|
Verschiedene Trojaner - wie systematisch reinigen Hallo zusammen, durch Surfen mit Administratoraccount (jaaa ich weiß) habe ich nun eine hübsche Anzahl diverser Trojaner auf meinem Rechner. Laut McAfee unter anderem: - Spy-Agent.bw!mem - Generic PWSy!cbh Und wahrscheinlich noch ein paar mehr von denen ich noch nichts weiß (scannt noch). Ich verwende USB-Sticks und Festplatten für Backups. Die meisten meiner Passwörter habe ich von einem anderen Rechner aus geändert. Nun meine Fragen: - Ich habe noch große Mengen an vertraulichen Daten auf dem Teil. Eine eSata / USB Platte vorausgesetzt, wie sichere ich sie am besten UND stelle sicher dass der Backup anschließend sauber ist? - Wie stelle ich sicher, dass meine ganzen USB Sticks / Platten 100% sauber sind? Wegwerfen möchte ich sie nur ungern. - Soll ich versuchen, dass System zu reinigen oder komplett zu plätten? Für beide Fälle wäre ich für eine systematische Vorgehensweise dankbar. - Kann man irgendwie erkennen, wann das Zeuge auf meine Platte gelangt ist? Danke! |
:hallo: Zitat:
Was sind das für vertrauliche Daten (Dateityp?) - Bilder (JPG, BMP, XCF, PNG, GIF, ...) - DOC, XLS (solange Makros deaktiviert sind) kannst du ohne weiteres sichern. Wenn du deine Platte/USB ansteckst bitte die Shift-Taste gedrückt halten. Dadurch wird ein Autostart verhindert. EXE, DLL udgl solltest du nicht sichern. Um die ganzen Sticks / Platten kümmern wir uns später. Wichtig ist jetzt erstmal ein sauberes System. Zitat:
1.) Malwarebytes Anti-Malware Komplett Scan! 2.) Randoms System Information Tool Anleitung: hier Die Logfiles bitte dann hier posten. mfg,TXL |
Anti-Malware läuft nun. Wenns fertig ist, poste ich das Ergebnis. Danke schonnmal. Was bedeuten eigentlich bei McAfee die Symbole im vollständigen Virusscan (grünes Häkchen / rotes Kreuz)? Heißt das, er hat die Sachen mit dem grünen Häkchen entfernt und die mit dem roten Kreuz nicht? Von Spy Agent stehen außer bei C:\Windows\system32\ntos.exe C:\Windows\system32\winlogon.exe nur grüne Häkchen an den anderen Komponenten. |
Zitat:
Den ersten Feind habe ich übrigens schon entdeckt: C:\Windows\system32\ntos.exe ---> Troj/Agent-ECU Spyware mfg.TXL |
Ach, ich poste einfach schonal was McAfee ausgespuckt hat: Spy-Agent.bw!mem : HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon|Userinit in der Registry und ntos.exe, sdra64.exe, twex.exe, twext.exe, winlogon.exe je in C:\Windows\System32\ Scheint so ein Trojaner Packen zu sein, der verschiedene andere Trojaner nutzt und über Winlogon/Userinit gestartet wird. |
Hier haben wir den Log von Anti-Malware. Den Spybot von McAfee hat er wohl nicht gefunden (also nichts in winlogon). Zitat:
|
Schlechte Nachricht: Du bist anscheinend in ein Bot-Netzwerk hineingeraten. Dein PC wird sehr wahrscheinlich für kriminelle Zwecke verwendet (ferngesteuert!) Folgendes unterstreicht das: c:\windows\system32\twex.exe ---> Backdoor.Bot c:\windows\system32\twext.exe ---> Backdoor.Bot Da gibts nur eines: Neuaufsetzen :killpc: Ohne Datensicherung geht gar nich, oder? mfg.TXL |
Highjackthis hat nichts böses ausgespuckt... Angenommen, ich schließe die Platte an ein anderes System an und sichere dann die essentiellen Ordner (enhalten auch dlls und exes, aber eigentlich nur solche, die ich selbst kompiliert habe) bin ich dann auf der sicheren Seite oder uss ich was beachten? Wäre auch gut, wenn ich ein Backup der Path Variablen hätte... |
