Windows Vista (32bit) infiziert mit HEUR:Trojan.Script.Generic

olgi · 20. Januar 2014

Hallo,
durch einen Klick auf einen vermeintlichen Link eines Freundes bei Facebook habe ich mir das trojanische Programm HEUR:Trojan.Script.Generic eingefangen (am 11.01.14).
"Vermeintlich", weil der Freund nachträglich meinte, er hätte diesen Link nicht geteilt/geliked.

Eingefangen bedeutet: es öffnete sich ein neues Fenster und bevor sich die Seite öffnete, teilte mir Kaspersky mit, dass sich auf dieser dieser Trojaner befindet. Also schloss ich diese Seite und machte mir keine weiteren Gedanken mehr darum (in der naiven sicheren Annahme, dass mein PC nicht infiziert war).

Seit dem sind ein paar ungewöhnliche Dinge passiert. Heute habe ich daher bei Kaspersky folgendes in den Berichten gefunden:

1) 11.01.2014 20:35:54 Web-Anti-Virus Gefunden: HEUR:Trojan.Script.Generic Firefox http://1234cutemovie.ml/?fb_action_...ct_map=[573960756024359]&action_type_map=["og

2) 11.01.2014 20:35:54 Web-Anti-Virus Verboten: HEUR:Trojan.Script.Generic Firefox http://1234cutemovie.ml/?fb_action_...ct_map=[573960756024359]&action_type_map=["og

Ich habe extra "1234" eingefügt, damit keiner versehentlich auf die richtigen Links klickt

Diese Zeilen (Gefunden.... / Verboten...) wiederholen sich noch einmal.

In der Liste der erkannten Bedrohungen taucht HEUR:Trojan.Script.Generic als "Infiziert" auf. Es ist nur noch möglich, dieses Programm aus der Liste zu löschen oder in die Quarantäne zu verschieben

Zu den ungewöhnlichen Vorkommnissen:
a)
Vielleicht ist dies hier nicht wichtig, aber ich erwähne es dennoch:
Auf Facebook wurde heute ohne mein Wissen ein Link von meinem Profil geteilt. Vielleicht hat dieser Link auch nichts mit dem Trojaner zu tun. Aber ich weiß es nicht. Ich hatte mich vorgestern mal getraut, eine Anwendung zu benutzen, wodurch mir die Besucher meiner Facebookseite angezeigt werden (Schau wer dein Profil anschaut/Schau wer deine Fotos anschaut). Den Link hatte ich ursprünglich mit mir selbst geteilt.

Nachdem der Link aber ohne mein Zutun und ohne meine Anwesenheit (wieder mit mir selbst) geteilt wurde, habe ich mein Passwort geändert. Zudem sah ich, dass der Link die Option "Keine Aktivitäten mehr von 9foto.de veröffentlichen" enthielt. Diese Option wählte ich und wurde darauf hin gefragt, ob ich sicher sei, dass ich die Veröffentlichungsrechte von 9foto.de widerrufen möchte - was ich bestätigte.

b)
Zudem war ich heute auf einer Seite, wo man seine Bilder hochladen kann. Nachdem ich ein Foto hochgeladen hatte, sah ich plötzlich, wie ein vollkommen anderes, von mir schon seit Monaten nicht mehr gesehenes (aber auf dem PC vorhandenes) Foto in der Anzeige der hochgeladenen Fotos erschien.
Das führe ich eindeutig auf einen Eindringling auf meinem PC zurück.

Da ich schon gelesen habe, dass ich mich um ein paar Sachen selbst kümmern muss, hier die ersten konkreten Daten:

Malware-Scan-Ergebnisse/Report (Quick-Scan): keine infizierten Dateien

Malwarebytes Anti-Malware (Test) 1.75.0.1300
Malwarebytes : Free Anti-Malware

Datenbank Version: v2014.01.19.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
U :: 101-PC [Administrator]

Schutz: Aktiviert

20.01.2014 00:39:18
mbam-log-2014-01-20 (00-39-18).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 222762
Laufzeit: 18 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Müsste da jetzt nicht etwas anderes angezeigt werden?? Ich kann bei mir keine weiteren Ergebnisse anzeigen lassen. Liegt es an der Testversion von Malware?

Kann jemand helfen?

Danke.

Agent Smith · 20. Januar 2014

Ich würde kurzen Prozess machen: d.h. Windows platt machen und neu installieren.
Sicherer geht's nichts das Ding loszuwerden.

Gerade deine Passwörter ect. wäre mir zu heiß so weiter zusurfen

bulletpr00f · 20. Januar 2014

Zusätzlich würde ich an deiner Stelle (aber erst nach dem neu installieren) auch noch die Passwörter ändern. Hast du dir tatsächlich etwas hartnäckiges eingefangen, ist damit zu rechnen, dass deine Daten evtl. mitgeschnüffelt und an dritte übermittelt werden. (daher erst ändern, wenn das System neu aufgesetzt und sauber ist).

Zum Scannen auf etwaige Trojaner empfehle ich dir noch McAfee Labs Stinger (32 Bit) - Download - CHIP

amd_man_bavarian · 20. Januar 2014

Sehe ich auch so.Der Sicherste weg ist die Neuinstallation,wobei ich dann gleich direkt auf Windows 7 oder 8.1 umsteigen würde.Die sind schneller,brauchen weniger Resourcen und werden zur Zeit besser supported,da ja Vista ein auslaufmodell ist (auch wenn es in vielen hinsichten seit SP2 besser geworden ist).
Ich würde nach der neuinstallation ebenfalls alle passwörter ändern und ggf. die Zugangsdaten für Router und internet ändern, am besten unter Rücksprache mit deinem Provider.

