Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Data Recovery (Trojan.FakeAlert.Gen) nachvollziehen (https://www.trojaner-board.de/104472-data-recovery-trojan-fakealert-gen-nachvollziehen.html)

harald0815 25.10.2011 09:14
Data Recovery (Trojan.FakeAlert.Gen) nachvollziehen
 
Hallo,

Sonntag Nacht war es soweit, einfach nur im Internet gesurft, nicht mal auf dubiose Webseiten, plötzlich stürzt der FF ab. Anschließend die typischen Fehlermeldungen und die ausgeblendeten Dateien. Lan-Kabel gezogen. Kurze google Befragung bestätigte den Verdacht. Scareware. Avira machte keinen Mucks!

Erstmal den TDSSKiller.exe von Kaspersky laufen gelassen, jedoch erhärtet sich der Verdacht in Verbindung mit Rootkit nicht. Mittels Malewarebytes und den Tools von Grinler hab ich das Teil schließlich entfernt und die Dateien wieder sichtbar gemacht und so weiter. Egal, einmal kompromittiert -> Neuinstallation.

Jedoch interessiert mich wie der Virus funktioniert. Zielt er nur darauf ab das der betroffene User dieses Programm kauft bzw. seine Kreditkarten Informationen preisgibt? Ist eine Infektion durch Drive-by-Download möglich? Hat jemand den Virus zufällig oder weiß eine kompromittierte Webseite? Ich würde diesen gerne näher in einer VM untersuchen. Gerne auch Kontakt per PN. Bin mal weiter Daten sichern... :kloppen:

Viele Grüße,
Harald

Larusso 25.10.2011 15:03
:hallo:

Zitat:
Zielt er nur darauf ab das der betroffene User dieses Programm kauft bzw. seine Kreditkarten Informationen preisgibt?
Ja
Meistens sind aber Rootkits mit im Gepäck ( muss aber nicht )

Zitat:
Ist eine Infektion durch Drive-by-Download möglich?
Eine von vielen Möglichkeiten.

Zitat:
Hat jemand den Virus zufällig oder weiß eine kompromittierte Webseite?
Dazu dürfen wir keine Infos rausgeben.

harald0815 25.10.2011 16:09
Hallo Larusso,

danke für deine Antwort. Ich hab das System bevor ich es ganz platt gemacht habe nochmal auf Rootkits gescannt. Der MBR war durch GRUB schon verändert. Mir ist aufgfallen sobald die Tools nicht den Windows 7 code finden schlagen sie schon Alarm. Auf jedenfall hat die neue Version von Avira den TDSS Rootkit entdeckt, konnte ihn aber nicht entfernen. TDSSKiller.exe von Kaspersky hat wie gesagt nichts gefunden.

Nach den Rootkit hab ich mit dann mit aswMBR gescannt, das hat auch den TDSS gefunden und bereinigt. Danach bootete Windows gar nicht mehr und konnte sich auch nicht selber reparieren. Also Windows CD rein und per bootrec.exe repariert und den MBR neu geschrieben. Windows lief wieder und kein Rootkit wurde mehr gefunden. Habe dann die Partition gelöscht, formatiert und Windows neu installiert. Hoffe der Dreck ist jetzt wirklich komplett weg. Nun muss ich nur noch wieder mittels grub meinen Bootmanager einrichten :sword2:


Viele Grüße,
Harald

Larusso 25.10.2011 20:29
Genau das sind die Gründe, warum man mit solch Tools nicht einfach rumspielen soll ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27