Trojaner : Hintergründe : Karantäne-Option

Sehr geehrte Forenexperten,

... ich habe mir einen Trojaner eingefangen ; hierauf beziehen sich die nachstehenden Sachfragen:

a) Kann man das Profil des Trojaners irgendwo abrufen um deren Zielrichtung festzustellen ?
b) Wenn er nur auf einem USB-Stick sich befindet kann man ihn in Karantäne schicken ohne
die vorhandenen Files (Office-Dateien) zu gefährden ?
c) Kann ein Trojaner auch (ruckepack= auf Grund eines PDF-Download unbemerkt auf den Rechner gelangen ?

 

Ist die Malware aktiv geworden (Schadprogramm ausgeführt, PC abgestürzt und Neugestartet) oder hat ein AV-Programm etwas gemeldet und was genau und die Ausführung verhindert?

 

a) ja, die Antivirensoftwarehersteller haben Datenbanken und Infos zu allen ihnen bekannten Schädlingen
b) man kann vieles und Trojaner können vieles - also ist da keine generelle Anwort möglich, ohne das Problem zu kennen.
c) Selbst ohne Download können die das. Mit Download erst Recht.

 

Sehr geehrte Forenfreunde,

... wenn eine SPYWARE sich auf einen USB-Stick eingenistet hat ist das sicherlich ärgerlich. Kann man eine SPYWARE bzw. ein Computervirus mit (bekannter Signatur !!!) auf jeden Fall mit der neuesten AVIRA-Version vom USB-Stick entfernen und wenn ja wie müsste ich diesbezüglich vorgehen um sicher zu stellen, dass dieser auch restlos vom Wechselträger entfernt wird ?!

 

USB-Stick formatieren -> Partitionen löschen -> MBR neu schreiben -> USB Stick neu einrichten. Voraussetzung allerdings, dass der Übeltäter nicht im Controller sitzt. Das ist Normalfall aber eher unwahrscheinlich.

 

Das will ich ja gerade nicht. Es geht mir ja darum die dort enthaltenen Dateien noch zu retten.
Diese liegen mir nämlich als Doppel nicht vor, weil mein Rechner derzeit kaputt ist.

Ich höre dabei übrigens heraus, dass man mit AVAST keine bekannte SPYWARE entfernen kann.
> kann denn SPYWARE auch an Word oder Excel-Dateien angedockt werden ?!

 

Wenn ich den Übeltäter aber mit Signatur benennen kann sieht das doch schon besser aus, korrekt ?!

 

Wenn der Schädling bekannt ist und man daher weiß, in welchen Dateitypen er sich einnistet, kann man alle nicht betroffenen Dateitypen einfach auf ein anderes Medium kopieren. Sicherheitshalber macht man vorher noch einen Onlinecheck der einzelnen Dateien. Wichtig ist nur, dass man alle Autostartfunktionen im Betriebssystem deaktiviert, damit der Virus beim Einstecken des Sticks nicht über den Rechner her fällt. Wer es ganz sicher will, führt diese Operationen über eine Live-CD aus.

 

Welchen?

 

WAS?

 

Das sehe ich ohnehin als einzig sinnvolle Lösung.
Linux-Live-DVD rein, booten, USB-Stick anstecken, die Datendateien kopieren - selbstverständlich die verseuchte Datei nicht anrühren - und danach den Stick komplett neu formatieren.

PS: Ich finds nicht nett, dass nun ein 2. Thread zu dem Thema aufgemacht wird und Du auch noch die Suche nach Deinen Beiträgen eingeschränkt hast. Hat zwar mehr Mühe als üblich gemacht, aber ich wußte, dass mir das Thema bekannt vorkommt. https://www.pcwelt-forum.de/threads/trojaner-hintergruende-karantaene-option.514934/

 

wenn du einen Schädling hast, ist es nicht auszuschließen, dass sich weitere (vielleicht auch unbekannte) eingenistet haben.
Im Grunde nennt man das Lehrgeld- wichtige Daten müssen mehrfach gesichert sein, ansonsten sind sie nicht so wichtig.
und nenn das Ding bitte Malware oder Schädling, nicht einmal Spyware einmal Trojaner... du sagst du kennst seine "Signatur" .. würd hier auch helfen, um ein wenig besser einschätzen zu können

Hilfeschritte hast ja von kalweit und magiceye04 erhalten...

