Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)
-   -   Win 10: Win.Virus.Expiro nach Neuinstallation von Win10 und anderen Programmen gefunden. (https://www.trojaner-board.de/201389-win-10-win-virus-expiro-neuinstallation-win10-anderen-programmen-gefunden.html)

no.Joe 13.03.2021 18:55
Win 10: Win.Virus.Expiro nach Neuinstallation von Win10 und anderen Programmen gefunden.
 
Hi Trojaner-Board Communitiy, (wenn ich im falschen Thread bin, dann bitte verschieden. Sorry... :( )

aufgrund eines Trojaners, habe ich meine Festplatte formatiert und Windows10 vom USB-Stick neu installiert.
Folgende Programme habe ich anschließend installiert:
- LibreOffice
- Thunderbird
- Firefox
- PDF x Change Editor (dies war eine Zip-Datei mit einer *.exe. Die Datei habe ich mit dem Windows Virenscanner gescannt und war ok.)
Ich meinte, dass ich alle Install-Dateien von der Herstellerseite geladen habe.


Weil ich Angst hatte, ob der Trojaner wirklich weg ist, habe ich die Festplatte mit clamav in Ubuntu gescannt (vom USB-Stick gebootet).
Tatsächlich ist kein Trojaner mehr da, dafür wurde aber ein "Win.Virus.Expiro" gefunden. 3x

Hier das Ergebnis:
Zitat:
/media/ubuntu/B082094C8209190C/Windows/System32/AppVClient.exe: Win.Virus.Expiro-9839571-0 FOUND
/media/ubuntu/B082094C8209190C/Windows/WinSxS/amd64_microsoft-windows-a..nagement-appvsystem_31bf3856ad364e35_10.0.19041.84_none_40bd4149a6d52edb/AppVClient.exe: Win.Virus.Expiro-9839571-0 FOUND
/media/ubuntu/B082094C8209190C/Windows/WinSxS/amd64_microsoft-windows-a..nagement-appvsystem_31bf3856ad364e35_10.0.19041.84_none_40bd4149a6d52edb/AppVClient.exe: Win.Virus.Expiro-9839571-0 FOUND

Jetzt habe ich Angst überhaupt Windows zu starten. :)

Ich bräuchte einen Rat von euch. Woher kann der Virus kommen?
  • Von den Installationsdateien?
  • Von dem Windows-Installations-Stick?
  • War er auf der Festplatte?
  • Ist es ein Fehler von clamav in ubuntu?

Dann hätte ich noch ein paar andere Fragen. :)
- Kann der Virus mein gespeichertes Passwort aus Thunderbird lesen?
- Kann ich unbesorgt in Ubuntu/Linux arbeiten, trotz des Virus auf der Windows-Festplatte?

Ich kann Win10 auch einfach nochmal neu installieren, wenn das die leichteste Lösung ist. :)

Vielen Dank und Grüße
Joe

felix1 13.03.2021 19:29
:hallo:

Wenn man eine richtige Neuinstallation durchführt, überlebt das Schadsoftware nicht.
Das zum ersten. Zum zweiten:
Egal ob Dualboot oder Linux in einer VM, Thunderbird wird dadurch im Linux nicht in Mitleidenschaft gezogen.
Code:
Ich kann Win10 auch einfach nochmal neu installieren, wenn das die leichteste Lösung ist.
Mache das ruhig mal.

no.Joe 13.03.2021 19:54
Hi felix1,
danke für die schnelle Antwort. Dann werde ich das gleich nochmal machen.
Scannen werde ich dann morgen.

Braucht man in Linux überhaupt einen Virenscanner? Gibt es für Linux Viren/Maleware etc.?

felix1 13.03.2021 20:06
Zitat:
Zitat von no.Joe (Beitrag 1750332)
Braucht man in Linux überhaupt einen Virenscanner? Gibt es für Linux Viren/Maleware etc.?
Wenn man sein Linux aktuell hält, benötigt man für Linux kein AV. Sinnvoll ist es aber, im Firefox einen adblocker zu installieren.

M-K-D-B 13.03.2021 20:37
Das sieht nach einem false positive (Fehlalarm) von ClamAV aus. Wieso wurde ClamAV überhaupt verwendet?
Bei einer Formatierung und Neuinstallation gibts keine Malware mehr auf dem System.

Eine erneute Neuinstallation halte ich daher ehrlich gesagt für sinnfrei.

Da das Thema nichts mit der Entfernung mit Malware zu tun hat, verschiebe ich nach Windows.

stefanbecker 13.03.2021 20:56
@no.Joe:

Zur Sicherheit kannst du die Datei "c:\Windows\System32\AppVClient.exe" bei virustotal.com hochladen und prüfen lassen.

