Trojaner lässt sich nicht entfernen

H

helmut_grokenberger

Member
Themenstarter
Registriert
3 Juni 2009
Beiträge
667
Liebe Community,

ich bin etwas ratlos und hoffe auf euren Sachverstand. Seit ein paar Monaten bekomme ich von Windows 11 Defender eine Erkennungsmeldung. Packt man den Fund in Quarantäne, wird Defender nach ein paar Minuten erneut fündig. Hier die Details:


Erkannt Trojan:HTML/Redirector.PAIF!MTB
Pfad: ...AppData\Local\Microsoft\Windows\INetCache\IE\OQLREHDK\rss_issues_all[1].htm
Pfad: ...AppData\Local\Microsoft\Windows\INetCache\IE\B91A77C4\rss_tvissues_all[1].htm

Erkannt Trojan:HTML/Redirector.MKK!MTB
Pfad: ...AppData\Local\Microsoft\Windows\INetCache\IE\OQLREHDK\rss_issues_all[1].htm
Pfad: ...AppData\Local\Microsoft\Windows\INetCache\IE\OQLREHDK\rss_tvissues_all[1].htm

Eine vollständige Überpfüfung ergibt keine Funde. Ebenso keine Funde bei einer Offlinesuche nach einem Reboot.
Was kann ich noch ausprobieren? Liegt das an einem temporären Fund im Cache beim Surfen ("NetCache"?). Ich verwende die neuste Firefox-Version.

Eine Neuinstallation scheue ich momentan sehr, weil ich nicht die Zeit habe momentan. Das Haus ist voll mit Handwerkern nach einem Wasserschaden :cry:

Danke euch vorab für einen Rat.

VG Helmut
 
Lösung
H
think_pad schrieb:
Die Datei rss_tvissues_all.htm oder rss_tvissues_all.php ist in der Regel ein Podcast-Feed, dessen Dateien als Audio oder Video vorliegen. Es ist also kein Trojaner, sondern eine HTML- oder PHP-Datei, der auf die MP4 oder MP3-Dateien auf dem Server verweist, die nicht extra auf den PC herunter geladen wurden.

Warum der uralte Internet Explorer die Podcasts, die vom Firefox aufgerufen werden, ausschnüffelt, bleibt sein Geheimnis.
Zum Vergrößern anklicken....
Das war der Tipp des Tages. Mega, danke!
Ich habe in Outlook ein paar alte integrierte RSS-Feeds auf Podcasts gelöscht. Bisher nach mehrmaligem Scan keine kein Alarm mehr von Defender. Das scheint es gewesen zu sein und ich bin beruhigt.

Merci an alle!
Lösche doch mal den Browser-Cache über das "Einstellungen"-Menü des Browsers. - Notfalls zuvor den Defender deaktivieren/pausieren.
 
Mornsgrans schrieb:
Notfalls zuvor den Defender deaktivieren/pausieren.
Zum Vergrößern anklicken....
Das könnte entscheidend sein!

Wenn Defender die verdächtigen Dateien blockiert, kann man sie meist auch nicht löschen.

Vor allem musst Du nicht den Firefox.Cache leeren, sondern den des IE:
helmut_grokenberger schrieb:
AppData\Local\Microsoft\Windows\INetCache\IE\
Zum Vergrößern anklicken....
Den Ordner schleppst Du vermutlich seit Jahren mit Dir herum, da der Internet-Explorer schon lange durch ein Windows Update entfernt wurde.
 
Zuletzt bearbeitet:
Danke für die schnellen hilfreiche Antworten.

Ich habe auf dem PC keinen IE, Edge,, Chrome, Opera mehr. Nur noch Firefox.
Wenn ich den Pfad im Explorer öffne, zeigt es die Ordner nicht an (obwohl ich versteckte Ordner anzeigen lasse).

