|
Ok, schonmal danke für diese Aufklärung - was man nicht alles innerhalb von zwei Tagen dazulernt, wenn man ein Problem hat... ;-) Also, hab Malwarebytes mal komplett durchlaufen lassen. Zuerst hatte ich vergessen, AntiVir auszustellen. Dieses meldete sich prompt, als Malwarebytes zu den Systemwiederherstellungsdateien kam. Da drin war noch einmal das Schadprogramm "BDS/Backdoor.GEN", so wie schon in der einen befallenen .exe von gestern Abend. Machte für mich aber dahingehend Sinn, als dass das Schadprogramm ja auch nur ein Teil des Systems darstellt, welches von der Wiederherstellung gespeichert wird. Hab daraufhin die Datei von AntiVir löschen lassen und gleichzeitig die Systemwiederherstellung deaktiviert, so dass auch die Wiederherstellungsdateien gelöscht wurden. Danach hab ich AntiVir komplett durchlaufen lassen - von "BDS/Backdoor.Gen" war nichts mehr zu sehen. Dann Neustart und ohne den AVGuard Malwarebytes durchlaufen lassen. Hier das Ergebnis: Code: Malwarebytes' Anti-Malware 1.20 |
Wenn du die betroffene Datei in der Quarantäne von AntiVir hättest, dann könnten wir die bei Virustotal hochladen und auswerten lassen. Dateien in dem Ordner System Volume Information sind öfters beschädigt und werden deswegen von der generischen Suche (Kenntlich an der Endung .Gen) des AV als bösartig erkannt. War bei mir auch schon oft der Fall, hab die Dateien analysieren lassen, und das oben genannte kam dabei raus :) Aber um sicher zu gehen, solltest du deine Passwörter von einem sauberen Rechner aus ändern und das Verhalten des Betroffenen im Auge behalten. Falls du was Ungewöhnliches feststellst, melde es bitte. mfg |
Danke, super. Also - nur um nochmal sicher zu gehen - sieht es doch bisher ganz gut aus, oder? Kann Dir wirklich gar nicht genug danken, finde es immer wieder erstaunlich, dass es Leute wie Dich gibt, die für lau anderen so schnell unter die Arme greifen. :daumenhoc Ich werd dann ganz einfach jedes Mal, wenn ich mich an den Rechner setze, AntiVir und Malwarebytes durchlaufen lassen, dann sollten mir doch Veränderungen auffallen, oder? Ansonsten gibt es allerdings immer noch das Problem mit dem Laptop meiner Freundin. Das Komische ist, dass dort auch an den üblichen Pfaden Dateien von Driveguard und Flashguard sind, diese aber einfach von AntiVir und anderen Programmen nicht erkannt werden, trotz neuester Definitionen, wohingegen AntiVir bei mir ja sofort angeschlagen war... |
Zitat:
Zitat:
Zitat:
Ich will da aber jetzt keine voreiligen Schlüsse ziehn, ich denke ihr wird man da auch helfen. Mein Rat, ein sauberes Neuaufsetzen schafft jedes Malwareproblem beiseite ;) mfg |
Hallo nochmal. Also, es gibt Neuigkeiten bezüglich meines ominösen Besuchers auf dem Rechner: Zum einen habe ich das Uninetzwerk definitiv als Quelle festmachen können, da ich mich heute mit einigen Kommilitonen ausgetauscht habe, die alle(!), auch in verschiedenen Übungsräumen auf Flashguard gestoßen sind, der sich auch auf deren USB-Sticks gesetzt hat. Allerdings habe ich jetzt noch eine Frage zu dem mutmaßlichen Backdoor Server (BDS/Backdoor.GEN). Die Datei, in der er gefunden wurde, also "kailleraserv.exe" gehört zu einem Emulator, der über diese .exe auch in der Lage ist, eine Verbindung ins Internet aufzubauen. Seit fast zwei Jahren habe ich den Emulator nicht mehr verwendet, und AntiVir hat bei den Tests in diesem Zeitraum nie etwas gefunden. Dann allerdings sowohl bei meiner Freundin, als auch heute bei meinen Eltern auf dem heimatlichen PC, den ich seit fast drei Monaten auch nicht mehr benutzt habe. Könnte der Fund eventuell wirklich nur ein falscher Alarm von Antivir sein? Es wäre doch auf der einen Seite recht ungewöhnlich, wenn entweder das Programm erst nach mehreren Jahren ohne Benutzung aktiv wird, oder aber Avira seit zwei Jahren keine Definitionsdatei rausbringen würde, die dieses Problem nicht schon früher gefunden hätte, oder? Ich habe die Vermutung eines Fehlalarms daher, weil auch bei meinen Eltern, die nun wie gesagt schon seit langer Zeit nichts mehr mit USB Sticks o.