|
Plagegeister aller Art und deren Bekämpfung: Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR BenutzungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
02.01.2012, 12:42 | #1 |
| Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR Benutzung Am 28.12. habe ich mir vermutlich auf einem OTR-Mirror mehrere Trojaner eingefangen. GDATA Internet Security 2012 (auf dem neuesten Stand) hat mehrfach für das im Titel genannte Verzeichnis Alarm geschlagen. Ich habe dann jeweils versucht zu desinfizieren, bekam aber keine Erfolgsmeldung. Da es sich um ein tmp-Verzeichnis handelte habe ich den CCleaner mal alle tmp löschen lassen und dann per Hand noch das Verzeichnis gelöscht´. Nach einem Neustart wollte ich nochmal einen kompletten Virenscan durchführen, aber ich bekam beim Start mehrfach Bluescreens und der Rechner startete nicht mehr. Einen erfolgreichen Neustart bekam ich nur hin mithilfe der Option "Rechner mit letzter funktionierender Konfiguration neu starten". Dann habe ich erstmal alles gesichert und es lief auch aller wieder problemlos -> keine Virenwarnungen. Heute (2.1.) kamen wieder dieselben Warnungen (war heute wieder auf OTR-Mirrors unterwegs). Dann habe ich mal gegoogelt und bin auf diese Seite gestoßen, ahbe aber keine rechte Hilfe gefunden. Ich will das Verzeichnis nicht wieder manuell löschen, weil ich Angst habe wieder den Rechner zu zerschießen. Habe dann einfach mal Kira's Anweisungen befolgt und sowhl Malwarebytes als auch OTL durchlaufen lassen (siehe unten). Zudem noch meine Programmliste über CCleaner und die Logs von GData. Kann mir jemand helfen und sagen, ob es sich tatsächlich um Trojaner handelt, ob es bekannt ist, dass solche von OTR-Mirrors kommen, wie ich sie loswerde und was ich tun kann, dass sie meinen Rechner nicht weiter infizieren. Vielleicht weiß ja sogar jemand, was sie tun. |
02.01.2012, 17:12 | #2 |
/// Malware-holic | Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR Benutzung hi,
__________________nutzt du das system für onlinebanking einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches?
__________________ |
02.01.2012, 21:41 | #3 |
| Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR Benutzung Ja.
__________________Ist das in diesem Fall wichtig? Ich würde mich über eine Antwort freuen! Gruß |
03.01.2012, 14:00 | #4 |
/// Malware-holic | Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR Benutzung hi, 1. rufe sofort die bank an, onlinebanking muss gesperrt werden, begründung, zero access (max++) rootkit. der pc muss neu aufgesetzt und dann abgesichert werden 1. Datenrettung:
4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
03.01.2012, 16:01 | #5 |
| Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR Benutzung Hi, es tut mir leid, wenn ich als Laie vor dem Mammutprogramm, was Du mir vorschlägst etwas zurückschrecke. Ich würde gerne erst einmal verstehen warum ich das machen soll. Das kostet mich eine Menge Arbeit und Zeit, die ich eigentlich nicht habe. Wenn es aber nötig ist, dann mache ich das. Wieso muss mein Online-Banking gesperrt werden? Es gibt keine auffälligen Kontobewegungen und ich arbeite mit mobileTAN. Falls der/dasd rootkit das Problem ist würde ich gerne wissen woraus Du das gelesen hast, dass ich den/das habe. Ich habe nochmal einen kompletten Scan mit GDATA gemacht und die 5 gefunden Stellen desinfiziert bzw. in Quaratäne geschickt. Jetzt findet weeder Malwarebytes noch ESET noch GDATA irgendetwas. Das System scheint clean zu sein. Ich bekome auch keine Meldungen mehr und habe überhaupt keine ungewünschten Pop-Ups gehabt. Die einzigen Pop-Ups, die ich hatte waren bei einigen OTR-Mirrors Werbe-Pop-Ups - die hatte ich aber akzeptiert, weil sonst der download nicht klappte. Die blockiere ich aber jetzt wieder mittels AdBlocker. Falls das rootkit wirklich vorhandne und das Problem ist, ginge dann nicht auch eine dieser Lösungen? hxxp://deletemalware.blogspot.com/2011/09/zeroaccesssirefefmax-rootkit-removal.html oder hxxp://www.2-viruses.com/remove-zeroaccess-rootkit Die Daten habe ich schon gesichert und auch da finden die genannten Tools nichts mehr. Mein PC ist ein Medion PC. Hilft das? Gruß Andreas |