Ich habe einfach mal Defender deaktiviert und den kompletten "NetCache"-Ordner händisch im Explorer/Papierkorb gelöscht. Mal schauen, ob jetzt nochmal eine Trojanermeldung kommt.

qBittorrent verwende ich nicht.
Beitrag automatisch zusammengeführt:

Kann man einschätzen, was das für dein Trojaner ist/war? Was macht der im Zweifel?
Beitrag automatisch zusammengeführt:

Update: Jetzt hat Defender wieder eine Meldung gegeben:

Fund in einem anderen Ordner im NetCache\IT:
...\AppData\Local\Microsoft\Windows\INetCache\IE\B91A77C4\rss_tvissues_all[1].htm

Habt ihr noch Tipps? Ich werde in 2 Monaten das Gerät neu aufsetzen können, aber momentan kommt die Meldung echt zu einer Unzeit :(
 
Zuletzt bearbeitet:
helmut_grokenberger schrieb:
Kann man einschätzen, was das für dein Trojaner ist/war? Was macht der im Zweifel?
Zum Vergrößern anklicken....
Wirf die Bezeichnung in eine Suchmaschine und schau was passiert

helmut_grokenberger schrieb:
Habt ihr noch Tipps?
Zum Vergrößern anklicken....
Lass mal Malwarebytes, HijackThis o.ä. drübergucken (lässt sich neben Defender nutzen, da nicht-persistent & kein Echtzeitschutz)
www.heise.de

Malwarebytes

Die Antivirussoftware Malwarebytes hilft beim Aufspüren und Entfernen von gefährlicher Software aller Art inklusive Ransomware.
www.heise.de www.heise.de
www.heise.de

HijackThis

Die Security Software HijackThis ist ein kostenloses Anti Malware und Anti Spyware Tool für die Computer-Sicherheit.
www.heise.de www.heise.de
 
Zuletzt bearbeitet:
Siehe:
www.computerbase.de

Windows Defender findet nach jedem neustart den DownloadTrojaner: JS/Vdehu.A

Seit vorgestern plagt mich windows defender mit dieser Nachricht und ich kriege diesen Trojaner nicht weg ;( Spybot und Malwarebytes findet nichts und habe mir sogar den einmaligen scan von ESET runtergeladen (wobei ich nicht weiß ob das irgend etwas bringt). auch habe ich die dateien nach...
www.computerbase.de www.computerbase.de
Dort gab es auch den Tipp mit Malwarebytes, der das Programm "PC Equalizer" als Ursache ermittelte.
 
helmut_grokenberger schrieb:
Kann man einschätzen, was das für dein Trojaner ist/war? Was macht der im Zweifel?
Zum Vergrößern anklicken....

Die Datei rss_tvissues_all.htm oder rss_tvissues_all.php ist in der Regel ein Podcast-Feed, dessen Dateien als Audio oder Video vorliegen. Es ist also kein Trojaner, sondern eine HTML- oder PHP-Datei, der auf die MP4 oder MP3-Dateien auf dem Server verweist, die nicht extra auf den PC herunter geladen wurden.

Warum der uralte Internet Explorer die Podcasts, die vom Firefox aufgerufen werden, ausschnüffelt, bleibt sein Geheimnis.

<language name="deutsch" -> Sprache

<provider name="Favoriten Audio" -> Gruppe

<podcast name="Wir_reden_viel" url="http://www.w_r_v.de/rss_tvissues_all.htm"/> -> Das ist jetzt der Feed, der auf die Medien-Dateien des Servers http://www.w_r_v.de verweist.
Zum Vergrößern anklicken....

... und den der Defender als Trojaner interpretiert. (Man kann natürlich einen echten Trojaner auch "so aussehen lassen" wie einen Podcast-Feed.)

Diese Dateien, wenn man sie denn löschen will, lassen sich nur im PE-Modus (z.B. durch einen gebooteten USB-Stick) mittels eines Batch-Scripts löschen.

X:\Pfadname\del *.* /q /f
Zum Vergrößern anklicken....

löscht z.B. ohne Rückfrage sämtliche Dateien innerhalb eines Verzeichnisses "Pfadname".
 
