Trojaner Befall

[AceKiller73]

So es hat mich mal wieder erwischt ^^
Nach Jahren ohne Viren etc. hab ich nen Trojaner und auch noch nen ganz fiesen

Wollte jetzt erst mal checken, was ich da noch machen kann.

Der Trojaner öffnet bei mir die ganze Zeit Werbemüll und fordert mich auch mir doch bitte einen kostenpflichtigen Virenscanner runterzuladen xD.

Security Task Manager offenbart mir 3 dlls. Alle IE - Browsererweiterungen. Diese lassen sich natürlich nicht löschen. (Auch nicht im abgesicherten Modus, auch nicht mit Killbox usw.)
Is, so nebenbei, bei mir des erste mal das ein Trojaner auch im abgesicherten Modus funzt.

Jetzt wollte ich ne LiveCD nehmen und gucken ob ich die dlls löschen kann...
Pustekuchen auf NTFS kann man ja net schreiben^^.

Was kann ich jetzt noch versuchen?? Wie könnte ich die DLLs löschen?
Ansonsten muss ich halt formatieren.

MFG
Ace

 

[acdc]

Der Trojaner lädt sich bei jedem Start, also würde ich in den Konfigurationseditor gehen ([win-taste][R]) und schauen, welche Programme/dlls beim Start geladen werden.

Um die DLLs zu löschen, würde ich den Unlocker verwenden.

wenn alles nichts hilft, dann hol dir z.B. die openSUSE Live CD, die hat NTFS Support

 

[lightsaver]

mit aktuellen live-distributionen kannst du auf ntfs schreiben. teilweise sind die ntfs-volumes aber read-only gemountet, das müsstest du dann einfach noch ändern.

ansonsten poste mal bitte einen hijackthis-log und den namen vom schädling. das klingt nämlich interessant, dass der auch im abgesicherten modus funktioniert. das könnte ich mir derzeit nur unter der bedingung vorstellen, dass systemdateien befallen sind. möglicherweise könnte dies auch noch bei einem rootkit funktionieren, da bin ich mir nicht ganz sicher.

so, aber nun noch zur lösung:

da gibt es eigentlich nur eine einzige variante: format c

du siehst ja selber, wie tief der schädling wohl in dein system eingedrungen sein muss, die chancen, das system sauber zu bekommen sind also sehr gering

 

[roadrunner1]

Hi AceKiller

Ich gebe lightsaver recht, mit löschen von dll's ist es nicht getan. Die Möglichkeit, über eine Live-CD zuzugreifen ist in sofern intereressant, um befallene Dateien zu entdecken, insbesondere, wenn Du einen Scanner einbindest und updatest.

Aber es ist nicht geeignet, Dein Problem zu lösen. Und zwar aus diesem Grund:

http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx

sowie hier:

http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-removal.html

Du kannst die Live-CD wohl dafür nutzen, wichtige Dateien vor format : C zu sichern. Also Texte, Bilder und Musikdateien. Vorher aber die Ordneroptionen konfigurieren, so:



Quelle: http://sicher-ins-netz.info/schutz/schutz.html

Aber bitte keine Programm- oder Installationsdateien sichern, diese ausschließlich vom Original-Datenträger nachinstallieren.

Für die Zukunft Klickverhalten *im Zaum halten*, mit eingeschränktem Konto surfen, keine Dateien/Programme aus dem I-net oder aus Mails ungeprüft öffnen, Vorsicht bei Messenger-Programmen.

Kurzum, den gesunden Menschenverstand walten lassen, dann installierst Du Dir auch keine trojanischen Pferde.

Wenn Du das in Zukunft beherzigst, hast Du viel für Deine Sicherheit getan, und last but not least, Computerkompetenz erlernen, Wissen ist die beste *Waffe* im Umgang mit Malware.

Und, ein Backup, besser noch Image, kann auch nicht schaden.

Grüße

 

[CDW]

das klingt nämlich interessant, dass der auch im abgesicherten modus funktioniert. das könnte ich mir derzeit nur unter der bedingung vorstellen, dass systemdateien befallen sind

Ein zusätzlicher Eintrag in:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
und schon wird man auch im "abgesicherten" Modus geladen

 

[AceKiller73]

Zunächst einmal vielen Dank an euch.

@lightsaver:
Jo mal schaun ob ich mir mal ne neuere Live Dtri lade, wusste nicht das die dann NTFS mit write mounten könne.
Ich hatte bei Google gesucht und irgendwie nur Einträge gefunden, bei denen entweder stand, dass es nicht möglich ist so zu mounten, oder dass man erst so Sachen wie ntfs.sys emulieren und so machen muss.

