Hallo,

ich habe den Verdacht mir den oben genannten Trojaner "Torpiq" auch "Anserin" genannt, eingefangen zu haben.
Als meine IP vom Sicherheitssystem einer Webseite geblockt wurde und auf der Blacklist landete, wurde ich dann auf die Seite projecthoneypot.org verwiesen, wo mir die Ursache des Problems beschrieben wurde. Dort habe ich auch meine Informationen her.
Kann ich dieser Quelle vertrauen? Ich habe nach der Bösartigkeit dieses Trojaners recherchiert. Mit einem einfachen Virenscanner kann man ihn anscheinend nicht aufspüren. Zumindest gab's bei Avira Antivir keine Ergebnisse.

Ich habe bereits einen ähnlichen Beitrag in dem Forum gefunden.
http://www.trojaner-board.de/88707-a...ngefangen.html
Nur raten mir eure Hinweise davon ab auf eigene Faust den Anweisungen nach zugehen und ich weiß wie gesagt auch nicht, ob ich oben genannter Quelle vertrauen kann.

Sollte es sich bewahrheiten, dann kann ich erstmal keine weitere Aktionen unternehmen, da er laut euren Angaben und anderen Quellen im Netz sämtliche Zugangsdaten mitloggt... ._.

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hi, hier sind die gewünschten Logs.
Einmal Malwarebytes vollständiger Scan von heute Nacht und einmal OTL Quickscan nach Vorgabe.

Malwarebytes hat nichts gefunden? Erstes und einziges Log von Malwarebytes?

Malewarebytes hat definitiv nix zu meckern gehabt.
Warum fragste? Sollte es... ?

Weil ich nicht das erste Mal erlebt hätte, dass der Hilfesuchende nur das letzte Log ohne Funde postet und die anderen einfach weglässt.

Zitat:

[2011.06.25 02:46:25 | 000,000,000 | ---D | C] -- C:\Qoobox

Wer hat dich eigentlich angwiesen CF auszuführen?
Warum lässt du das Log weg? (siehste, so falsch ist meine Nachfragerei ob es mehr Logs gibt wohl garnicht )

Du meinst ComboFix... musste erstmal überlegen was du mit CF meinst...
Niemand hat mich dazu angewiesen. :/
War gestern ziemlich übereifrig damit, ich weiß...
Habe gestern auch schon einen OTL-Scan gemacht ohne Sinn und Verstand und auch noch andere Scans drüberlaufen lassen. Weitergebracht hat mich das nicht wirklich. *in die ecke stell*

Und wieso führst du einfach ohne PLan was aus?
Poste bitte das Log von CF.

So ComboFix rausgekramt (siehe Anhang).
Vllt. hilft es auch wenn ich folgendes erläutere:
Das System soll komplett neu aufgesetzt und ein Abbild erstelllt werden.
Es soll nur noch 3 Wochen wegen der Prüfungen in meiner Ausbildung durchhalten. Es ist leider schon sehr zugemüllt. Ein Großteil wichtiger Daten wurde schon gesichert. Die Platte soll dann neupartitioniert und vollständig formatiert werden.
Allerdings bin ich mir nicht 100%ig sicher ob damit ein eventueller Schädling wie Torpig / Anserin wirklich beseitigt wird und ob der MBR auch wirklich neu- bzw. überschrieben wird, wenn ich alle Partitionen auflöse.
Meine Experimentierfreude liegt wohl daran, dass das System nicht mehr lange in dieser Form existierten wird und einfach alles ausprobieren kann. Das bedeutet natürlich nicht, dass ich dazu geneigt bin das System komplett zu ruinieren, also war die Verwendung von CF nicht richtig. Sorry, deswegen nochmal. In vielen Quellen wurde ComboFix als effizientes Prüf- und Reinigungsprogramm beschrieben...

Doch, wenn du alles löscht sind auch alle Schädlinge weg. Nichts ist so sicher bei einer Bereinigung wie eine Neuistallation. Wenn man ganz sicher gehen will, überschreibt man die internet Platte komplett einmal mit DBAN.

Um Daten zu sichern, folgst du dem 2. Link in meiner Signatur. Nur persönliche Dateien und keine ausführbaren Dateien sichern.

Zitat:

Um Daten zu sichern, folgst du dem 2. Link in meiner Signatur. Nur persönliche Dateien und keine ausführbaren Dateien sichern.

Das ist ja genial. Das werde ich genauso machen.

Zitat:

Wenn man ganz sicher gehen will, überschreibt man die internet Platte komplett einmal mit DBAN.

Gibt's hierfür auch eine gute Anleitung?

Dann habe ich mal Sandboxie ausprobiert (nach solchen Sachen sucht man immer wenn's zu spät ist). Wirklich sehr empfehlenswert. Wollte mal fragen ob es möglich ist eine Art Tunnel über Sandboxie zu erstellen, dass andere Programme wie fragwürdige Freeware und Co. nicht mit der Außenwelt kommunizieren können, wenn sie nicht sollen.

Zitat:

Gibt's hierfür auch eine gute Anleitung?

Das ist so eifnach zu benutzen => Darik?s Boot and Nuke ? Wikipedia

Ok, na dann sollte es ja keine Probleme geben.
Gebe zu, ich habe von DBAN noch nie was gehört, deswegen hat es mich einfach interessiert.

Ist ja kein Problem. Achte nur bei DBAN darauf, dass wirklich ALLES vorher gesichert wurde!
Wenn wirklich alles gesichert ist und du DBAN benutzen willst, dann wähle in DBAN per Leertaste die Festplatte und nicht einzelne Partitionen aus.