Zuletzt bearbeitet:
TheGrey schrieb:
Ich glaube Du wolltest "del X:\Pfadname\*.* usw." schreiben?
Zum Vergrößern anklicken....

Nein. Das kann man natürlich auch machen, aber ich bin ja bereits im Pfad, weil ich die Kontrolle über den Inhalt haben will.

C:\users\username\Desktop\test>del *.* /q /f
Zum Vergrößern anklicken....

löscht z.B. alle Dateien in einem Ordner "test" auf dem Desktop.

Für eine vorbereitete Batchdatei delete_cache.bat im WINDOWS PE würde man allerdings tatsächlich absolute Pfade nehmen, doch dazu muss man wissen, welche Unterordner sich darin befinden.

del c:\users\username\AppData\Local\Microsoft\Windows\INetCache\*.* /q /f
del c:\users\username\AppData\Local\Microsoft\Windows\INetCache\IE\*.* /q /f
del c:\users\username\AppData\Local\Microsoft\Windows\INetCache\IE5\*.* /q /f
del c:\users\username\AppData\Local\Microsoft\Windows\INetCache\MSO\*.* /q /f
del c:\users\username\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\*.* /q /f
del c:\users\username\AppData\Local\Microsoft\Windows\INetCache\Content.Word\*.* /q /f
del c:\users\username\AppData\Local\Microsoft\Windows\INetCache\Low\*.* /q /f
Zum Vergrößern anklicken....

Ob sich in den Ordnern auch noch weitere Unterordner befinden, muss man vorher mit dir ermitteln. Und wenn man nun einmal da im Pfad ist, nimmt man del *.*
 
Zuletzt bearbeitet:
Zuletzt bearbeitet:
think_pad schrieb:
Die Datei rss_tvissues_all.htm oder rss_tvissues_all.php ist in der Regel ein Podcast-Feed, dessen Dateien als Audio oder Video vorliegen. Es ist also kein Trojaner, sondern eine HTML- oder PHP-Datei, der auf die MP4 oder MP3-Dateien auf dem Server verweist, die nicht extra auf den PC herunter geladen wurden.

Warum der uralte Internet Explorer die Podcasts, die vom Firefox aufgerufen werden, ausschnüffelt, bleibt sein Geheimnis.
Zum Vergrößern anklicken....
Das war der Tipp des Tages. Mega, danke!
Ich habe in Outlook ein paar alte integrierte RSS-Feeds auf Podcasts gelöscht. Bisher nach mehrmaligem Scan keine kein Alarm mehr von Defender. Das scheint es gewesen zu sein und ich bin beruhigt.

Merci an alle!
 
Lösung
Moinsen!

Wo das Problem ja gelöst ist, stelle ich mal eine "Ahnungslosnfrage": War das jetzt eher so ein "false positive", oder wirklich eine potentielle Bedrohung? Ich würde zu Ersterem tendieren, lasse mich aber gerne belehren.


Danke vorab & Gruß,

Kai
 
Dazu hätte man sich die Inhalte der htm-Dateien genauer ansehen müssen.
 
Kai W. schrieb:
War das jetzt eher so ein "false positive", oder wirklich eine potentielle Bedrohung?
Zum Vergrößern anklicken....

Das kann der Virenscanner eben auch nicht beurteilen: Gibt es eine HTML- oder PHP-Datei, die Links für Dateien aus dem Netz enthält, die man einfach so nachlädt, dann kann der Virenscanner theoretisch davon ausgehen, dass es ein Trojaner ist.

Ob es sich um echte oder getarnte Viren handelt, echte oder getarnte ZIP-Pakete oder ob ein Hacker sogar den ganzen Server mit den falschen Dateien selbst aufgesetzt hat, kann ein Virenscanner nicht beurteilen.

Ein Virenscanner kann aber die heruntergeladenen Pakete "zerlegen und auswerten", ob sich darin Signaturen von Viren befinden.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben