Das "Gerät" existiert. Ich habe das Gerät nicht hier vor Ort, so dass ich es jetzt der üblichen umfassenden Scanner-Rountine unterziehen könnte. Meine Frage ist eher, ob durch das Löschen der Datei gestern nun schon bereinigt wurde oder ob diese spezielle Datei Fähigkeiten hatte, anderes nachzuladen.
Und darüber hinaus, (um etwaige Änderungen am System durch die Datei vollständig zu revidieren), meine Frage zu dem DNS Request. Das könnte ich ihm ja dann auch telefonisch sagen, wie er es selbst ändern kann, falls nötig.

Ich gehe davon aus, dass dieser Trojaner weder Backdoor-Qualitäten hat, noch anderes Nachladen konnte, noch sich vermehren konnte, und somit dann das Problem gelöst ist. Sollte ich mich täuschen und Ihr entdeckt Gegenteiliges an der Datei, dann werde ich ihn wohl zu überzeugen versuchen, nochmal mit dem Laptop aufzukreuzen, um dann die volle Routine mit Euch durchzuziehen.

Darüber hinaus möchte ich gerne die entsprechende Datei hier anbieten, ich habe in Erinnerung, dass Ihr sie hier gerne zur Analyse angeboten bekommt und hier noch keinen Thread gefunden, in der sie Euch hochgeladen wurde. Einfach hochladen und hier einen Link posten möchte ich lieber nicht, da ja sonst jeder auf das Zeug zugreifen kann.

Danke für Deine Hilfe

EDIT:

Ich habe das Gefühl, mich in der Antwort hier doch nur zu wiederholen, also scheine ich das Relevante nicht in meinen Postings zu haben. Weiß aber auch nicht, was fehlt.

Ich frage mal anders:

1. Besteht Interesse am Schadprogramm, so dass ich es hochladen soll? Wenn ja: wo und wie gebe ich den Link weiter?

2. Ist es möglich, anstatt der üblichen Scan-Routine mir die speziellen Fragen zum speziellen vorliegenden und analysierbaren Schadprogramm zu beantworten, also ob es DOCH Backdoor- oder Vervielfältigungsqualitäten hatte und welche Änderungen am System rückgängig zu machen sind? Oder soll ich mir dafür ein anderes Forum suchen? Vielleicht ein Tipp für ein solches?

3. Welche Informationen fehlen, um mir diese beiden Fragen beantworten zu können?

Vielen Dank schonmal

Zitat:

Zitat von LavIa

Meine Frage ist eher, ob durch das Löschen der Datei gestern nun schon bereinigt wurde

Nein, ein Datei alleine zu löschen reicht nicht aus

Zitat:

Zitat von LavIa

Ich gehe davon aus, dass dieser Trojaner weder Backdoor-Qualitäten hat, noch anderes Nachladen konnte, noch sich vermehren konnte, und somit dann das Problem gelöst ist.

was ist ein Backdoor?-> Backdoor trojaner (Hintertür) Eine *Backdoor*ist ein Programm, mit dem ein Angreifer die vollständige Kontrolle über ein fremdes Betriebs-System übernehmen kann. Daher ist ein Betriebs-System, bei dem eine Backdoor entdeckt worden ist, als *kompromittiert* anzusehen.

Zitat:

Zitat von LavIa

2. Ist es möglich, anstatt der üblichen Scan-Routine mir die speziellen Fragen zum speziellen vorliegenden und analysierbaren Schadprogramm zu beantworten, also ob es DOCH Backdoor..

bei Virustotal kann geprüft werden:-> VirusTotal

Zitat:

Zitat von LavIa

oder Vervielfältigungsqualitäten hatte und welche Änderungen am System rückgängig zu machen sind?

