Autor |
Nachricht |
Homoran
Anmeldedatum: 06.04.2012
Beiträge: 7
Wohnort: Köln
|
Verfasst am:
Mo Nov 09, 2015 16:20 |
|
.Hallo zusammen,.
ich wollte dies nicht an die Posts mit den PUPs im Installer dranhängen, da es sich hier IMHO tatsächlich um einen Virus handeln könnte.
Heute schlug avast an -allerdings nur bei einem deep scan, dass sich im Profil eines meiner Handys eine Datei mit Namen syspbserver befände, in der sich der Trojaner ELF:oldboot-E versteckt.
Diese Datei sei bereits seit 09.11.2013 bei mir drauf (seltsam, dass heute ebenfalls der 09.11. ist).
Allerdings schien dieses Handy tatsächlich gekapert incl. aller google und anderer Konten.
Meine Frage ist jetzt:
gehört eine solche Datei (natürlich ohne Trojaner) in ein Profil? (Das andere Profil enthält sie nicht, wurde aber auch schon lange nicht mehr benutzt).
Danke
Rainer |
|
|
|
|
icke1954
Moderator
Anmeldedatum: 19.04.2014
Beiträge: 15878
|
Verfasst am:
Mo Nov 09, 2015 23:09 |
|
Homoran hat Folgendes geschrieben: | Meine Frage ist jetzt:
gehört eine solche Datei (natürlich ohne Trojaner) in ein Profil? (Das andere Profil enthält sie nicht, wurde aber auch schon lange nicht mehr benutzt).
|
In das "normale" Profile gehört diese Datei nicht! Aber wenn Du ein Backup der Dateien von Deinem Handy in das Profile realisiert hast, wenn sich diese Datei auf Deinem Handy befand, dann schon
D.h. wäre es schon interessant an welcher Stelle Deines Profiles sich die Datei befand?
Gruß icke |
_________________ Samsung Galaxy S3 / Android 4.3
Samsung Galaxy S5 / Android 6.01
Samsung Galaxy S8 / Android 9.0
Samsung Galaxy Tab 4 Android 10.0
Samsung Galaxy S20 / Android 13.0
MPE Version 2.1 akt. Nightly / akt. MPE-Client Beta |
|
|
|
Homoran
Anmeldedatum: 06.04.2012
Beiträge: 7
Wohnort: Köln
|
Verfasst am:
Di Nov 10, 2015 12:09 |
|
Hallo icke
danke für die schnelle Reaktion.
Die Datei befand sich laut avast in:
Code: | C:/users/MeinAnmeldename/Roaming/MyPhoneExplorer/MeinHandy[ID_oder_Schlüssel]/cache/phone/system/bin |
Ich überlege gerade meinen Rechner neu aufzusetzen, da erst der letzte scan mit avast deep scan nach Malwarebytes, avast Standard, Adaware und Hijackthis dieses gefunden (?) hat.
Danke |
|
|
|
|
icke1954
Moderator
Anmeldedatum: 19.04.2014
Beiträge: 15878
|
Verfasst am:
Di Nov 10, 2015 13:02 |
|
Hallo,
ja sorry, das hatte ich vergessen zu erwähnen
Synchronisierst Du einen Ordner im Handy in dem sich eine Datei mit einem Viirus befindet, wird die narürlich mit kopiert und auch im Cache abgelegt.
Den Cache kann man beim Schließen von MPE löschen lassen, aber die Datei ist so oder so auf dem PC?
Gruß icke |
_________________ Samsung Galaxy S3 / Android 4.3
Samsung Galaxy S5 / Android 6.01
Samsung Galaxy S8 / Android 9.0
Samsung Galaxy Tab 4 Android 10.0
Samsung Galaxy S20 / Android 13.0
MPE Version 2.1 akt. Nightly / akt. MPE-Client Beta |
|
|
|
Homoran
Anmeldedatum: 06.04.2012
Beiträge: 7
Wohnort: Köln
|
Verfasst am:
Di Nov 10, 2015 13:09 |
|
Hallo icke,
soll das heißen, das ist jetzt eine Teilentwarnung?
Besteht die Hoffnung, dass der Virus nur auf dem Handy aktiv ist?
