Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: FlashGuard / Drive Guard Trojaner/Dropper

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.07.2008, 19:21   #1
zemtron
 
FlashGuard / Drive Guard Trojaner/Dropper - Standard

FlashGuard / Drive Guard Trojaner/Dropper



Hallo erstmal - wie die meisten bin ich erst durch ein Problem mit meinem Rechner auf dieses Forum gestoßen und hoffe, dass mir hier geholfen werden kann.

Am letzten Sonntag meldete sich plötzlich Antivir bei mir, dass in der Datei Flashguard.exe (Pfad ../Programme/Flashguard/Flahguard.exe) ein Dropper gefunden worden sei.
Erstmal war der Schreck natürlich groß, aber Antivir konnte die Dateien löschen, und ich war der Meinung, ich hätte noch einmal Glück gehabt.
Heute dann allerdings in der Uni meinen Flashstick an den dortigen PC geschmissen, dort meldete sich direkt der AVG Virenscanner, es sei eben jener Dropper (nur von AVG als Trojaner klassifiziert) gefunden worden, der auch versucht hat, sich auf dem Unirechner festzusetzen.
Ich habe natürlich sofort auf dem Stick nachgesehen, und im Pfad ../System/Security/Flashguard.exe schlummerte auch wieder eben jene Datei.
Dort auch wieder alles gelöscht.

Soweit, so gut. Ich war dann natürlich wieder der Annahme, ich wäre knapp davongekommen.
Nun habe ich allerdings heute Nachmittag den Laptop meiner Freundin auf den Pfad untersucht, und zur Überraschung auch dort den entsprechenden Flashguard-Ordner gefunden, allerdings (noch) ohne die .exe drin.
Ein paar Minuten später erschien diese dann, gleichzeitig startete im Hintergrund der Prozess flashguard.exe .
Ich natürlich sofort mit Antivir drübergezogen, allerdings hat er flashguard.exe nicht(!) erkannt, obwohl die neuesten Definitionen geladen waren.

Meine Sorge ist jetzt:
Kommt das Mistding eventuell auch auf meinem Rechner immer wieder und wird nicht erkannt?
Wieso wurde auf dem Laptop meiner Freundin bei gleichen Virendefinitionen flashguard.exe nicht als Schadprogramm erkannt?
Wie kann ich sichergehen, dass ich den Trojaner bzw. Dropper sicher entfernt hab und wie kann ich die Verbreitung über USB-Sticks verhindern?

Zeitgleich mit dem ersten Fund wurde auch der Ordner ../Programme/Bonjour/ angelegt. Ich hab hier schon im Forum gelesen, dass dies nicht unbedingt ein Schadprogramm sein muss, jedoch hat mich die Tatsache, dass Flashguard bei meiner Freundin nicht gefunden wurde, sensibilisiert. Könnte da eventuell auch ein Schadprogramm hinterstehen, welches vom Dropper installiert wurde und nicht erkannt wird, und sich als Apples Bonjour ausgibt?

Danke im Voraus für die Hilfe!

Alt 15.07.2008, 19:45   #2
zemtron
 
FlashGuard / Drive Guard Trojaner/Dropper - Standard

FlashGuard / Drive Guard Trojaner/Dropper



Hallo nochmal. Ein kleines Update:

Antivir hat gerade eben, sowohl bei meiner Freundin als auch bei mir, ein Backdoorprogramm entdeckt, das in einer Datei, die seit ewigen Zeiten anstandslos durch den Scanner gekommen ist. Hier der Bericht von AntiVir:

Der Suchlauf über die ausgewählten Dateien wird begonnen:
-------------------------------------
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\emu\wgens\kaillerasrv\kaillerasrv.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Backdoor.Gen
[HINWEIS] Die Datei wurde gelöscht.
------------------------------------
Ich hab auch im CC Cleaner die Startup Dateien durchforstet und da den Flash Guard gefunden und gelöscht.

