Hallo liebe Trojaner-Profis,
seit einiger Zeit treibt mich dieser Trojaner namens "Troj/Dloadr-AAI" um, denn bekanntermaßen installiert er sich immer wieder neu.
Ich bin jedoch zuversichtlich, dass ich ihn mit den hier (und anderswo) gefundenen Tipps demnächst wegkriege, notfalls spiele ich mein System komplett neu auf (was dank Aldi's "retten.exe" ja nicht allzu lange dauert).

Was mich aber dabei sehr interessiert:

Bin ich danach sicher, wenn ich auf die Files meiner Festplatte zugreife?
Ich habe nämlich keinerlei Informationen darüber finden können, woher ich diesen Trojaner habe und wo dieser sich festsetzt.

Hier also meine kompakten Fragen dazu:

1. Ist es bekannt, wie speziell dieser Trojaner sich verbreitet? Ich habe die ersten Probleme beim morgendlichen Mail-Check gehabt und eigentlich keine fragwürdigen Seiten besucht. Ich habe also keine Ahnung, woher der plötzlich kam...
2. Setzt sich dieser Virus/Trojaner in Files fest ? Wenn ja, in welchen?
3. Oder auf externen Laufwerken (USB-Festplatten, USB-Sticks, MemoryChips,...)
4. Bin ich nach einer System-Neuinstallation (Format c:\, Windows-Installation durch retten.exe) sicher, dass ich den Trojaner nicht erneut aktiviere? (Neu-Infizierung via Internet-Verbindung jetzt einmal ausgenommen)

Die Sache ist die, dass ich in einem Netzwerk arbeite, an das dieser Rechner (wieder) angeschlossen werden soll, ich aber natürlich nicht riskieren will, dass ich via Datenaustausch auch die anderen Rechner infiziere.

Vielen Dank für eure Antworten.
Sievert.

@Sievert

Zitat:

seit einiger Zeit treibt mich dieser Trojaner namens "Troj/Dloadr-AAI" um, denn bekanntermaßen installiert er sich immer wieder neu.

Goldene Regel 5: Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören Dein Betriebssystem, ....und Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.

Zitat:

(was dank Aldi's "retten.exe" ja nicht allzu lange dauert).

Hmm... Aldi vs. Microsoft. Na, ich bin gespannt. Kannst Du näheren Informationen für diesen Restore-Wunder posten?

Zitat:

Bin ich danach sicher, wenn ich auf die Files meiner Festplatte zugreife?

Wonach?

Zitat:

Ich habe nämlich keinerlei Informationen darüber finden können, woher ich diesen Trojaner habe und wo dieser sich festsetzt.

Goldene Regel 1: Bevor Du postest, benutze Google sowie die Boardsuche und informiere Dich über Dein Problem. Du bist erfahrungsgemäß nicht der erste, der diese Frage stellt.
Troj/Dloadr-AAI

Zitat:

[*]Bin ich nach einer System-Neuinstallation (Format c:\, Windows-Installation durch retten.exe) sicher, dass ich den Trojaner nicht erneut aktiviere?

a)Wenn retten.exe ein Obendraufinstallieren-Tool ist - nein. Über Löschung der Systempartition-ja, aber nur bis zur ersten Internet-Verbindung. Das Weitere zum Thema: s . Anleitung in meiner Signatur.
b)Jeder Trojaner wird vom Benutzer aktiviert, nicht von sich selbst

Zitat:

Die Sache ist die, dass ich in einem Netzwerk arbeite, an das dieser Rechner (wieder) angeschlossen werden soll, ich aber natürlich nicht riskieren will, dass ich via Datenaustausch auch die anderen Rechner infiziere.

Das kann man nicht ausschließen, muss aber nicht sein.

Hallo Rene-Gad,

Du hast natürlich Recht, hier mal alle Infos zu meinem System:

Windows XP Home (ohne SP)
Intel P4 2,66 GHz, 768 MB Ram

Betroffener Virus: Troj/Dloadr-AAI mit den üblichen Dateien in C:\ bzw. C:\Windows\:
- tool1.exe
....
- tool5.exe
- country.exe
- minesweeper.exe

Anti-Viren-Software: FreeAV
Desktop-Firewall: Zonealarm
Verbindungs-Typ zum Internet: direkte Einwahl über DFUE-Netzwerk (ISDN)

Bei bestehender Internet-Verbindung dauert es nicht lange und der Rechner fängt an zu senden.
Wenn verschiedene Tools alles bereinigt haben, sind nach kurzer Online-Zeit die o.g. Programme wieder drauf.


