grisu2290
Goto Top

W32 Infector Gen8

Hallo Gemeinde,
sei kurzem ist meiner Schwägerin aufgefallen das Sie ohne Virenschutz surft.
Bei der Überprüfung mit Avira Rescue System findet der 93 mal W32/Infector.Gen8
Über diesen Virus habe ich noch nichts gefunden. Dieser wohl die exe Datein abändern soll.
Einfach so die Maschine formatiren geht auch nicht, da dort Lexware mit einer Datenbank installiert, das Sie für Ihren Job braucht.

Weiß jemand was das für ein Virus ist, bzw wie sich dieser entfernen lässt.

Danke für eure Mithilfe !

Content-ID: 211186

Url: https://administrator.de/forum/w32-infector-gen8-211186.html

Ausgedruckt am: 23.12.2024 um 15:12 Uhr

kontext
kontext 11.07.2013 aktualisiert um 10:03:03 Uhr
Goto Top
Guten Morgen @Grisu2290,

War sie ohne Virenschutz im Internet oder nur mit abgelaufenem Virenschutz.
Wenn sie ohne im Netz war, wundert mich die geringe Anzahl an Infektionen...
... hatte das einmal in einem LAB nachgestellt - da waren innerhalb eines Tages mehrere Tausend Viren auf dem System

Was du machen könntest ist ein Offline-Scan mit der Kaspersky Rescue Disk.
Diese lädst du runter und startest von der - danach machst du einen Scan und schaust mal was raus kommt.

Jedoch würde ich so ein stark kontaminiertes System immer Platt machen.
Ich denke nicht dass das System jemals Virenfrei wird bzw. 100%ig sauber wird ...
... da kann es leicht sein, das innerhalb kürzester Zeit du wieder Viren im System hast
... außerdem würde ich (wenn ich dich wäre) einmal ein Backup der "wichtigen" Daten machen
... nicht das morgen alles dunkel ist und du trotzdem Neuinstallieren musst

PS: Eine Neuinstallation inkl. der spezifischen Software und Datenübernahme dauert nicht länger als einen Tag ...
... wenn man das an einem Wochenende macht oder in der Urlaubszeit (kommt ja bald) sollte das kein Problem darstellen
... von daher gilt das nicht als Entschuldigung (zumindest nicht für mich)

Gruß
@kontext
DerWoWusste
DerWoWusste 11.07.2013 aktualisiert um 10:03:57 Uhr
Goto Top
*offtopic*
Moin Kontext!
hatte das einmal in einem LAB nachgestellt - da waren innerhalb eines Tages mehrere Tausend Viren auf dem System
Ohne Virenschutz passiert zunächst mal gar nichts, es sei denn, alle Ports sind zum Internet offen und deren Dienste alle verwundbar (dies ist im Homerouter Setup default nie der Fall). Wer so unvorsichtig im Netz handelt, dass er sich derart viele Viren installiert, der schafft das auf jeden Fall auch mit Virenschutz, nur vielleicht ein paar Minuten später.
kontext
kontext 11.07.2013 aktualisiert um 10:07:23 Uhr
Goto Top
Moin DerWoWusste,

ich kenne wenige (vor allem Privatleute) die bei ihren Internetzugängen Port's öffnen / schließen.
Bei uns in Ö kann man das zum Teil gar nicht, da man als User keine Passwörter für die Router der Provider hat.

Wir haben bei dem Test einen frisch-installieren Client an einen normalen ADSL Router dran gehängt und WU-Updates gezogen.
Danach haben wir Ihn ein wenig Laufen lassen und dann den AV-Scan ...
... aber das ist nun auch schon ca. 5 Jahre her

Gruß
DerWoWusste
DerWoWusste 11.07.2013 aktualisiert um 10:11:05 Uhr
Goto Top
Was auch immer Du da erlebt hast: normal ist das nicht, denn per default sind die Ports zu - da passiert null und gar nichts, auch vor 5 Jahren schon nicht.
108860
108860 11.07.2013 um 10:08:27 Uhr
Goto Top
Moin,

der W32/Infector.Gen8 befällt die exe Dateien des gesamten Systems.
Auch können dadurch einige Registryschlüssel befallen sein bzw. werden.

Der Virus W32/Infector* wird oft mit Botnetzen in Verbindung gebracht.

Du kannst den Tipp von "kontext" noch mit der Kaspersky Rescue Disk versuchen,
meiner Meinung nach hilft aber nur noch das gesamte System Platt zu machen.

Mfg
Cyberthink
ViktorHim
ViktorHim 11.07.2013 aktualisiert um 10:27:33 Uhr
Goto Top
Morgen Grisu,

ja das ist echt bitter, also das sie ohne Virenschutz surft. Die Infektion ist ein resultat daraus.
Zu dem Virus, nicht nur die .exe Datein, auch Reg-Werte werden geschrieben und abgeändert. Die meisten Viren heißen bei anderen anders, bei McAfee z.b W32/Expiro.

