[HaBo]

enkore · 12.05.10, 20:20

Mir ist in letzter Zeit aufgefallen (besonders beim Tippen & Spielen) , dass Tastatur und Maus manchmal Dinge machen, die ich nicht mache. (Sprünge im Text, irgendwelche wilden Zeichenkombis, rumklickerei) Zuerst dachte ich "hey da hat wohl jemand die gleiche Maus wie ich!". Aber als dann auf einmal Tabs in Opera und Fenster geschlossen wurden, wurde es unheimlich. Genauso als in CoD4 jemand FÜR MICH mit meinem Spieler abgeschossen hat. Mit einem HEADSHOT.

Also erstmal Antivir laufen lassen (läuft noch). Unter den laufenden Prozessen fand sich wohl ZBot (ah super, Onlinebanking wie? ). Auf der Platte schlummerte wohl noch dieses Schmuckstück "TR/Agent.49152.EN". Bei Google finde ich dazu erstmal nur, dass es wohl ein Fehleralarm ist, weil dieses gewisse .... Tool .... in den Speicher eines Prozesses injezieren muss, um seine Arbeit zu verrichten.

Grade hat er noch TR/Gendal.562176.A gefunden. Dazu finde ich fast gar nichts.

Klar, wenn Avira durch ist lasse ich erstmal Avira alles entfernen und werde dann nochmal mit meiner c't CD dem ganzen zu Leibe rücken.

Und dann wollte ich noch wissen, ob und wie ich den ZBot rückstandslos entfernen kann...

zero-9 · 13.05.10, 11:35

Auch wenn es plump und abgedroschen und billig klingt, aber es wäre besser du entfernst alles. Man möge mich korrigieren, aber heutige Malware kann sich unter Umständen ziemlich im Betriebssystem verzahnen.
Rootkit - Techniken sind dabei nicht mehr ganz so selten und sollte es soweit gekommen sein, kannst du deinem Betriebssystem im Prinzip nicht mehr vertrauen, weil teilweise die Prozesse gehooked werden mit denen beispielsweise dein Antivirenprogramm arbeitet.

Aber dafür wäre glaube ich xrayn mehr der Spezialist.

Anzeige

- Anzeige -

**lightsaver** · 13.05.10, 11:42

Es ist tatsächlich nicht möglich, das System mit 100%iger Sicherheit zu säubern. Du weißt nicht, was noch nachgeladen wurde und vielleicht einfach noch nicht erkannt wird und sich gut versteckt.

Der Aufwand, den du betreiben musst, um das System vielleicht sauber zu haben, kannst du auch nutzen, um gleich neu zu installieren. Außerdem würde ich zumindest immer ein mulmiges Gefühl behalten, ob da nicht doch etwas übrig geblieben ist.

enkore · 13.05.10, 12:50

Hm naja da am WE gleich zwei LANs anstehen wäre es u.U. etwas sehr unpraktisch jetzt neu zu installieren.

Ich weiß ja selber was die Malware alles kann... aber...!?
Diese c't CD mit ihren 3 Virenscannern sollte es doch zumindest alles finden können...

Dresko · 13.05.10, 13:14

Zitat:

Zitat von csde_rats

Hm naja da am WE gleich zwei LANs anstehen wäre es u.U. etwas sehr unpraktisch jetzt neu zu installieren.

Ich weiß ja selber was die Malware alles kann... aber...!?
Diese c't CD mit ihren 3 Virenscannern sollte es doch zumindest alles finden können...

Sie kann alles finden, muss aber nicht. Das kann dir halt niemand garantieren.
Wenn noch Malware auf deinem Rechner ist, du auf die LAN gehst und andere infizierst und ihnen dadurch ein Schaden entsteht und sie nachweisen können, dass du das gewusst hast oder hättest Voraussehen können, kannst du dafür haftbar gemacht werden.

Ich gebe zu das sind viele und's, aber eine Neuinstallation dauert höchstens ein paar Stunden. Fang jetzt damit an und du solltest spätestens heut abend fertig sein (je nachdem wieviel Anwendungssoftware/Spiele du noch installierst und konfigurierst).

So ganz nebenbei solltest du vielleicht auch mal anfangen, dir zu überlegen wo du die ganze Malware her hast und in Zukunft Vorkehrungen treffen, damit so etwas nicht mehr passiert.

enkore · 13.05.10, 14:05

Ok dann installier ich mal neu.

Zitat:

So ganz nebenbei solltest du vielleicht auch mal anfangen, dir zu überlegen wo du die ganze Malware her hast und in Zukunft Vorkehrungen treffen, damit so etwas nicht mehr passiert.

Diesen PC habe ich seit Anfang 2008 und das ist das allererstemal das ich überhaupt was bei einem Scan was gefunden habe.

zero-9 · 13.05.10, 14:23

Zitat:

Zitat von csde_rats

Ok dann installier ich mal neu.

Diesen PC habe ich seit Anfang 2008 und das ist das allererstemal das ich überhaupt was bei einem Scan was gefunden habe.

Ein Schelm, wer Böses dabei denkt.

enkore · 13.05.10, 18:36

Naja meistens scanne ich so inetwa alle zwei Wochen bis nem Monat (spätestens!)

Nunja jedenfalls habe ich jetzt alles frisch aufgesetzt. Ich hatte zuerst über ne Livedistro die HDD geplättet und dann nochmal mit dieser c't Disk nachgeschaut. Die hat allerdings im MBR Alarm geschlagen, also nochmal die ganze Festplatte inkl. MBR gelöscht. Danach war nichts mehr da. Nur Wüste

Bin jetzt auch fast fertig mit allen Treibern. Jetzt scanne ich grade das Backup und werde danach alle meine pri. Daten wieder einspielen.

Dresko · 13.05.10, 18:56

Naja, das Problem mit dem Scannen ist halt nur folgendes:
Wenn jemand neue Malware entwickelt, ist die den AV-Unternehmen ja nicht direkt bekannt. Somit kann es für diese neue Malware noch keine Signaturen geben, mit denen deine Dateien verglichen werden können. Der Scanner kann in diesem Moment also nicht erkennen, ob eine Datei mit dieser neuen Malware infiziert ist oder nicht. Je nach Verbreitungsrate dauert es dann zwischen mehreren Tagen und Monaten bis dein AV-Scanner diese neue Bedrohung erkennt.
Zudem gibt es noch sogenannte Rootkit-Technologien, mit denen eine infizierte Datei vor den Scannern und dem Betriebssystem versteckt werden kann.

Aus diesem Grund sind AV-Scanner zwar in begrenztem Umfang eine schöne Sache, da sie bekannte Bedrohungen anzeigen. Aber einen 100%-igen Schutz oder Garantie können sie nicht bieten.

enkore · 13.05.10, 19:25

Die Problematik ist mir durchaus bekannt, Zeus ist aber nun ja schon etwas länger auf dem Markt und wurde auch eigentlich direkt erkannt - Vermutlich habe ich mir den ZeusBot nämlich auf einer LAN am letzten WE eingefangen

Habe grade mein Opera Profil wiederhergestellt... in fast allen Foren war ich trotz Neuinstallation noch angemeldet x) (Ist ja auch klar, die Sessions werden ja im Operaprofil gespeichert)

Anzeige

- Anzeige -

12.05.10, 20:20	#1 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 85	TR/ZBot.ahbb und TR/Agent.49152.EN und TR/Gendal.562176.A Anzeige Mir ist in letzter Zeit aufgefallen (besonders beim Tippen & Spielen) , dass Tastatur und Maus manchmal Dinge machen, die ich nicht mache. (Sprünge im Text, irgendwelche wilden Zeichenkombis, rumklickerei) Zuerst dachte ich "hey da hat wohl jemand die gleiche Maus wie ich!". Aber als dann auf einmal Tabs in Opera und Fenster geschlossen wurden, wurde es unheimlich. Genauso als in CoD4 jemand FÜR MICH mit meinem Spieler abgeschossen hat. Mit einem HEADSHOT. Also erstmal Antivir laufen lassen (läuft noch). Unter den laufenden Prozessen fand sich wohl ZBot (ah super, Onlinebanking wie? ). Auf der Platte schlummerte wohl noch dieses Schmuckstück "TR/Agent.49152.EN". Bei Google finde ich dazu erstmal nur, dass es wohl ein Fehleralarm ist, weil dieses gewisse .... Tool .... in den Speicher eines Prozesses injezieren muss, um seine Arbeit zu verrichten. Grade hat er noch TR/Gendal.562176.A gefunden. Dazu finde ich fast gar nichts. Klar, wenn Avira durch ist lasse ich erstmal Avira alles entfernen und werde dann nochmal mit meiner c't CD dem ganzen zu Leibe rücken. Und dann wollte ich noch wissen, ob und wie ich den ZBot rückstandslos entfernen kann... __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