Was kann ich sonst noch machen?
__________________


Alt 15.07.2008, 19:52   #3
Silent sharK
 

FlashGuard / Drive Guard Trojaner/Dropper - Standard

FlashGuard / Drive Guard Trojaner/Dropper



Hallo,
das hier mal bei Virustotal hochladen und das komplette Ergebnis posten:

Zitat:
C:\emu\wgens\kaillerasrv\kaillerasrv.exe
Erstelle zudem noch ein HijackThis Logfile und poste es hier, vergiss aber nicht alle aktiven Links und persönliche Namen zu editieren.

mfg

Nochwas:

Zitat:
Kommt das Mistding eventuell auch auf meinem Rechner immer wieder und wird nicht erkannt?
Wieso wurde auf dem Laptop meiner Freundin bei gleichen Virendefinitionen flashguard.exe nicht als Schadprogramm erkannt?
Wie kann ich sichergehen, dass ich den Trojaner bzw. Dropper sicher entfernt hab und wie kann ich die Verbreitung über USB-Sticks verhindern?
Zu
1.) Schadprogramme lassen sich ungern löschen
2.) Das kann ich dir leider nicht sagen
3.) Indem du das machst => Neuaufsetzen
4.) Indem du den USB Stick formatierst:
- bei gedrückter Shift-Taste anschließen (so wird die Autorun-Funktion unterdrückt)
- Rechtsklick und auf Formatieren.. gehen

mfg
__________________
__________________

Alt 15.07.2008, 19:54   #4
zemtron
 
FlashGuard / Drive Guard Trojaner/Dropper - Standard

FlashGuard / Drive Guard Trojaner/Dropper



Hi,

danke für die schnelle Antwort. AntiVir hat die Datei bereits gelöscht die ist nicht mehr vorhanden, von daher kann ich die leider nicht mehr hochladen.
Hab allerdings mal ein HijackThis File erstellt:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:47:16, on 15.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\antivir personaledition classic\avnotify.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/Zemtron/Eigene%20Dateien/Dreamweaver%203/Z_EXPLORER/zxp.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [BOTray] C:\WINDOWS\BOTray.exe
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .WAV: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

--
End of file - 7206 bytes
         

Alt 15.07.2008, 19:59   #5
Silent sharK
 

FlashGuard / Drive Guard Trojaner/Dropper - Standard

FlashGuard / Drive Guard Trojaner/Dropper



Ok, dann fixe bitte folgendes:

Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/Zemtron/Eigene%20Dateien/Dreamweaver% 203/Z_EXPLORER/zxp.htm
Zitat:
C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
Bewusst installiert?

Lade dir dann Malwarebytes herunter (Link in meiner Signatur) und lass ihn einen Komplett-Scan durchführen; bei der Installation und des Scans musst du den AntiVir Guard und evtl. andere Hintergrundwächter deaktivieren.

mfg

__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 15.07.2008, 23:57   #6
zemtron
 
FlashGuard / Drive Guard Trojaner/Dropper - Standard

FlashGuard / Drive Guard Trojaner/Dropper



Danke für die Info!

Werd das morgen mal durchlaufen lassen.
Im schnellen Modus hat das Prog bisher nichts gefunden.

Ist es denn theoretisch möglich, aus so einer Nummer noch mit einem "blauen Auge" davonzukommen?

Alt 16.07.2008, 00:01   #7
Silent sharK
 

FlashGuard / Drive Guard Trojaner/Dropper - Standard

FlashGuard / Drive Guard Trojaner/Dropper



Zitat:
Danke für die Info!

Werd das morgen mal durchlaufen lassen.
Im schnellen Modus hat das Prog bisher nichts gefunden.
Komplett-Scan wäre angebracht, schneller Scan ist sinnfrei

Zitat:
Ist es denn theoretisch möglich, aus so einer Nummer noch mit einem "blauen Auge" davonzukommen?
Kommt darauf an, auf was du andeutest

mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 16.07.2008, 10:47   #8
zemtron
 
FlashGuard / Drive Guard Trojaner/Dropper - Standard

FlashGuard / Drive Guard Trojaner/Dropper



Also, im Grunde hoffe ich nur, dass ich dieses Mistding wieder vollständig entfernt bekomme, ohne meinen Rechner und den meiner Freundin vollständig neu aufsetzen zu müssen.

Bin im Moment noch im Büro, kann daher noch nichts neues über den Stand der Dinge sagen, aber im Moment sieht es so aus, dass ich:

- Die schadhaften Dateien löschen konnte
- Mit CC Cleaner den startup Eintrag von Flashguard löschen konnte
- AntiVir im Moment nichts mehr findet
- Super AntiSpyware nichts mehr findet
- Der Prozess flashguard.exe nicht mehr ausgeführt wird

Wie sicher kann man denn dann davon ausgehen, dass man so einen Mist vollständig entsorgt bekommen hat?

