Hallo zusammen!

Mein Antivir hat Gestern Alarm geschlagen und einen Silentbanker (genaue Bezeichnung hab ich leider nicht mehr) im System32 Ordner (WinXP 32, SP2, die Datei hatte eine lange Zufallszahlenreihe als Namen und die Endung .cpx ) gemeldet. In dem Ordner fand ich eine .cpx Datei mit gleichem Namensschema, die Zugangsdaten und Passwort zu meinem web.de mail-Konto enthielt, das einzige, das ich nicht über SSL abrufe. Diese Datei war laut Erstellungsdatum 5 Tage alt, der Trojaner war imho also schon aktiv und nicht sofort von Antivir gefunden worden. Um sicherzugehen, und weil es eh mal wieder an der Zeit war, habe ich C: formatiert und ein neues Windows aufgespielt. Ich habe mit Antivir alle Festplatten gescannt, auch in Archiven und mit hoher Erkennungsstufe und Heuristik, aber keinen Silentbanker gefunden. (Meine Bank Pins, Paypal Passwort, usw. habe ich natürlich schon geändert, zum glück ist alles Geld noch drauf).

Meine erste Frage: Wie gehe ich sicher, das ich den Trojaner los bin?

Zweite Frage: Ich habe vor der Aktion kein extra Backup mehr gemacht, mein Acronis Trueimage war so eingerichtet, das es mir täglich ein neues Backup Slice auf eine Andere Platte ablegt. Da ist noch alles Wichtige drin. Aber wie kann ich mich da ran trauen um mein System nicht erneut zu kompromittieren?

Dritte Frage: Momentan mach ich alles wichtige von einem anderen Rechner aus, aber ich bin verunsichert, ob der sich nicht übers Netzwerk infiziert haben könnte. Antivir findet nichts, sollte ich noch ein anderes Tool laufen lassen? Ich habe 2 ähnlich benannte .cpx Dateien im System32 folder, die sehen aber vom Inhalt her harmlos aus, und bei virustotal.com hat auch kein Virenscanner was beanstandet.

Vierte Frage: Ich glaube kaum das das geht, aber kann ich irgendwie feststellen, woher der Trojaner kam? Ich wüsste nichts, wo ich ein besonders großes Sicherheitsloch aufgemacht hätte, außer das ich vor Kurzem Napster installiert hab (diese legale Bezahl-Streaming-Musik-Flatrate, mit Filesharing hat das nix mehr zu tun), was ja Komponenten vom IE nutzt, welcher bei mir völlig ungepatched war, da ich ihn nie benutze.

Schonmal vielen Dank für euren Rat!

Schau mal hier:

http://www.trojaner-board.de/61452-t...rnt-jetzt.html

Zitat:

Zitat von Stonie69

Schau mal hier:

http://www.trojaner-board.de/61452-trojan-silentbanker-e-gefunden-und-entfernt-jetzt.html

Danke für den Link, du hast da schon einige interessante Dinge zusammengetragen. Ich hab mal GMER laufen lassen, aber kann das log nicht deuten. Soll ich das mal posten?
Der Hinweis den MBR mit fixmbr von der reparaturkonsole aus platt zu machen ist auch interessant. Hab ich aber noch nicht gemacht, weil mir das tool meldete, dass es dabei möglicherweise meine Partionstabellen zerstören wird, da der MBR von dem was es erwartet abweicht. das bootsektor repair tool von antivir gab mir auch merkwürdige meldungen aus, ich hab sie fotografiert, komme aber noch nicht an die bilder der cam dran. später hoffentlich.

Ich hab mal die Finger gekreuzt und trotz der Warnung "fixmbr" von der Windows Wiederherstellungskonsole aus ausgeführt. Der MBR wurde neu geschrieben und der Rechner Startet noch. Gibt es noch etwas, das ich am Track 0 der Platte machen sollte, oder ist der mit dem MBR gelöscht worden?

Meines Erachtens ist es sinnvoll

bei XP von CD gebootet hintereinander auszuführen
FixMBR
Fixboot (stellt die ersten Sektoren der Bootplatte wieder korrekt)
Bootcfg /rebuild

und bei Vista
bootrec /fixmbr
bootrec /fixboot
bootrec /RebuildBCD

So wird der Bootvorgang wieder auf Default gestellt und evtl. Einsprungrampen von Bootviren ausgedünnt.
Ciao,
Max