Viren, Spyware, Datenschutz 11.253 Themen, 94.785 Beiträge

Frage: Trojaner Win32:Dropper [Drp] gefunden - wat nun?

willi32 / 33 Antworten / Baumansicht Nickles

Hallo zusammen,

hab gestern beim routinemäßigen Virencheck den "Virus" Win32 Dropper entdeckt und die Sicherheits-Software "GData Internet Security 2010" hat das Ding nach vergeblicher "Desinfektion" dann auch sofort in die Quarntäne verschoben...soweit mal die Story in Kürze! Ich hab mir dann schon irgendwie gedacht daß das "Ding" wohl nicht so ein einfacher Virus sein kann und mal ein bißchen recherschiert (?) und raus gekriegt, daß es sich um einen Trojaner handelt, der sich wohl so ganz gemächlich auf'm ganzen System breitmacht und daß das was ich da in Quarantäne verschoben hab, evtl. nur ein Teil davon ist...

Die div. Entfernungs- bzw. Säuberungsanleitungen kamen mir allerdings so komplex und aufwendig vor, mal abgesehen von den jeweils empfohlenen Entfernungs-Tools, daß ich beschlossen hab erst mal abzuwarten, auf's Volksfest zu gehen und am nächsten Tag mal Leute zu fragen, die auch richtig Ahnung haben und mit so was u.U. schon zu tun hatten.

Also hier meine Frage an euch: was soll ich machen und wer kann mir weiter helfen??

P.S. da ich nicht wußte ob der Rechner wieder hochfährt, hab ich ihn angelassen und nur vom Netz genommen...

Schon mal nen Dank im Voraus

Gruß, Willi

bei Antwort benachrichtigen
jueki willi32 „Frage: Trojaner Win32:Dropper [Drp] gefunden - wat nun?“
Optionen

Nicht alles, was da gemeldet wird, ist wirklich ein Trojaner. Manche ansonsten harmlosen Keygeneratoren verursachen diese Warnmeldung beispielsweise ebenfalls.
Du solltest schauen, wo diese Datei sitzt, wie sie konkret heißt und wie groß sie ist.
Weiterhin solltest Du auf ungewöhnliches Verhalten und, wichtig, ungewöhnlichen Traffic achten.

Sollte es sich um einen echten Trojaner handeln, ist eine Bereinigung ein Wunschtraum.
Sagt Malte Wetz:

http://www.malte-wetz.de/wiki/pmwiki.php/De/VirenEntfernen

IIch empfehle als grundsätzliche Abwehrmethode gegen derlei unschöne Gegebenheiten eine sorgfältige Installation   und sofort danach den konsequenten Einsatz der Imagetechnologie.
Genau das hilft in meinem Umfeld bei der schnellen Wiederherstellung des Systems ohne fragwürdige Reinigungstechnologiien.

Jürgen

 

 

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
willi32 jueki „Nicht alles, was da gemeldet wird, ist wirklich ein ...“
Optionen

Hallo Jürgen,

der "angebliche" Trojaner heißt vollständig: Win32:Dropper-gen [Drp] und sitzt bzw saß in der Datei Data1.cab in  C: \Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe\Setup\{AC76BA86-7AD7-1031-7B44-A95000000001}   so die genaue Meldung von GData...

was mich allerdings etwas wundert,...der Rechner läuft superschnell und so störungsfrei wie vor dieser Entdeckung und das nach den Meldungen von Menschen, welche genau das gleiche Ding auf'm Rechner vorgefunden haben.....also irgendwas muß doch dran sein....ich denk ich beobachte mal und schau was passiert....

bei Antwort benachrichtigen
shrek3 willi32 „Hallo Jürgen, der angebliche Trojaner heißt vollständig: ...“
Optionen

Lade die Datei zu Virustotal hoch, damit sie auch von ca. 40 anderen AV-Scannern untersucht werden kann:

https://www.virustotal.com/de/

Zum Quarantäneordner von G Data 2010 gelangst du auf diese Weise:

http://www.securityexperten.com/frage/4/

Welche Version des Adobe Readers hast du überhaupt installiert?
Besonders Flash, (Adobe) Reader und Java sind gefährliche Einfallstore für Schädlinge, da diese Programme sich als Addon in einen Browser einklinken.

Das nahezu einzige, was dagegen hilft, ist, sie aktuell zu halten.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
willi32 shrek3 „Lade die Datei zu Virustotal hoch, damit sie auch von ca. 40 ...“
Optionen

Hallo Shrek3,

ich hab das aktuelle Adobe11 und auch den Adobe Flashplayer11 Activex, des weiteren die Java7 und das ganze Framework-Gedönze von Microsoft...immer auf dem neuesten Stand, wobei das auch nicht immer was zu sagen hat (?)