 

Ich habe mich mal sachkundig gemacht. Es handelt sich hier um eine Malware die meines Erachtens kein Virus sondern
ein Trojaner ist. Ich gehe von einem älteren Bundestrojaner aus. Nach meiner Einschätzung habe ich mal einen Dateianhang
unbekannter Herkunft in meinem Mail-Account geöffnet. Ich denke nun kommen wir der Sache schon etwas näher.

Da der Virenscanner nur 2 Schädlinge ausgeworfen hat gehe ich davon aus, dass die unten genannten die einzigsten sind, auf die ich mich zu konzentrieren habe ; unbekannte Viren waren dort nicht ausgewiesen.


a) Für mich ist in diesem Zusammenhang wissenswert, ob der Trojaner mit nachstehender Signatur auch mit ANTIVIR
entfernt werden kann. Da bin ich mir nämlich nicht so ganz sicher. Er befindet sich derzeit in Quarantäne auf dem Stick.
Die Dateien sind aber noch blockiert, weil ich ihn noch nicht entfernen konnte.

Die Hoffnung ist natürlich nicht ganz unberechtigt, wenn man ihn mit Signatur identifizieren kann

RtbotLnk-A
Troj / Bundespil.Z

b) Gibt es denn noch einen anderen Verbreitungsweg für den Trojaner ?!

c) Was kann dieser Trojaner eigentlich. Ich bin erstaunt, dass man das mit Google nicht feststellen kann.

 

Die Ordner auf dem USB-Stick umfassen nach der Quarantäne 1 KB Speicherkapazität ; sind damit die Worddateien definitiv weg !!!

 

Er ist also in allen Word-Dateien drin?
Wie viele sind es?
Bei einer Hand voll würde ich sie mit Linux / LibreOffice öffnen und ohne Macros neu abspeichern (.docx)

Wenn es nur die Option gab, die Dateien in Quarantäne zu schieben, dann kann Dein Virenscanner sie wohl nicht säubern, sonst hätte er das ja gleich angeboten.

Wenn es Google nicht weiß, dann such direkt bei den Antivirensoftwareherstellern.

 

Das heißt verfahrenstechnisch müsste ich erst einmal eine Quarantäne aufheben, damit ein Scan- und Löschvorgang überhaupt erfolgreich starten kann. Ist das soweit grundsätzlich richtig verstanden ?!

 

In #8 wurde doch die Vorgehensweise bereits skizziert. Warum du da mit einen Anti-Virenprogramm die Sache verschlimmbessert hast, erschließt sich mir nicht. Zumal du mit der Quarantäne die potentiell verseuchten Dateien unnötig auf deinen Rechner verschoben hast.

 

Es geht mir darum auszuloten ob der VIRUS nicht in der Lage sich zu dublizieren wenn man eine Löschung auslöst.
Soweit ich das weiß können manche Trojaner das doch aus. Ich bin mir einfach nicht im klaren wie gefährlich der VIRUS tatsächlich ist.
Daher meine Frage : welche Risiken bestehen wenn ich nur mit AVIRA versuche den Virus zu beseitigen ?!

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

magiceye04 will wissen :

Er ist also in allen Word-Dateien drin?
Wie viele sind es?
> der letzte Scann-Vorgang wies immerhin 31 Treffer aus. Das deutet auf eine zeitintensive Säuberung hin.

 

Wenn der Virus das kann, hast du bereits verloren. Auf den Punkt: durch die Quarantäne hast du den Virus selbst auf die Festplatte kopiert und zwar ins Quarantäneverzeichnis deines Virenscanners. Wenn also der Virus in der Lage ist, die Dateioperationen des Betriebssystems zu verbiegen (oder wie du es sagst: sich durch Löschen zu Duplizieren), wäre der Virus jetzt bereits aktiv. In dem Fall handelt es sich um ein Root-Kit, was sich aus dem Betriebssystem selbst nicht zuverlässig erkennen und beseitigen lässt. Der Rest ist Kaffeesatzlesen und Glaskugelgucken... Starte den Rechner über so was -> https://www.avira.com/de/download/product/avira-rescue-system und lass ihn erst mal grundlegend prüfen. Danach kannst du dir über weitere Schritte Gedanken (heißt auch: nicht ohne Nachfrage zu handeln) machen.