rene1976

ClamWin findet Trojaner in Windows assembly NativeImages Verzeichnis

Hallo,

mein ClamWin findet auf meine WebServer hier einen Virus:

C:\Windows\assembly\NativeImages_v4.0.30319_32\AspNetMMCExt\19c614c5ad3532fda3d89c97aacf5d5f\AspNetMMCExt.ni.dll: Win.Trojan.Agent-5412226-0 FOUND
C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Net.22cc68a8#\526cc947ae2676a8086df565a7e5ab54\System.Net.Http.WebRequest.ni.dll: Win.Trojan.Agent-5410547-0 FOUND

Leider kann ich den Ordner nicht öffnen da der ganze Pfad nicht existiert.

Man kann im Explorer nur bis C:\Windows\assembly\ öffnen.
Danach stehen nur noch assembly Namen da.

Frage:
Kann in diesem Bereich ein Virus überhaupt rein?

Ich stelle immer wieder fest das ClamWin viel mehr Viren findet die sonst kein anderes Virenprogramm erkennt.
Meist gehe ich davon aus das es false positives sind und schicke ggf. die Datei an ClamWin.

Aber hier kann ich die Datei nicht einmal schicken da Sie im Explorer nicht existiert.

Somit kann ich sie auch nicht mit VirusTotal untersuchen lassen.

Kennt jemand noch einen anderen Windows Viren Scanner den ich auf einem WebServer untre Win 2008 R2 zum überprüfen einsetzten kann?
Es darf kein Echtzeitscanner sein!

Gruß,

Rene
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 324935

Url: https://administrator.de/forum/clamwin-findet-trojaner-in-windows-assembly-nativeimages-verzeichnis-324935.html

Ausgedruckt am: 04.06.2025 um 06:06 Uhr

BassFishFox
BassFishFox 28.12.2016 aktualisiert um 19:38:35 Uhr
Goto Top
Hallo,

Frage: Kann in diesem Bereich ein Virus überhaupt rein?

Wenn der "Virus" Admin- oder Root-Rechte erlangt hat kann er Vieles.

Ist der Webserver Hardware von Dir und steht bei Dir oder ist das irgendeine Gemieteter?

BFF
VGem-e
VGem-e 29.12.2016, aktualisiert am 30.12.2016 um 07:48:11 Uhr
Goto Top
Servus,

ist Dein Webserver unter Windows (der Post des TO deutet zumindest darauf hin)?

Dann im Explorer mal die versteckten Elemente (Ordner und Dateien) einblenden und nochmals nachsehen.

Gruß
VGem-e

Edit1:
Mal kurz eine Offline-AV als ISO runterladen und dann, sofern der Webserver vor Ort ist, mittels USB-Stick einen Offline-Scan durchführen lassen.

Edit2:
Z.B. die Kaspersky Rescue Disk sollte als Offline AV funktionieren, siehe https://support.kaspersky.com/de/4118.
Download dann unter https://support.kaspersky.com/de/viruses/rescuedisk#downloads.
Rene1976
Rene1976 18.01.2017 um 16:37:00 Uhr
Goto Top
Hallo,

danke für die Antwort.
Der Server steht beim Provider und ist ein Windows Server.
Mit USB komm ich da nicht ran.
Offline Scanner die sich vor dem Start von Windows einhaken kommen also nicht in Frage.

Versteckte Elemente Anzeige bringt nichts. Die Dateien bleiben trotzdem unsichtbar.

Gruß,

Rene
BassFishFox
BassFishFox 18.01.2017 aktualisiert um 18:44:18 Uhr
Goto Top
Hallo,

Kannst Du mit ClamAV nochmal scannen? Nicht das da nur Bockmist in den Signaturen war oder waehrend eines .NET-Updates irgendwas dort den ClamAV stoerte.

Es darf kein Echtzeitscanner sein!
...
Offline Scanner die sich vor...

Das passt nicht! Wie willst Du dann Deinen Server halbwegs "sicher" halten bzw. scannen?

Wenn Du nicht sicher bist ob die Maschine sauber ist, kill das Teil und setze neu auf. Ein sauberes Backup wirst Du sicherlich haben von Deinen Webseiten.

BFF