Trojaner-Board - Infiziert mit Torpiq / Anserin

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Infiziert mit Torpiq / Anserin (https://www.trojaner-board.de/100767-infiziert-torpiq-anserin.html)

Infiziert mit Torpiq / Anserin

Hallo,

ich habe den Verdacht mir den oben genannten Trojaner "Torpiq" auch "Anserin" genannt, eingefangen zu haben.
Als meine IP vom Sicherheitssystem einer Webseite geblockt wurde und auf der Blacklist landete, wurde ich dann auf die Seite projecthoneypot.org verwiesen, wo mir die Ursache des Problems beschrieben wurde. Dort habe ich auch meine Informationen her.
Kann ich dieser Quelle vertrauen? Ich habe nach der Bösartigkeit dieses Trojaners recherchiert. Mit einem einfachen Virenscanner kann man ihn anscheinend nicht aufspüren. Zumindest gab's bei Avira Antivir keine Ergebnisse.

Ich habe bereits einen ähnlichen Beitrag in dem Forum gefunden.
http://www.trojaner-board.de/88707-a...ngefangen.html
Nur raten mir eure Hinweise davon ab auf eigene Faust den Anweisungen nach zugehen und ich weiß wie gesagt auch nicht, ob ich oben genannter Quelle vertrauen kann.

Sollte es sich bewahrheiten, dann kann ich erstmal keine weitere Aktionen unternehmen, da er laut euren Angaben und anderen Quellen im Netz sämtliche Zugangsdaten mitloggt... ._.

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hi, hier sind die gewünschten Logs.
Einmal MalwareBytes vollständiger Scan von heute Nacht und einmal OTL Quickscan nach Vorgabe.

Malwarebytes hat nichts gefunden? Erstes und einziges Log von Malwarebytes?

Malewarebytes hat definitiv nix zu meckern gehabt.
Warum fragste? Sollte es... ?

Weil ich nicht das erste Mal erlebt hätte, dass der Hilfesuchende nur das letzte Log ohne Funde postet und die anderen einfach weglässt.

Zitat:

[2011.06.25 02:46:25 | 000,000,000 | ---D | C] -- C:\Qoobox

Wer hat dich eigentlich angwiesen CF auszuführen?
Warum lässt du das Log weg? (siehste, so falsch ist meine Nachfragerei ob es mehr Logs gibt wohl garnicht :pfeiff:)

Du meinst ComboFix... musste erstmal überlegen was du mit CF meinst...
Niemand hat mich dazu angewiesen. :/
War gestern ziemlich übereifrig damit, ich weiß...
Habe gestern auch schon einen OTL-Scan gemacht ohne Sinn und Verstand und auch noch andere Scans drüberlaufen lassen. Weitergebracht hat mich das nicht wirklich. *in die ecke stell*

Und wieso führst du einfach ohne PLan was aus?
Poste bitte das Log von CF.

So ComboFix rausgekramt (siehe Anhang).
Vllt. hilft es auch wenn ich folgendes erläutere:
Das System soll komplett neu aufgesetzt und ein Abbild erstelllt werden.
Es soll nur noch 3 Wochen wegen der Prüfungen in meiner Ausbildung durchhalten. Es ist leider schon sehr zugemüllt. Ein Großteil wichtiger Daten wurde schon gesichert. Die Platte soll dann neupartitioniert und vollständig formatiert werden.
Allerdings bin ich mir nicht 100%ig sicher ob damit ein eventueller Schädling wie Torpig / Anserin wirklich beseitigt wird und ob der MBR auch wirklich neu- bzw. überschrieben wird, wenn ich alle Partitionen auflöse.
Meine Experimentierfreude liegt wohl daran, dass das System nicht mehr lange in dieser Form existierten wird und einfach alles ausprobieren kann. Das bedeutet natürlich nicht, dass ich dazu geneigt bin das System komplett zu ruinieren, also war die Verwendung von CF nicht richtig. Sorry, deswegen nochmal. In vielen Quellen wurde ComboFix als effizientes Prüf- und Reinigungsprogramm beschrieben...

Doch, wenn du alles löscht sind auch alle Schädlinge weg. Nichts ist so sicher bei einer Bereinigung wie eine Neuistallation. Wenn man ganz sicher gehen will, überschreibt man die internet Platte komplett einmal mit DBAN.

Um Daten zu sichern, folgst du dem 2. Link in meiner Signatur. Nur persönliche Dateien und keine ausführbaren Dateien sichern.

Zitat:

Um Daten zu sichern, folgst du dem 2. Link in meiner Signatur. Nur persönliche Dateien und keine ausführbaren Dateien sichern.

Das ist ja genial. Das werde ich genauso machen.

Zitat:

Wenn man ganz sicher gehen will, überschreibt man die internet Platte komplett einmal mit DBAN.

Gibt's hierfür auch eine gute Anleitung?

Dann habe ich mal SandBoxie ausprobiert (nach solchen Sachen sucht man immer wenn's zu spät ist). Wirklich sehr empfehlenswert. Wollte mal fragen ob es möglich ist eine Art Tunnel über SandBoxie zu erstellen, dass andere Programme wie fragwürdige Freeware und Co. nicht mit der Außenwelt kommunizieren können, wenn sie nicht sollen.

Zitat:

Gibt's hierfür auch eine gute Anleitung?

Das ist so eifnach zu benutzen :D => Darik?s Boot and Nuke ? Wikipedia

Ok, na dann sollte es ja keine Probleme geben.
Gebe zu, ich habe von DBAN noch nie was gehört, deswegen hat es mich einfach interessiert. :dummguck:

Ist ja kein Problem. Achte nur bei DBAN darauf, dass wirklich ALLES vorher gesichert wurde!
Wenn wirklich alles gesichert ist und du DBAN benutzen willst, dann wähle in DBAN per Leertaste die Festplatte und nicht einzelne Partitionen aus.