|
BKA Trojaner win7 pro 64 Bit Hallo zusammen, ein vermeintliches Hdd-Rettungstool hat mir wohl das Virus ins System geladenhttp://www.trojaner-board.de/images/smilies/pfeiff.gif. Es äußerte sich folgendermassen: nach dem Windows start erschien eine Benutzermaske mit dem ungfähren Inhalt ich solle 100€ Strafe überweisen wegen angeblicher illegaler Machenschaften. Ein Link war auf der GUI anklikbar über den man wohl das Geld hätte überweisen können. Daraufhin habe ich an einem anderen PC eine Sophos Live Disc erstellt, von dieser gebootet und diese drei infizierte dateien (unter anderem im TEMP Verzeichnis) löschen lassen, woraufhin mein Pc wieder einwandfrei funktioniert. Da ich aber in nächster Zeit das System neu und sauber aufsetzen wollte wäre es super wenn jemand nachsehen könnte ob noch Viren-Reste vorhanden sind, obwohl ich keine Daten von extremem Wert habe.hxxp://www.trojaner-board.de/images/smilies/dankeschoen.gif |
hast du das tool noch welches das problem verursacht haben könnte? falls ja, File-Upload.net - Ihr kostenloser File Hoster! lade es dort hoch und sende es mir als private nachicht, nicht hier im forum posten. falls du den link hast, ebenfalls als private nachicht bitte. |
Nein leider nicht. Ich hatte aufgrund eines wohl defekten chips probleme mit der Festplattenverschlüsselung bei einem notebook. Das Programm sollte die Festplatte analysieren und feststellen ob sie zu retten ist. Dazu musste ich das Programm (das ich mit Sophos vorher überprüft hatte) als Administrator ausführen und den Router Firewall deaktivieren, damit es Verbindung zu irgendeinem Server aufnehmen konnte. Das war ziemlich dumm von mir allerdings dem Zeitdruck geschuldet einen Laptop für meine Schwester herzurichten. |
jo, die info nützt mir leider nicht, trotzdem danke :-) bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Hallo, nachdem ich gestern unter Benutzung von ComboFix die Fehlermeldung: ""\MicroLab\SearchEngin\" kann syntaktisch an dieser Stelle nicht verarbeitet werden." hatte, hat heute das "log-erstellen" funktioniert. Mein trojaner könnte eventuell auch von einer gefakten , soweit ich mich erinnere 36 MB großen, Avira free personal version stammen. Das sagt Sophos dazu: Mal/FakeAV-CN, Mal/FakeAV-CN, Mal/Encpk-LZ, Mal/FakeAV-CN, Mal/FakeAV-CN F:\Downloads\avira_antivir_personal_de.exe.part [versteckt] leider kann ich auf die datei nicht zugreifen, auch nicht über die konsole. Vielleich ist sie ein Artefakt in Sophos. Hier meine Log Datei von Combo fix: Combofix Logfile: Code: ComboFix 11-10-06.03 - Laertes 06.10.2011 19:00:27.1.6 - x64 |
hi, öffne mal computer, c: qoobox, rechtsklick quarantain, mit winrar oder zip packen, hochladen: folge dem link, und lade das archiv im upload channel hoch http://www.trojaner-board.de/54791-a...ner-board.html hast du den link noch, wo du die avira version laden wolltest, dann bitte als private nachicht an mich. |
Hallo, dafür bin ich wohl zu blöd oder das verzeichnis qoobox existiert bei mir nicht. Windows konsole kann das Verzeichnis auch nicht finden. Mit linux kann ich übrigens auch nicht die "fake av-datei" sehen und der Sophos "infected" order ist auch leer.:glaskugel::glaskugel2: |
lade unhide: http://filepony.de/download-unhide/ doppelklicken, dateien werden sichtbar der ordner qoobox liegt direkt auf c: sollte nach unhide auf jeden fall sichtbar sein |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo, unhide hat nichts zu Tage gefördert:killpc:, auch nicht mit abgeschaltetem Sophos. Solltest Du Interesse an den Sophos-Logfiles von meiner Sophos Boot CD Lösch-Session haben, kann ich Dir die auch posten oder schicken. Das untere Bild zeigt mein Laufwerk C mit den Logfiles(oben): |
du hast doch windows ganz normal gebootet oder. wenn du jetzt auf computer, bzw arbeitsplatz klickst und dort das laufwerk c: öffnest muss dort ein ordner qoobox sein, sollte ja nicht so viele einträge mit q geben, bzw die mit q beginnen |
