Virus im Handyprofil

Homoran · Beitrag von **Homoran** » Mo 9. Nov 2015, 15:20

.Hallo zusammen,.
ich wollte dies nicht an die Posts mit den PUPs im Installer dranhängen, da es sich hier IMHO tatsächlich um einen Virus handeln könnte.

Heute schlug avast an -allerdings nur bei einem deep scan, dass sich im Profil eines meiner Handys eine Datei mit Namen syspbserver befände, in der sich der Trojaner ELF:oldboot-E versteckt.

Diese Datei sei bereits seit 09.11.2013 bei mir drauf (seltsam, dass heute ebenfalls der 09.11. ist).

Allerdings schien dieses Handy tatsächlich gekapert incl. aller google und anderer Konten.

Meine Frage ist jetzt:
gehört eine solche Datei (natürlich ohne Trojaner) in ein Profil? (Das andere Profil enthält sie nicht, wurde aber auch schon lange nicht mehr benutzt).

Danke
Rainer

Beitrag von **icke1954** » Mo 9. Nov 2015, 22:09

Homoran hat geschrieben:Meine Frage ist jetzt:
gehört eine solche Datei (natürlich ohne Trojaner) in ein Profil? (Das andere Profil enthält sie nicht, wurde aber auch schon lange nicht mehr benutzt).

In das "normale" Profile gehört diese Datei nicht! Aber wenn Du ein Backup der Dateien von Deinem Handy in das Profile realisiert hast, wenn sich diese Datei auf Deinem Handy befand, dann schon

D.h. wäre es schon interessant an welcher Stelle Deines Profiles sich die Datei befand?

Gruß icke

Homoran · Beitrag von **Homoran** » Di 10. Nov 2015, 11:09

Hallo icke
danke für die schnelle Reaktion.

Die Datei befand sich laut avast in:

Code: Alles auswählen

C:/users/MeinAnmeldename/Roaming/MyPhoneExplorer/MeinHandy[ID_oder_Schlüssel]/cache/phone/system/bin

Ich überlege gerade meinen Rechner neu aufzusetzen, da erst der letzte scan mit avast deep scan nach Malwarebytes, avast Standard, Adaware und Hijackthis dieses gefunden (?) hat.

Danke

Beitrag von **icke1954** » Di 10. Nov 2015, 12:02

Hallo,
ja sorry, das hatte ich vergessen zu erwähnen

Synchronisierst Du einen Ordner im Handy in dem sich eine Datei mit einem Viirus befindet, wird die narürlich mit kopiert und auch im Cache abgelegt.
Den Cache kann man beim Schließen von MPE löschen lassen, aber die Datei ist so oder so auf dem PC?

Gruß icke

Homoran · Beitrag von **Homoran** » Di 10. Nov 2015, 12:09

Hallo icke,
soll das heißen, das ist jetzt eine Teilentwarnung?

Besteht die Hoffnung, dass der Virus nur auf dem Handy aktiv ist?

Das Handy habe ich jetzt erst einmal stillgelegt.
avast hat nur diese eine Datei angemeckert.

Gruß

dupondt · Beitrag von **dupondt** » Di 10. Nov 2015, 12:43

Homoran hat geschrieben:Besteht die Hoffnung, dass der Virus nur auf dem Handy aktiv ist?

ELF:oldboot-E ist eine Malware für Android (ELF ist ein Binärformat für Programme, die auf unixoiden Systemen laufen). Unter Windows kann die Datei "syspbserver", die Du auf Deinem Rechner gefunden hast, also keinen Schaden anrichten.

Das Smartphone allerdings solltest Du entsorgen.

Grüße
dupondt

Homoran · Beitrag von **Homoran** » Di 10. Nov 2015, 13:08

Unter Windows kann die Datei "syspbserver", die Du auf Deinem Rechner gefunden hast, also keinen Schaden anrichten.

Das klingt ja schon mal gut, DANKE:!:

Darf dann nur nicht

Das Smartphone allerdings solltest Du entsorgen.

Werde ich dann machen, oder Android neu aufspielen lassen (?)

Dann darf der ELF sich nur nicht woanders verstecken und beim resynchronisieren wieder auf das Phone kommen.

Danke euch allen
Gruß
Rainer

dupondt · Beitrag von **dupondt** » Di 10. Nov 2015, 13:36

Homoran hat geschrieben:Android neu aufspielen lassen (?)

Das kann gutgehen, muss aber nicht. ELF:Oldboot sitzt tief im Android-System, daher besteht die Gefahr, dass er unter Umständen sogar ein Flashen der Firmware überlebt.

Es soll zwar Tools geben, die diesen Trojaner entfernen können, aber ob die wirklich funktionieren, weiß niemand.

Grüße
dupondt

Homoran · Beitrag von **Homoran** » Di 10. Nov 2015, 13:53

Vielen Dank für diese Info.

dupondt hat geschrieben: ELF:Oldboot sitzt tief im Android-System, daher besteht die Gefahr, dass er unter Umständen sogar ein Flashen der Firmware überlebt.

Jetzt wird es richtig OT: seit dem Angriff auf mein Handy und damit auf mein Google-Konto kann ich auch bei (zumindest einigen von) meinen Tablets, die ebenfalls mit diesem Konto verbunden waren selbst nach einem Factory reset ein neues Google Konto anlegen und trotzdem erscheint ein fremdes Gerät.
Die kann ich doch nicht alle vernichten

Kann man den ELF wenigstens im Androiden selbst finden? Sophos und Malwarebytes finden zumindest nichts.[/OT]

Gruß
Rainer

dupondt · Beitrag von **dupondt** » Di 10. Nov 2015, 14:19

Homoran hat geschrieben:seit dem Angriff auf mein Handy und damit auf mein Google-Konto kann ich auch bei (zumindest einigen von) meinen Tablets, die ebenfalls mit diesem Konto verbunden waren selbst nach einem Factory reset ein neues Google Konto anlegen und trotzdem erscheint ein fremdes Gerät.

Was mit Deinen Geräten und/oder Konten genau passiert ist, lässt sich aus der Ferne leider kaum beurteilen.

Kann man den ELF wenigstens im Androiden selbst finden? Sophos und Malwarebytes finden zumindest nichts.

Diese Malware ist offenbar ziemlich gut getarnt, siehe http://thehackernews.com/2014/04/most-s ... otkit.html.

Grüße
dupondt