Meistens hilft nur noch ein Neuaufsetzen des Betriebs-Systems und ein Überdenken des bisherigen Sicherheitskonzepts! Zusätzlich sollten alle jemals auf dem System verwendeten bzw. gespeicherten Passwörter als nicht mehr vertrauenswürdig angesehen und daher geändert werden!
Evtl. kann man Malware selbst ja mit relativ gute Ergebnis entfernen, die Löcher, welche die Backdoor ins System gerissen hat, sind aber nahezu unmöglich aufzuspüren und damit leider auch nicht zu entfernen!
Über diese Löcher kann dann jederzeit Ihr System erneut infiziert werden, die Kontrolle über Ihr System erneut übernommen werden und das System kann so weiterhin für illegale Ativitäten genutzt werden, für die Sie am Ende sogar noch zu Verantwortung gezogen werden können!
Aufgrund der wahrscheinlich vorgenommen Manipulationen steht der Aufwand eines Versuchs der vollständigen Beseitung der ins System gerissenen Löcher in keinem Verhältnis zum Ergebnis, welches noch dazu immer mit der Unsicherheit, doch nicht alle Löcher geschlossen zu haben, behaftet bleiben wird; und es steht auch in keinem Verhältnis zum Aufwand, der beim Neuaufsetzen des Systems entstehen würde. Das Betriebssystem neu aufzusetzen, ist in so einer Situation auf jeden Fall deutlich schneller, eindeutig weniger aufwändig und wesentlich sicherer als ein Versuch der Bereinigung aller ins System gerissenen Löcher.

Zitat:

Zitat von LavIa

Darüber hinaus möchte ich gerne die entsprechende Datei hier anbieten, ich habe in Erinnerung, dass Ihr sie hier gerne zur Analyse angeboten bekommt und hier noch keinen Thread gefunden, in der sie Euch hochgeladen wurde. Einfach hochladen und hier einen Link posten möchte ich lieber nicht, da ja sonst jeder auf das Zeug zugreifen kann.

Downloade Dir bitte ZipIt2.exe von GravityGripp und speichere die Datei auf dem Desktop

• Starte die ZipIt2.exe mit Doppelklick
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun folgenden Text in das Skriptfeld von ZipIt.
  
  Code: Alles auswählenAufklappen

  ATTFilter

   Files here
           

• Klicke nun den Zip Button..

Du findest dann eine <Dein Benutzername>.zip Datei auf dem Desktop. Lade diese bitte hier hoch.

• Klicke auf Durchsuchen. Navigiere zu der vorher erstellten .zip Datei.
• Kopiere nun folgenden Link in die
  Link zum Thema im Forum Box
  
  Zitat:

  Link hier

• Trage deinen Nicknamen ein und klicke Hochladen.

Teile mir mit wenn der Upload geklappt hat.

Danke für Deine Mühe

zu 1.: "Datei Euch hochladen":
Entschuldigung, ich stehe auf dem Schlauch: Ich nehme an, in die Box soll ich anstatt "Files here" den Pfad meiner Schaddatei angeben? Und dann bräuchte ich noch den Link anstatt "Link here". Soll ich dort die http-Adresse dieses Threads angeben oder die Upload Adresse, die bei dier unter "hier" verlinkt ist?

EDIT: Habs jetzt verstanden, die Upload-Seite war selbsterklärend, Upload hat geklappt

zu 2.: "Ist diese spezielle Infektion mit Löschen der Datei und des Eintrages entfernt? (lapidar ausgedrückt)":
Du beschreibst die Auswirkung eines Backdoor-Trojaners, die mir bekannt ist. Meine Frage ist ja daher, OB in dieser Anwendung (svghost.exe) eine Backdoorfunktion implementiert war.
Du sagst, ich kann es bei Virustotal hochladen. Dies habe ich bereits getan, siehe mein 2. Post, dort stehen auch die Ergebnisse. Ich verstehe sie so, dass es nunmal gerade kein Backdoortrojaner ist. (irre ich mich hier?)

