Hallo zusammen,

durch Surfen mit Administratoraccount (jaaa ich weiß) habe ich nun eine hübsche Anzahl diverser Trojaner auf meinem Rechner. Laut McAfee unter anderem:

- Spy-Agent.bw!mem
- Generic PWSy!cbh

Und wahrscheinlich noch ein paar mehr von denen ich noch nichts weiß (scannt noch). Ich verwende USB-Sticks und Festplatten für Backups. Die meisten meiner Passwörter habe ich von einem anderen Rechner aus geändert. Nun meine Fragen:

- Ich habe noch große Mengen an vertraulichen Daten auf dem Teil. Eine eSata / USB Platte vorausgesetzt, wie sichere ich sie am besten UND stelle sicher dass der Backup anschließend sauber ist?

- Wie stelle ich sicher, dass meine ganzen USB Sticks / Platten 100% sauber sind? Wegwerfen möchte ich sie nur ungern.

- Soll ich versuchen, dass System zu reinigen oder komplett zu plätten? Für beide Fälle wäre ich für eine systematische Vorgehensweise dankbar.

- Kann man irgendwie erkennen, wann das Zeuge auf meine Platte gelangt ist?

Danke!

Zitat:

durch Surfen mit Administratoraccount (jaaa ich weiß)

Schäm dich!

Was sind das für vertrauliche Daten (Dateityp?)
- PDF
- Bilder (JPG, BMP, XCF, PNG, GIF, ...)
- DOC, XLS (solange Makros deaktiviert sind)
kannst du ohne weiteres sichern.
Wenn du deine Platte/USB ansteckst bitte die Shift-Taste gedrückt halten. Dadurch wird ein Autostart verhindert.
EXE, DLL udgl solltest du nicht sichern.

Um die ganzen Sticks / Platten kümmern wir uns später.
Wichtig ist jetzt erstmal ein sauberes System.

Zitat:

Soll ich versuchen, dass System zu reinigen oder komplett zu plätten?

Kann ich dir erst sagen, wenn du folgendes gemacht hast:

1.) Malwarebytes Anti-Malware
Komplett Scan!

2.) Randoms System Information Tool
Anleitung: hier

Die Logfiles bitte dann hier posten.

mfg,TXL

Anti-Malware läuft nun. Wenns fertig ist, poste ich das Ergebnis. Danke schonnmal.

Was bedeuten eigentlich bei McAfee die Symbole im vollständigen Virusscan (grünes Häkchen / rotes Kreuz)?

Heißt das, er hat die Sachen mit dem grünen Häkchen entfernt und die mit dem roten Kreuz nicht? Von Spy Agent stehen außer bei

C:\Windows\system32\ntos.exe
C:\Windows\system32\winlogon.exe

nur grüne Häkchen an den anderen Komponenten.

Zitat:

Zitat von Desperado12

Was bedeuten eigentlich bei McAfee die Symbole im vollständigen Virusscan (grünes Häkchen / rotes Kreuz)?

Heißt das, er hat die Sachen mit dem grünen Häkchen entfernt und die mit dem roten Kreuz nicht? Von Spy Agent stehen außer bei

C:\Windows\system32\ntos.exe
C:\Windows\system32\winlogon.exe

nur grüne Häkchen an den anderen Komponenten.

Kenne mich mit McAfee jetzt nicht wirklich aus, grünes Häckchen wird aber bedeuten, dass die Datei / Prozess i.O. ist

Den ersten Feind habe ich übrigens schon entdeckt:
C:\Windows\system32\ntos.exe ---> Troj/Agent-ECU Spyware

mfg.TXL

Ach, ich poste einfach schonal was McAfee ausgespuckt hat:

Spy-Agent.bw!mem :

HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon|Userinit

in der Registry und

ntos.exe, sdra64.exe, twex.exe, twext.exe, winlogon.exe

je in C:\Windows\System32\

Scheint so ein Trojaner Packen zu sein, der verschiedene andere Trojaner nutzt und über Winlogon/Userinit gestartet wird.

Hier haben wir den Log von Anti-Malware. Den Spybot von McAfee hat er wohl nicht gefunden (also nichts in winlogon).

Zitat:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

04.03.2010 21:25:35
mbam-log-2010-03-04 (21-25-28).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 715816
Laufzeit: 3 hour(s), 7 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Schlechte Nachricht:
Du bist anscheinend in ein Bot-Netzwerk hineingeraten.
Dein PC wird sehr wahrscheinlich für kriminelle Zwecke verwendet (ferngesteuert!)

Folgendes unterstreicht das:
c:\windows\system32\twex.exe ---> Backdoor.Bot
c:\windows\system32\twext.exe ---> Backdoor.Bot

Da gibts nur eines:
Neuaufsetzen

Ohne Datensicherung geht gar nich, oder?

mfg.TXL

Highjackthis hat nichts böses ausgespuckt...


Angenommen, ich schließe die Platte an ein anderes System an und sichere dann die essentiellen Ordner (enhalten auch dlls und exes, aber eigentlich nur solche, die ich selbst kompiliert habe) bin ich dann auf der sicheren Seite oder uss ich was beachten?

