Malware Identifikation / Recue CD Scan Ergebnis

Internet Internet Sicherheit
#1

Hallo,

Antivir hat mir die folgenden 2 Warnmeldungen gebracht:

___________________________________________
[Scanner] Malware gefunden
Die Datei ‚C:\Users\Admin\AppData\Local\Temp\is-NQGGB.tmp\Update.exe‘
enthielt einen Virus oder unerwünschtes Programm ‚TR/Drop.Agent.asdn‘ [trojan].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler
aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Fehler in der ARK Library.
Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche
Ursache: Zugriff verweigert
.

[Scanner] Malware gefunden
Die Datei ‚C:\Users\Admin\AppData\Local\Temp\is-NQGGB.tmp\Updater.exe‘
enthielt einen Virus oder unerwünschtes Programm ‚TR/Injector.CQ‘ [trojan].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler
aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Fehler in der ARK Library.
Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche
Ursache: Zugriff verweigert

_________________________________________

Als ich in dem Ordner nachgeschaut habe war der nicht mehr da, weitere komplette Systemscans mit Antivir und AdAware zeigten keinen Befall an.

Was das für Malware war konnte ich bisher nicht in Erfahrung bringen.
Findet ihr dazu was?

In diesem Forum wurde mir der Tip gegeben einen Scan mit einer Rescue CD von Antivir zu machen. Ich habe also von CD gebootet und den Scan durchlaufen lassen. Das Ergebnis war das folgende:

___________________________________________________
Avira / Linux Version 1.9.152.0
Copyright © 2010 by Avira GmbH
All rights reserved.
engine set: 8.2.4.192
VDF Version: 7.11.5.79
Scan start time: Tue Mar 29 12:48:03 2011
configuration file: /etc/avira/scancl.conf

WARNING: [Unexpected end of file] /media/Devices/sda2/Program Files/myphotobook/uninst.exe

WARNING: [Archive is invalid or corrupt] /media/Devices/sda2/Program Files/WinRAR/rarnew.dat

WARNING: [Bad archive header] /media/Devices/sda2/Users/Public/Downloads/zaSetup_92_105_000_de.exe
–> WINDOWS6.0-KB929547-V2-X64.MSU

Statistics :
Directories… : 31515
Archives… : 3468
Files… : 692086
Infected… : 0
Warnings… : 3
Suspicious… : 0
Infections… : 0

_________________________________________________________

Was würdet ihr wegen der Warnungen unternehmen?

Beste Grüße

Max

#2

Guten Morgen Max,

evtl. ist das nur eine Fehlmeldung.
Hier mal ein Link zum Trojanerboard:
http://www.trojaner-board.de/17525-trojanische-pferd…
Mache unbedingt mal den Hijackthis Check.
Außerdem würde ich einen Onlinecheck machen. Einmal der Datei (wenn sie noch da ist)und einmal des ganzen Systems. Das geht z. B. bei http://www.eset.de/ (Kasperskycheck ist gerade nicht online).

Wenn keiner was anzeigt, war wohl nix schlimmes

Viele Grüße

Hartmut

#3

Hallo,

schwierig. Es kann sich auch durchaus um veschädigte Dateien und Archive handeln.

Wenn die Dateien noch vorhanden sein sollten, würde ich diese erst einmal per

http://virustotal.com

überprüfen.

Versuche es doch auch noch einmal mit einer anderen Antiviren-Live-CD wie z.B.

http://www.f-secure.com/linux-weblog/files/f-secure-…

Ein Scan mit hijackthis

http://www.heise.de/software/download/hijackthis/22574

schadet nie. Allerdings ist das Ergebnis nicht immer leicht zu interpretieren.

Ein Online-Scan ist - da bereits aus einem vielleicht bereits infizierten System gestartet - ist kein Erfolg versprechender Ansatz.

Grüße

godam

#4

Hei!

Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

Könnte bedeuten, das der Virus bereits aktiv ist. Laufende Programme kann man nicht löschen.

Die Datei
‚C:\Users\Admin\AppData\Local\Temp\is-NQGGB.tmp\Updater.exe‘
enthielt einen Virus oder unerwünschtes Programm

Du Butterbirne arbeitest also als Administrator?
Dann kann der Virus sich schon an Dutzenden Stellen im System verewigt haben, weil er dadurch unbeschränkten Zugriff hat.

Was würdet ihr wegen der Warnungen unternehmen?

persönliche Daten auf eine Externe Platte auslagern, formatieren und System neu installieren.
Und gewöhn dir ab, als Administrator zu arbeiten.

lg, mabuse

#5

‚C:\Users\Admin\AppData\Local\Temp\is-NQGGB.tmp\Updater.exe‘
enthielt einen Virus oder unerwünschtes Programm

Du Butterbirne arbeitest also als Administrator?

Ich arbeite nicht als Admin. Aber wenn man ein Programm installiert kommt man nicht umhin den Installationsprozess mit dem Admin-Kennwort zu authorisieren. Daraus folgt: Ich bin keine Butterbirne.

lg

Max