Wird aber so sein wie mkdb sagte. ClamAV ist ja für Fehlalarme bekannt.

no.Joe 13.03.2021 21:44
Danke für die Antworten.

Zitat:
Wieso wurde ClamAV überhaupt verwendet?
Weil ich gelesen habe, dass manche Trojaner/Viren sich verstecken können, wenn Windows ausgeführt ist. Daher habe ich Linux gestartet und ClamAV genutzt. Hatte Angst, dass sich vielleicht doch noch irgendwo was versteckt.
Der erste Trojaner (siehe erste Post) wurde von BitDefender in Windows nicht entdeckt, aber von ClamAV. Daher habe ich ClamAV jetzt nochmal benutzt.

Zitat:
Da das Thema nichts mit der Entfernung mit Malware zu tun hat, verschiebe ich nach Windows.
Danke

Zitat:
Zur Sicherheit kannst du die Datei "c:\Windows\System32\AppVClient.exe" bei virustotal.com hochladen und prüfen lassen.
Die Datei ist tatsächlich virenfrei.


Frage:
Ich habe eine 2. Festplatte. Die habe ich aktuell abgetrennt. Ist es üblich, dass Viren sich automatisch auf alle anderen Festplatten/Partitionen kopieren sobald sie auf einem System sind?
Ich habe ClamAV auch die 2. Festplatte scannen lassen. Dort wurde nichts gefunden.

stefanbecker 13.03.2021 21:48
Statt ClamAV kannst du auch einen Würfelbecher nehmen, ist vom Ergebnis her besser :)

Ansonsten kann man die Frage mit einem ganz klaren "Könnte sein" beantworten. Mal so mal so.

Ransomware z. B. verschlüsselt alles greifbare incl. Netzlaufwerken.

Hat ja auch niemand eine Ahnung, was das eigentliche Problem war. Der "ein Trojaner" aus dem Eingangspost kann ja alles mögliche gewesen sein.

no.Joe 13.03.2021 22:13
Zitat:
Zitat von stefanbecker (Beitrag 1750345)
Statt ClamAV kannst du auch einen Würfelbecher nehmen, ist vom Ergebnis her besser :)
Ui, krass. Bis jetzt habe ich nur gute Erfahrung mit ClamAV gemacht. Und eher schlechte mit den klassischen FreewareAVs wie: Avast, Avira und BitDefender.[/QUOTE]


Zitat:
Zitat von stefanbecker (Beitrag 1750345)
Hat ja auch niemand eine Ahnung, was das eigentliche Problem war. Der "ein Trojaner" aus dem Eingangspost kann ja alles mögliche gewesen sein.
Der Grund für meinen ersten Scan war, dass sich der Provider eines Anbieters bei mir gemeldet hatte, dass eine Maleware von meinem Rechner sich versucht hat ins System einzuloggen. Da lief es mir schon kalt den Rücken runter.
Leider habe ich es nicht dokumentiert. Ich kann mich noch erinnern, dass ClamAV "Win.Dropper-Trojaner" ausgespuckt hat. Und nach kurzem googlen ich dann direkt formatiert habe. :pfeiff:

stefanbecker 13.03.2021 22:21
Formatieren nach Telekom Brief ist ja immer die sauberste Methode. Wobei, wenn man mehrere Rechner hat, eine vorherige Prüfung in einem Fachforum wie hier empfehlenswert ist.

Will nicht jeder Anwender hören, ist aber so.

Bzgl. AntiVirus auf dem Rechner sollte man ansonsten den integrierten Windows Defender nehmen. Völlig ausreichend und macht gerade bei Windows Updates die wenigsten Probleme.

Mit dem Windows Defender Offline kannst du das System auch prüfen, bevor es komplett hochgefahren ist. Spart dir den USB-Stick mit Ubuntu.

https://support.microsoft.com/de-de/...0-ff533f183d6c

no.Joe 13.03.2021 22:32
Zitat:
Zitat von stefanbecker (Beitrag 1750347)
Mit dem Windows Defender Offline kannst du das System auch prüfen, bevor es komplett hochgefahren ist. Spart dir den USB-Stick mit Ubuntu.

https://support.microsoft.com/de-de/windows/schutz-f%C3%BCr-den-pc-mithilfe-von-microsoft-defender-offline-9306d528-64bf-4668-5b80-ff533f183d6c
Danke, das wusste ich noch nicht.
Das nächste Mal (ich hoffe, das passiert nicht :lach: ) melde ich mich dann hier. :)

Ich denke, das Thema kann geschlossen werden.
Vielen Dank.
no.joe


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131