Das Handy habe ich jetzt erst einmal stillgelegt.
avast hat nur diese eine Datei angemeckert.
Gruß |
|
|
|
|
dupondt
Anmeldedatum: 21.12.2010
Beiträge: 250
Wohnort: Deutschland
|
Verfasst am:
Di Nov 10, 2015 13:43 |
|
Homoran hat Folgendes geschrieben: | Besteht die Hoffnung, dass der Virus nur auf dem Handy aktiv ist? |
ELF:oldboot-E ist eine Malware für Android (ELF ist ein Binärformat für Programme, die auf unixoiden Systemen laufen). Unter Windows kann die Datei "syspbserver", die Du auf Deinem Rechner gefunden hast, also keinen Schaden anrichten.
Das Smartphone allerdings solltest Du entsorgen.
Grüße
dupondt |
|
|
|
|
Homoran
Anmeldedatum: 06.04.2012
Beiträge: 7
Wohnort: Köln
|
Verfasst am:
Di Nov 10, 2015 14:08 |
|
Zitat: | Unter Windows kann die Datei "syspbserver", die Du auf Deinem Rechner gefunden hast, also keinen Schaden anrichten. |
Das klingt ja schon mal gut, DANKE:!:
Darf dann nur nicht Zitat: | Das Smartphone allerdings solltest Du entsorgen. |
Werde ich dann machen, oder Android neu aufspielen lassen (?)
Dann darf der ELF sich nur nicht woanders verstecken und beim resynchronisieren wieder auf das Phone kommen.
Danke euch allen
Gruß
Rainer |
|
|
|
|
dupondt
Anmeldedatum: 21.12.2010
Beiträge: 250
Wohnort: Deutschland
|
Verfasst am:
Di Nov 10, 2015 14:36 |
|
Homoran hat Folgendes geschrieben: | Android neu aufspielen lassen (?) |
Das kann gutgehen, muss aber nicht. ELF:Oldboot sitzt tief im Android-System, daher besteht die Gefahr, dass er unter Umständen sogar ein Flashen der Firmware überlebt.
Es soll zwar Tools geben, die diesen Trojaner entfernen können, aber ob die wirklich funktionieren, weiß niemand.
Grüße
dupondt |
|
|
|
|
Homoran
Anmeldedatum: 06.04.2012
Beiträge: 7
Wohnort: Köln
|
Verfasst am:
Di Nov 10, 2015 14:53 |
|
Vielen Dank für diese Info.
dupondt hat Folgendes geschrieben: | ELF:Oldboot sitzt tief im Android-System, daher besteht die Gefahr, dass er unter Umständen sogar ein Flashen der Firmware überlebt. |
Jetzt wird es richtig OT: seit dem Angriff auf mein Handy und damit auf mein Google-Konto kann ich auch bei (zumindest einigen von) meinen Tablets, die ebenfalls mit diesem Konto verbunden waren selbst nach einem Factory reset ein neues Google Konto anlegen und trotzdem erscheint ein fremdes Gerät.
Die kann ich doch nicht alle vernichten
Kann man den ELF wenigstens im Androiden selbst finden? Sophos und Malwarebytes finden zumindest nichts.[/OT]
Gruß
Rainer |
|
|
|
|
dupondt
Anmeldedatum: 21.12.2010
Beiträge: 250
Wohnort: Deutschland
|
Verfasst am:
Di Nov 10, 2015 15:19 |
|
Homoran hat Folgendes geschrieben: | seit dem Angriff auf mein Handy und damit auf mein Google-Konto kann ich auch bei (zumindest einigen von) meinen Tablets, die ebenfalls mit diesem Konto verbunden waren selbst nach einem Factory reset ein neues Google Konto anlegen und trotzdem erscheint ein fremdes Gerät. |
Was mit Deinen Geräten und/oder Konten genau passiert ist, lässt sich aus der Ferne leider kaum beurteilen.
Zitat: | Kann man den ELF wenigstens im Androiden selbst finden? Sophos und Malwarebytes finden zumindest nichts. |
Diese Malware ist offenbar ziemlich gut getarnt, siehe http://thehackernews.com/2014/04/most-sophisticated-android-bootkit.html.
Grüße
dupondt |
|
|
|
|
|