Hallo allerseits

Nun ist es passiert, ich habe mir einen richtig bösen Trojaner eingefangen und bräuchte dringend fachmännischen/-frauischen Rat zu dessen Loswerdung.
Vor vier Tagen bekam ich beim Surfen von AntiVir rasch hintereinander Meldungen über Bedrohungen. Es handelte sich um folgende:

TR/Crypt.XPACK.Gen
JAVA/Exdoer.BB.3.D
JAVA/Exdoer.BB.3.F

Diese kamen mehrmals hintereinander, und ich habe sie jeweils löschen bzw den Zugriff verweigern lassen und den Browser (Firefox) sofort zugemacht.

Trotzdem kam wohl irgendetwas davon durch... als ich mich nämlich in meine zwei Onlinebankingkonten einloggte, bekam ich die Aufforderung, 10 unverbrauchte TANs einzugeben (was ich natürlich NICHT gemacht habe). Ein Anruf bei den jeweiligen Banken genügte, um das Onlinekonto sperren zu lassen. Auch rieten mir die Leute, meine persönlichen Daten zu sicher und den betroffenen Laptop neu aufzusetzen, alle Passwörter zu ändern ect...

Ich habe dann erstmal einen vollständigen AntiVir-Scan laufen. Dabei hat es die Trojaner

TR/Hiloti.3.18
TR/Hiloti.3.22

gefunden, welche in die Quarantäne verschoben wurden.

Alle "bösen" Dateien befanden/befinden sich unter C:\Users\Mein Name\AppData\Local\Temp\

Nun frage ich mich: Wars das jetzt? Problem gelöst? Oder muss ich tatsächlich mein System platt machen? Ich habe einen Acer Aspire 7730G mit Vista, jedoch keine Recovery-CDs mehr dazu (unsere Wohnung ist vor einem Jahr bei einem Rohrbruch komplett unter Wasser gesetzt worden, und mit ihr auch diese CDs ).

Für eure Hilfe wäre ich superdankbar!

Viele Grüss,
Batty

also, ich persönlich würde das gerät neu aufsetzen.
dazu musst du dir halt ne windows cd besorgen, dies kann dir ja sowieso passieren, wenn du mal deine instalation zerschießt.
oder, du leist dir ne windows cd, wir können deinen code auslesen und du gibts den dann bei der instalation ein.
das risiko, das wir nicht alles finden, wäre mir persönlich zu groß, da es hier um geld geht sollte man nicht mit der 99 %igen sicherheit leben die wir dir bieten können.

Selbstverständlich vertraue ich eurem Urteil, aber gibt es keine Möglichkeit, erstmal eine Bereinigung des Systems zu versuchen? Handelt es sich dabei um einen so raffinierten Trojaner, dass er nicht aufzuspüren ist?

Wie vermeide ich den denn in Zukunft? Soweit ich mich erinnern kann, habe ich nach irgendwas gegoogelt und wurde auf eine Seite mit einer Java-Anwendung umgeleitet, die ich jedoch gleich geschlossen habe... aber sowas kann man ja leider nicht riechen.

Welche Daten darf ich denn alles sichern? Auch Installationsdateien von Programmen wie AllZip, Firefox ect?

instalationsdateien kannst du sichern.
wie du das vermeidest erkläre ich dir dann.
na was heißt denn erst mal...
wir können sichtbare trojaner bestandteile entfernen, das ist aber noch lange keine garantie. und, ist es dann nicht besser neu aufzusetzen, wenn man die risiken betrachtet, wie zwei leere konten?

Hm... alles klar, dann mache ich mich mal ans Werk. Manoman, hätte nicht gedacht, dass es auch Sachprogramme gibt, an denen selbst ihr scheitert
Jedenfalls: Danke für die ehrlichen Worte! Und für eine Aufklärung, wie man sowas vermeiden kann, wäre ich wirklich dankbar. Ich dachte, mit einem aktuellen Antivirenprogramm (und AntiVir gilt ja soweit ich weiss als sehr gut), sei man einigermassen sicher vor sowas. Schliesslich kam der Trojaner ja nicht dadurch, dass ich einen Emailanhang geöffnet oder sich illegal was heruntergeladen habe.

das hat nichts mit scheitern zu tun, ich möchte dich nur unmissverständlich auf die risiken hinweisen.

Das war absolut nicht als Beleidigung gemeint Markus! Ich kann die Bedenken auf jeden Fall verstehen und du hast vollkommen recht.
Ich finde es bloss erschreckend, dass man sich einfach so sowas einfangen kann und man absolut nichts dagegen tun kann, ausser das System völlig neu aufzusetzen. Und man hängt ja auch an einem "running System"...

ich hab das keines wegs als beleidigung aufgefasst.
du kannst was dagegen tun, dies zeige ich dir, wenn es so weit ist.
und auch deswegen möchte ich lieber, dass du quasi nen neu anfang machst. denn zu den dingen die du tun kannst, gehört ne komplette sicherung des systems (backup) und dies regelmäßig.
und dies würde nichts bringen, wenn du ein potentiell infiziertes system sicherst.

