HEUR:Trojan-Banker.Win32.Qbot.gen -> System neu aufsetzen?

Caine1

Commander
Registriert
Aug. 2006
Beiträge
2.113
hi leute,
sehr seltsam, ich habe nur firefox mit youtube geöffnet gehabt, outlook (da sind keine mails mit anhang/hätte auch keine geöffnet) aktiv und das wars.
plötzlich erscheint bei Kaspersky das 5 dateien mit dem o.g. Trojaner auf C:\ gefunden wurden, habe diese entfernt. dann nach ca. 15 Minuten wieder ca. 5 Dateien, habe den REchner runtergefahren und meine 2 externen hdds abgestöpselt und hochgefahren nur mit c:\ und den rechner vom internet gekappt. dann malwarebytes installiert (vorher noch installiert) und hat nichts gefunden + Kaspersky hat beim scan erst fast ca. 30 minuten später wieder ca. 5 dateien gefunden aber sonst nichts.

nun überlege ich was ich mache, entweder hat kaspersky plötzlich ne macke/falschmeldungen oder irgendwas ist durch den browser reingekommen, allerdings seltsam da nichts heruntergeladen usw.

habt ihn noch ideen?

ich überlege ob ich mein letztes image via acronis drauf bügele, ca. 2 monate alt, ich habe nicht viel geändert soweit ich weiß in der zeit da ich meist nur auf die anderen 2 hdds arbeite und c:\ nur für officeprogramme, OS usw dient.

zusatzinfo, nein ich nutze auch keine warez, ich zahle sogar für die adobe cloud usw. falls dazu fragen kommen ;).

danke!

ps:
ich schreibe vom anderen rechner aus
 
Caine1 schrieb:
dem o.g. Trojaner auf C:\ gefunden wurden, habe diese entfernt. dann nach ca. 15 Minuten wieder ca. 5
Ja wo und welche denn?


Wenn Du Kaspersky so vertraust, würde einfach exakt so Kaspersky weiter nachen kassen. 🤷‍♂️. 😉
 
  • Gefällt mir
Reaktionen: Mickey Cohen
Kann sein dass die Virensignatur erst jetzt bei Kaspersky eingespielt wurde oder ein Virus erst jetzt aktiv wurde.

Wenn du - wie du selbst sagst - ein Backup hast und nicht viel verändert hast dann würd ich das einspielen. In wie weit natürlich die externen Platten betroffen sind kann man nicht sagen.
 
  • Gefällt mir
Reaktionen: piepenkorn
BFF schrieb:
Ja wo und welche denn?


Wenn Du Kaspersky so vertraust, würde einfach exakt so Kaspersky weiter nachen kassen. 🤷‍♂️. 😉
danke, es waren daten von c:\programme(x86)\VSTplugins
ein paar DLLs die für musikprogramme genutzt werden
dann auch ein ordner VST3 wo 5 dateien mi VST Endung.

ka wegen kaspersky, was empfiehlst du? abgesehen von politik bitte.
 
Ich hatte privat auch Kaspersky, kam 3 mal beim Booten zu Bluescreens, wegen Kaspersky und ich hatte öfter Probleme mit Updates .... bin wieder bei Windows eignen Schutz.
 
Caine1 schrieb:
c:\programme(x86)\VSTplugins
ein paar DLLs die für musikprogramme genutzt werden
dann auch ein ordner VST3 wo 5 dateien mi VST Endung.
Schieb die Dateien mal zu virustotal.de hoch und lass diese mal extern prüfen.