Aber solange der Rechner so prima läuft und ansonsten keine Zicken machst, mach ich mal nix, oder was meinst du? Der alte Spruch mit "Never change a running system"......sämtliche Daten hab ich auf ne NTFS-Partition auf meinem Linux Rechner gezogen.

Gruß, Willi

bei Antwort benachrichtigen
shrek3 willi32 „Hallo Shrek3, ich hab das aktuelle Adobe11 und auch den ...“
Optionen
sämtliche Daten hab ich auf ne NTFS-Partition auf meinem Linux Rechner gezogen.

Daten zu sichern, ist natürlich eine gute Wahl.
Bedenke aber, dass ein evtl. Schädling mit-kopiert werden könnte - vergess also nicht, die Daten erst von einem sauberen Rechner aus mit einem AV-Scanner zu überprüfen, bevor du sie anfasst.

Was ist mit Virustotal?
Da würden mich schon die Scanergebnisse der anderen AV-.Scanner interessieren.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
willi32 shrek3 „Daten zu sichern, ist natürlich eine gute Wahl. Bedenke ...“
Optionen

die infizierte Datei ist 166 MB groß und bei Virustotal ist Dateigröße bei auf ca 64 MB begrenzt - hat also nicht geklappt

bei Antwort benachrichtigen
willi32 Nachtrag zu: „die infizierte Datei ist 166 MB groß und bei Virustotal ist ...“
Optionen

hallo shrek,

da das mit Virustotal nicht geklappt hat, schick ich die infizierte Datei nun direkt von der Quarantäne zu GData, aber das wird wohl jetzt so ein bis zwei Std dauern, bei der miesen und lahmen Leitung hier in Stuttgart, der Slogan "wir können alles außer Hochdeutsch" ist ne glatte Lüge!!

Bis dann u danke

Gruß Willi

bei Antwort benachrichtigen
shrek3 willi32 „hallo shrek, da das mit Virustotal nicht geklappt hat, ...“
Optionen

Das wird das Beste sein - so bekommst du mehr Klarheit in dieser Sache.

Aus der Ferne ist es bei nicht eindeutigen Fällen immer schwierig, eindeutige Aussagen zu machen.
Und wenn die Live-CD eines anderen AV-Herstellers nichts gefunden hätte, wüsstest du immer noch nicht, welche der AV-Programme richtig liegt.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
willi32 shrek3 „Das wird das Beste sein - so bekommst du mehr Klarheit in ...“
Optionen

hallo Shrek,

sind jetzt schon ein paar Tage vergangen, hatte aber bisher weder die nötige Zeit und auch Ruhe um mich um das Trojaner-Problem zu kümmern. Stand war ja, der Scanner von Virustotal scannt nur bis 64MB, dann hab ich die Datei an GData versendet, hab aber bis heute noch keine Antwort von denen erhalten. Ob da wohl bei der Übermittlung was schief gegangen ist, da sie größenbedingt von Thunderbird in 3 Teile zerlegt worden ist, oder die einfach nur etwas länger brauchen, weiß ich nicht.

In der Zwischenzeit hab ich mir zusätlich zu dem GData Bootscanner (Anm. an hatterchen45: eine aktuelle Boot-CD ist das gleiche wie eine Live-CD und bootet einen Scanner genauso anhand von Linux, unabhängig vom bestehenden System...) noch die von "Avira", AVG, Kaspersky, F-Secure und Dr. Web besorgt, den Trojaner wieder aus seiner Festungshaft entlassen - und nach 20 Kannen Kaffee und zwei Schachteln Zigaretten war ich wieder genauso schlau wie vorher. Denn alle diese "Live-Teile" haben noch nicht mal den auf "Bewährung" entlassenen Kandidaten entdeckt.....

Nachdem ich die infizierte Datei wieder in GData-Quarantäne gesteckt hab, installierte ich dann noch das Programm Rubotted beta 2.0 , welches mir von einem Bekannten empfohlen wurde - das meint aber auch nur: keine verdächtigen Dateien aufgespürt - System geschützt!

Inzwischen glaub ich...ach keine Ahnung, weiß nicht was ich glauben soll...aber wissen tu ich eines: man sollte sich über das ganze Virus,-, Trojaner- und Bot-Gedönse nicht zu sehr einen Kopf machen, es ist schade um die Zeit - und die angeblichen "Superprogramme und Tools" sind so ziemlich gleich sch....gut (!) und höchstwahrscheinlich ist sonst nix mehr "verdächtiges" auf diesem PC, denn er läuft ja auch super und die Dropper-Datei laß ich dann halt in Quarantäne verotten bis zum St. Nimmerleinstag, oder bis ich dann spät. am 8.04.2014 alles platt mach und Win7 installiere!

Also nochmal vielen Dank (an alle!) für die Tips und Ratschläge,

Gruß, Willi

bei Antwort benachrichtigen
gelöscht_238890 willi32 „hallo Shrek, sind jetzt schon ein paar Tage vergangen, hatte ...“
Optionen

Hallo Willi,

und die Moral von der Geschicht...

Ich erstelle von meinen Systemen regelmäßig ein Image, dauert 10-15 Minuten, und wenn sich irgendwo ein Problem abzeichnet, spiele ich das Image zurück. Das dauert auch 10-15 Minuten. Danach ist alles wieder gut.

Denn Virus hin, Trojaner her, so richtig blickt da eh keiner hinter.
Also sollte man immer sein System sauber in Reserve haben. Cool

bei Antwort benachrichtigen
gelöscht_238890 willi32 „Frage: Trojaner Win32:Dropper [Drp] gefunden - wat nun?“
Optionen
und die Sicherheits-Software "GData Internet Security 2010"

Die sicherlich nicht das modernste ist, was die Welt zu bieten hat.

Versuch doch das Ganze noch einmal mit einer aktuellen Life-Version, z. B. von Avira, die wird auf eine CD gebrannt und damit wird gestartet (ohne Windows).

bei Antwort benachrichtigen
willi32 gelöscht_238890 „Die sicherlich nicht das modernste ist, was die Welt zu ...“
Optionen

hallo, ich werde jetzt ne Boot-CD gebrannt und will das nachher mal ausprobieren und schaun was dabei heraus kommt...(aber Avira taugt auch nicht mehr wie GData oder Kaspersky, vor allem mit die Gratis-Versionen...da kannst'n gleich "ohne" laufen lassen)...aber das will ich jetzt eigentlich nicht zum Thema machen

Also Danke für deinen Vorschlag

bei Antwort benachrichtigen
gelöscht_238890 willi32 „hallo, ich werde jetzt ne Boot-CD gebrannt und will das ...“
Optionen

Langsam, da hast Du möglicherweise etwas falsch verstanden.

(aber Avira taugt auch nicht mehr wie GData oder Kaspersky,

Ich schrieb eine Life-CD brennen, dazu läd man sich von Avira eine ganz frische ISO runter:

http://www.avira.com/de/download?product=avira-rescue-system

Die hat mit dem normalen Virenscanner nicht viel am Hut.

bei Antwort benachrichtigen
aldebuedel gelöscht_238890 „Langsam, da hast Du möglicherweise etwas falsch verstanden. ...“
Optionen

Und diese Version kann in die Zukunft sehen?

bei Antwort benachrichtigen
gelöscht_238890 aldebuedel „Und diese Version kann in die Zukunft sehen?“
Optionen
Und diese Version kann in die Zukunft sehen?

Ja, die hat eine eingebaute Kristallkugel.

bei Antwort benachrichtigen
aldebuedel gelöscht_238890 „Ja, die hat eine eingebaute Kristallkugel.“
Optionen

Coole Nummer.

bei Antwort benachrichtigen
aldebuedel willi32 „Frage: Trojaner Win32:Dropper [Drp] gefunden - wat nun?“
Optionen

Der Dropper lädt Viren und Trojaner auf deinen Computer. Das ist seine Aufgabe; er selbst ist kein Schadprogramm.

bei Antwort benachrichtigen
gelöscht_238890 aldebuedel „Der Dropper lädt Viren und Trojaner auf deinen Computer. ...“
Optionen
Der Dropper lädt Viren und Trojaner auf deinen Computer. Das ist seine Aufgabe; er selbst ist kein Schadprogramm.

Das ist doch mal eine tolle Erklärung.Lächelnd

bei Antwort benachrichtigen
aldebuedel gelöscht_238890 „Das ist doch mal eine tolle Erklärung.“
Optionen

Danke.

bei Antwort benachrichtigen
gelöscht_238890 aldebuedel „Danke.“
Optionen
Danke.

Immer gerne.Lächelnd

Die Trojaner im Pferd waren ja auch nicht böse, sondern nur die, die sie nachgeholt haben.

bei Antwort benachrichtigen
aldebuedel gelöscht_238890 „Immer gerne. Die Trojaner im Pferd waren ja auch nicht ...“
Optionen
Die Trojaner im Pferd waren ja auch nicht böse

Doch. Sie haben das Tor geöffnet.

bei Antwort benachrichtigen
mawe2 aldebuedel „Doch. Sie haben das Tor geöffnet.“
Optionen

Waren das nicht die Griechen? Die aus dem Pferd?