Welche Platte meinst du da? deine externen? die sind normalerweise nicht infiziert, wenn du seit dem Befall nichts mehr draufgepackt hast. Da kannst du also beruhigt sein. Ich würde jetzt wie folgt vorgehen. - Leeren USB-Stick nehmen, die notwendigen Dateien vom PC draufpacken. - Am anderen PC Malwarebytes, RSIT, GMER und einen AV-Scanner (am besten AntiVir) nur installiern (falls nicht schon geschehen) - noch keinen Scan machen! ---> Bitte unbedigt beachten: Den PC, an dem der USB-Stick dann angeschlossen wird, zuvor vom Internet trennen. LAN-Kabel ziehen, bzw. Router ausschalten. - Den USB-Stick am anderen PC dann anschließen - Währenddessen die Shift-Taste gedrückt halten. - Dann die Dateien in ein Verzeichnis kopieren und sofort einen Scan mit Malwarebytes machen. Den anderen PC erstmal nicht mehr ans Inet anschließen. mfg.TXL |
Hmm...nach einem Neustart findet McAfee nichts mehr...ein gutes Zeichen? |
Weniger... aber sieh mal nach in c:\windows\system32, ob die von dir genannten Dateien noch da sind... ntos.exe sdra64.exe twex.exe twext.exe winlogon.exe |
Ich hab nachgesehen und bis auf winlogon.exe war keine von ihnen mehr vorhanden (winlogon ist doch ein windowseigener Prozess?). Hab von Mc Afee und Anti-Malware nochmal ausschließlich windows/system32 druchsuchen lassen und beide fanden nichts. Mal ne andere Frage: Kann man die WIndows FIrewall so einstellen, dass nur Verbindungen zu einem bestimmten Server zugelassen werden? Das würde für das Nutzungsprofil des Rechners reichen. |
> (winlogon ist doch ein windowseigener Prozess?) Stimmt. Ich würde die Datei vorsichtshalber nochmal bei VirusTotal hochladen: VirusTotal - Kostenloser online Viren- und Malwarescanner |
Einer will was gefunden haben: a-squared 4.5.0.50 2010.02.25 - AhnLab-V3 5.0.0.2 2010.02.25 - AntiVir 8.2.1.172 2010.02.25 - Antiy-AVL 2.0.3.7 2010.02.25 Trojan/Win32.Patched.gen Authentium 5.2.0.5 2010.02.25 - Avast 4.8.1351.0 2010.02.24 - AVG 9.0.0.730 2010.02.25 - BitDefender 7.2 2010.02.25 - CAT-QuickHeal 10.00 2010.02.25 - ClamAV 0.96.0.0-git 2010.02.25 - Comodo 4059 2010.02.25 - DrWeb 5.0.1.12222 2010.02.25 - eSafe 7.0.17.0 2010.02.24 - eTrust-Vet 35.2.7328 2010.02.25 - F-Prot 4.5.1.85 2010.02.25 - F-Secure 9.0.15370.0 2010.02.25 - Fortinet 4.0.14.0 2010.02.25 - GData 19 2010.02.25 - Ikarus T3.1.1.80.0 2010.02.25 - Jiangmin 13.0.900 2010.02.25 - K7AntiVirus 7.10.981 2010.02.23 - Kaspersky 7.0.0.125 2010.02.25 - McAfee 5902 2010.02.24 - McAfee+Artemis 5902 2010.02.24 - McAfee-GW-Edition 6.8.5 2010.02.25 - Microsoft 1.5502 2010.02.25 - NOD32 4894 2010.02.25 - Norman 6.04.08 2010.02.25 - nProtect 2009.1.8.0 2010.02.25 - Panda 10.0.2.2 2010.02.24 - PCTools 7.0.3.5 2010.02.25 - Prevx 3.0 2010.02.25 - Rising 22.34.01.03 2010.02.11 - Sophos 4.50.0 2010.02.25 - Sunbelt 5698 2010.02.25 - Symantec 20091.2.0.41 2010.02.25 - TheHacker 6.5.1.6.210 2010.02.25 - TrendMicro 9.120.0.1004 2010.02.25 - VBA32 3.12.12.2 2010.02.25 - ViRobot 2010.2.25.2202 2010.02.25 - VirusBuster 5.0.27.0 2010.02.24 - |
Ok, kannste vergessen, dass war ein "False Positive" - winlogon.exe ist also sauber. So... Ich bin trotzdem noch ein wenig skeptisch. Mach doch bitte noch ein Scan mit RSIT und GMER. (Logfiles dann posten) Findest du in system32 eine ordner names "twain_32" oder ähnliches? Wenn nicht, hast du noch mal Glück gehabt. Dort werden gestohlene Passwörter udgl. gespeichert, die der Backdoor.Bot von dir gesammelt hat. Komme heute wsl. nicht mehr on, muss morgen früh raus :sleepy: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board