Trojanermeldung

    Trojanermeldung

    Hallo!

    Ich hab die Tage nen Trojaner mit dem Namen "TR/Dropper.Gen' [trojan]" auf dem PC gehabt und habe dann das kostenlose Antivir durchlaufen lassen und danach auf "Reparieren" gedrückt.

    Leider zeigt mir der Antivir Guard seitdem ab und zu immer diese Meldung an


    In der Datei 'C:\System Volume Information\_restore{F1D1C23E-75E0-4D02-B611-1B9E9348CBC1}\RP232\A0067445.exe'
    wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
    Ausgeführte Aktion: Zugriff verweigern

    Was genau heißt das den nun? Ist der Trojaner jetzt noch auf dem PC drauf, weil dort als Fundort die C Festplatte angegeben wird oder habe ich den durch das "reparieren" gelöscht?

    Und wenn er noch auf dem PC ist, wie bekomme ich den dann wieder runter? :confused2:

    RE: Trojanermeldung

    Metepec schrieb:


    C:\System Volume Information\_restore{F1D1C23E-75E0-4D02-B611-1B9E9348CBC1}\RP232\A0067445.exe'


    Hallo und willkommen im Forum!

    bitte mal diese Logs anfertigen und hier abposten.

    Malwarebytes:
    zdnet.de/adware_entfernen_unte…load-39002345-88313-1.htm
    Fünde löschen und Log posten

    Hijackthis:
    trendsecure.com/portal/de/tools/security_tools/hijackthis
    Log posten

    Die vollständige Meldungen von Avira (Das Scan Protokoll)

    (alle Programme als Administrator ausführen und die Logs gerne als Textanhang an deiner Antwort anhängen oder abkopieren)

    grüsse
    GAV
    Also ich hab vorhin das MalwareBytes Programm durchlaufen lassen und dabei sprang der Guard wieder auf mit diesem Dropper Gen. Ich hab dann einfach auf löschen gedrückt...damit dürfte dieser Trojaner ja gelöscht sein, oder?

    Ist der überhaupt noch auf meinen PC wenn nur der Viren Guard aufspringt?
    der virus befindet sich der meldung nach noch in einem (oder vielleicht auch mehreren) wiederherstellungspunkt(en).
    um den dort loszuwerden, muß zum einen der entsprechende wiederherstellungspunkt gelöscht werden und zum anderen eine bereinigung bei deaktivierter wiederherstellungsfunktion durchgeführt werden (wenn alles sauber ist, kann man danach die systemwiederherstellungsfunktion wieder aktivieren). dabei gehen wiederherstellungspunkte zwangsläufig verloren.
    anleitungen zum vorgehen beim bereinigen von viren aus der wiederherstellung gibt es auch hier im forum (hab selbst grad keine zeit, das rauszusuchen).

    mfg lexx
    :dark:
    Puh...das ist ja echt verzwickt! Gibt es denn kein Virenprogramm das den Virus automatisch löscht? Ich hab hier schon gesehen mit den ganze Logs usw. die man offensichtlich posten muss um das Problem zu beseitigen aber das möchte ich eigentlich nicht so gerne, mein ganzes Innenleben des PCs hier posten. Mal abgesehen von anderen Dinge wie den erwähnten Wiederherstellungspunkten...hab da null Ahnung von PCs und Software usw.

    Was ist denn wenn ich das WINXP einfach komplett neu instaliere und davor die komplette C Festplatte formatiere...dann müsste der Virus doch auch weg sein, oder?
    Hallo!



    Ich habe zur Zeit wieder diesen einen Trojaner (TR/Dropper.Gen) an Bord und diesen Tipp hier befolgt:



    trojaner-info.de/beseitigung.shtml





    Ich habe die Datei direkt gesucht und als der Anti VirenGuard
    aufgesprungen und ich habe löschen ausgewählt, das System neu gestartet
    und wollte danach die Datei suchen aber finde die nicht bei der Suche,
    diese hier:



    C:\System Volume Information\_restore{F1D1C23E-75E0-4D02-B611-1B9E9348CBC1}\RP300\A0081058.exe



    Ein Blick in den Ordner System ergab das es keinen Ordner Volume Information gibt.


    Welches von dem langen Dateienpfad ist eigentlich der Name der Datei die
    ich in der Suche eingeben muss. Kann man nicht einfach auch die gesamte
    C Festplatte Formatieren und WinXP neu instalieren?

