suchengine:    8.03.20.34
Virendefinitionsdatei:    8.11.160.112
Gefunden:    TR/Drop.Softomat.AN
Datum/Uhrzeit:    13.07.2014, 17:16

------------------------------------------------

muss ich jetzt die ganze Partition verwerfen? Was ist das für ein Tierchen?

danke für einen Hinweis

bei Antwort benachrichtigen
gelöscht_238890 tina-w2k „Trojaner macht immer wieder Zugriffsversuch und wir geblockt“
Optionen

Hi,

muss ich jetzt die ganze Partition verwerfen? Was ist das für ein Tierchen?

Du stellst die falschen Fragen.
Nicht die Frage nach dem "Tierchen" steht im Vordergrund, sondern kannst/willst Du diesem infizierten System noch trauen?
Natürlich ist eine Neuinstallation von Windows angezeigt, alles Andere ist Murks.

Viel schneller ging es natürlich mit einem aktuellen Image des Systems.
Hoffentlich hast Du das "Tierchen" nicht noch weiter verbreitet in deinen Systemen.

bei Antwort benachrichtigen
dalai tina-w2k „Trojaner macht immer wieder Zugriffsversuch und wir geblockt“
Optionen

Das Ding sitzt nun in der Systemwiederherstellung (System Volume Information\_restore{blablub}), also in einem älteren Stand des Systems bzw. einem Systemwiederherstellungspunkt. Einfachster und sehr wirkungsvoller Weg der Entfernung: alle Wiederherstellungspunkte löschen und/oder die Systemwiederherstellung generell abschalten. Letzteres mache ich bei jedem meiner Systeme, denn Image-Software ist deutlich besser, wirkungsvoller, hilft auch noch nach Festplattencrashs, und müllt vor allem die Systempartition nicht zu.

Insofern kann ich mich teilweise hatterchen anschließen: Wenn du sichergehen willst, ein sauberes System zu haben, mit dem man bedenkenlos Onlinebanking o.ä. sensible Dinge machen kann, ist eine Neuinstallation bzw. eine Wiederherstellung aus einem als sauber bekannten Stand (Image) erforderlich.

Man kann aber vorher eine Nummer kleiner anfangen und die Systemwiederherstellung deaktivieren. Beachte dabei, dass danach keine Wiederherstellung des Systems auf einen früheren Stand mehr möglich ist. Aber wie ich schon sagte: Image-Software ist IMO immer besser. Davon gibt es auch eine Reihe, von kostenfrei (z.B. DriveImage XML, Macrium Reflect) bis Löhnware (z.B. Acronis TrueImage, O&O DriveImage).

Nach dem Deaktivieren der Systemwiederherstellung ist ein Scan mit einer Live-CD aber zwingend geboten! Es gibt ja eine Reihe davon, Avira hat sowas, Kaspersky IIRC auch, oder man kauft sich eine c't bzw. bestellt die Desinfec't CD online, wo eine Reihe von Scannern drauf sind. Aber selbst ein Scannen mit Virenscannern garantiert keine Virenfreiheit, denn prinzipbedingt können Virenscanner niemals sagen, dass nichts an Schadsoftware da ist, sondern immer nur, dass etwas da ist (und selbst das nicht immer richtig & zuverlässig).

MfG Dalai

Echte Hilfe kann´s nur bei Rückmeldungen geben.
bei Antwort benachrichtigen
Benni11 tina-w2k „Trojaner macht immer wieder Zugriffsversuch und wir geblockt“
Optionen

Hallo Tina,

lade dir von Avira die Rescue-Datei herunter (= kostenlos), brenne sie auf eine CD und starte damit deinen PC neu. Zu diesem iso-File kann ergänzend noch ein HowTo (pdf-Datei) heruntergeladen werden, das in kurzen Worten die Anwendung der gebrannten CD schildert.

Das Ganze läuft mit Linux (Ubuntu). Damit besteht eine gewisse Gewähr, dass ein auf Windows programmierter Unhold nicht "aufgeweckt" wird und sich beim Start des Virenscan rechtzeitig tarnen kann. Du kannst den gefundenen Trojaner an Avira senden

Allgemein gilt bei ungebetenen Gästen: Das System neu aufzusetzen.

Viel Erfolg bei deiner Fahndung wünscht

Benni11

Windows 7, MS-Office, OpenOffice (Apache + Libre)
bei Antwort benachrichtigen