Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Tr/Ramnit.D und TR/Trash.GEn von Antivir gefunden, Symantec hat 097M.Dropper gefunden (https://www.trojaner-board.de/97607-tr-ramnit-d-tr-trash-gen-antivir-gefunden-symantec-hat-097m-dropper-gefunden.html)

PeterPan70 17.04.2011 19:30
Tr/Ramnit.D und TR/Trash.GEn von Antivir gefunden, Symantec hat 097M.Dropper gefunden
 
Hallo zusammen,
Antivir hat TR/Ramnit.D gefunden. Ich habe auf löschen gedrückt. Anschließend habe ich die aktuellen Service Packs heruntergeladen und mit Antivir gescannt. Logfile1
Jetzt meldete Antivir TR/Trash.Gen gefunden. Hierauf habe ich Malewarebites laufen lassen: Logfile 2. Immer noch der Fund: Trash.Gen
Ein Freund sagte ich soll Symantec laufen lassen. Der Security Check ergab 762 infizierte Dateien. Alles xls und doc dokumente die mit 097M. Dropper infiziert waren. Im Arbeitsspeicher wurde nichts gefunden.
Jetzt wurde ich auf Trojaner-Board aufmerksam.
Ich habe die Anleitung befolgt und die Logfiles Angehängt.
Ich hoffe ich habe alle nötigen Angaben gemacht.
Bitte kann mir jemand sagen, ob die Dateien noch zu retten sind, und was ich dafür tun muss.
Im voraus vielen Dank PeterPan70

Larusso 18.04.2011 08:01
:hallo:

Ich habe schlechte Neuigkeiten.

Ramnit ist ein FileInfector welcher .dll und .exe Dateien infiziert. Es ist ihm ausserdem möglich, .HTML/HTM Dateien zu infizieren und besitzt noch eine Backdoor Eigenschaft.

Diese Art Virus kann man mit Virut vergleichen, wo Petra eine sehr gute Erklärung geschrieben hat.

Auch eine englishe Erläuterung von fireman4it auf BleepingComputer.com

Die einzige Lösung für Infektionen dieser Art, ist ein sauberes neu aufsetzen.
Ebenfalls sollte man vorhandene Backups überprüfen.

http://www.hijackthis-forum.de/tipps...tml#post255576

Datensicherung sollte wenn möglich vermieden werden. Du darfst keinesfalls ausführbare Dateien mitsichern.

Das Backup vor dem Einspielen nochmals mit 3 verschiedenen Online Scannern überprüfen.

PeterPan70 18.04.2011 10:08
Hallo Larusso,

vielen Dank für deine Antwort.
Mein letztes Backup ist leider schon ein Jahr alt. Was kann ich tun um die jüngeren Dateien nicht zu verlieren? Siehst du hierfür eine Möglichkeit, zumal die Dateien ja mit 097M.Dropper infiziert sind?
Viele Grüße
PeterPan70

Larusso 18.04.2011 21:11
Hy,

Zu dem Dropper spuckt Symantec nicht gerade viel aus. Dieser Infiziert anscheinend nur Dokumente aber lädt neues nach.

Lass einmal 2- 3 solcher .doc und .xls Dateien bei Virustotal prüfen.

Mal sehen was andere Scanner dazu sagen.