Alt 16.07.2008, 11:53   #9
Silent sharK
 

FlashGuard / Drive Guard Trojaner/Dropper - Standard

FlashGuard / Drive Guard Trojaner/Dropper



Zitat:
Wie sicher kann man denn dann davon ausgehen, dass man so einen Mist vollständig entsorgt bekommen hat?
Je nachdem, um welche Art Schadprogramm es sich handelt.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 16.07.2008, 12:00   #10
zemtron
 
FlashGuard / Drive Guard Trojaner/Dropper - Standard

FlashGuard / Drive Guard Trojaner/Dropper



Danke nochmal für die immer schnellen Antworten!

Ich hab mich noch ein wenig quer im Internet informiert, anscheinend ist man sich über die Gefährlichket von flahsguard nicht so ganz einig.
Einzig den Hinweis fand ich brauchbar:

http://blog.threatfire.com/2008/06/removal-tool-no.html

Das Problem, dass ich einfach habe, ist der Umstand, dass auf dem Rechner 8 Semester Arbeit schlummern, und ich keine Möglichkeit sehe diese zu sichern, da sich der Mist ja auch per USB weiterverbreitet.

Falls Malwarebytes nichts mehr finden sollte im vollständigen Test, kann ich mir dann denn sicher sein, dass ich meinen PC noch ansatzweise gerettet hab, oder könnte sich das Schadprogramm unbekannt noch im Rechner befinden und irgendwann wieder loslegen?

Alt 16.07.2008, 12:06   #11
Silent sharK
 

FlashGuard / Drive Guard Trojaner/Dropper - Standard

FlashGuard / Drive Guard Trojaner/Dropper



Zitat:
Falls Malwarebytes nichts mehr finden sollte im vollständigen Test, kann ich mir dann denn sicher sein, dass ich meinen PC noch ansatzweise gerettet hab, oder könnte sich das Schadprogramm unbekannt noch im Rechner befinden und irgendwann wieder loslegen?
1.) Ja, MalwareBytes ist in der hinsicht recht aggressiv
2.) Das, was du hattest nicht, da es sich nicht um einen Backdoor Server oder Rootkit handelt.

Deine Semester Arbeit(en) sind keine ausführbaren Dokumente oder?
Wenn nicht, kannst du diese auch auf CD/DVD brennen.

mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 16.07.2008, 12:11   #12
zemtron
 
FlashGuard / Drive Guard Trojaner/Dropper - Standard

FlashGuard / Drive Guard Trojaner/Dropper



Ok, super. Da fällt mir schonmal ein erster Stein vom Herzen.
Ich meld mich dann heute am Abend nochmal, wenn Malwarebytes den kompletten Scan durchgezogen hat.

Vielen Dank nochmal für die kompetente Hilfe!

Alt 16.07.2008, 12:13   #13
Silent sharK
 

FlashGuard / Drive Guard Trojaner/Dropper - Standard

FlashGuard / Drive Guard Trojaner/Dropper



Gern geschehen
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 16.07.2008, 14:23   #14
zemtron
 
FlashGuard / Drive Guard Trojaner/Dropper - Standard

FlashGuard / Drive Guard Trojaner/Dropper



Zitat:
Zitat von Dark Viruz Beitrag anzeigen
2.) Das, was du hattest nicht, da es sich nicht um einen Backdoor Server oder Rootkit handelt.

Deine Semester Arbeit(en) sind keine ausführbaren Dokumente oder?
Wenn nicht, kannst du diese auch auf CD/DVD brennen.
mfg
Wäre es denn theoretisch möglich, dass der Dropper den Backdoorserver, den Antivir gefunden und gelöscht hatte, in die .exe eingebaut hat?
Wäre es denn dann damit ausgestanden, dass ich den mutmaßlichen Backdoorserver entfernen konnte und den Dropper ebenfalls entfernt habe?