Cu
redjack
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: piepenkorn und Tulol
ich überlege ob ich mein letztes image via acronis drauf bügele, ca. 2 monate alt, ich habe nicht viel geändert soweit ich weiß in der zeit
Dann spiele das doch ein, vorher evtl. noch eine Datensicherung machen von Dateien die sich geändert haben von vor 2 Monaten bis jetzt.
ka wegen kaspersky, was empfiehlst du? abgesehen von politik bitte.
Ich nutze schon fast 1 Jahr lang das: https://campaigns.f-secure.com/internet-security/pc-welt/de/ und als Tipp falls du es noch tust: installiere für alle Browser uBlock Origin
Ergänzung ()

In wie weit natürlich die externen Platten betroffen sind kann man nicht sagen.
Die kann er ja mit 1 oder 2 verschiedenen Antivirus Live CD's von verschiedenen AV Herstellern scannen und dann vielleicht noch mit Malwarebytes und/oder mit Emsisoft Emergency Kit.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: piepenkorn und Caine1
danke, welche Antivirus Live CD empfiehlst du evtl?

denkt ihr ich sollte mal Kaspersky runterschmeissen und mal schauen ob Windows defender auch warnungen bringt?

hatte schon mal false positives mit kaspersky, nur nicht an einem tag stück für stück, als ob alle 15-30 minuten 5 dateien infiziert werden. rechner habe ich seitdem auch nicht mehr an.

achso als addons in firefox nutze ich ublock origin, noscript und https everywhere
 
das kann ich erst morgen leider

dieses programm kenne ich noch gar nicht
 
danke, welche Antivirus Live CD empfiehlst du evtl?
Ist eigentlich egal, welch verschiedenen du nimmst. Gibt es zum Beispiel von AVG, BitDefender, F-Secure usw. Google einfach mal nach Antivirus Live CD und such dir dann 2 Hersteller raus.
Also entweder postest du jetzt ein FRST-Log oder du doktorst da weiter sinnlos an dem verseuchten System rum.
dieses programm kenne ich noch gar nicht
Ein FRST Log würde ich im Trojaner Board machen lassen. Die machen das fast täglich dort und sagen dann was zu tun wäre.
Ergänzung ()

achso als addons in firefox nutze ich ublock origin, noscript und https everywhere
HTTPS Everywhere braucht man eigentlich nicht mehr und es wird auch nicht mehr weiterentwickelt: https://www.golem.de/news/eff-https-everywhere-wird-nicht-mehr-gebraucht-2109-159883.html
https://stadt-bremerhaven.de/https-everywhere-wird-eingestellt/
https://gnulinux.ch/https-everywhere-ist-obsolet
 
Zuletzt bearbeitet:
korrekt und legitim vermutlich, der doppelte Caine1-3 ist ja wohl auch schon dort gelandet:
https://www.kvraudio.com/forum/viewtopic.php?t=601345

und wenn man dort ein bisschen rumsucht:
https://www.kvraudio.com/forum/viewtopic.php?t=521111

findet man auch z.B. bekannte Ordner für VST-Plugins, z.B. in dem entsprechenden Programm oder in den "common Files" (Sony, Magix, etc.) oder oder oder

und wenn wie o.g. alles koscher, wie da jetzt der Kasper vllt. bei irgendwelchen .dlls Einsprungpunkte oder sonstige Eigenartigkeiten prüft...
 
danke euch nochmals!

ich hatte nun 4 live cds/isos erstellt, Avira, Avast, Eset & Kaspersky.
Avast fand nicht, Eset fand 2 windowsdateien, leider habe ich es falsch fotografiert und schon gelöscht gehabt die dateien, man konnte nichts auf dem bild erkennen.... soweit ich mich erinnere 2 temp dateien o.ä. aber nichts in system oder so. kaspersky fand auch nichts und avira fand 1 java datei in einem musikprogramm was ich fast zu 99.9% false positive denke, später mehr.

dennoch fühlte ich mich nicht ganz so sicher, also neustart, win10 geladen schnell kaspersky update und disconnect vom netz, nichts gefunden nach vollem scan der C: platte und während des scannens über 1 std ploppte auch nichts mehr auf. dennoch immer noch unsicheres gefühl..... neustart boot von acronis via usb boot und backup des volumes. dann altes backup (leider von ende juni, dachte ich hötte nen neueres.. aber nicht schlimm, soweit ich sah nur paar programme nachinstallieren und lesezeichen habe ich von mozilla gesichert, outlook ist ja via imap). recovered und mal das durch die 4 live isos/cds laufen lassen, diesmal hat eset nichts gefunden, avast und kaspersky wieder nichts und avira wieder diese 1 java datei, ich habe sie dennoch gelöscht und werd das programm aktualisieren, aber bin mir ziemlich sicher es ist sauber.

