20 Tan Trojaner auch bei mir
 

auch ich habe mir irgendwie diesen 20 Tan Trojaner eingefangen.

Natürlich will ich ihn auch wieder loswerden. Eine Neuinstallation möchte ich mir momentan sparen.

bisher durchgeführte Maßnahmen:

Komplettscan mit Avira Antivirus (von Linux CD gebootet und Antivir gestartet, natürlich erst virendatei aktualisiert), gefunden wurde ein JAVA/Rowindal.R, habe ich entfernen lassen.

Desweiteren wurde von Antimalware bei einem ersten Durchlauf ein Trojan.Bancos gefunden, die "infizierte" Datei war aber ein offizieller Patch für ein Game, daher vermute ich hier eine falsche Erkennung, zumal die datei auch schon wesentlich älter war und seit der letzten Windows Komplettinstallation auch nicht mehr ausgeführt wurde.

Auch bekam ich gerade eine Meldung das auf eine datei im "system volume information" Ordner zugegriffen werden sollte und antivir den zugriff gesperrt hat, weil es sich um den Virus "TR/Trash.gen" handelt.

anbei die Logs von OTL und Antimalware (einmal mit der erkennung von trojan.bancos, und einmal der durchlauf danach)

weitere logs von antimalware oder otl habe ich nicht, da ich beide Programme heute zum ersten Mal benutzt habe.

zu beachten ist auch noch das ich am Do und Fr keine Internetverbindung hatte, und so im OTL Log ein paar Fehlermeldungen enthalten sind weil Antivir sich nicht aktualisieren konnte.

Ich hoffe ich habe alle Infos gegeben, wenn noch etwas fehlt einfach bescheid geben.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten!

nunja... wie bereits erwähnt gibt es keine weiteren logs... hatte mit dieser Frage ja bereits gerechnet... ;-)

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

kurz nachdem ich den "Fix Button" angeklickt habe, ist die Taskleiste verschwunden und OTL "eingefroren", also es steht nun (keine Rückmeldung) in der Titelleiste von OTL

was nu?

Probiers bitte nochmal.

wieder "keine Rückmeldung".... sieht genauso aus wie beim ersten Mal...

anbei mal nen Foto von den Meldungen in OTL

so... habe es geschafft es durchlaufen zu lassen... lag daran das im Laufwerk F: keine CD drin war...

die oskgman.dll hatte ich zwischenzeitlich manuell entfernt (Linux von Live CD gestartet) bevor ich auf die Idee mit der CD kam...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

nach dem neustart des PC meldete sich jetzt die firewall das das Programm catchme.tmp versucht programmteile in einem anderen Prozess auszuführen, und es wird gefragt ob ich es erlauben will oder nicht.

soll ich es erlauben oder nicht?

Natürlich erlauben! Das ist von Combfix!

ah, ok, habe es erlaubt.

soll ich combifix dann nochmal durchlaufen lassen, es war ja fertig bevor ich diesen Zugriff erlaubt habe.

hier erstmal das erste log:

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

gmer hat sich 2 mal mit bluescreen verabschiedet.

Osam lief durch, log anbei

MBR Check hat 2 mal den Rechner eingefroren, ging nur noch ein reset. Wenn ich das richtig sehe passierte dies jeweils als es den MBR checken wollte...

ich könnte da aber auch nochmal den MBR mit avira von ner Linux Live Cd prüfen lassen....

Das Log von mbrcheck ist unvollständig...

jo, das passiert schon mal wenn das logerstellende Programm reproduzierbar den Rechner einfriert, so das dieser nur durch ein Reset wiederbelebt werden kann..

wenn ich mich recht erinnere habe ich bei der letzten Windowsinstallation irgendwo eingestellt das der MBR überwacht und vor einer veränderung geschützt werden soll, ich weis aber nicht mehr genau wo das war.... könnte ein Treiber fürs Mainboard gewesen sein, oder im Bios selber, da habe ich aber gestern schon geschaut und nix gefunden... oder ggf. könnte es auch der virenscanner gewesen sein... gibt es dies MBR Check tool auch für Linux, dann könnte ich es mal von einer LIVE CD aus checken...

Schau mal im BIOS unter Virus Warning o.ä. nach.

hab im BIOS nochmal alles durchgesehen, nichts gefunden... ich meine auch das ich dies bei irgendeiner Installation von Treiber oder virenscanner aktiviert hatte...

Lass mal sein und mach das:

Bitte den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.

Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

da ist das log

hab jetzt mal einen dump des MBR angefertigt, soll ich den hier mal anhängen oder so?

hier mal als screenshoot für einen ersten schnellen Überblick

Diese Prüfsumme kommt mir bekannt vor und die sollte i.O. sein.
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hier das SuperAntispywarelog:

und das von Malwarebytes:

wie kann ich den Fund von SUPERAntiSpyware mal gegenchecken lassen? Ich vermute da ein false positiv, da diese Erkennung des FakeAv wohl heuristisch ist und man bei Google bezüglich dieser Datei auch diverse false positiv Berichte findet.

Sieht ok aus, das eine ist ein Fehlalarm.
Noch Probleme oder weitere Funde in der Zwischenzeit?

alles ruhig, keine weiteren Auffälligkeiten.

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

super! besten Dank!

Praktisch wäre auch noch irgendwie ein Plugin für den Firefox, das bei allen Dateien die nicht unbedingt zu einer webseite gehören direkt ein "öffnen mit/speichern" Dialog anzeigt, mein Browser muss nicht unbedingt PDF's, Worddokumente oder Musikdateien etc. direkt öffnen... kennt ihr soetwas? Ich vermute das hätte mir diesen Virus erspart... beim Besuch einer Webseite hatte mein Virenscanner 2 Dokumente, eines davon war ein PDF, abgefangen und jeweils eine Virenwarnung rausgegeben, und gleichzeitig öffnete sich der Windows Mediaplayer.... ich vermute darüber war der Virus dann reingekommen...

Dazu musst Du den Firefox nur entsprechend einstellen. In den Einstellungen unter Anwendungen findest Du im Grunde eine Zuordnung der Dateitypen, was passieren soll.
Außerdem sollst Du in Zukunft mit eingeschränkten Rechten unterwegs sein, das verhindert viel zuverlässiger einen systemweiten Befall als ein Virenscanner das jemals könnte.

ah, gut, dann schau ich da auch mal... gibt es irgendwo eine Liste was man durchlassen sollte und für was man einen dialog anzeigen lassen sollte?

das mit den eingeschränken Rechten ist klar... und Anfang des Jahres wird eh mal ein neuer Rechner fällig, da kommt dann win7 drauf...

und für besuche auf bestimmten Seiten etc, verwende ich jetzt nur noch ne virtuelle Maschine mit debian...

virenscanner ist auch schon so eingestellt das er versteckte und/oder 1x1 iframes garnicht mehr durchlässt...

Ne Liste für was? Woher weiß die Liste für Dich, welches Dokument im Browser eingebettet geöffnet werden und welches nicht?
Du musst mal daran denken, dass jeder seine eigenen Geschmäcker hat und man genau solche Sachen nunmal nicht verallgemeinern kann!

Hm, warum nicht nur Linux? Es muss nicht immer Windows sein oder zwingen Dich Spiele oder bestimmte Anwendungen Windows zu benutzen?

Für meinen Geschmack der falsche Ansatz. Wenn der Virenscanner sowas erkennen muss ist es definitiv zu spät. Eingeschränkte Rechte, sicherer Browser evtl sowas wie FF+noscript und adblock ist definitiv effektiver.

gut, die meisten Anwendungen die nur unter windows laufen, könnten auch in einer VM laufen, aber Spiele halt, die sind ja meist so hardwarenah das die wohl in einer VM nicht wirklich laufen werden... mal sehen evtl. nen dualboot, nen Win nur für Games, ansonsten nen Linux und dort Windowsanwendungen nur in ner VM...

und da wäre noch die Frage inwieweit PCIe SSDs unter Linux dann als Bootmedium genutzt werden könnten... gerade bei debian ist das ja fraglich, die "hinken" ja immer etwas hinterher...