Hallo, ich hab die datei hochgeladen. qoobox wurde wohl gelöscht als ich combofix deinstalliert hab:pfeiff:. |
ja, super, hab ich was von deinstalieren geschrieben? ich hab die malware daraus zur analyse benötigt, da ich dir jetzt auch nciht sagen kann was genau gelöscht wurde, müssen wir trotzdem zur sicherheit klären, machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc? |
hallo, mir war nicht klar, dass combofix mehr macht als eine log-datei zu schreiben. Ich mach sowohl onlinebanking, als auch onlineshopping, wobei ich mich seitdem nicht mehr auf diesem rechner bei der Bank angemeldet habe. Allerdings hab ich online mit kreditkarte eingekauft aber wohl keine Kreditkartennummer eingegeben. Sophos hatte diese drei files gefunden und gelöscht: >>> Virus 'Mal/EncPk-AAT' found in file /mnt/sda1/Users/Odysseus/AppData/Local/Temp/0.3472579573876027.exe >>> Virus 'Mal/EncPk-AAT' found in file /mnt/sda1/Users/Odysseus/AppData/Local/Temp/jar_cache6280521374959359570.tmp >>> Virus 'Mal/EncPk-AAT' found in file /mnt/sda1/Users/Odysseus/AppData/Roaming/0.3472579573876027.exe |
also, für mich siehts danach aus als hast du ne malware die bank daten stiehlt. deswegen, bank anrufen, sperren lassen. dann daten sichern, wie bilder filme etc. dann pc neu aufsetzen. falls anleitung nötig bekommst du sie. dann gebe ich dir ne anleitung wie man das system vernünftig absichert. |
Hallo, :dankeschoen: seit dem Virenbefall hab ich von dem Computer aus nicht mehr ins onlinebanking eingeloggt (da sind auch keine bankdaten gespeichert) und es wurde auch nichts dubioses abgebucht. Ich hab auch keine Kreditkarteninformationen eingegeben. Aber natürlich werde ich wachsam bleiben.:aufsmaul: Neu aufsetzen wollte ich den Pc eh. Deshalb würde es mich natürlich brennend interessieren, wenn Du mir sagen könntest, wie ich meine Daten auf den "frischen (mit partedmagic secure erasten)" pc "rüberbekomm" ohne ihn zu kompromittieren und wie infektiös die viren sind. Nochmals vielen Dank. P.S.:Es kann gut sein, dass der bka -trojaner nur meine kontodaten wollte, als er mich "überreden" wollte 100€ zu zahlen oder zu überweisen :dankeschoen:. |
hi, hast du bei deiner daten sicherung nur persönliches gesichert oder das ganze betriebssystem? |
Hallo, eine vorherige sicherung hab ich nicht. Wenn dann müsste ich die Daten aus dem befallenen windows system hernehmen. Die Daten sind Lesezeichen, Thunderbird-mails (unter C:\Users\Odysseus\AppData\Roaming) einige Videos und andere Dateien, die sich auf einer anderen Festplatte, die aber konstant an das System angeschlossen ist, befinden. Da ich noch auf eine reklamierte Festplatte warte hab ich das System noch nicht neu aufgesetzt. Die Festplatte auf die ich die Daten verschiebe wollte ich dann vom System abstöpseln die restlichen Festplatten mit parted magic löschen und auf einer dann Windows neu installieren und als erstes (bzw. notgedrungen zweites) Sophos antivirus installieren. Müsste ich dann die abgestöpselte festplatte, bevor ich sie wieder an das frische System anschließe, noch irgendwie reinigen z. B. unter linuxsystemen wie knoppix? |
du kannst lesezeichen mails etc sichern. dann instalieren wir, wenn du so weit bist windows, sichern das system ab und erst dann kommen die alten daten, nach prüfung zurück aufs system. |
Jo, vielen Dank ich melde mich dann, wenn ich soweit bin.:daumenhoc |
Hallo, heute hab ich die reklamierte Festplatte bekommen. Jetzt werd ich erstmal die Firmware bzw. Bios bei den entsprechenden Pc-Teilen updaten, alle Daten die ich behalten will auf eine andere Festplatte verschieben, diese abstöpseln, die Stromzufuhr kappen (damit der Ram leer wird) einen parted Magic Usb-stick booten, und damit alle daten auf den Festplatten löschen. Windows hab ich auch schon ein paar mal installiert, dies würde ich im Anschluss daran tun. Ist mein Vorgehen bis dahin OK? Was muss ich vor dem Anstöpseln der Festplatte mit den Daten beachten? |