Alt 16.07.2008, 15:43   #15
Silent sharK
 

FlashGuard / Drive Guard Trojaner/Dropper - Standard

FlashGuard / Drive Guard Trojaner/Dropper



Zitat:
Wäre es denn theoretisch möglich, dass der Dropper den Backdoorserver, den Antivir gefunden und gelöscht hatte, in die .exe eingebaut hat?
Seien wir mal froh, das Malware keine Intelligenz hat

Zitat:
Wäre es denn dann damit ausgestanden, dass ich den mutmaßlichen Backdoorserver entfernen konnte und den Dropper ebenfalls entfernt habe?
Backdoor Server kann man nicht so leicht entfernen, nur durch Neuaufsetzen kann man sicher gehn, das wieder alles i.O. ist: Technische Kompromittierung
Bei Droppern ist das anders, theor. ist jedes Setup.exe ein Dropper, da es Software auf deine HDD installiert.
Das was du meinst, ist ein Trojan-Downloader. Dieser ladet neue Schadprogramme und installiert diese

mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Antwort

Themen zu FlashGuard / Drive Guard Trojaner/Dropper
antivir, avg, datei, dateien, dropper, erkannt, forum, gleichzeitig, hilfe!, hintergrund, immer wieder, laptop, löschen, neues, nicht erkannt, nicht gefunden, plötzlich, problem, prozess, rechner, scan, scanner, trojaner, unbedingt, virenscanner, wird nicht erkannt



Ähnliche Themen: FlashGuard / Drive Guard Trojaner/Dropper


  1. Telekom Rechnung mit .exe nito.a Trojaner(?) auf Truecrypt verschlüsseltem Drive
    Log-Analyse und Auswertung - 28.02.2015 (11)
  2. guard-search.com bzw. Guard Search entfernen
    Anleitungen, FAQs & Links - 22.10.2014 (2)
  3. (mehrere) Trojanermeldung(en) AVG (Win8.1) : "Trojaner: Dropper.Generic2.ANGG.dropper"
    Log-Analyse und Auswertung - 11.07.2014 (3)
  4. Avira Guard meldet TR/Crypt.XPACK.Gen3 - Trojaner
    Log-Analyse und Auswertung - 26.05.2013 (25)
  5. AKM / BMI Trojaner, OTL via USB-Drive
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (1)
  6. 'EXP/Pidief.SZ.3' gefunden im Anitvir Guard & Web Guard
    Plagegeister aller Art und deren Bekämpfung - 08.09.2011 (11)
  7. Antivir Web Guard gestoppt und TR/Dropper.gen gefunden
    Log-Analyse und Auswertung - 05.09.2011 (13)
  8. BKA Trojaner "Drive by Exploit"
    Plagegeister aller Art und deren Bekämpfung - 16.08.2011 (2)
  9. TR/Dropper.Gen / Antivir Guard gestoppt / Bluescreen
    Plagegeister aller Art und deren Bekämpfung - 15.03.2011 (20)
  10. Guard hat Trojaner TR/Crypt.XPACK.Gen gefunden?
    Plagegeister aller Art und deren Bekämpfung - 11.02.2011 (6)
  11. Trojaner TR/ Dropper.Gen u. Trojaner TR/ Dropper.Gen2 entfernt, dennoch überlastung
    Plagegeister aller Art und deren Bekämpfung - 14.05.2010 (9)
  12. Werbefenster,Avira Guard nicht automatisch,TR/Dropper.Gen dauernd
    Plagegeister aller Art und deren Bekämpfung - 16.11.2009 (5)
  13. Infizierter USB Stick (TR\Dropper.Gen) - mögliche Infizierung trotz aktivem Guard?
    Plagegeister aller Art und deren Bekämpfung - 31.08.2009 (9)
  14. antivir guard strtet nicht, backdoor trojaner?
    Log-Analyse und Auswertung - 29.07.2009 (3)
  15. AntiVir Guard meldet Trojaner TR/agent.4699961
    Plagegeister aller Art und deren Bekämpfung - 24.08.2008 (36)
  16. Drive cleaner infiziert mit Trojaner
    Plagegeister aller Art und deren Bekämpfung - 11.01.2008 (1)
  17. Antivir Guard und Anti Trojaner schließen sich von selbst (Scan nicht möglich)
    Antiviren-, Firewall- und andere Schutzprogramme - 18.06.2003 (31)

Zum Thema FlashGuard / Drive Guard Trojaner/Dropper - Hallo erstmal - wie die meisten bin ich erst durch ein Problem mit meinem Rechner auf dieses Forum gestoßen und hoffe, dass mir hier geholfen werden kann. Am letzten Sonntag - FlashGuard / Drive Guard Trojaner/Dropper...
Archiv
Du betrachtest: FlashGuard / Drive Guard Trojaner/Dropper auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.