Masterboot Record Virus Evil Empire-h befällt Datei pagefile.sys

Samsara8 · 20. August 2020

Hallo,
auf zwei meiner Laptops habe ich den Virus Evil Empire-h . Als Antivirensoftware verwende ich Desinfec`t 2020 sowie den jeweils aktuellen Windows Defender.

Der Virus wird jeweils immer nur von Sophos erkannt. Auf der Webseite von Sophos wird er als Master Boot Record Virus angeführt . Siehe beigefügtem Screenshot.

Als befallene Datei wird die pagefile.sys angezeigt, die bei mir 2,6 GB groß ist.

Deswegen kann ich die Datei nicht zu Virustotal oder anderen online Virenscannerdienste hochladen. Mittlerweile habe ich mich etwas in die Materie eingelesen. Deswegen habe ich mir eine CD mit dem neuesten Kaspersky Rescue Disk 2020 gebrannt. Das eine Funktion bietet, explizit den Master Boot Record zu scannen und auch zu reparieren. Leider findet Kaspersky den Virus nicht.

Die Dokumentation zu Evil Empire-h ist etwas dünn. Sein Alias ist PC-AT-h . Mir ist noch nicht klar, wie gefährlich er ist.

Meine Idee ist, dass es sich um einen Fehlalarm handelt. Denn ich verwende auf meinem neuen Lenovo Thinkpad E590 ein Windows 10 Pro mit Linux Mint 19.3 und Ubuntu Linux 18.04 LTS, sowie auf meinem alten, ausgemusterten Sony Vaio ein Windows 10 Home mit Ubuntu Linux 18.04 LTS. Der Master Boot Record ist deswegen meiner Ansicht nach ungewöhnlich, was für einen Fehlalarm spricht.

Alle meine USB-Sticks und meine externen Festplatten habe ich mit Desinfec`t gescanned. Evil-Empire-h wurde dort nirgends erkannt.

Für Hilfestellung bin ich dankbar.

Madman1209 · 20. August 2020

Hi,

Daten sichern, Systeme neu aufsetzen. Alles andere wäre mir zu riskant und dürfte auch länger dauern.

Sicherungen vorhanden?

VG,
Mad

koech · 20. August 2020

Versuch doch mal, die pagefile kleiner zu machen oder ganz auszuschalten.
Vielleicht bist du den Übeltäter dann auch los.

Klikidiklik · 20. August 2020

Pagefile ausschalten, neu starten, Pagefile wieder einschalten und wieder neu starten. Anschließend schauen ob der Virus noch da ist bzw. erkannt wird.

amorosa · 20. August 2020

Also seltsam finde ich das schon, das wenn man danach googelt, das nur "Sophos" davon schreibt.
Und mit dabei etwas von 1993 (?).

Auch ich rate dazu, mal dein Pagefile deaktivieren/aktivieren, nachprüfen, dann reagieren : Sprich-Platten-Platt machen

NOTAUS · 20. August 2020

Es könnte sich um einen Fehlalarm handeln. Zwei Antivirenprogramme gleichzeitig laufen zu lassen, ist auch keine gute Idee. Da wird vermutlich auch der Fehler herkommen. Das eine Programm erkennt das andere als Schädling.

Sulik · 20. August 2020

NOTAUS schrieb:
Es könnte sich um einen Fehlalarm handeln. Zwei Antivirenprogramme gleichzeitig laufen zu lassen, ist auch keine gute Idee.

Desinfect ist ne Live-Distri

NOTAUS · 20. August 2020

Sulik schrieb:
Desinfect ist ne Live-Distri

Er sprach aber von Sophos + Defender!

TP555 · 20. August 2020

Hi

Lass Mal Malwarebytes drüber laufen , wenn der nix Findet , dann ist da auch nix. !!

Master Boot Record Viren , sind eigentlich schon lange nicht mehr bekannt , den letzten den ich noch kenne war der Junkie 10xx aus MS Dos Zeiten , das war so 1993 , da half nur Low Level Format , war aber dank dem Apaptec 1542CF im BIOS kein Problem.

Der Burglar oder Bulgar , war glaube ich auch einer , das war so 95 oder 96.

Oder kennt jemand von euch Solche Viren die auch noch Win10 befallen würde , so das wirklich ein richtiger Low Level Format nötig wäre ?

https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Evil Empire-h.aspx

Der Virus ist von 1993 !!

