Hallo Trojaner-Team!

Ich schließe mich mal den unglückseligen vom BKA-Trojaner Befallenen an. Gestern hat's mich erwischt und ich konnte nur über einen Wiederherstellungspunkt vom letzten Monat wieder in mein Hauptkonto. Lief alles unauffällig, aber ich hab trotzdem das halbe Internet nach Lösungen durchsucht... der soll sich ja irgendwie überall einnisten. Leider gibt es so viele verschiedene Lösungsansätze, dass ich nicht weiß, wie ich jetzt rausfinde, ob das Ding noch auf meinem armen Notebook ist.

Ich hab Windows Vista, falls das wichtig ist. Und ich hab Malwarebytes aktualisiert und einmal drüber gejagt, der hat 3 Sachen gefunden und gelöscht... soll ich dazu den Log hochladen? Wenn ja, wie? (Ich bin leider nur ne normale Userin, die von diesem Kram null versteht. Geht das über CODE oder PHP?)

Schon einmal danke und liebe Grüße
Kestrel

Bitte alle Logs von Malwarebytes posten. KEINE PHP-Tags, nimm CODE-Tags!

Okay, danke. Dann hier der Log von vorhin:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7525

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

21.08.2011 16:19:34
mbam-log-2011-08-21 (16-19-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 392243
Laufzeit: 1 Stunde(n), 53 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Users\Jewel\AppData\Roaming\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
         

Zitat:

c:\Recycle.Bin\config.bin (Trojan.Spyeyes)

Machst du Onlinebanking oder ähnliche kritische Dinge mit diesem Rechner?

Eins vorweg: Es sollte hinlänglich bekannt sein, dass eine Bereinigung keine 100% Sicherheit (in Bezug auf Entfernung der Infektion) liefert und man den Rechner plätten und neu installieren sollte, wenn man kritische Dinge wie zB Onlinebanking in Zukunft weiterhin sicher erledigen will. Gerade beim BKA-Fake seh ich häufig noch SpyEyes-Infektionen - SpyEyes ist ein gefährlicher Keylogger, der sämtliche Tastaturanschläge aufzeichnet und so prinzipiell jedes eingetippte Passwort klauen kann!
Falls du lieber eine Neuinstallation vornehmen und vorher noch alle relevanten Daten sichern willst, folgst du zuerst dem 2. Link in meiner Signatur zur Datensicherung über Ubuntu oder einer anderen beliebigen Live-CD, anschließend dem Artikel zur Neuinstallation von Windows. Natürlich änderst du dann auch sämtliche Passwörter, wenn das System frisch installiert wurde!

Wichtig: Sichere über die Live-CD nur reine Datendateien, KEINE ausführbaren Dateien wie Programme/Spiele oder Setupdateien!

Oje, das klingt ja nicht so gut... meine Vista-CD, die ich vor 2 Jahren gebrannt hab, ist mir blöderweise zerkratzt und ich möchte mir ungern für über 100 Euro das System neu kaufen. Gibt es denn keine Möglichkeit, diese Keylogger mit irgendwelchen Scannern zu finden?
Neuinstallation ist irgendwie der Supergau und ich würde das gerne umgehen, wenn das möglich ist.

Zitat:

meine Vista-CD, die ich vor 2 Jahren gebrannt hab, ist mir blöderweise zerkratzt

Gebrannt? Wo ist dein Original oder ist das ein Satz Recovery-Medien?
Oder du leihst dir eine DVD von einem Bekannten und verwendest diese mit DEINEM Key.

Also als ich mein Notebook neu hatte, sollte ich gleich am Anfang ne Recovery-CD brennen, die ja jetzt leider hin ist.
Ach ja, der Key... ich hoffe mal, das Ding steht irgendwo auf dem Notebook. (Als Aufkleber oder so, denn ich hab weder Handbuch noch sonstwas übrig...). Und dann muss ich wohl mal schauen, ob irgendwer ne Vista-CD hat, obwohl niemand in meinem Umfeld Vista benutzt.
Aber das ist wirklich ärgerlich. So viele Scanner und keiner findet so einen sputteligen Keylogger? :/

Das ist ein prinzipielles Problem! Man kann immer bereinigen mit einem Restrisiko, aber das sollte man nicht tun wenn man weiterhin Onlinebanken will und vorher den SpyEyes drauf hatte

Also ich mach kein Onlinebanking, hab aber halt Amazon und solchen Kram. Will ja schon, dass mein Notebook wieder sicher ist. Dann komm ich um das ganze Gewusel wohl nicht rum... trotzdem danke für deine Hilfe, ich klick mich dann durch die Links und versuche ne Neuinstallation.

Oh, eines noch: Befällt dieser Bundespolizei-Trojaner auch einzelne Dateien, wenn ich noch am Notebook arbeite? Geht irgendwas davon mit auf die Ubuntu-Sicherung? Will den ungebetenen Gast ja nicht mitnehmen, wenn ich alles neu installiere...

Deswegen schrieb ich ja, du sollst nur reine Datendateien und keine Programme oder Spiele oder Setups sichern.

Achso, okay. Ich dachte, vielleicht hakt der sich z.B. auch in Word-Dokumente oder so ein. Wenn ich nun aber meinen Firefox und den Thunderbird sichern will, sind das dann reine Datendateien oder kann ich die nicht ungefährdet sichern? (Oh Gott, es tut mir so Leid, so blöde Fragen zu stellen. Ich bin so ahnungslos und eigentlich eine Schande für die Emanzipation.)

Das Profil sollte man mitsichern können. Office-Dokumente auch, sofern das alles unersetzbares Zeug ist.
In Office-Dokumenten und im FF-Profil kann (muss aber nicht) ein Schädling sitzen, deswegen vor dem Zurückspielen ins saubere aufgesetzte System diese mit einem Virenscanner prüfen. 100% Sicherheit gibt es nicht.

So, ich mal wieder, diesmal vom gesunden Netbook aus.
Ich bin mittlerweile so weit:
1. Ein Freund von mir hat meine Daten mit Ubuntu auf eine externe Festplatte gesichert und dabei manuell verdächtige Dateien gelöscht. Er sagte, mein Malwarebytes würde auf Ubuntu nicht laufen.
2. Er hat die Dateien vom befallenen Notebook gelöscht.

Meine Fragen sind nun:
1. Mit welchem Virenscanner prüfe ich nun (und von welchem PC aus?) meine Daten, bevor sie wieder aufs Notebook wandern?
2. Muss ich irgendwas mit dem befallenen Notebook machen, bevor ich die Vista Recovery CDs einsetze? (Irgendwas formatieren oder so?)
3. Ich glaube, ich hatte bei euch mal eine hilfreiche Liste mit Sicherheitshinweisen nach einer Neuinstallation gesehen, hab aber den Beitrag nicht mehr gefunden. Worauf muss ich jetzt achten?

Liebe Grüße
Kestrel

Zitat:

Er sagte, mein Malwarebytes würde auf Ubuntu nicht laufen.

Das ist richtig. Malwarebytes ist Windows-Programm, läuft nicht auf Ubuntu und würde auch nicht wirklich Sinn machen.

Zitat:

1. Mit welchem Virenscanner prüfe ich nun (und von welchem PC aus?) meine Daten, bevor sie wieder aufs Notebook wandern?

Welcher ist denn lokal installiert? Der sollte reichen. Wächter ist ja an. Wird wohl sowas wie Avast, AntiVir oder MSE sein. Man kann die Daten ja auch noch mit Malwarebytes prüfen, bevor man so eine Datei öffnet.

Zitat:

2. Muss ich irgendwas mit dem befallenen Notebook machen, bevor ich die Vista Recovery CDs einsetze? (Irgendwas formatieren oder so?)

Wenn alle Daten gesichert sind, wäre es ganz gut, wenn man vorher die interne Platte komplett löscht, also alle Partitionen auflöst. Das kann man auch unter Ubuntu machen zB mit der Laufwerksverwaltung (Disk Utility), vllt kann dir dein Bekannter nochmal helfen.

Zitat:

3. Ich glaube, ich hatte bei euch mal eine hilfreiche Liste mit Sicherheitshinweisen nach einer Neuinstallation gesehen, hab aber den Beitrag nicht mehr gefunden. Worauf muss ich jetzt achten?

Meinst du diese hier:

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?