    Dann müsste der Trojaner doch auch weg sein, oder? Formatieren will ich aber als letztes weil ich einfach zu faul bin. :redface11:

    Gibt es denn kein Antiviren Programm das solche Trojaner vollkommen löscht? Ich habe Anti Vir.

    Metepec schrieb:


    Welches von dem langen Dateienpfad ist eigentlich der Name der Datei die
    ich in der Suche eingeben muss. Kann man nicht einfach auch die gesamte
    C Festplatte Formatieren und WinXP neu instalieren?


    Das ist das sicherste:

    > pctipp.ch/forum/showthread.php?t=519
    > UND MBR neuschreiben: computerleben.net/artikel/MBR_neu_schreiben-10.html
    > Infizierte Wechselmedien untersuchen: panda-usb-vaccine.softonic.de/ (Bei Computer und allen Wechselmedien, die Autorunfunktion deaktivieren.) Dann mit mehreren Antivirenprogrammen, die USB Sticks, etc. überprüfen.

    Dann müsste der Trojaner doch auch weg sein, oder? Formatieren will ich aber als letztes weil ich einfach zu faul bin. :redface11:


    Nur Antivrenprogramme einsetzen hilft nicht.


    Gibt es denn kein Antiviren Programm das solche Trojaner vollkommen löscht? Ich habe Anti Vir.



    Siehe oben. Wenn du willst dann mache ich eine Bereinigung mit dir. Poste zum Anfang diese Logs. (Kopiere die Log hier zur Ansicht rein)
    > trendsecure.com/portal/de/tools/security_tools/hijackthis
    > Das Log von Malwarebytes Anti Malware.

    > Leere auch mal deine Wiederherstellungspunkte. Da sitzt der Trojaner, der dir soviel Ärger macht: windows-tweaks.info/html/nosysrec.html
    Danach PC ausschalten, etwas warten, dann wieder anschalten und Systemwiederherstellung wieder aktivieren.

    GAV

    Warum schwer wenns auch einfach geht:

    trojaner-info.de/beseitigung.shtml

    Ähm..ja: (tt) 26.06.2000
    Die Seite ist über zehn Jahre alt und entspricht nicht dem aktuellen Stand der Technik.


    Erklär mir einer doch mal wo ich hier dann das betreffende Programm bei der Suche finde und welche Teil der langen Datei da angeben muss bei der Suche. Wenn ich den kompletten Pfad angebe finde die Suche nichts.

    Weils in der Systemwiederherstellung drin ist (wie Lexx bereits schrieb). "System Volume Information" ist der Systemordner. Der hat mit dem Ordner System unter C:\Windows nix zu tun. Auf den Ordner kannst Du aus gutem Grund auch nicht mit dem Explorer zugreifen.
    Der Ordner wird automatisch geleert, wenn Du die Systemwiederherstellung ausschaltest:
    wintotal.de/tipparchiv/?TID=170
    Danach kannst Du nochmal einen kompletten Virenscan im abgesicherten Modus fahren und dann nach Neustart die Systemwiederherstellung wieder einschalten. Achtung: Dieses Verfahren garantiert keinen unverseuchten PC.

    Nein, ich werde keine Log posten - das sind private Infos, Dateien usw. und die mache ich bestimmt nicht öffentlich!

    Na, denn...
    {brigens ist ein Kezboard/Treiber v;llig [berfl[ssig!

    Hier gibts Antivirensoftware
    Hmm...aber in Deinem Link steht auch drin wie man ausgeblendete und geschützte Ordner sichtbar macht - da könnte ich doch theoretisch dann da rein und nur diese eine Datei löschen, eben den Trojaner. Dann wäre er doch weg.