das sind beides Browsererweiterungen die ich nicht wirklich einsetzen kann, da ich tagtäglich u.a. webseiten in ihrem Originalzustand, also inkl. Werbung und Scripte, bewerten/analysieren muss...

bei einem 1x1 oder verstecktem iframe ist ja erst die darin geladene url das gefährliche, und bevor diese geladen wird steht ja bereits fest wo sich dies iframe befindet und wie groß es ist, und dementsprechend kann bereits das Laden der schädlichen Inhalte durch den avira webguard im Vorfeld unterbunden werden. Achja, ich nutze die Avira Premium Security Suite, nicht den kostenlosen Avira Virenscanner. Bei diesem würde es zutreffen, dieser kann die Inhalte nur scannen etc, sobald sie sich auf dem PC befinden und prüft dementsprechend keine webinhalte bevor sie im browser landen.

gut, ich hatte mich etwas unklar ausgedrückt, nicht der Virenscanner, sondern der Webguard hat die Einstellung das laden von 1x1 und versteckten iframes zu unterdrücken.

Das wäre ein Ansatz. Man sollte sich auch mal überlegen, ob man seine Daddelkiste und mit der man sein täglich Brot verdient in einer Hardware umsetzt. Eine Spielkiste kann man mal eben plattmachen, ist aber schlecht, wenn man seine Täglich-Brot-Kiste als Gamer-PC missbraucht. Sind schon entscheidende strategische Geschichten.


PCIe kenn ich. SSDs auch. Aber beides zusammen? PCIe ist eine schnellte Schnittstelle zB für Grafikkarten, eine SSD ist ein solid state drive, eine Festplatte, die auf Flashspeicher basiert, aber was hat die mit PCIe zu tun? :confused:

Ja, da tut es eine VM oder Linux oder was auch immer. Aber nicht mit Adminrechten.

Was Du als Virenscanner einsetzt ist im Grunde völlig irrelevant, denn prinzipielle Schwächen hat jeder.

Klar kann der das scannen. Aber die prinzipiellen Schwächen bleiben, was nicht erkannt wird landet dann auch auf dem Rechner und im Zwefelsfall wenn man sich nur auf den Scanner beruft hat man ein dickes Problem => Computersicherheit - Virenscanner

Nein, sowas muss schon browserseitig unterbunden werden!

eben, SSD ist ein Speichermedium, und PCIe eine Schnittstelle, und so gibt es auch SSD die über eine PCIe Schnittstelle angeschlossen werden, der große Vorteil dabei ist ein Datendurchsatz bis zu 1500 MB/s, also wesentlich schneller als jede andere Schnittstelle die man üblicherweise für Speichermedien benutzt.

hxxp://www.ocztechnology.com/products/solid_state_drives/pci-e_solid_state_drives

Für Windows ab XP gibts auch entsprechende Treiber, aber für Linux habe ich noch keine gefunden...


der Webguard prüft die Daten noch bevor der Browser sie bekommt, und so können dort schon diese 1x1 oder versteckten iframes rausgefiltert werden. Hierbei ist dann vollkommen egal ob dort ein Schadcode eingebunden werden soll oder nicht, wird dann auch garnicht mehr geprüft, da die Inhalte garnicht angefordert werden. Also gibt es einen gewissen zusätzlichen Schutz wenn dort schon Aufrufe von URLs, die in versteckten oder 1x1 iframes eingebunden werden sollen, direkt geblockt werden. Und dies unabhängig davon ob der Virenscanner den Virus erkennen würde oder nicht. Und gerade über diese 1x1 Iframes wird gerne über gehackte Adserver Malware/Viren verteilt.

Macht ja eigentlich wernig Sinn das erst im Browser zu unterbinden, wenn man es auch vorher schon machen kann.

Aber klar, das bietet nun auch keinen 100%igen Schutz vor Malware/Viren, aber verringert die Gefahren ein wenig.

