Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Backdoor.Win32.PcClient.cul (https://www.trojaner-board.de/55260-backdoor-win32-pcclient-cul.html)

Johnny90 02.07.2008 22:03
Backdoor.Win32.PcClient.cul
 
Hallo Leute,

habe eine Virennachricht von GData bekommen, in der stand, dass eine Datei mit folgendem Trojaner infiziert sei/ist: "Backdoor.Win32.PcClient.cul" . Die Datei befindet sich hier: C:\Users\****\AppData\Local\Mozilla\Firefox\Profiles\mjdgh4a2.default\Cache\ .
Die Datei heißt "DC90EDF5d01". Komischerweise hat sie keine Endung und wird als "Datei" angezeigt ( also keine .exe oder .jpg usw / vermutlich weil es eine Cache-datei ist..). Daraufhin hab ich die Datei von GData löschen lassen. Reicht diese Löschung aus oder sollte ich mein System mit einem zusätzlichen Programm ( evtl. Hijackthis ) scannen oder gar neu aufsetzen?

Hoffe ihr könnt mir helfen. Bye

undoreal 02.07.2008 22:40
Halli hallo.

Systembereinigung
  • Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  • Räume mit cCleaner auf. (Punkt 1 & 2)
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Beende alle anderen Arbeiten am PC und speichere alle offenen Projekte.
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!

  • Unter File -> Database Update ->Start drücken.
  • Unter AVZPM -> Install extended monitoring driver drücken.
  • Unter AVZGuard -> Enable AVZGuard drücken dieser verhindert alle anderen Arbeiten am PC!

  • Im Hauptfenster oben sind verschiedene Reiter. Im Linken kannst du die Search Range einstellen. Mache hier bitte Haken vor alle deine Festplatten.
  • Im Reiter daneben kannst du die File Types einstellen. Wähle hier bitte All files.
  • Im Reiter ganz rechts kannst du die Search parameters einstellen. Schiebe den Regler der Heuristic Analysis bitte nach ganz oben und setzte den Haken bei Extended analysis. Alles weitere bleibt wie es ist!
  • Dann setzte rechts im Hauptfenster unter Actions den Haken bei Perform healing und danach unbedingt auch den Haken bei Copy deletet files to "infected" Folder. Sonst werden keine Backups erstellt!
Die letzten Einstellungen werden nochmal in folgendem Bild zusammengefasst. Gleiche sie bitte genau mit deinen Einstellungen ab!
http://img339.imageshack.us/img339/3...ameterssf7.png
  • Nun starte den Scan bitte durch Drücken des Start Buttons.

  • Nachdem der Scan beendet ist klicke auf den Disketten Speicher-Button und speichere das log im AVZ Ordner auf dem Desktop.
    Danach klicke auf die Brille darunter. Es öffnet sich ein Fenster bei dem unten rechts bitte auf Save as CSV klickst und die Datei ebenfalls im AVZ Ordner abspeicherst.
http://img393.imageshack.us/img393/165/logti9.png
  • Die beiden logs hänge bitte an deinen nächsten Post an.

  • Deaktiviere den AVZGuard: Im Hauptfenster unter AVZGuard -> Disable AVZGuard.

Johnny90 03.07.2008 14:05
Hallo nochmal,

erstmal danke für deine Antwort. Hab alles so gemacht wie beschrieben ( cCleaner usw) und AVZ ist seit ca 2 std schon am scannen. Jetzt steht da rechts unten im Programm: "remaining 27:14:5" :crazy: (obwohl ich eigentlich kaum Dateien/Programme auf dem PC habe). Ist das "normal", dass der Scan so lange dauert?

undoreal 03.07.2008 15:05
läuft der Balken unten denn weiter?
Wenn nicht dann starte den Rechner im abesicherten modus und wiederhole das Prozedere dort.

Johnny90 03.07.2008 15:19
Ja der balken läuft weiter und der Dateizähler (rechts unten) zeigt im Moment 6.056.788 ; remaining Time liegt jetzt bei 27:23:4 (!)

undoreal 03.07.2008 16:00
Also solange die Dateien durchzählen ist er jedenfalls nicht abgeschmiert...

Was für Datenmengen hast du denn auf dem Rechner dass das so lange dauert?

Wieviele Partitionen hast du? Auf welcher ist das Betriebssystem drauf und was ist auf den anderen drauf?

Johnny90 03.07.2008 16:25
Eigentlich hab ich nichts großartiges drauf, nur paar Programme, Bilder und Musik .Alles in allem ist C: nur ein paar Gb groß. Hab die 2 standartmäßigen Vista-Partitionen, sprich C: (Boot) und D: (Recovery) [Auf D: hab ich nichts draufgepackt]. Also irgendwie unerklärlich warum es solange dauert..

Johnny90 03.07.2008 17:38
Hmm das dauert mir echt zu lang..hab vor ner Stunde AVZ abgebrochen und Rechner neu gestartet, AVZ dann wieder scannen lassen, aber das dauert wieder Ewigkeiten und der zeigt jetzt 11 Std remaining an... Ich glaube es ist besser und schneller wenn ich mein System neu aufsetze. Nochmals danke für den Support, ich lass euch dann von den Ergebnissen wissen. Eine Frage noch: Wenn man das System neu aufsetzt ist man doch eigentlich von diesem Backdoor und sonstigem Viren-Müll befreit, oder?

Edit: Wollte das Log noch posten (abgebrochener Scan) aber das Ding ist ~3,5mb und übersteigt damit die max. erlaubte Größe zum Uploaden hier.

undoreal 03.07.2008 17:51
Zitat:
Also irgendwie unerklärlich warum es solange dauert..
versteh ich auch nicht so ganz.. :confused:

Frisch formatieren ist aber eh das Beste.. ;)

Bereinigung nach einer Kompromitierung


Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19