03.01.2012, 16:39 | #6 |
/// Malware-holic | Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR Benutzung wer viele daten hatt, hätte sich um ein backup kümmern müssen, was machst du bei festplatten schaden? da kostet ne daten rettung viel mehr zeit und vor allem sehr viel geld. ich sehe das rootkit anhand der gefundenen dateien. mobile tan ist übrigens auch nicht grad sonderlich sicher, da heut zu tage viele geräte internet fähig sind und bei handys noch weniger auf sicherheit geachtet wird von den nutzern als an ihren pcs sind hier 2 angriffswege möglich. es ist nötig die bank zu informieren, schon aus sicherheitsgründen. und danach müssen wir das system noch absichern, sonst stehst du nämlich evtl. wieder vor dem problem. also, musst du entscheiden, was dir wichtiger ist, lieber arbeit investieren und dann nen vernünftig konfiguriertes system zu haben, oder mit einem system leben welches nicht vertrauenswürdig ist und wo es passieren kann, das beim onlinebanking was passiert oder der pc für andere straftaten wie spam versand etc genutzt wird. wenn es um mein geld ginge, wüsste ich wozu ich mich entscheide :-) vor allem, in der zeit wo du gesucht hast auch irgendwelchen dubiosen seiten nach entfernungs infos hättest du die daten doch schon sichern können und wir hätten beginnen können das system neu zu machen, oder sind die daten bereits gesichert und wir können anfangen?
__________________ --> Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR Benutzung |
03.01.2012, 19:43 | #7 |
| Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR Benutzung Hi, wie gesagt habe ich die Daten schon gesichert! Mich würde wirklich interessieren woran Du erkennst, dass bei mir ZAccess drauf ist. Ich habe früher schön öfter mal PCs formatiert und schrecke davor zurück, weil ich doch recht viel Software drauf habe und das elendig lange dauert. Die Scans laufen zu lassen, das kann ich nebenbei machen. Wieso soll ich Autorun vorm sichern deaktivieren? Ich habe eine Recovery Partition auf dem PC die ich bei Startvorgang über F11 starten könnte, aber schon das erste Einrichten des PCs war mit vielen problemen verbunden, weil Medion selbst einiges bei der Grundkonfiguration verbockt hatte - ich musste allein 2 Patches von denen runterladen damit ich überhaupt auf SP1 für Windows 7 kam. Der Prozess bis der PC so eingerichtett war und so läuft wie jetzt war ein langer! Gibt es denn nicht noch eine andere Möglichkeit? Ich habe nebenbei -VBA AntioRootKit -HitManPro -Sophos AntiRootKit -Spybot -Spyware Doctor -SuperAntiSpyware -TDSS Killer (auch im abgesicherten Modus) laufen lassen. Alles war negativ. Kannst Du verstehen, dass ich dann zurückscheue jetzt die große Lösun zu fahren? Daher auch mien Wunsch zu verstehen wo Du den ZAccess in meinen Logs liest. Würde mich über eine Antwort freuen! |
03.01.2012, 19:49 | #8 |
| Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR Benutzung Nachtrag: Habe kein internetfähiges Handy. Gruß Andreas |
03.01.2012, 20:55 | #9 |
| Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR Benutzung Hab den Eintrag gefunden auf den Du Dich wahrscheinlich beziehst. Müsste im GDATA Log sein: Beim Schließen der Datei "C:\Users\Max Mustermann\AppData\Local\f964ebbc\X" wurde der Virus "Win32:ZAccess-DP [Trj] (Engine B)" entdeckt. Zugriff verweigert. Nachdem dann Malwarebytes durchgelaufen war hatte das Log dazu vermerkt: Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Daten: C:\Users\Max Mustermann\AppData\Local\f964ebbc\X -> Erfolgreich gelöscht und in Quarantäne gestellt. Aus der Quarantäne habe ich das File dann per Hand gelöscht. Das müsste den Eindringling doch eigentlich unschädlich gemacht haben. Wie gesagt: ganz viele Tools und eben auch GDATA und Malwarebytes, die den Eindringling ja beide gemeldet hatten, finden jetzt auch nichts mehr. Ich würd mich halt gerne nochmal absichern ob der Schädling wirklich noch da ist, bevor ich das System platt mache. Ich hoffe, Du kannst das verstehen. Gruß Andreas |
04.01.2012, 14:09 | #10 |
/// Malware-holic | Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR Benutzung man kann solch ein system nicht mit 100 %iger sicherheit reinigen. dann lad die patches halt runter, das hätte doch alles schon passiert sein können wo du diese ewig vielen scans gemacht hawst. und noch mal, warum ist dann nicht eine sicherung des pcs erstellt worden, wenn du doch weist das das neu aufsetzen so schwirig ist? es wäre also auch sinnlos das system am ende abzusichern, da ein einmal kompromitiertes system nicht mehr als sicher zu erachten ist, egal wie viele tools du laufen lässt. nur weil sie keine malware erkennen heißt es doch nicht, dass es keine mehr gibt, überleg mal, wenn gdata eine hundert prozentige erkennung hätte, oder hitman oder wer auch immer, warum nutzen dann nicht alle das programm? schon die pfadangabe in deinem topic titel reicht um zu erkennen das es zero access ist. und wieder haben wir 16 stunden vorbereitungs zeit verschwendet in denen du schon hättest alle vorbereitungen treffen können und wir das system sicher schon mit updates etc versorgt hätten, (das neue meine ich).
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
04.01.2012, 15:15 | #11 |
| Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR Benutzung Dann werde ich jetzt nochmal die neuste Version meiner Daten sichern. Deaktiviere ich Autorun nur für die Sicherung der Daten, damit ich den Trojaner nicht mit sichere? oder warum muss ich das deaktivieren bzw. wie kann ich sicherstellen, dass der Trojaner nicht mit rüberkommt? Muss ich danach nur die Partition c formatieren? Nach dem Kauf des Rechners hatte ich die Partitionen neu verteilt, so dass Partition c kleiner wurde und partition d größer. Wird das mit der Formatierung auch zurückgesetzt oder bleiben die Partitionen so wie sie sind? Und: nein, ich weiß nicht genau wie man formatiert. Früher ging das ja auf der DOS-Ebene mit format:c, aber heute....??? Und wie ist das mit solchen Programmen wie MS Office oder auch GData - da habe ich jeweils eine Lizenz. Kann ich das erneut aktivieren, wenn ich es neu aufspiele? Ich würde dann gerne alles wieder aufspielen, alle Programme etc und den PC dann in dem Zustand irgendwo sichern, so dass ich - falls es wieder mal nötig wird - diesen Zustand einfach wieder herstellen kann. Meinst Du das mit PC absichern? Bis ich soweit bin, dass ich meinen Rechner platt machen kann, kann es eine Weile dauern. Ich würde mich freuen, wenn Du dranbleibst und mich weiter unterstützt, selbst wenn ich mich einige Tage nicht rühre - ich brauche den Rechner beruflich und kann es mir nicht zu jedem Zeitpunkt leisten ihn für längere Zeit nicht einsatzbereit zu haben. Gruß Andreas |
04.01.2012, 16:17 | #12 |
/// Malware-holic | Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR Benutzung hi, klar kann ich das machen. wenn ich mal ne antwort übersehe, private nachicht an mich. office schlüssel sollte man iermit auslesen können: http://www.chip.de/downloads/Windows..._43739197.html bei gdata weis ich es nicht genau, klick dich mal durchs programm, wenn nicht muss ich mich mal erkundigen. autorun würde ich immer deaktivieren. da du über die autorun.inf dateien auch trojaner starten könntest. also, einige trojaner nutzen die autorun funktion als verbreitungsmethode. deaktivierst du autorun, bringt das also mehr sicherheit. wegen der absicherung, das machen wir wenn die daten gesichert und alle fragen geklärt sind, und wir mit dem formatieren beginnen, sonst ist das ein durcheinander, hoffe du bist damit einverstanden :-)
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
08.01.2012, 08:45 | #13 |
| Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR Benutzung Hi, hab jetzt alle meine Daten gesichert und autoruns deaktiviert, aber bevor ich weitermache, müsste ich noch einige Dinge wissen: 1. wie formatiere ich? 2. Formatiere ich nur die Partition mit Windows drauf oder alle? 3. Ich hatte zwischendurch mal ein Bios Update gemacht, ist das nach der Formatierung auch futsch? 4. Was die Software angeht: Ich verstehe das mit dem Auslesen der Produkt-Keys nicht so ganz. Es handelt sich um ganz legale gekaufte Software und selbstverständlich habe ich den Key noch, aber ich kann mich nicht erneut registrieren mit demselben Key, weil ich ja nur jeweils eine Lizenz habe und dann kommt sicherlich die Meldung, dass die Software mit diesem key schon registriert ist, oder? Gruß Andreas |
09.01.2012, 14:12 | #14 |
/// Malware-holic | Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR Benutzung 1. wie formatiere ich? windows cd zur hand? wenn du einen fertig pc hast, benötige ich hersteller + gerätebezeichnung. 2. Formatiere ich nur die Partition mit Windows drauf oder alle? windows partition reicht. 3. Ich hatte zwischendurch mal ein Bios Update gemacht, ist das nach der Formatierung auch futsch? nein 4. Was die Software angeht: Ich verstehe das mit dem Auslesen der Produkt-Keys nicht so ganz. Es handelt sich um ganz legale gekaufte Software und selbstverständlich habe ich den Key noch, aber ich kann mich nicht erneut registrieren mit demselben Key, weil ich ja nur jeweils eine Lizenz habe und dann kommt sicherlich die Meldung, dass die Software mit diesem key schon registriert ist, oder? dann war das ein missverständniss, das erneute aktivieren ist eig kein problem. wenn nicht bietet ms immer noch ne telefon hotline wo man den key wieder freischalten lassen könnte
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
09.01.2012, 17:50 | #15 |
| Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR Benutzung 1. Keine Windows CD, war ein fertig PC Medion Akoya P4385 D - da gibts auch noch jede menge Nummern - welche brauchst Du? Was dabei ist, ist eine CD "Application & Support Disc" und eine "Medion Recovery Disc". Ansonsten ist die E-Partition eine Recovery Partition und ich werde auch bei jedem Start routinemäßig gefragt: Run Recovery? Press F11. Hilft das? 2. Meine Eigene Dateien habe ich auf der D Partition. Heißt das, dass ich einfach alle Dateien behalten kann und einfach nur C neu mache und er alles von alleine wieder erkennt? Oder soll ich vorsichtshalber auch D formatieren? Gerade ist bei meinem routinemäßigen Virenscan wieder GDATA angesprunge und hat in der Datei ComboFix.exe anscheinend einen Virus gefunden: + Archiv: ComboFix.exe Pfad: D:\Max Mustermann\Documents\Max\Computer\Sicherheit Status: Virus gefunden Virus: Win32:Rootkit-gen [Rtk] (Engine B) Komisch ist bloß, dass ich die Datei schon ein paar Tage länger auf dem Rechner habe und sie auch schon mehrfach gescannt wurde und nie angemahnt wurde. Ich habe die Datei lediglich vor drei Tagen in ein neues Verzeichnis kopiert. Vorher war sie auf C in den Downloads und jetzt ist sie eben im abgebenen Ordner auf D. |
Themen zu Mehrere Trojaner gefunden in windows/assembly/tmp/u vermutlich nach OTR Benutzung |
alarm, bluescreens, ccleaner, einfach, gdata, interne, internet, internet security 2012, konfiguration, löschen, malwarebytes, mehrere trojaner, neues, neustart, problemlos, rechner, rechte, rojaner gefunden, scan, security, seite, starten, trojaner, trojaner gefunden, unterwegs, virenscan |