PeterPan70 18.04.2011 22:30
Hallo,

hier das Ergebnis einer .xls Datei: und anschließend die .doc Datei

Antivirus Version Last update Result

AhnLab-V3 2011.04.19.00 2011.04.18 -

AntiVir 7.11.6.173 2011.04.18 -

Antiy-AVL 2.0.3.7 2011.04.18 -

Avast 4.8.1351.0 2011.04.18 -

Avast5 5.0.677.0 2011.04.18 -

AVG 10.0.0.1190 2011.04.18 -

BitDefender 7.2 2011.04.18 W97M.Ramnit.A

CAT-QuickHeal 11.00 2011.04.18 -

ClamAV 0.97.0.0 2011.04.18 -

Commtouch 5.3.2.6 2011.04.18 -

Comodo 8390 2011.04.18 -

DrWeb 5.0.2.03300 2011.04.18 W97M.Rmnet.2

Emsisoft 5.1.0.5 2011.04.18 -

eSafe 7.0.17.0 2011.04.18 -

eTrust-Vet 36.1.8278 2011.04.18 -

F-Prot 4.6.2.117 2011.04.18 -

F-Secure 9.0.16440.0 2011.04.18 W97M.Ramnit.A

Fortinet 4.2.257.0 2011.04.18 -

GData 22 2011.04.18 W97M.Ramnit.A

Ikarus T3.1.1.103.0 2011.04.18 -

Jiangmin 13.0.900 2011.04.18 -

K7AntiVirus 9.96.4412 2011.04.18 -

Kaspersky 7.0.0.125 2011.04.18 -

McAfee 5.400.0.1158 2011.04.18 X97M/Dropper

McAfee-GW-Edition 2010.1D 2011.04.18 X97M/Dropper

Microsoft 1.6702 2011.04.18 -

NOD32 6053 2011.04.18 -

Norman 6.07.07 2011.04.18 -

Panda 10.0.3.5 2011.04.18 -

PCTools 7.0.3.5 2011.04.18 MsOffice.O97M-Dropper

Prevx 3.0 2011.04.18 -

Rising 23.54.00.06 2011.04.18 -

Sophos 4.64.0 2011.04.18 OF97/Inor-C

SUPERAntiSpyware 4.40.0.1006 2011.04.16 -

Symantec 20101.3.2.89 2011.04.18 O97M.Dropper

TheHacker 6.7.0.1.176 2011.04.17 -

TrendMicro 9.200.0.1012 2011.04.18 -

TrendMicro-HouseCall 9.200.0.1012 2011.04.18 -

VBA32 3.12.16.0 2011.04.18 -

VIPRE 9053 2011.04.18 -

ViRobot 2011.4.18.4416 2011.04.18 -

VirusBuster 13.6.311.0 2011.04.18 EXCEL.97.Dropexe.H

MD5: e6ac92e54f53906088ad3748976e14f7

SHA1: e693a5a87c79cd23b241380944baeae14c8e60b8

SHA256: 7f9114c0cca240e41f233fb8b1cc3fadd3b3479984073187d4c673e557d8fdbf

File size: 13286400 bytes

Scan date: 2011-04-18 21:21:35 (UTC)


und hier das Ergebnis des. Doc Dokumens:
Antivirus Version Last update Result

AhnLab-V3 2011.04.19.00 2011.04.18 -

AntiVir 7.11.6.173 2011.04.18 -

Antiy-AVL 2.0.3.7 2011.04.18 -

Avast 4.8.1351.0 2011.04.18 -

Avast5 5.0.677.0 2011.04.18 -

AVG 10.0.0.1190 2011.04.18 -

BitDefender 7.2 2011.04.18 W97M.Ramnit.A

CAT-QuickHeal 11.00 2011.04.18 -

ClamAV 0.97.0.0 2011.04.18 -

Commtouch 5.3.2.6 2011.04.18 -

Comodo 8390 2011.04.18 -

DrWeb 5.0.2.03300 2011.04.18 W97M.Rmnet.1

eSafe 7.0.17.0 2011.04.18 -

eTrust-Vet 36.1.8278 2011.04.18 -

F-Prot 4.6.2.117 2011.04.18 -

F-Secure 9.0.16440.0 2011.04.18 -

Fortinet 4.2.257.0 2011.04.18 -

GData 22 2011.04.18 W97M.Ramnit.A

Ikarus T3.1.1.103.0 2011.04.18 -

Jiangmin 13.0.900 2011.04.18 -

K7AntiVirus 9.96.4412 2011.04.18 -

Kaspersky 7.0.0.125 2011.04.18 Trojan-Dropper.MSExcel.Agent.bi

McAfee 5.400.0.1158 2011.04.18 W97M/Dropper

McAfee-GW-Edition 2010.1D 2011.04.18 W97M/Dropper

Microsoft 1.6702 2011.04.18 -

NOD32 6053 2011.04.18 -

Norman 6.07.07 2011.04.18 -

Panda 10.0.3.5 2011.04.18 -

PCTools 7.0.3.5 2011.04.18 MsOffice.O97M-Dropper

Prevx 3.0 2011.04.18 -

Rising 23.54.00.06 2011.04.18 -

Sophos 4.64.0 2011.04.18 OF97/Inor-C

SUPERAntiSpyware 4.40.0.1006 2011.04.16 -

Symantec 20101.3.2.89 2011.04.18 O97M.Dropper

TheHacker 6.7.0.1.176 2011.04.17 -

TrendMicro 9.200.0.1012 2011.04.18 -

TrendMicro-HouseCall 9.200.0.1012 2011.04.18 -

VBA32 3.12.16.0 2011.04.18 -

VIPRE 9053 2011.04.18 -

ViRobot 2011.4.18.4416 2011.04.18 -

VirusBuster 13.6.311.0 2011.04.18 EXCEL.97.Dropexe.H

MD5: 1bf8fa5d02e3329f8e2985656ff1c4b6

SHA1: 564421dded114b40cdf53ecb1fcba160f27bf209

SHA256: d683e4861acd1de3645f33fe6c56a1626855fedad0facc2142e1aa85747fe375

File size: 684032 bytes

Scan date: 2011-04-18 21:26:48 (UTC)

Viele Grüße
PeterPan70

Larusso 18.04.2011 22:37
Dachte ich mir doch, dass diese auch mit Ramnit verseucht sind.

Ich würde auf die Daten auf jeden Fall verzichten. Tut mir Leid, sowas schreibe ich selber nur ungern :(

PeterPan70 19.04.2011 08:26
Hallo Larusso,

vielen Dank, dass du dich um mein Problem gekümmert hast, auch wenn dies schlechte Nachrichten sind. Ich habe so was schon befürchtet.
Auf jeden Fall weiß ich jetzt was ich tun muss um wieder ein sauberes System zu bekommen.

Viele Grüße
PeterPan70

Larusso 20.04.2011 21:19
Froh das wir helfen konnten :abklatsch: ( mehr oder weniger )

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20