Bzgl. Regel 1 habe ich wirklich alles mögliche recherchiert, aber eben nichts gefunden. Bin selbst Internet-bewandert und weiss um Google's Fähigkeiten, aber wenn man nichts findet, dann fragt man halt mal bei den Pros.
Der von Dir genannte Link zu Sophos ist gleich der 1. Treffer und sagt mir aber über die von mir gestellten Fragen leider nichts. Und danach kommen nur noch Foren-Einträge.

Sophos habe ich übrigens probiert, der hat nichts gefunden, was vermutlich aber daran lag, dass es beim Update der Viren-Definitionen den Sophos-Server nicht finden konnte.


Die "retten.exe" ist das Wiederherstellungs-Tool der Medion-Rechner, das hätte ich vielleicht auch gleich deutlicher schreiben sollen. Wenn man das aufruft, wird C:\ zunächst formatiert und anschliessend ein Image draufgespielt, wonach sich der PC (zumindest betreffend der Partition C:\) wieder im Auslieferungszustand befindet.


Meine Fragen sind daher (gleiche Fragen wie oben, nochmal anders formuliert):

Da keine AntiViren-Software mir definitiv gesagt hat, dass dieser Virus / Trojaner entfernt worden wäre werde ich vermutlich die "retten.exe" ausführen, damit C:\ vollständig löschen und ein jungfräuliches System (Neuinstallation) erhalten.

Frage 1: Wie verbreitet sich _dieser_ Trojaner ? Woher könnte ich den haben, wenn mir doch absolut nichts aufgefallen ist und ich sehr wohl die allg. Verhaltensregeln beachte (und auch keine Cracks lade, Tauschbörsen besuche u. dgl.)
Neue Frage dazu: kann es sich z.B. um einen gezielten/persönlichen Angriff handeln?

Fragen 2-4:
Habe ich den Trojaner dann noch auf Partition D:\, etc. bzw. besteht die Möglichkeit, dass er sich auch auf externen Festplatten / Wechseldatenträgern "festgesetzt" hat und sich beim Zugriff auf befallene Dateien wieder aktiviert?


Vielleicht noch zur Erklärung:
Ich bin in dieser Sache lange Zeit verschont geblieben (vor Viren) und daher kein Experte, und möchte hier auch keine Sofort-und-alles-auf-einmal-Antwort, sondern würde mich einfach über einen Austausch mit Fachleuten zu diesem Thema freuen.

Grüße,
Sievert.

@Sievert

Zitat:

Die "retten.exe" ist das Wiederherstellungs-Tool der Medion-Rechner, das hätte ich vielleicht auch gleich deutlicher schreiben sollen. Wenn man das aufruft, wird C:\ zunächst formatiert und anschliessend ein Image draufgespielt, wonach sich der PC (zumindest betreffend der Partition C:\) wieder im Auslieferungszustand befindet.

Wenn die Partititon bereits formatiert ist, was für ein Sinn hat es , ein Image zu erstellen?

Zitat:

Meine Fragen sind daher
Frage...

Diese Fragen bezüglich der Herkunft und Verbreitungswegen sind schon mit einem Link in meinem vorigen Posting beantwortet. Lese die Beschriebung des Viruses von Sophos - oder soll ich das einfach hinher reinkopieren?

Hallo Sievert,

Zitat:

Fragen 2-4:
Habe ich den Trojaner dann noch auf Partition D:\, etc. bzw. besteht die Möglichkeit, dass er sich auch auf externen Festplatten / Wechseldatenträgern "festgesetzt" hat und sich beim Zugriff auf befallene Dateien wieder aktiviert?

Das er auf Partition D ist,externer Festplatte,könnte möglich sein.Deine "aldi/medion-rette-mich" sollte auch die Partition D in den Jungfrauen-Zustand zurückversetzen können.Was auf C geht ,geht auch auf den anderen Partitionen.
Was dann den Jungfrauen-Zustand ausmacht ist,dein Betriebssystem ist dann wieder so,wie es zu Beginn des erstmaligen Drucks auf den Einschaltknopf war.Das ist kein Images im klassischen Sinne ,sondern einfach nur dein Betriebssystem.
Nicht das du mir Rene-gad mit einer falschen Wortwahl erneut verärgerst ,der mir heute eh ein wenig unausgeschlafen vorkommt.....