Also ein wenig widersprüchlich ist das schon, auf der einen Seite musst Du die Webseiten möglichst ohne "Verfälschung" betrachten, weswegen nicht sowas wie Adblock oder norscript zum Einsatz kommen darf.
Aber auf der anderen Seite werden die Sites doch schon durch den Webguard verfälscht indem zB 1x1 frames rausgefiltert werden...

Ich würde jedenfalls so einen Webguard nicht als alleinigen Schutz nehmen. Wenn der das einzige "Sicherheitsnetz" ist und der Guard erkennt was nicht hast Du im Zweifel den Salat.

Der Schädling kann sich nicht einfach so automatisch installieren. Jedenfalls nicht bei einem aktuellen Browser mit eingeschränkten Rechten.

ein verstecktes oder ein 1x1 frame ändert das Aussehen/Usebility einer webseite nicht, wird ja extra so gemacht damit der User dies nicht erkennt. Und ggf. meldet sich der Webguard ja auch wenn er soetwas entfernt.


Da muss ich dir natürlich recht geben, bzw habe dir in diesem Punkt auch nie widersprochen. Ich sagte immer das es ein zusätzlicher Schutzmechanismus ist.

Trotzdem ist der Webguard eine Art Filter, wodurch nicht die tatsächliche originale Seite angezeigt wird :D
Du kannst nicht auf der einen Seite sagen, Du darfst keine Addons wie NoScript verwenden aber auf der anderen Seite dann einen Webguard aktivieren, dass passt nicht ganz zusammen :rolleyes

hierbei muss man aber auch beachten das diese versteckten oder 1x1 iframes in den meisten Fällen nicht vom jeweiligen Webmaster eingebaut wurden. Entweder wurde sein webspace gehackt und dabei eben so ein iframe eingebaut oder es wird über einem gehacktem Adserver mit ausgeliefert. Beides Dinge die man nicht dem Webmaster anlasten kann.

So gesehen stellt der Webguard in diesen Fällen also den Originalzustand erst wieder her... ;-)

Während aber eingebaute Werbeflächen und javascript sehrwohl absichtlich verwendet werden, und teilweise auch notwendiger Bestandteil der Webseite sind. Teilweise sind Webseiten nicht zu benutzen wenn kein js ausgeführt wird. Und wenn sich Adblocker zu sehr verbreiten, werden immer mehr Anbieter von werbefinanzierten Seiten/Angeboten auch dazu übergehen einen "Schutz" einzubauen. Auch heutzutage findet man schon ein paar Seiten die bei aktiviertem Adblocker den Zugang nicht ermöglichen, man bekommt nur eine Meldung das man einen AdBlocker benutzt und man eben so die Finanzierung des Angebotes durch Werbung verhindert, und man jetzt die Möglichkeit hat diesen zu deaktivieren oder optional einen kostenpflichtigen Zugang benutzen kann. Und was meinst du wie schnell der AdBlocker dann deaktiviert wird... ;-)

Ich seh es eher andersrum: weil gerade zu viele Seiten mit zuviel penetranter Werbung vollgestopft sind, möchte ich adblock+ haben

Beispiele? Bei mir funktioniert alles bisher mit adblock+

ohne Werbung würden diese Webseiten garnicht existieren...

Mir nützt eine Website reingarnichts, wenn ich vor lauter Werbung keine Inhalte mehr sehe...Adblock+ und noscript sind für mich mittlerweile unverzichtbar.

da wäre es aber wesentlich besser das du genau solche Seiten dann meidest, erst wenn der Webmaster merkt das diese oder jene Werbeform sich sehr negativ auf seinen Traffic auswirkt wird er sie weglassen.... so kannst du genau selektieren welche Werbeformen du akzeptierst und welche nicht... aber eine solche Möglichkeit nimmst du dir durch den adblocker direkt im Vorfeld.... so signalisierst du jedem Webmaster das du wohl die Informationen willst, aber nicht bereit bist zu deren Finanzierung beizutragen...

Wenn man maßlos mit Werbung bombardiert wird, muss man eben filtern.

öhm... hattest du nicht gesagt das du grundsätzlich filterst?

Und? Soll ich Adblock also jetzt nur noch bei Bedarf einschalten? :balla: