F-Secure und Support bei Virenbefall (variant.kazy.136105

Ich habe über die letzten Wochen mehrmals den Virus variant.kazy.136105 bei F-Secure gemeldet, der vom Scanner entdeckt und in Quarantäne geschickt wurde. Mehrere Anfragen wurden allerdings ohne jede Begründung terminiert (nach mehrerern Kontakten zur Problembeschreibung), ohne dass das Problem gelöst wurde. Nun weiß ich wirklich nicht mehr weiter - vielleicht hat jemand einen Tipp!?

 

>ohne dass das Problem gelöst wurde.<

formatieren - was sonst
oder kannst du es mit Malwareautoren aufnehmen?
vorher natürlich ne Bestätigung des Schädlingsfundes durch eine 2./3. Analyse-Quelle wie virustotal, malwarebytes

Wichtig wäre eine Aussage, welchen Weg der Schädling auf einen PC typischerweise nimmt
dann kann man überlegen, wie man das künftig verhindert
also im web nach einer Antwort suchen wenn F-Secure nicht kooperiert

 

Es ist immer sinnvoll, die komplette Fundmeldung im originalen Wortlaut zu nennen. Wie soll hier sonst jemand auch nur ansatzweise beurteilen, ob die Malware rechtzeitig oder zu spät gefunden wurde?

Wenn sie bereits aktiv werden konnte, ist das kompromittierte System komplett neu aufzusetzen.

 

Na, dann werde ich mal versuchen das Problem etwas ausführlicher zu beschreiben. Die komplette Meldung von F-Secure lautet: 'Virus entfernt - es wurde ein Virus gefunden. Dieser wurde blockiert und erfolgreich entfernt, sodass Sie Ihren Computer weiter nutzen können.' Im Verlauf wird dann die Infektion 'Gen: Variant.Kazy.136105' benannt mit der Bemerkung 'Entfernt.' In der Quarantäne wird dann der Pfad C:/Users/Monalfi/AppData/Local/Temp/sptemp/deutsch.dll_635328978495500062 genannt, wobei sich die letzten Ziffern bei jeder Meldung ändern. Ich möchte jetzt nicht unüberlegt reagieren, da ich nicht den Eindruck habe, dass schon ein Schaden angerichtet wurde, aber ich würde diesen Virus natürlich gerne wieder los werden. Ich habe mir mal die Hintergrundprozesse angeschaut, kann aber auch hier nichts ungewöhnliches feststellen. Kann jemand von euch mit dieser Beschreibung mehr anfangen?

 

So was spricht dafür, dass der Schädling noch aktiv ist bzw. sich an einer Stelle im System befindet, wo er durch eine dritte Software immer wieder zur Installation angeregt wird - z.B. in einem Dokument, einem E-Mail Anhang oder einer verseuchten Anwendung. Starte den Rechner mit einem Livesystem - z.B. https://www.avira.com/de/download?product=avira-rescue-system - und führe von dort eine Virenprüfung durch.

 

Die Malware ist aktiv und es handelt sich ganz offensichtlich nicht nur um diese eine DLL. Es muss ein weiterer, aber unentdeckter Prozess aktiv sein, vermutlich in einen System- oder Browser-Prozess injiziert, der immer neue DLLs erzeugt und startet.

Der PC ist komplett neu aufzusetzen. Weitere Scans sind nutzlos.

 

Ja

Jaein. Sie geben mit hoher Wahrscheinlichkeit Aufschluss über die Quelle der Infektion, was hilfreich zur Vorbeugung einer erneuten Infektion sein kann.

 

Die Ursache kann ich dir auch so sagen: Veraltete Browser-Plugins ganz allgemein, im Speziellen Java, das für über 90% derartiger Infektionen missbraucht wird und daher im Browser nichts zu suchen hat - auch nicht in der aktuellen Version. Möglichkeit zwei: Geöffnete obskure Mailanhänge.

 

Solches Gerümpel kommt in letzter Zeit vermehrt als Finanzierung von Freeware zum Einsatz. Zieh dir mal die aktuelle "SUPER" - Version. Da muss man im Setup schon peinlich genau aufpassen, damit die Abwahl sämtlicher "Zusatzangebote" auch tatsächlich erwischt. Ansonsten treibt gleich ein halbes Dutzend Krabbeltiere sein Unwesen. In sofern ist ein Scann schon sinnvoll (natürlich nur, wenn man das Ergebnis auch deuten kann), um die frische Installation nicht gleich wieder zu schrotten.

 

F-Secure kann und will da nicht weiterhelfen. Wenn sie das könnten, würden sie ihre Scanner überflüssig machen.

 

Das Avira rescue system hat leider auch nichts gebracht - trotzdem danke für diesen Tipp. Ich werde mich wohl oder übel damit anfreunden müssen, das System neu aufzusetzen. Allerdings finde ich mich da etwas überfordert, auch wenn ich in diesen Dingen nicht ganz unbedarft bin. Gibt es irgendwo sinnvolle und verständliche Anleitungen dafür, oder wäre professionelle Hilfe on-site (ich sitze im Münchner Osten) ratsam? Gleichzeitig fallen mir noch viele weitere Fragen dazu ein, wie: kann ich meine Daten (Bilder, Dokumente, emails etc.) noch retten, oder sind die dann weg? die Daten auf meinem backup auf externer Festplatte sind dann wohl auch nicht mehr zu gebrauchen, oder? gibt es irgendwelche Spezialitäten meinen PC (Dell Inspiron 580, Intel Core i5 CPU, 2,67 GHz, 64 bit) betreffend? wie lange muss ich rechnen, bis ich mein System wieder in der vollen Schönheit zur Verfügung habe? eilt das Ganze? etc.
Sorry für die vielen Fragen, aber der PC ist für mich ein wichtiges Arbeitsmittel und ich möchte hier gründlich und solide sein!

 

Bei der Avira-CD ist ein Dateimanager dabei, mit dem man Dateien auch auf eine externe Festplatte usw. kopieren kann. Nach einer Formatierung sind die Daten auf der Festplatte natürlich weg.

So lange die Dateiformate keine aktiven Inhalte haben (z.B. ausführbarer Code in Office- oder PDF-Dateien), kann man diese problemlos weiter verwenden. Eine vorherige Virenprüfung (natürlich wieder von CD und nicht aus dem infizierten System) der externen Festplatte ist hinreichen zuverlässig.