Wäre auch gut, wenn ich ein Backup der Path Variablen hätte...

Welche Platte meinst du da? deine externen? die sind normalerweise nicht infiziert, wenn du seit dem Befall nichts mehr draufgepackt hast. Da kannst du also beruhigt sein.

Ich würde jetzt wie folgt vorgehen.
- Leeren USB-Stick nehmen, die notwendigen Dateien vom PC draufpacken.
- Am anderen PC Malwarebytes, RSIT, GMER und einen AV-Scanner (am besten AntiVir) nur installiern (falls nicht schon geschehen) - noch keinen Scan machen!
---> Bitte unbedigt beachten: Den PC, an dem der USB-Stick dann angeschlossen wird, zuvor vom Internet trennen. LAN-Kabel ziehen, bzw. Router ausschalten.
- Den USB-Stick am anderen PC dann anschließen
- Währenddessen die Shift-Taste gedrückt halten.
- Dann die Dateien in ein Verzeichnis kopieren und sofort einen Scan mit Malwarebytes machen.

Den anderen PC erstmal nicht mehr ans Inet anschließen.

mfg.TXL

Hmm...nach einem Neustart findet McAfee nichts mehr...ein gutes Zeichen?

Weniger... aber sieh mal nach in c:\windows\system32, ob die von dir genannten Dateien noch da sind...

ntos.exe
sdra64.exe
twex.exe
twext.exe
winlogon.exe

Ich hab nachgesehen und bis auf winlogon.exe war keine von ihnen mehr vorhanden (winlogon ist doch ein windowseigener Prozess?).

Hab von Mc Afee und Anti-Malware nochmal ausschließlich windows/system32 druchsuchen lassen und beide fanden nichts.


Mal ne andere Frage:

Kann man die WIndows FIrewall so einstellen, dass nur Verbindungen zu einem bestimmten Server zugelassen werden? Das würde für das Nutzungsprofil des Rechners reichen.

> (winlogon ist doch ein windowseigener Prozess?)

Stimmt. Ich würde die Datei vorsichtshalber nochmal bei VirusTotal hochladen:

VirusTotal - Kostenloser online Viren- und Malwarescanner

Einer will was gefunden haben:

a-squared 4.5.0.50 2010.02.25 -
AhnLab-V3 5.0.0.2 2010.02.25 -
AntiVir 8.2.1.172 2010.02.25 -
Antiy-AVL 2.0.3.7 2010.02.25 Trojan/Win32.Patched.gen
Authentium 5.2.0.5 2010.02.25 -
Avast 4.8.1351.0 2010.02.24 -
AVG 9.0.0.730 2010.02.25 -
BitDefender 7.2 2010.02.25 -
CAT-QuickHeal 10.00 2010.02.25 -
ClamAV 0.96.0.0-git 2010.02.25 -
Comodo 4059 2010.02.25 -
DrWeb 5.0.1.12222 2010.02.25 -
eSafe 7.0.17.0 2010.02.24 -
eTrust-Vet 35.2.7328 2010.02.25 -
F-Prot 4.5.1.85 2010.02.25 -
F-Secure 9.0.15370.0 2010.02.25 -
Fortinet 4.0.14.0 2010.02.25 -
GData 19 2010.02.25 -
Ikarus T3.1.1.80.0 2010.02.25 -
Jiangmin 13.0.900 2010.02.25 -
K7AntiVirus 7.10.981 2010.02.23 -
Kaspersky 7.0.0.125 2010.02.25 -
McAfee 5902 2010.02.24 -
McAfee+Artemis 5902 2010.02.24 -
McAfee-GW-Edition 6.8.5 2010.02.25 -
Microsoft 1.5502 2010.02.25 -
NOD32 4894 2010.02.25 -
Norman 6.04.08 2010.02.25 -
nProtect 2009.1.8.0 2010.02.25 -
Panda 10.0.2.2 2010.02.24 -
PCTools 7.0.3.5 2010.02.25 -
Prevx 3.0 2010.02.25 -
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.25 -
Sunbelt 5698 2010.02.25 -
Symantec 20091.2.0.41 2010.02.25 -
TheHacker 6.5.1.6.210 2010.02.25 -
TrendMicro 9.120.0.1004 2010.02.25 -
VBA32 3.12.12.2 2010.02.25 -
ViRobot 2010.2.25.2202 2010.02.25 -
VirusBuster 5.0.27.0 2010.02.24 -

Ok, kannste vergessen, dass war ein "False Positive" - winlogon.exe ist also sauber.

So...
Ich bin trotzdem noch ein wenig skeptisch.
Mach doch bitte noch ein Scan mit RSIT und GMER.
(Logfiles dann posten)

Findest du in system32 eine ordner names "twain_32" oder ähnliches?
Wenn nicht, hast du noch mal Glück gehabt. Dort werden gestohlene Passwörter udgl. gespeichert, die der Backdoor.Bot von dir gesammelt hat.

Komme heute wsl. nicht mehr on, muss morgen früh raus