    Aber ok...ich machs so wie Du sagst nur hab da noch die Frage wie man den Virenscan im abgesicherten Modus macht. Ich habe mal, so ca. im Jahr 2002, gesehen was ein abgesicherter Modus ist. Und war es damals so das man den PC gestartet hat und dann war da so ein, ich glaube blauer, Rahmen im Bild. Meinst Du diesen abgesicherten Modus? Wenn ich mich richtig erinner konnte man den aber nur im DOS starten. Na ja...erklär bitte wie es geht und was Du meinst mit abgesicherten Modus damit ich auch alles richtig mache.
    Abgesicherter Modus:
    Beim Starten des PCs, bevor das Windows-Startbild erscheint F8 drücken (ggf. mehrmals). Dann sollte ein Menü erscheinen, bei dem Du den abgesicherten Modus auswählen kannst. Wenn der Rechner dann gestartet ist, kannst Du über Start-Programme den Virenscanner starten.
    Ist hier auch beschrieben (Punkt1):
    avira.com/de/support-for-free-faq-detail/faqid/327
    Die anderen Punkte dieser Anleitung solltest Du nach Möglichkeit auch durchführen. Wobei Du das Herunterladen und CD brennen von einem anderen, unverseuchten Rechner aus machen solltest.
    {brigens ist ein Kezboard/Treiber v;llig [berfl[ssig!

    Hier gibts Antivirensoftware

    Metepec schrieb:

    Warum schwer wenns auch einfach geht:

    trojaner-info.de/beseitigung.shtml


    Diese Anleitung ist genauso effektiv und sinnvoll, wie einen Hausbrand mit einem Glas Wasser löschen zu wollen.


    Erklär mir einer doch mal wo ich hier dann das betreffende Programm bei der Suche finde und welche Teil der langen Datei da angeben muss bei der Suche. Wenn ich den kompletten Pfad angebe finde die Suche nichts.


    Die Art wie du hier postest macht deutlich, dass du eigenlich leider nicht weisst was Sache ist. In dem System Restore Ordner wo ein Abbild des Trojaners sitzt, wird in regelmässigen Abständen ein "Abbild" vom System gelagert, allen Dateien, Programmen, Einstellungen etc...
    Im Klartext: Dein Trojaner in der System Restore ist NUR EIN ABBILD, eine Kopie, von der schädlichen Datei/dem Trojaner, der auf deinem System ist, sich wahrscheinlich ins System 32 Verzeichnis reininstalliert hat. Wenn weitere Malware auf deinem System ist, was ich vermute, da du ja immer wieder diesen Trojaner im System Restore Ordner gemeldet bekommst, hilft das löschen vom Abbild garnichts, solange der Trojaner noch im System sitzt.

    Nein, ich werde keine Log posten - das sind private Infos, Dateien usw. und die mache ich bestimmt nicht öffentlich!


    Im Log sind keine privaten Infos enthalten,(Namen kann man ja rauseditieren) schau dich mal in anderen Foren um. Da werden logs gepostet, bis zum Abkratzen.

    "Danach kannst Du nochmal einen kompletten Virenscan im abgesicherten Modus fahren und dann nach Neustart die Systemwiederherstellung wieder einschalten. Achtung: Dieses Verfahren garantiert keinen unverseuchten PC." Zitat von NASA


    Siehe oben. Im abgesicherten Modus laufen viele der herkömmlichen Antivirenscanner überhaupt nicht. Wenn du hier eine "Anleitung" zur Säuberung des PC reinstellst und gleichzeitig aber dir darüber im klaren bist das: "Achtung: Dieses Verfahren garantiert keinen unverseuchten PC"
    warum stellst du es dann überhaupt rein???

    So kann man heutige Malware nicht entfernen, das hilft dem Hilfesuchenden, auch wenn er es glauben mag, nicht weiter. Gerade diese Arten von "Express Verfahren" führen dazu, dass PCs über Jahre Teile eine Botnetzes sind.

    GAV

    GehirnAntiVirus schrieb:


    In dem System Restore Ordner wo ein Abbild des Trojaners sitzt, wird in regelmässigen Abständen ein "Abbild" vom System gelagert, allen Dateien, Programmen, Einstellungen etc...

    Naja, das ist jetzt aber sehr vereinfacht ausgedrückt.

    GehirnAntiVirus schrieb:


    Im Klartext: Dein Trojaner in der System Restore ist NUR EIN ABBILD, eine Kopie, von der schädlichen Datei/dem Trojaner, der auf deinem System ist, sich wahrscheinlich ins System 32 Verzeichnis reininstalliert hat. Wenn weitere Malware auf deinem System ist, was ich vermute, da du ja immer wieder diesen Trojaner im System Restore Ordner gemeldet bekommst, hilft das löschen vom Abbild garnichts, solange der Trojaner noch im System sitzt.

