|
Silentbanker.G Hi! Habe mir leider auch den Silentbanker.G eingefangen und brauche nun eure Hilfe. Jedesmal nach dem Booten meldet sich Antivir und meldet, dass es den benannten Trojaner gefunden hat in: "C:\Windows\system32\c_257413.nls". Es sind dann 2 Fenster von Antivir offen, die das gleiche melden. Die anderen Posts zu dem Thema habe ich schon gelesen, daher anbei meine Logs: Hijack, Malwarebytes, Blacklight, MBR, GMER. Vielen lieben Dank schon mal im voraus! Hijackthis (nur der Log, noch nichts gefixt von mir, jedoch laut automatischer Logfileauswertung bis auf 2 Einträge von ICQ alles okay): ------------------------------------------------- Code: Logfile of Trend Micro HijackThis v2.0.2------------------------------------------------------------ Code: Malwarebytes' Anti-Malware 1.29 |
Blacklight ------------------------------------------------------------ Hat 2 Dateien gefunden und wurden umbenannt. c_257424.nls c_257443.nls Code: 10/19/08 15:45:30 [Info]: BlackLight Engine 2.2.1092 initialized------------------------------------------------ Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net |
GMER --------------------------------- Das logfile ist hier hinterlegt. http://www.file-upload.net/download-1191534/Gmer.txt.html |
Catchme -------------------------------- Code: catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net |
RSIT (INF0) ------------------------------------ Code: info.txt logfile of random's system information tool 1.04 2008-10-19 16:47:19 |
RSIT (LOG) ------------------------------ Code: Logfile of random's system information tool 1.04 (written by random/random) |
Weiß denn keiner einen Rat? Habe in den anderen Threads nochmal geschaut. Bleibt nur noch Windows per Boot CD reparieren lassen per "fixmbr" oder? |
Hi Stif, bin selber alles andere als ein Experte, habe aber seit dem 12.10. (hoffe ich..., da habe ich ein erstes Anschlagen wegen einer Datei von Antivirus bekommen). Das Biest ist reichlich tricky, soweit meine Suche über die diversen Webforen ergeben. (BTW habe ich zuerst die Rechner vom Internet abgekoppelt und benutze aktuell eine Linux-Live-CD zum Surfen). Den MBR zu fixen ist ja kein Neuaufsetzen und habe ich auch sofort gemacht. Das Überprüfen der Dateien erbrachte bei mir auch verseuchte .cpx-Dateien. Die kann man zwar löschen unter Windows, aber der Trojaner generiert sie bald wieder. Da er auch andere Dateiendungen verwendet, anscheinend z.B. .nls ist es nicht sicher, sich auf das Vernichten der gefundenen-Dateien zu verlassen. Meine Untersuchungen zeigten, dass sich Silentbanker anscheinend als Administrator einträgt und so die Dateien vor Zugriff schützt. Habe das von einem gebooteten Linux aus entfernt. Angeblich aktualisiert sich Silentbanker täglich via Internet, da er als "Man in the middle" einfach den kompletten Verkehr zur Bank abfängt/protokolliert, ist er sicher auch bald in der Lage, bei deutschen Banken Schaden anzurichten. Desweiteren habe ich im Symantec-Forum gelesen, dass u.a. etwa mystabcounter.info screensaversfor-fun.com oder etwa webcounterstat.info für Updates und Übersenden von Informationen genutzt werden. Auf einer Bankenseite steht, dass Silentbanker nicht nur die DNS-Einstellungen des infizierten Rechners verbiegt, sondern sich auch in verschiedenen Sektoren irgendwo abseits auf der Platte einbringt und auf Reaktivierung lauert. Aus meiner Sicht gibt es da nur ein klares Fazit: Bei Silentbankerbefall 1. Daten sichern (ich benutze gerade ein über CD gestartetes Programm und eine dann neu angeschlossene externe Festplatte) 2. Festplatte löschen, evtl. Partitionen neu aufteilen, alles neu formatieren (nicht schnell formatieren) 3. Betriebssystem wieder neu aufsetzen (und letzteres wieder nach Vollupdate als Image zu speichern) An anderer Stelle war hier im Forum zu lesen, das einfach das Image des Systems zurückgespielt wurde (aber erst nach Virusbefall gezogen!!) nach Formatierung. Halte ich für risikoreich.. Meine Fragen wären noch an die richtigen Experten: 1. haltet ihr es für denkbar, dass auch ein Router (bei mir Fritzbox mit Passwort und Upnp-Deaktivierung) "opfer" des Trojaners geworden sein könnte? 2. Ich habe Dateiensicherung angelegt, keine Festplattenimages und werde von dort Dateien wieder zurückspielen (alle Dateien waren vor dem 12.10. mit Gdata-Antivirus voll-gescannt); gemeint sind natürlich nicht Systemdateien, die bleiben aussen vor. Gibt es da einen von mir übersehenen Fallstrick? Freundliche Grüße, Max |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board