du solltest dann dies hier umsetzen, befor daten das frische system berühren :-) start suchen, tippe: windows update updates suchen instaliere jetzt wichtige updates, so lange, bis es keine mehr gibt, es wird neustarts geben dann wieder auf windows update, suchen und weiter instalieren. das selbe mit optionalen http://www.trojaner-board.de/96344-a...-rechners.html anmerkungen: arbeite erst alles ab, was unter windows 7 bzw vista zu finden ist. aus dem bereich xp folgendes abarbeiten: Datenausführungsverhinderung: Maßnahmen für ALLE Windows-Versionen danach dieses abarbeiten. emsisoft Meine Antivirus-Empfehlung: Emsisoft Anti-Malware der blockiert alle von mir getesteten malware samples. dies bedeutet natürlich nicht 100 %iger schutz, denn so was gibts nicht. du hast da ne 30 tage test version zur verfügung, würd ich mir auf jeden fall mal ansehen. als kostenlosen scanner würde ich avast empfehlen, ist nicht so gut wie emsisoft, aber meiner meinung nach das beste als kostenloser scanner. als browser würde ich persönlich opera einsetzen. er hat erst mal mehr ausstattung als der ff, ist weniger fehler anfällig, heißt weniger lücken in den letzten jahren. und er ist, meines erachtens nach, schneller. nächste anmerkung: sandboxie. das programm sandboxie ist ein programm, in dem du deinen browser isuliert vom system laufen lassen kannst. da heut zu tage häufig legitime seiten ziehl von angriffen werden, um zb so viele user mit schadcode zu infizieren damit sie teil eines botnetzes werden, muss man, auch als privat person, seinen pc best möglich schützen. dies haben wir natürlich bereits getan, in dem wir bekannte lücken schließen und weitere maßnamen getroffen haben. trotz alle dem, kann immer mal was "durch rutschen". wenn du jetzt deinen browser in der sandbox gestartet hast, rutscht diese malware nur dort rein, und durch unsere gewählten einstellungen, sollte sie im bestfall überhaupt nicht startenda sie zb durch das av geblockt wird, oder, falls doch, richtet sie in der sandbox keinen schaden an. um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. ist die lizenz dein ganzes leben lang gültig, und du kannst die auf allen pcs nutzen, die sich in deinem haushalt befinden. 2. gibts, wenn du diese lizenz hast, noch einige nützliche funktionen, wie zb, erzwungener programm start. dies bedeutet, wenn du zb bei erzwungener programm start deine browser, mail programme etc einträgst kannst du diese direkt über das entsprechende symbol in der sandbox starten lassen. oder, wenn du einen link in einer mail bekommst und diesen anklickst, startet der browser ebenfalls in der sandbox. wenn du die kostenlose version nutzt, startest du deinen browser absofort immer über das symbol "sandboxed web browser" und alle programme die du noch in der sandbox laufen lassen willst mit rechtsklick und dann auf in sandboxie starten klicken. diese kann man also auch nutzen, um neue programme zu testen. anmerkung 3: gehe mal nach c:\benutzer. da müsste jetzt ein ordner sein, der deinen vergebenen nutzer namen trägt. dort klickst du mal drauf. dann siehst du verschiedene ordner. wähle desktop dort alles markieren, kopieren. dann gehe wieder zurück auf benutzer, und wähle c:\benutzer\Default\desktop dort rechtsklick, einfügen. evtl das ganze wiederhohlen mit dem startmenü ordner. damit siehst du alle verknüpfungen im eingeschrenktem nutzerkonto wenn du jetzt alles umgesetzt hast. bitte nur noch im eingeschrenkten konto arbeiten, da das admin konto nur für instalationen gedacht ist. und, wie gesagt, nur noch in sandboxie surfen, mit klick auf "sandboxed web browser" ich weis, viel arbeit, bei fragen, stelle sie! danach darfst du erst die externe anklemmen und scannen, wenn alles umgesetzt ist, auch nen erstes backup |
Hallo, Danke für den RIESEN :dankeschoen: post Deine Empfehlungen hab ich größtenteils umgesetzt. Da ich momentan noch die Sophos Lizenz habe würde ich gerne Sophos weiterverwenden. Wie kann ich die Daten von der infizierten Festplatte auf das frische System übertragen ohne es zu infizieren? |
hi, was heißt größten teils, was hast du noch ausgelassen außer emsi? hast du die externe festplatte bereits gescant? |
Hallo, Nicht gemacht hab ich: *die Datenausführungsverhinderung da ich dort keine programme hinzufügen konnte id das wohl schon im prozessor implemetiert ist. *Panda USB Vaccacine (ich hab mit dem Gruppenrichtlinieneditor und unter benutzerkonto Ausführungsverhinderung eingestellt) *Ich verwende nur firefox, da mir opera überladen erscheint und ich die Firefox Privacy Einstellungen schätze deshalb hab ich auch kein WOT eingesetzt. *Backups (mach ich nachher mit acronis western digital) die Festplatte hab ich bis jetzt weder in den PC eingebaut noch gescannt (momentan hab ich auch kein externes Festlpatten case könnte aber eventuell eins besorgen) |
*die Datenausführungsverhinderung da ich dort keine programme hinzufügen konnte id das wohl schon im prozessor implemetiert ist. hi, du sollst ja keine programme hinzufügen. nur einstellen, datenausführung für alle programme außer, dies heißt, wenn du da nen programm zufügst, wird das nicht überwacht. *Panda USB Vaccacine (ich hab mit dem Gruppenrichtlinieneditor und unter benutzerkonto Ausführungsverhinderung eingestellt) hi, panda vaccine ist aus nem andern grund praktisch, dieses erstellt auf jedem datenträger, externe besonders, schreibgeschützte autorun.inf files, wenn du den stick verleist und jemand hat eine malware die sich auf usb sticks kopiert, kann dieser nicht infiziert werden. firefox: adblock+ um werbung zu blockieren: http://filepony.de/download-adblock_firefox// hier gibt es noch filterlisten: Bekannte Filterlisten für Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen. http://filepony.de/download-noscript// sandbox+firefox zusatz: den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe beschrenken, hier kannst du auch noscript und andere plugins eintragen. geht auch unter c:\windows\sandboxie.ini unter dem eintrag defauld box OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini bei Internetzugriff: firefox.exe und plugin-container.exe eintragen öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, firefox. direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok. |
Halihalo, sandboxie mit firefox war ein sehr guter tipp (:party:neben noscript). in der sandbox kann ich dann auch den usb-Panda ausführen, wenn ich ihm vollzugriff erlaube. Vielleicht kauf ich mir in 30 Tagen sogar die lizenez. Könntest Du mir noch sagen, wie ich meine Festplatte mit den Daten so intern an meinen computer anschließe und reinige, dass ich die daten wieder verwenden kann? |
hi, na panda aber nicht in der sandbox ausführen das kann man normal instalieren. festplatte einfach einbauen, scannen, benötigte daten kopieren, falls das die alte festplatte mit dem betriebssystem ist, diese dann formatieren und dann kannst du die wieder nutzen. |
Hallo, ist das jetzt auch unter windows möglich, da die autorun funktion deaktiviert ist? |
ja, panda "impft" den stick ja automatisch sollte kein problem sein. |
Vielen Dank,http://www.trojaner-board.de/images/...ankeschoen.gif das Ganze war ja doch nicht so problematisch wie ich gedacht hatte. Vieolen Dank auch für die guten Tipps vor allem den mit der Sandbox.:daumenhoc Ich hätte auch nicht gedacht, dass die Sophos Boot CD so gute Arbeit leistet. Der spaätere Scan der "datenfestplatte" (wieder mit Sophos[vielleicht auch deshalb]) hat keine Viren zutage gefördert.http://www.trojaner-board.de/images/...ankeschoen.gif P.S.: ich bin zwar kein Moderator, aber von miener Seite könnte der Thread beendet werden.hxxp://www.trojaner-board.de/images/smilies/dankeschoen.gif |
kann ihn auch nicht beenden, aber da sowieso kein anderer hier rein schreiben kann ist das schon ok :-) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board