Gotcha

Heute bin ich endlich meinen Trojaner losgeworden. Ich habe schon Donnerstag & Freitag versucht ihn loszuwerden. Er wurde zwar von Avira richtig erkannt, allerdings konnte ihn Avira nicht entfernen.

Es war ein richtiger Hürdenlauf, bis ich diesen Spion wieder losgeworden bin. Zuerst konnte ich mit der Bezeichnung "TR/Agent 37376" die Avira ausspuckte nichts anfangen.
Aber im Avira-Forum habe ich dann ne ganze Menge an Tipps gelesen.
Zuerst habe ich die Datei combofix heruntergeladen und verwendet, um mein System zu analysieren. Dann habe ich die DLL-Datei, die den Trojaner enthielt, bei Virustotal hochgeladen, um herauszubekommen, dass es sicht hierbei um eine Vundo-Art handelt. Daher habe ich bei Symantec ein extra Trojan.Vundo Removal Tool heruntergeladen. Leider konnte das Tool den Trojaner nicht auf meinem System finden. Auch ein zweites Vundo-Tool konnte den Schädling nicht bei mir finden. Hmmm, handelt sich scheinbar um eine Abart des Vundo, die neuer oder schlauer als die alte Vundo-Version ist.

Naja, da Avira das System ziemlich blockiert solange der Trojaner im System ist und ihn aber auch nicht entfernen kann, habe ich Avira deinstalliert und den Kaspersky Virenscanner installiert, in der Hoffnung, dass dieser den Schädling entfernen kann.
Aber Pustekuchen; der Kaspersky kann den Trojaner nicht einmal finden. zwar erkennt es die Registry-Zugriffe (die der Trojaner ständig macht, um sicherzustellen, dass man ihn nicht aus der Registry entfernen kann), aber erkennen oder entfernen konnte ich ihn mit Kaspersky nicht. Das Schutzprinzip von Kaspersky ist sicherlich sehr interessant aber so (mit einem bereits verseuchten System) nutzt er mir leider nichts.

Am Ende nutzt es alles nichts. Ich muss den Trojaner selbst bekämpfen. Dazu habe ich mit die aktuelle Knoppix-Version geruntergeladen und auf CD gebrannt. Damit starte ich den Rechner und kann über Knoppix auf die Festplatte zugreifen.

Einfach den Namen der DLL geändert (vorher die Zugriffsart per Rechtsklick aufs Icon in Lesen/Schreiben ändern) und dann den Rechner neustarten. Glücklicherweise geht es ohne Probleme und so kann ich dann sicherheitshalber noch die Registry-Einträge entfernen.

Fazit: Ich bin doch etwas enttäuscht vom Avira. Wie konnte es dazu kommen, dass der Trojaner sich unbemerkt festsetzen konnte? Scheinbar konnte Avira ihn sogar erst nach einem Update, welches ich am 21.11.07 gemacht habe, überhaupt erst sehen! Doch danach sass er schon fest im System und konnte nicht mehr entfernt werden.

Ich denke zwar noch immer, dass Avira ein sehr guter Virenscanner ist (zumal er ja auch kostenlos erhältlich ist) aber jetzt werde mal eine Zeit lang den AVG ausprobieren. Nur mal so zum Vergleich...