Maniak · 20. Januar 2014

...Ich hatte mich vorgestern mal getraut, eine Anwendung zu benutzen, wodurch mir die Besucher meiner Facebookseite angezeigt werden (Schau wer dein Profil anschaut/Schau wer deine Fotos anschaut).
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Gerade hinter solchen Anwendungen verstecken sich die Trojaner und Co.

Facebook gibt die Daten die man für so eine Funktion benötigen würde nicht frei und somit alle Profilviewer nur als Fake zu betrachten sind.

Zu dem Rest wurde dir ja schon geraten, wie du vorzugehen hast

olgi · 21. Januar 2014

Hi,

danke für Eure Antworten. Wobei ich nicht damit gerechnet hatte, dass Ihr mir zur Neuinstallation raten würdet. Gibt es keine Alternative?

Ich habe diese App auf Facebook bei den Apps nun entfernt. Ich weiß natürlich nicht, ob das das Problem beseitigen könnte.
Windows 8 kann ich mir momentan nicht leisten, außerdem wäre mein Kaspersky Programm, für dessen Lizenz ich bezahlt habe und noch einige Monate nutzen kann, damit nicht kompatibel.

Wenn es rein gar nicht anders geht, muss ich natürlich neu installieren - wenn auch äußerst ungern.

Ach ja, McAfee hat auch nichts gefunden.

Nachtrag:

Auf der Seite http://forum.computerbild.de/sicherheit/trojan-downloader-script-generic_82277.html

habe ich gerade gelesen, dass Kaspersky mit "Infiziert" in der Liste der aktuellen Bedrohungen die Seite meint und nicht meinen Rechner. Das würde hinhauen, da das Ausgangsproblem meinem sehr ähnlich ist und mein Kaspersky auch anzeigt, dass mein Computer sicher sei. In die Quarantäne kann ich den Virus übrigens auch nicht verschieben, wie ich festgestellt habe.

Damit bleibt als Problem die Facebook-App. Hat jemand von Euch eine Ahnung, ob man mit dem Entfernen einer solchen App alle Probleme gelöst hat (= die Zugriffe auf den eigenen PC abgewehrt hat)?

Danke!

Agent Smith · 21. Januar 2014

Du hast ja gewisse Andeutungen gemacht, dass sich einiges merkwürdig verhält.

Zitat von olgi: ↑

Hallo,

Zu den ungewöhnlichen Vorkommnissen:
a)
Vielleicht ist dies hier nicht wichtig, aber ich erwähne es dennoch:
Auf Facebook wurde heute ohne mein Wissen ein Link von meinem Profil geteilt. Vielleicht hat dieser Link auch nichts mit dem Trojaner zu tun. Aber ich weiß es nicht. Ich hatte mich vorgestern mal getraut, eine Anwendung zu benutzen, wodurch mir die Besucher meiner Facebookseite angezeigt werden (Schau wer dein Profil anschaut/Schau wer deine Fotos anschaut). Den Link hatte ich ursprünglich mit mir selbst geteilt.

Nachdem der Link aber ohne mein Zutun und ohne meine Anwesenheit (wieder mit mir selbst) geteilt wurde, habe ich mein Passwort geändert. Zudem sah ich, dass der Link die Option "Keine Aktivitäten mehr von 9foto.de veröffentlichen" enthielt. Diese Option wählte ich und wurde darauf hin gefragt, ob ich sicher sei, dass ich die Veröffentlichungsrechte von 9foto.de widerrufen möchte - was ich bestätigte.

b)
Zudem war ich heute auf einer Seite, wo man seine Bilder hochladen kann. Nachdem ich ein Foto hochgeladen hatte, sah ich plötzlich, wie ein vollkommen anderes, von mir schon seit Monaten nicht mehr gesehenes (aber auf dem PC vorhandenes) Foto in der Anzeige der hochgeladenen Fotos erschien.
Das führe ich eindeutig auf einen Eindringling auf meinem PC zurück.

Danke.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Ich (wir) würde(n) wie gesagt Neu-Installieren. Der Wurm sitzt sicherlich tief in Deinen Daten und richtet Schaden an und irgendwann kommst Du vllt. gar nicht ins Betriebssystem. (Mir vor knapp 1 Jahr passiert, sollte 100 EUR zahlen, dann würde ich wieder freigeschaltet, KÄSE )

Banküberweisungen etc. würde ich an Deinem PC nicht mehr tätigen.

Eine Neuinstallation ist doch schnell erledigt.

Windows Vista (32bit) infiziert mit HEUR:Trojan.Script.Generic

Windows Vista (32bit) infiziert mit HEUR:Trojan.Script.Generic

Windows Vista (32bit) infiziert mit HEUR:Trojan.Script.Generic - Similar Threads - Windows Vista 32bit

Windows 11 26H1 startet im Frühjahr exklusiv auf dem Snapdragon X2

Windows Vista (32bit) infiziert mit HEUR:Trojan.Script.Generic solved

Andere User suchten nach Lösung und weiteren Infos nach:

heur:trojan.script.generic.

kaspersky heur:trojan.script.generic

SysProfile Windows Foren

Hardware Foren