@roadrunner1:
Hast eigentlich Recht. Ich halte mich selber für einigermaßen technisch bewandert, sodass ich mir eigentlich schon dachte, dass das Problem so nicht behoben werden kann. Nachdem ich aber die dlls ausgemacht hatte,dachte ich halt ich könne ja mal probieren was passiert wenn man sie löscht.

Wie schon gesagt hatte eigentlich lange keine Trojaner mehr. Hab dann allerdings einmal nicht aufgepasst und schwuups .

Hatte mir jetzt auch schon überlegt, komplett auf Linux (Ubuntu, Debian) unzusteigen. Kenn mich da eigentlich recht gut aus. Allerdings fehlen mir dann doch immer son paar Programme... Mal schaun was man so emulieren kann

Zum eingeschränkten Benutzerkonto:
Ich hatte mir gleich nach der letzten Installation so ein Konto eingerichtet. (zum "Surfen & Co..") Allerdings war ich mir nach einiger zeit nicht mehr so sicher ob das was bringt (es gibt doch sicher möglichkeiten sich als Programm als Root ausführen zu lassen).
Naja dann bin ich wieder in meinen Root Acc gegangen, was ja auch eigentlich lange gut ging .

Naja vielen Dank noch ma.

MFG
Ace

 

[CDW]

Ich hatte mir gleich nach der letzten Installation so ein Konto eingerichtet. (zum "Surfen & Co..") Allerdings war ich mir nach einiger zeit nicht mehr so sicher ob das was bringt (es gibt doch sicher möglichkeiten sich als Programm als Root ausführen zu lassen).

Sicher gibt es Möglichkeiten, allerdings sollten diese doch sehr begrenzt sein
sollte imho also kein Argument sein.
Habe mir allerdings, um komfortabel surfen zu können, ein sehr abgespektes Konto eingerichtet.Hat nur Zugriff auf Browser und Mail Ordner (jeweils: Programmordner - nur Ausführen (keine Schreibrechte), Temp und Browser/Mail-Profilordner: nur Schreib/Leserechte, kein Ausführen.Restliche Laufwerke/Verzeichnisse stehen auf "deny2).Man muss zwar etwas rumfummeln, um Thunderbird zum Laufen zu bekommen (hier hätte man gleich eine portable Version nehmen können), aber letzendlich funktioniert es. Das Konto ist "alleine" nicht lauffähig (man kann sich damit nicht anmelden), allerdings kann man Programme mit RunAs starten, so dass sowohl Browser wie Thunderbird nur mit diesen mageren Rechten laufen und man als Hauptbenutzergruppe weiterhin sehr komfortabel arbeiten kann.

 

[roadrunner1]

Hi AceKiller

Na, Selbsterkenntnis ist ja schon mal der 1. Weg zur Besserung.

Zum eingeschränkten Benutzerkonto:
Ich hatte mir gleich nach der letzten Installation so ein Konto eingerichtet. (zum "Surfen & Co..") Allerdings war ich mir nach einiger zeit nicht mehr so sicher ob das was bringt (es gibt doch sicher möglichkeiten sich als Programm als Root ausführen zu lassen).

Nein, alleine bringt das nichts, oder sagen wir mal, nicht sooo viel, es ist ein Teilaspekt eines stimmigen Sicherheitskonzepts, das auf diversen Verhaltensmaßregeln aufbaut, wovon keins vernachlässigt werden darf. Ein paar davon habe ich Dir gepostet, aber das war noch nicht alles.


Beim eingeschränkten Konto besteht der Vorteil darin, daß sich ein Schädling nicht in Systemdateien schreiben kann (aber da erzähle ich Dir sicher nix Neues ), der mögliche Schaden wird also begrenzt. Das nützt aber alleine nichts, wenn Du zum Beispiel das OS nicht aktuell hast, oder mit einer veralteteten Browser-Version surfst. Oder, was auch gerne vergessen wird, Java, Plugins, Quicktime etc. aktuell zu halten, kurz, alle Anwendungen, die Verbindung mit dem I-net aufnehmen können.


Viele User meinen, wenn sie mit FF oder Opera surfen, wären sie auf der sicheren Seite, oder sagen wir mal sicherer, als wenn mit IE gesurft würde. Das stimmt auch, aber wenn halt diese ganzen Anwendungen *vergessen* werden, nützt es auch nichts, wenn man den IE außen vor läßt und einen anderen Browser nutzt, auch wenn dieser in der aktuellsten Version betrieben wird.


Letztendlich geht es darum, die Angriffsfläche zu minimieren, und das, was ich schrieb, umzusetzen, also, Computerkompetenz zu erlernen, das ist das A und O beim Umgang mit dem PC und dem Internet.


Grüße