Mfg.

inge70 · 20. August 2020

NOTAUS schrieb:
Er sprach aber von Sophos + Defender!

nö, er sprach erst von

Samsara8 schrieb:
Als Antivirensoftware verwende ich Desinfec`t 2020 sowie den jeweils aktuellen Windows Defender

und dann kam

Samsara8 schrieb:
Der Virus wird jeweils immer nur von Sophos erkannt. Auf der Webseite von Sophos wird er als Master Boot Record Virus angeführt . Siehe beigefügtem Screenshot.

Demnach hat er wohl auch Sophos in Nutzung, denn anders gehts nicht. Somit wohl 3 Virenwächter.

Zum Thema:

schalte die pagefile.sys ab, boote den PC neu und aktiviere sie wieder. Anschließend noch mal prüfen. Mehr geht nicht.

Ic3HanDs · 20. August 2020

Desinfec't ist eine Live Distri um den Rechner auf Viren zu scannen. Und in dieser arbeiten 4 Scanner parallel: Eset, F-Secure, Sophos und Kaspersky..

chrigu · 20. August 2020

Schon witzig wenn zwei Laptops mit demselben 1993 Virus verseucht wurden die im selben Besitz sind. Was sollen wir nur von dir halten?
Ich würde dir empfehlen beide Laptops zu formatieren und Windows neu zu installieren.... und diesmal ohne alten Tools oder Backups oder welche verseuchte Datei auch immer dazu geführt hat.

PC295 · 20. August 2020

Das sind Fehlalarme, da brauchst du gar nichts tun.

Samsara8 · 21. August 2020

PC295 schrieb:
Das sind Fehlalarme, da brauchst du gar nichts tun.

Dies sehe ich genauso.

Ergänzung (21. August 2020)

Ic3HanDs schrieb:
Desinfec't ist eine Live Distri um den Rechner auf Viren zu scannen. Und in dieser arbeiten 4 Scanner parallel: Eset, F-Secure, Sophos und Kaspersky..

Exakt.

Mittlerweile ist sogar noch ein fünfter Scanner dabei. der sogenannte Open Threat Scanner.

Madman1209 · 21. August 2020

Hi,

und du möchtest nun...was genau? Wenn du meinst es sind Fehlalarme gibt es doch kein Problem, oder übersehe ich etwas?

VG,
Mad

Samsara8 · 21. August 2020

Hallo,

Vielen Dank für die vielen konstruktiven Beiträge.

Zuerst will ich ein neues Prüfergebnis mit Euch teilen. Nämlich habe ich heute Nacht den Open Threat Scanner über mein Windows 10 System laufen lassen. Er wurde von Mitarbeitern des Heise-Verlags programmiert, um die neueste Generation von Ransomware wie Emotet auf zu spüren. Dieser Scanner lieferte als Ergebnis keinen Virenbefall.

Was meiner Ansicht nach ein weiteres Indiz für einen Fehlalarm ist.

Eine Idee in Bezug auf die Konfiguration von Desinfec`t ist mir noch gekommen. Denn momentan ist die Standardeinstellung „Potentially unwanted Software“ erkennen aktiviert, was die Zahl die Fehlalarme erhöht. Heute Nacht werde ich mein System noch einmal ohne diese Einstellung scannen. Es bleibt ab zuwarten ob der Evil Empire-h sich dann verabschiedet.

Sicherungen meiner Systeme besitze ich.

Eine Frage noch in die Runde: Hat irgendjemand irgend einen Hinweis gefunden wie gefährlich dieser Evil Empire-h ist? Denn ich habe diverse Virendatenbanken von Security-Firmen durchsucht und keinen Eintrag zu diesem ominösen Schädling gefunden.

Die Idee, an der Datei pagefile.sys zu konfigurieren, halte ich für nicht zielführend. Da meines Wissens dies eine wichtige Systemdatei von Microsoft Windows 10 ist.
Vielen Dank für die Hilfestellung.

TorenAltair · 21. August 2020

Pagefile.sys kannst Du einfach löschen, das ist die Auslagerungsdatei, die wird dann einfach neu angelegt, also z.B. aus der Desinfect-Distribution heraus.

Suche

Masterboot Record Virus Evil Empire-h befällt Datei pagefile.sys

Samsara8

Newbie

Anhänge

Madman1209

Fleet Admiral

koech

Lieutenant

Klikidiklik

Commander

amorosa

Captain

NOTAUS

Banned

Sulik

Ensign

NOTAUS

Banned

TP555

Rear Admiral

inge70

Rear Admiral

Ic3HanDs

Commander

chrigu

Fleet Admiral

PC295

Captain

Samsara8

Newbie

Madman1209

Fleet Admiral

Samsara8

Newbie

TorenAltair

Commodore