    Du hast in Betracht gezogen, dass der Trojaner bereits platt ist? Warum sollte der AV-Scanner beim "System Volume Information" anschlagen, aber ansonsten nicht?
    Ich hatte neulich einen false positve, der wurde mir (fast zeitgleich) aus dem System32 und aus dem System Volume Information gemeldet.

    GehirnAntiVirus schrieb:


    Nein, ich werde keine Log posten - das sind private Infos, Dateien usw. und die mache ich bestimmt nicht öffentlich!


    Im Log sind keine privaten Infos enthalten,(Namen kann man ja rauseditieren) schau dich mal in anderen Foren um. Da werden logs gepostet, bis zum Abkratzen.

    Und weil es jeder macht, muss es der OP auch tun? Wenn er es nicht will, kann ich ihn nicht dazu zwingen.

    GehirnAntiVirus schrieb:


    "Danach kannst Du nochmal einen kompletten Virenscan im abgesicherten Modus fahren und dann nach Neustart die Systemwiederherstellung wieder einschalten. Achtung: Dieses Verfahren garantiert keinen unverseuchten PC." Zitat von NASA


    Siehe oben. Im abgesicherten Modus laufen viele der herkömmlichen Antivirenscanner überhaupt nicht.

    Das wäre mir neu. Die OnDemand-Scanner laufen m.W. alle. Du kannst mir aber gerne das Gegenteil beweisen. Wenn Du meinem Link zur Avira-Webseite gefolgt wärest, hättest Du gesehen, dass genau diese Vorgehensweise empfohlen wird.

    GehirnAntiVirus schrieb:


    Wenn du hier eine "Anleitung" zur Säuberung des PC reinstellst und gleichzeitig aber dir darüber im klaren bist das: "Achtung: Dieses Verfahren garantiert keinen unverseuchten PC"
    warum stellst du es dann überhaupt rein???

    Weil der OP keine Lust hat seinen PC neu aufzusetzen. Das wäre der einzig zuverlässige Weg. Da er diesen nicht gehen will, und auch keine Logs postet, muss ich mit dem arbeiten, was übrigbleibt. Das ist zugegebenermaßen nicht viel, aber imho besser als nichts.

    GehirnAntiVirus schrieb:


    So kann man heutige Malware nicht entfernen, das hilft dem Hilfesuchenden, auch wenn er es glauben mag, nicht weiter. Gerade diese Arten von "Express Verfahren" führen dazu, dass PCs über Jahre Teile eine Botnetzes sind.

    GAV

    Ich würde mal behaupten, dass man mit dem von mir verlinkten "Express-Verfahren" von Avira die meisten Schädlinge zuverlässig eliminiert. Das "Restrisiko" kannst DU mit Deinen Log-Auswertungen und Securityscans auch nicht zu 100% ausschließen. So gesehen machst Du nichts anderes als das, was Du bei mir kritisierst.
    {brigens ist ein Kezboard/Treiber v;llig [berfl[ssig!

    Hier gibts Antivirensoftware

    Ich würde mal behaupten, dass man mit dem von mir verlinkten "Express-Verfahren" von Avira die meisten Schädlinge zuverlässig eliminiert. Das "Restrisiko" kannst DU mit Deinen Log-Auswertungen und Securityscans auch nicht zu 100% ausschließen. So gesehen machst Du nichts anderes als das, was Du bei mir kritisierst.


    Hau rein, Mann. Mit dir auf diesem Level zu disskutieren, sehe ich absolut keinen Sinn drin. Wenn du hier als Moderator Leuten solche Hilfestellungen verkaufst, dann zieh das durch!
    Das hat aber nichts, absolut nichts mit verantwortungsbewussten Handeln zu tun. Statt dem TO zu helfen den richtigen Weg zu gehen, lässt du dich auf seine Unwissenheit ein. Die Konsekvenzen davon trägst ja nicht du, sondern der TO.

    GAV
    Mal ne andere Frage:

    Ich möchte alte Kindheitsfotos einscannen und dann entweder per Mail oder via Rapidshare an eine Bekannte schicken. Bei RS würde ich die eingescannten Fotos dann mit Winrar verpacken und per Mail vielleicht einzeln verschicken. Wie ist das mit dem Trojaner, kann der dann mitgeschickt werden oder nicht? Ich meine das er die Foto Dateien dann auch infiziert.