Die Trojaner hätten ja nicht erst ins Pferd kriechen müssen, um ihr Tor zu öffnen...

bei Antwort benachrichtigen
aldebuedel mawe2 „Waren das nicht die Griechen? Die aus dem Pferd? Die ...“
Optionen

Aber da war doch jeder ein Grieche, hüben wie drüben. Es wimmelte nur so von Griechen. Hab' wohl das Ironiezeichen vergessen.

bei Antwort benachrichtigen
willi32 aldebuedel „Der Dropper lädt Viren und Trojaner auf deinen Computer. ...“
Optionen

hallo aldebuedel,

heißt das, daß wenn der Dropper in Quarantäne verschoben wird, er dann auch nichts mehr anrichten kann? (zumindest behauptet dies die Security Software!)

Gruß, Willi

bei Antwort benachrichtigen
mawe2 willi32 „hallo aldebuedel, heißt das, daß wenn der Dropper in ...“
Optionen
wenn der Dropper in Quarantäne verschoben wird, er dann auch nichts mehr anrichten kann

Ab dann vielleicht. Aber gehe mal davon aus, dass er das vorher schon zur Genüge getan hat.

bei Antwort benachrichtigen
aldebuedel willi32 „hallo aldebuedel, heißt das, daß wenn der Dropper in ...“
Optionen

Zitat mawe2:

"Ab dann vielleicht. Aber gehe mal davon aus, dass er das vorher schon zur Genüge getan hat."

Das ist die Realität. Du hast kein vertrauenswürdiges System mehr.

bei Antwort benachrichtigen
aldebuedel willi32 „Frage: Trojaner Win32:Dropper [Drp] gefunden - wat nun?“
Optionen

Ignoriere diese blödsinnige Diskussion und beherzige Juekis Rat.

bei Antwort benachrichtigen
gelöscht_238890 aldebuedel „Ignoriere diese blödsinnige Diskussion und beherzige Juekis ...“
Optionen
Ignoriere diese blödsinnige Diskussion

Die von Dir gestartet wurde!

bei Antwort benachrichtigen
aldebuedel gelöscht_238890 „Die von Dir gestartet wurde!“
Optionen

Na gut. Was ist ein Dropper?

bei Antwort benachrichtigen
gelöscht_238890 aldebuedel „Na gut. Was ist ein Dropper?“
Optionen
Na gut. Was ist ein Dropper?

Lese Dir das bitte einmal durch, ja es ist etwas länger, dafür erklärt es die Sache auch besser:

http://forum.chip.de/viren-trojaner-wuermer/tr-dropper-gen-bzw-win32-zbot-cinefacts-forum-eingefangen-1342517.html

Möglicherweise siehst Du meine Antworten dann in einem anderen Licht.Lächelnd

bei Antwort benachrichtigen
aldebuedel gelöscht_238890 „Lese Dir das bitte einmal durch, ja es ist etwas länger, ...“
Optionen
Möglicherweise siehst Du meine Antworten dann in einem anderen Licht.

Nein. Willi32, setz dein System neu auf.

bei Antwort benachrichtigen
mawe2 willi32 „Frage: Trojaner Win32:Dropper [Drp] gefunden - wat nun?“
Optionen
was soll ich machen

Das System und alle Anwendungen neu installieren.

Jeder Versuch, die Malware irgendwie aus dem existierenden System zu entfernen, ist pure Zeitverschwendung. Ein vertrauenswürdiges System erhältst Du damit sowieso nicht.

Gruß, mawe2

bei Antwort benachrichtigen
willi32 mawe2 „Das System und alle Anwendungen neu installieren. Jeder ...“
Optionen

Hallo mawe2,

ich hab mir schon gedacht, daß ich alles platt machen muß, und trotzdem hat man so ne heimliche Hoffnung, daß es da vielleicht irgendein "Wunder-Tool" o.ä. gibt........hab auch keine Ahnung wie der Scheiß-Trojaner auf meinen PC kam.....zum Glück bin ich seither von derartigen "Angriffen" verschont worden; wenn man mal von meinem ersten PC mit Win95 und nem 56k-Modem absieht !

"Ein vertrauenswürdiges System", so bin ich persönlich überzeugt, ist mit Windows sowieso nicht möglich, und es wird leider immer schlechter....so gern ich auch mit Windows arbeite und mich manchmal total ärgere ! Unter anderem aus diesem  Grund hab ich inzwischen alle wichtigen Daten und Anwendungen etc auf nem separaten Linux-Rechner.....

naja, dann pack ich's mal an......und danke für deine Meldung

Gruß, Willi

bei Antwort benachrichtigen