Dafür habe ich einiges gefunden --> http://home.mcafee.com/virusinfo/virusprofile.aspx?key=1045878#none unter dem Reiter "Virus Characteristics"

Dort siehst du direkt was geändert und erstellt wurde...


Mfg
Viktor

Edit: Und wo ist das Problem das sie Lexware benutzt? Es werden meiner Meinung nach keine exe datein von Lexware in die DB reingepackt und kann also problemlos gesichert werden. Eine Anleitung findest du hier ---> http://support.lexware.de/portal_support/09174-0000/ShopData/media/pega ...

Ich würde dir empfehlen das System per Boot-CD zu starten und dann die Datenbank auf eine externe festplatte zu ziehen. Mach die Platte platt ;)
Pjordorf
Pjordorf 11.07.2013 um 10:34:31 Uhr
Goto Top
Hallo,

Zitat von @Grisu2290:
Einfach so die Maschine formatiren geht auch nicht
Warum nicht? Ist deine Festplatte Formatier geschützt?

da dort Lexware mit einer Datenbank installiert, das Sie für Ihren Job braucht.
Das ist kein Grund den Rechner nicht neu aufzusetzen. Das ist nur deine gesuchte Ausredeface-smile

Auch Lexware kann mittlerweile recht gut einen Rechnerwechsel verkraften. Dazu suchst du dir bei http://support.lexware.de/supportHome dein produkt raus und folgst der anleitung wie man einen Rechnerwechsel durchführt. (Altes System sichern, neus Installaieren und datensicherung zurück). Das ist kein hexenwerk mehr. Alles was du brauchst ist das letzte verwendete Release und natürlich den gültige Lizenzschlüsel. Du brauchst also nicht alle 23 Versionen seit 12 1/2 Jahren aufzuspielenface-smile

bzw wie sich dieser entfernen lässt.
Festplatte Formatieren aus einem Linux Live System?

Gruß,
Peter
mrtux
mrtux 11.07.2013, aktualisiert am 05.08.2013 um 17:30:13 Uhr
Goto Top
Hi !

Wenn es sich tatsächlich bei der Malware um einen Exe-Infektor handelt, dann würde auch anraten den Rechner besser platt zu machen.

Bei Lexware konnte man schon immer eine interne Datensicherung erstellen und dann auf einem anderen Rechner (oder einem neu aufgesetzten Rechner) wieder einspielen. Also Datensicherung machen, den Rechner platt machen, neu aufsetzen, aktuelle Lexware wieder installieren und Dasi wieder einspielen. Fertig und wo ist das Problem? Ich habe das bei Kundenaufträgen schon zigmal problemlos so gemacht...

Und als Ergänzung: Gleich danach mit einem Imager z.B. mit dem kostenlosen Clonezilla (Parted-Magic als Toolbox bringt alles Nötige mit) ein Image erstellen, damit man den Rechner bei einer erneuten Infektion problemlos und schnell wieder herstellen kann.

mrtux
Grisu2290
Grisu2290 12.07.2013 um 12:19:52 Uhr
Goto Top
Danke für eure Tips und Meinungen !

Ich habe mal den Rechner über Wireshark laufen lassen, und siehe da, es werden viele Pakete an eine Adresse über Londen gesendet, ich denk es wird ein Proxy sein...
Diese IP Adresse ist auch nirgends Registriert....

Daher werde ích den Rechner wohl neu Installieren müssen.

Fazit:
Sollte jemand solch eine Infektion haben, besser neu Installieren !!


Nachmal danke an ALLE !!

Gruß

Patrik
templier
templier 12.07.2013 aktualisiert um 18:43:49 Uhr
Goto Top
Zitat von @kontext:
Guten Morgen @Grisu2290,

War sie ohne Virenschutz im Internet oder nur mit abgelaufenem Virenschutz.
Wenn sie ohne im Netz war, wundert mich die geringe Anzahl an Infektionen...
... hatte das einmal in einem LAB nachgestellt - da waren innerhalb eines Tages mehrere Tausend Viren auf dem System

@kontext - Wo treibst Du Dich denn da so im Internet herum? face-wink

Jedoch würde ich so ein stark kontaminiertes System immer Platt machen.
Ich denke nicht dass das System jemals Virenfrei wird bzw. 100%ig sauber wird ...
... da kann es leicht sein, das innerhalb kürzester Zeit du wieder Viren im System hast
... außerdem würde ich (wenn ich dich wäre) einmal ein Backup der "wichtigen" Daten machen
... nicht das morgen alles dunkel ist und du trotzdem Neuinstallieren musst

PS: Eine Neuinstallation inkl. der spezifischen Software und Datenübernahme dauert nicht länger als einen Tag ...
... wenn man das an einem Wochenende macht oder in der Urlaubszeit (kommt ja bald) sollte das kein Problem darstellen
... von daher gilt das nicht als Entschuldigung (zumindest nicht für mich)

Das würde ich auch so Unterschreiben wollen, denn so einem System würde ich (persönlich) nicht mehr trauen. Und ist wirklich grundsätzlich die vernünftigste Lösung. Alles andere artet dann schon fast in "Basteleien", ohne wirkliche Erfolgsgarantie aus...