13.05.10, 12:50	#4 (permalink)
enkore Senior Member Themenstarter Registriert seit: 13.07.08 Likes: 85	Hm naja da am WE gleich zwei LANs anstehen wäre es u.U. etwas sehr unpraktisch jetzt neu zu installieren. Ich weiß ja selber was die Malware alles kann... aber...!? Diese c't CD mit ihren 3 Virenscannern sollte es doch zumindest alles finden können... __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

13.05.10, 18:36	#8 (permalink)
enkore Senior Member Themenstarter Registriert seit: 13.07.08 Likes: 85	Naja meistens scanne ich so inetwa alle zwei Wochen bis nem Monat (spätestens!) Nunja jedenfalls habe ich jetzt alles frisch aufgesetzt. Ich hatte zuerst über ne Livedistro die HDD geplättet und dann nochmal mit dieser c't Disk nachgeschaut. Die hat allerdings im MBR Alarm geschlagen, also nochmal die ganze Festplatte inkl. MBR gelöscht. Danach war nichts mehr da. Nur Wüste Bin jetzt auch fast fertig mit allen Treibern. Jetzt scanne ich grade das Backup und werde danach alle meine pri. Daten wieder einspielen. __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

13.05.10, 18:56	#9 (permalink)
Dresko Registriert seit: 30.01.10 Likes: 1	Naja, das Problem mit dem Scannen ist halt nur folgendes: Wenn jemand neue Malware entwickelt, ist die den AV-Unternehmen ja nicht direkt bekannt. Somit kann es für diese neue Malware noch keine Signaturen geben, mit denen deine Dateien verglichen werden können. Der Scanner kann in diesem Moment also nicht erkennen, ob eine Datei mit dieser neuen Malware infiziert ist oder nicht. Je nach Verbreitungsrate dauert es dann zwischen mehreren Tagen und Monaten bis dein AV-Scanner diese neue Bedrohung erkennt. Zudem gibt es noch sogenannte Rootkit-Technologien, mit denen eine infizierte Datei vor den Scannern und dem Betriebssystem versteckt werden kann. Aus diesem Grund sind AV-Scanner zwar in begrenztem Umfang eine schöne Sache, da sie bekannte Bedrohungen anzeigen. Aber einen 100%-igen Schutz oder Garantie können sie nicht bieten. __________________ Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. - Rick Cook -

13.05.10, 19:25	#10 (permalink)
enkore Senior Member Themenstarter Registriert seit: 13.07.08 Likes: 85	Die Problematik ist mir durchaus bekannt, Zeus ist aber nun ja schon etwas länger auf dem Markt und wurde auch eigentlich direkt erkannt - Vermutlich habe ich mir den ZeusBot nämlich auf einer LAN am letzten WE eingefangen Habe grade mein Opera Profil wiederhergestellt... in fast allen Foren war ich trotz Neuinstallation noch angemeldet x) (Ist ja auch klar, die Sessions werden ja im Operaprofil gespeichert) __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

13.05.10, 11:35	#2 (permalink)
zero-9 Registriert seit: 08.12.06 Likes: 0	Auch wenn es plump und abgedroschen und billig klingt, aber es wäre besser du entfernst alles. Man möge mich korrigieren, aber heutige Malware kann sich unter Umständen ziemlich im Betriebssystem verzahnen. Rootkit - Techniken sind dabei nicht mehr ganz so selten und sollte es soweit gekommen sein, kannst du deinem Betriebssystem im Prinzip nicht mehr vertrauen, weil teilweise die Prozesse gehooked werden mit denen beispielsweise dein Antivirenprogramm arbeitet. Aber dafür wäre glaube ich xrayn mehr der Spezialist.

13.05.10, 11:42	#3 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	Es ist tatsächlich nicht möglich, das System mit 100%iger Sicherheit zu säubern. Du weißt nicht, was noch nachgeladen wurde und vielleicht einfach noch nicht erkannt wird und sich gut versteckt. Der Aufwand, den du betreiben musst, um das System vielleicht sauber zu haben, kannst du auch nutzen, um gleich neu zu installieren. Außerdem würde ich zumindest immer ein mulmiges Gefühl behalten, ob da nicht doch etwas übrig geblieben ist.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

[HaBo]

TR/ZBot.ahbb und TR/Agent.49152.EN und TR/Gendal.562176.A