Alles klar... noch eine Frage:
Wisst ihr, ob dieser Virus/Trojaner auch den Bootsektor betrifft? Wenn nein habe ich nämlich gesagt bekommen, dass ich mithilfe einer versteckten Partition im Nachhinein noch eine Recovery-CD erstellen kann und mit deren Hilfe dann das System neu aufsetzen kann. Dann gehen mir auch die Treiber nicht verloren.
Bloss darf natürlich der Virus den Bootsektor nicht manipuliert haben.

Oder es gibt die D2D-Recovery:

Zitat:

Diese Art der Wiederherstellung beruht auf der intakt vorhandenen PQSERVICE-Partition,
dem Vorhandensein des Original ACER-Bootsektors MBR.
Im Ablauf dieser Funktion werden die Daten aus der PQSERVICE
auf die erste Partition, Laufwerk C: geschrieben.
C: wird dabei KOMPLETT gelöscht! Also, bevor man sich dazu entschliesst,
sein Windows neu aufzuspielen, Datensicherung ist Pflicht! Dazu kann das
Laufwerk D: als Speicherort benutzt werden, da D: unberührt bleibt.
Nach dem Wiederherstellen durch D2D-Recovery startet das Book neu,
das System wurde auf Werkszustand gebracht. Alle Einstellungen,
Updates, Programminstallationen liegen also noch vor einem.

Denkt ihr, dass das auch möglich wäre und man den Trojaner damit los ist?

P.S: Ich will mich nicht vor dem neu Aufsetzen drücken, aber momentan ist die finanzielle Lage nicht gerade rosig, so dass ich mir dreimal überlegen sollte, ob ich ein komplettes neues Betriebssystem kaufen muss.

der mbr bleibt unberührt.
diese cd würde ich aber trotzdem brennen, denn hier liegt das problem bei den recovery partitionen, wenn der mbr nämlich mal, aus welchem grund auch immer, verendert wurde, läuft das mit der recover funktion nicht mehr.
du kannst aber diese zitirte funktion nutzen.

welches betriebssystem nutzt du?

Danke für die schnelle Antwort! Ich habe Vista.

Na, dann ist doch alles super.
Verstehe ich das richtig, dass du vorschlägst, erst die Recovery-CDs zu brennen und es dann über D2D zu versuchen? Kann man dann, wenn der MBR doch irgendwie futsch ist über die neu gebrannten Recovery-CDs das System SAUBER wiederherstellen? Sind die Recovery-CDs wenn ich sie jetzt erstellen würde denn "sauber"?

die recovery cds werden, wenn ich das richtig sehe, vom recovery laufwerk erstellt, sind damit also sauber.
ich meinte nur allgemein, solltest du bei gelegenheit diese cds brennen, du kannst aber die d2d funktion nutzen.

Hervorragend, danke! Das ist doch ein kleines Licht am Ende des Tunnels. Und ja, die CDs werde ich so schnell wie möglich brennen und dieses Mal auch an einem sicheren (=wasserdichten) Ort aufbewahren!

Vielen Dank für die Hilfe!

wenn du neu aufgesetzt hast, meld dich und wir sichern den pc vernünftig ab.

Mein Antivir hat sich gerade geupdated und dann sofort das hier gefunden:

TR/PSW.Sinowal.X.9

Ich habe ein bisschen gegoogelt, und offenbar installiert sich diese Malware über den Trojaner Win32/Mebroot.

Zitat:

The system is typically infected through a drive-by download while a compromised website is being browsed.

The dropper (malicious installation program) is executed after the web browser has been exploited.

Win32/Mebroot replaces the original MBR (Master Boot Record) of the hard disk drive with its own program code, as well as placing additional code to load and patch the following files:

* ntoskrnl.exe

Die Info habe ich von hier: hxxp://www.eset.com/us/threat-center/encyclopedia/threats/win32mebroot

Jetzt haben wir auch den Übeltäter.

Heisst das, ich kann das System doch nicht über den MBR neu aufsetzen bzw jetzt noch Recovery-CDs brennen? :-(

Edit 1: Kann ich die MBR vielleicht mit dem GMER-Programm retten? (hxxp://www.gmer.net/)
Edit 2: Ich habe den "Stealth MBR rootkit detector" mal auf C:/ laufen lassen, und offenbar hat er nichts gefunden, dann müsste die MBR in Ordnung sein, oder?
Tut mir leid, dass ich hier tausendmal editiere, aber ich bin leicht in Panik!!!