Zitat:

Frage 1: Wie verbreitet sich _dieser_ Trojaner ? Woher könnte ich den haben, wenn mir doch absolut nichts aufgefallen ist und ich sehr wohl die allg. Verhaltensregeln beachte (und auch keine Cracks lade, Tauschbörsen besuche u. dgl.)

Tja,irgendwo hast du dich auf die "schiefe Bahn" locken lassen.Das kannst nur du wissen.

Zitat:

Neue Frage dazu: kann es sich z.B. um einen gezielten/persönlichen Angriff handeln?

Eher nein,wobei es nicht ganz auszuschließen wäre.
Aber du mußt gewissermaßen in Vorleistung treten,indem du dir das Ding runterlädst und auch noch ausführst.Darauf ,so zu handeln,hat niemand außer dir Einfluß.Natürlich bekommst du die Installation des Trojaners "schmackhaft" gemacht. So in der Art :"kostenlos,supi teil muß man haben,gugg das nackisch mädl an....etc. pp.
Irrlicht

@irrlicht

Zitat:

Nicht das du mir Rene-gad mit einer falschen Wortwahl erneut verärgerst ,der mir heute eh ein wenig unausgeschlafen vorkommt.....

Möglich isses , ist aber nicht so. Es geht hier, wie immer öfters woanders, Miß- bzw. Unverständnis des Unteschiedes zwischen den Begriffen Virus und Trojan. Da die Frage von TO sich auf einen Trojaner bezog, halte ich für unmöglich, dass er so von selbst von den anderen (nicht-system) Partitionen auf die andere (nicht-system) Partitionen überspringt.
Deine Vermuntung, dass Aldi-Supertool alle Partitionen plattmacht, kann ich weder bestätigen noch widersprechen. Ich gehe aber davon aus, dass es ein Recovery-Setup ist, wobei nur den Systembereich überschrieben wird ohne Systempartition neu zu formatieren.
PS: Ich habe aber schon von einem speziellen Schutzgerät (Dongle) gehört, das nach jeder Windows-Sitzung alle Änderungen rückgängig macht und das System ist nach dem Neubooten wieder jungfräulich. Wenn man eine neue Software installeren müchte, sollte man den Schutz extra abschalten.

Hallo Irrlicht, danke für Deine Antwort.

Zitat:

Zitat von irrlicht

Das er auf Partition D ist,externer Festplatte,könnte möglich sein.Deine "aldi/medion-rette-mich" sollte auch die Partition D in den Jungfrauen-Zustand zurückversetzen können.Was auf C geht ,geht auch auf den anderen Partitionen.

Hmm... Diese Daten möchte ich natürlich eigentlich behalten und nach der Neuinstallation wieder nutzen. Wie finde ich den Schädling in diesen Dateien am besten ?

Zitat:

Tja,irgendwo hast du dich auf die "schiefe Bahn" locken lassen.Das kannst nur du wissen.

Hmm... manchmal ist es doch bekannt, in welchen Lock-Dateien sich der Schädling befindet.
Ich hab mir wirklich die Sophos-Seiten durchgelesen, weiss aber immer noch nicht, in welchen Dateien sich der Troj/Dloadr-AAI versteckt hält, bzw. bei welcher Gelegenheit er sich einnisten kann.


Angenommen er versteckt sich auf einer externen Festplatte und ich stecke die in einen anderen (cleanen) Rechner ein. Wann aktiviert sich dieser Trojaner:
a.) Wenn ich die Platte einstecke
b.) wenn ich auf eine/die befallene Datei zugreife?

Zitat:

Eher nein,wobei es nicht ganz auszuschließen wäre.
Aber du mußt gewissermaßen in Vorleistung treten,indem du dir das Ding runterlädst und auch noch ausführst.Darauf ,so zu handeln,hat niemand außer dir Einfluß.Natürlich bekommst du die Installation des Trojaners "schmackhaft" gemacht. So in der Art :"kostenlos,supi teil muß man haben,gugg das nackisch mädl an....etc. pp.
Irrlicht

Hmmm.. ich tappe im Dunkeln, weiss der HerrGott, wo der sich versteckt hatte. (das würde ich ja wie gesagt gerne irgendwie herausfinden).