hier ploppte noch gar nichts auf. also es riehct schon alles nach false positives?

mal dazu, kaspersky läuft in 5 tagen ab, abgesehen bitte von der politik derzeit, ist das programm immer noch empfehlenswert oder würdet ihr doch etwas anderes allgemein empfehlen? der windows defender den mag ich nicht wirklich sonderlich..... kaspersky hatte schon mal zum glück? ein popup geblockt gehabt und auch 2 emails gleich gelöscht mit bösem anhang. sowas hatte windows defender aus meiner erfahrung noch nicht gemacht. und windows ist selber schon eine schleuder ;).

danke nochmals!
 
Caine1 schrieb:
ist das programm immer noch empfehlenswert oder würdet ihr doch etwas anderes allgemein empfehlen?
Wenn du die paar Euro für werbefrei investieren willst warum nicht. Es gibt defacto kein besseres AV als Kaspersky welches von der detection ratio so gut performt. Und die proaktive Schutzfunktionen sind das was hier halt dann die DLL Dateien erkannt hat. Sowas kann auch mal false positive sein. Ansonsten kann ich dir Norton empfehlen welches aber einfach zu aufgebläht daherkommt. Mit F-Secure kannst du auch nichts falsch machen. Was ich aber vermeiden würde wären Programme die dich im Glauben lassen etwas müsse getan werden. Dafür muss man resistent sein. Manche Leute machen sich da dann einen Kopf wenn plötzlich dransteht: Ihre Verbindung ist nicht sicher. Sie können von jedem gesehen werden!

Oder sonstigen Mist was auf gut deutsch nur heisst dass du den tollen vpn abonnieren sollst.

Gruss
 
  • Gefällt mir
Reaktionen: Caine1
danke euch, seltsamerweise fand Kaspersky, wieder die gleiche (bisher nur die) datei von meinem recovery jetzt in betrieb.

picture.png


Virustotal spuckt das aus, und da sagt kaspersky nichts
https://www.virustotal.com/gui/file...92427ae41e4649b934ca495991b7852b855/detection

false positive?

ich habe die datei dennoch gelöscht, ddiese ist aber schon von 2017 oder so. werde das programm nochmal neu runterladen und installieren
 
was ist das bloss für ein rumgeeier? Der Kollege "Bert" da drüben hat die richtigen Tips gegeben. Die einzigen die wirklich helfen können, sind die Kasper Jungs und Jünger...

Da wird eine .zip bei VT hochgeladen, während die Funde ganz woanders sind. Nebenbei ist Malware in Archiven nicht aktiv.
Zitat von drüben:
...so nearly all say nothing is infected and just 2 vendors sometimes say malicious malware...
nein 4!
https://www.virustotal.com/gui/file...122234dba978a0984c29f6407b4157a931f?nocache=1

die UDS vom Kasper sind dazugekommen und bedeutet z.B.:
Wenn das Verhalten einer Datei schädlich erscheint, fügt das KSN diese Information sofort zur Datenbank unseres Urgent Detection System (UDS) hinzu, und ist damit sofort für alle Anwender verfügbar. Ist das Verhalten der Datei nicht schädlich, wird sie zur Allowlist hinzugefügt.
https://www.kaspersky.de/blog/schutz-aus-der-wolke-das-kaspersky-security-network/1569/

und es würde 0 bringen eine mutmassliche Verseuchung in einer der Defender-Trollfabriken abzuhandeln...
ein Lesezeichen habe ich hier noch.
https://www.zdnet.de/88381029/zahlreiche-windows-10-anwendungen-anfaellig-fuer-dll-hijacking/

kannst ja aber auch mal suchen wenn der Günni mit dem Stefan im "Bett", und dann seinen Defender rausholt... :D
https://www.borncity.com/blog/2022/...e-banking-browser-s-protect-ein-totalausfall/
 
Zurück
Oben