Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Silentbanker ist tot ! (https://www.trojaner-board.de/60550-silentbanker-tot.html)

messerstumpf 24.09.2008 05:55
Silentbanker ist tot !
 
Hallo !

Ich hatte einen Trojaner Namens Silentbanker auf meinem System, der jetzt leider von mir platt gemacht wurde. Nachdem ich Antivir, Norton, Malwarebytes, Kaspersky, gmer, HiJackThis, Combofix und all den anderen zeitraubenden Blödsinn ausprobiert habe, der hier und auf anderen Boards mit wahrer Wonne verbreitet wird und trotzdem nichts ausrichtet :headbang: - ja teilweise nicht einmal den Trojaner findet ( das sind fast alles Programme zum Auffinden des Duddle41 Virus, den ich 1995 auf Windows 3.1 hatte), ist mir ein Beitrag der Sparkasse Dortmund :pfui: in die Hände gefallen. Da, mal unter vorgehaltener Hand, der Virus von diesen Institutionen stammen könnte - sind es ja wahrscheinlich auch die einzigen, die wissen wie man ihn bekämpft !:eek:

Hier, auszugsweise die Anleitung.

1. Funktionsweise
Das Trojanische Pferd enthält einen MBR-RootKit.
Die Installationsroutine des Trojanischen Pferdes kopiert sich selber in den MBR (Master Boot
Record). Damit wird das Trojanische Pferd bei jedem Systemstart geladen. Das Trojanische Pferd
installiert einen RootKit-Loader sowie weiteren Schadcode auf den letzten Sektoren der Festplatte.
Somit werden keine Manipulationen am normalen File-System vorgenommen und die Virenscanner
finden keinen Befall. Kurz nach der Installation führt das Trojanische Pferd einen Neustart des
Rechners durch und löscht dabei die temporär benötigten Installationsdateien.

2. Entdeckung

Zur Entdeckung des Trojanischen Pferdes steht das Tool GMER zur Verfügung:
http://www2.gmer.net/beta/
Weitere Erkennungs-Tools finden Sie unter:
http://www.trendmicro.com/download/rbuster.asp
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

3. Bereinigung

Für eine weitgehende Bereinigung des Systems ist wie folgt vorzugehen:
• Systemstart (Boot) mit einer Windows-CD
• Bei der Abfrage was gemacht werden soll - Installieren oder Reparieren - auf REPAIR gehen.
Es erscheint der bekannte DOS-Bildschirm.
• Hier das Kommando fixmbr eingeben. Durch diesen Befehl wird der BootSektor (Sektor 0)
neu geschrieben. Dem Trojanischen Pferd fehlt damit der Einstiegspunkt und es kann somit nicht mehr tätig werden.
Da sich ggf. noch weitere Schadsoftware auf dem System befindet, die der Virenscanner nicht findet,
wird zur Sicherheit eine Systemneuinstallation empfohlen. Hierzu ist eine Formatierung (keine
schnelle Formatierung) und anschließend die weitere Neuinstallation durchzuführen.
Ohne Gewähr


Ich hoffe, das kann euch helfen. Ich habe die Prozedur mit dem Bootsektor zweimal hintereinander durchgeführt, dann noch mal Kaspersky drübergejagd, eine Datensicherung ausgeführt ( laut Sparkasse befinden sich die Schädlingfiles auf den letzten Sektoren und sind für das normale Filesystem nicht erkennbar, also auch nicht für eine File-gesteuerte Sicherung. Dann formatieren (schön langsam!) und alles wieder aufspielen.:taenzer::taenzer::taenzer::taenzer:

Viel Erfolg Carsten


PS: Hau den Virus, sonst haut er Dich !!!:twak:
Carsten

tanner 29.09.2008 17:26
Also die Neuinstallation bedeutet aber dann, dass alle Daten vom PC gelöscht werden, oder?

Tarquinn 30.09.2008 18:42
Hatte den Trojaner letztens auch und hab den MBR wie angegeben überschrieben. Bislang sind die cpx-Dateien nicht wieder im system32-ordner aufgetaucht, was natürlich nichts heißen muß.

Was mich persönlich nun sehr interessieren würde: Schreibt der Trojaner die weiteren Dateien wirklich auf die letzten Sektoren der Festplatte oder nur auf die letzten sektoren der aktiven Partition C ??? Glaub zwar nich, daß das jemand genau weiß, aber deshalb überleg ich halt noch, was ich mache: komplette festplatte neu formatieren oder nur partition C.

Stonie69 07.10.2008 09:22
Suche auch hier! Das Thema versuche ich dort einmal zusammenzufassen!
http://www.trojaner-board.de/61452-t...rnt-jetzt.html

messerstumpf 07.10.2008 18:11
Hallo !

Melde mich zurück. Bis jetzt habe ich keine weiteren Meldungen in Bezug auf meinen Liebling "Silentbanker" bekommen. Im übrigen habe ich damals nur eine ganz normale Sicherung der Partition durchgeführt, C: formatiert und die Sicherung wieder aufgespielt. Also nicht wie hier angenommen das Betriebssystem neu installiert. Wie gesagt, er nervt nicht mehr. ( Und bitte den MBR nicht vergessen !! )

PS: Hau den Virus, sonst haut er Dich !!!

Carsten

messerstumpf 23.11.2008 10:37
Hallo !

Möchte mich heute noch einmal in Bezug auf unseren beliebten Freund Silentbanker melden. Nach der damaligen Prozedur ist weder eine Fehlermeldung, noch ein Absturz oder sonstiges aufgetreten. Das Dingen ist definitiv b r e i t ! !

Viel Spaß beim Entfernen !

messerstumpf

P.S. Hau den Virus, sonst haut er Dich !!


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131