ä. vonmir zu tun hatten, auch plötzlich nach einem Definitionsupdate in eben genau dieser jahrealten Datei eben genau jenen "Fund" haben. Ist diese Hypothese plausibel, oder nicht?:confused: Ach ja, hier auch nochmal eine aktuelle HijackThis Logdatei: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hallo, Ich würde die betroffene Datei Avira zur Analyse senden. Berichte uns dann, was sie zu der Datei sagen. Wichtig: Du musst bei dem Punkt Typ: Verdacht auf Fehlalarm auswählen. Das hier mit HijackThis fixen: - Schließe alle anderen Programme - Klicke auf den Button Do only a system scan - Setze ein Häkchen bei dem betroffenen Eintrag - Klicke auf fix checked - Reboote den Rechner neu Zitat:
Mache mal bitte folgendes: Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. mfg |
Hallo nochmal, also, bin ab morgen wieder im Semesterurlaub bei meinen Eltern, die haben die fragliche Datei zum Glück noch, und ich werde die mal zu Avira schicken und auch bei Viroustotal hochladen. Hier das Scanergebnis: Code: Search Navipromo version 3.6.0 began on 17.07.2008 at 23:27:11,36 |
Du bist sauber, keine Malware gefunden :) mfg |
Also, hatte endlich die Möglichkeit, den potentiellen Backdoorserver in der Datei kailleraserv.exe bei meinen Eltern an VirusTotal zu schicken. Hier das Ergebnis, stützt eigentlich meine These des Fehlalarms, oder?: Code: Antivirus Version letzte aktualisierung ErgebnisCode: Logfile of Trend Micro HijackThis v2.0.2EDIT: Allerdings habe ich gerade einmal MalwareBytes durchlaufen lassen, das hat im Schnelltest bereits 20(!) Dateien gefunden. Bin gerade etwas baff - wie ernst ist die Lage?: Code: Malwarebytes' Anti-Malware 1.21 |
Also, neueste Entwicklung am Rechner: MalwareBytes startet seit der Bereinigung der gefundenen Dateien nicht mehr. Es erscheint ein Fenster mit der Überschrift "vbAccelerator SGrid II Control" und dem Inhalt Laufzeitfehler '0' und der Möglichkeit, auf OK zu klicken. Macht man dies, erscheint ein weiteres Windows-Popup mit der Überschrift "MalwareBytes' Anti-Malware" und dem Inhalt "Laufzeitfehler '440': Automatisierungsfehler", und MalwareBytes startet nicht. Auch eine Neuinstallation (bei der das Problem während der Deinstallation und der Neuinstallation wieder auftrat), bringt keine Lösung - gerade eben hatte es aber doch noch anstandslos funktioniert!? |
Hier noch das Log von NaviLog: Code: Search Navipromo version 3.6.0 began on 19.07.2008 at 12:53:29,53 |
Also, wenn es bei diesen Logs vom dem Rechner deinen Eltern handelt, rate ich dir Neuaufzusetzen. Eine Bereinigung wär nur bedingt sinnvoll und würde bestimmt länger dauern, du kannst es dir (bzw. deine Eltern) aussuchen. Allerdings, wenn diese PayPal, ebay oder Online Banking nutzen, wär Letzteres bestimmt besser.:daumenhoc mfg |
Ok, danke für die Info. Allerdings hat Malwarebytes (ich hab es dann doch wieder zum Laufen bekommen) im erneuten Durchlauf nichts mehr gefunden - ist denn bei dem geposteten Navilog Bericht irgendetwas auffällig? |
Nein, das kannst du sogar selber rauslesen :) Wäre was gefunden worden, würde die betroffene Datei angezeigt und dahinter found! gestanden mfg |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board