Meine Frage nun, welche Änderungen muss ich also rückgängig machen?

Ich habe die (naive?) Vorstellung, dass ein Profi wie Ihr die Datei in einer emulierten Umgebung mit Analysetools ausführen könnte und dann zB sagen könnte: "Ja, die hat nur das und das gemacht". Oder: "Oh, ne, die öffnet Ports und zieht was nach, leider doch nicht so einfach".
Oder dass stattdessen ein Experte hier die von mir ergooglete Analyse von Sophos (siehe 2. Post) in der Richtung versteht.

Ich habe die Analyse so verstanden, dass sich die svghost.exe NUR in den entsprechenden Ordner kopiert, dann sich selbst ausführt (-> roter Bildschirm), einen Autostart-Eintrag für sich selbst bastelt und cmd.exe startet/überschreibt(?). Was ich nicht verstehe, ist, was der DNS Request bedeutet, wie ich schon schrieb.

Weiterhin danke für Deine Antworten

Zitat:

Zitat von LavIa

Meine Frage ist ja daher, OB in dieser Anwendung (svghost.exe) eine Backdoorfunktion implementiert war.
Ich verstehe sie so, dass es nunmal gerade kein Backdoortrojaner ist. (irre ich mich hier?)

Ja das ist ein Backdoor! Liegt Ergebnisse von Virustotal vor! verstehe dich nicht, warum die Frage erneut?!

Zitat:

Zitat von LavIa

Meine Frage nun, welche Änderungen muss ich also rückgängig machen?

es mag sein, dass ich nicht deutlich genug geschrieben habe, dass die Auswirkungen (welcher Schaden durch das Schadprogramm angerichtet wurde) nie nachvollziehbar sind! Im normalfall ein durch Hintertür (backdoor) befallenen Rechner, soll neu aufgesetzt werden!
Ein Backdoor ist nie 100%ig zu beseitigen, eben wie der Name schon sagt weil ein "Hintertür" ist:

Code: Alles auswählenAufklappen

ATTFilter

Dazu zählen das Auspionieren von Daten;
Ausschnüffeln Ihrer Netzwerke;
Verwendung, Veränderung und Neürrichtung von Benutzern;
Manipulationen Ihrer Datenbanken;
Austausch Ihrer ausführbaren Dateien mit verseuchten Dateien;
Übernahme von Tastatur, Maus und Desktop-Funktionen auf einem fremden Rechner;
Hinzufügen, Ändern, Umbenennen von Verzeichnisstrukturen;
Start und Stop von Netzwerkdiensten (http, nntp, ftp);
Umleitungen von Ports und TCP/IP-Adressen;
Protokollierung der Tastatureingaben am Server und anderen Netzwerkteilnehmern -- und deren Abspeicherung in
Dateien, versenden von solch erstellten Protokollen und anderen Daten via TCP/IP (z.B. f. TAN- Passwortsammlung);
IP-Faking (Spoofing) - Umleitung von IP-Paketen auf Ihnen unbekannte Zielgeräte; Löschen, Einfügen oder Änderungen von Schlüsseln, Werten und Daten in Ihrer Registry;
Hinzufügen, Ändern, Umbenennen von Dateien;
Ausschnüffeln von Bildschirminhalten,
Abspeicherung und Versand derer über das Netz;
Verbindungen zwischen Netzwerkteilnehmern, herstellen und trennen;
Umleitung der Ein/Ausgabe von Applikationen an einen frei-definierbaren TCP/UDP-Port;
Ausspionieren und Veränderung von Portadressen im Netzwerkkommunikationsbereich;
Sperrung der Serverkonsole;
Auslesen der Passwörter;
Serverstop und Reboot.
         

Zitat:

Zitat von LavIa

was der DNS Request bedeutet,

-> http://de.wikipedia.org/wiki/Rekursi...aufl%C3%B6sung

Hallo Kira,

ohje, wir scheinen viele Verständigungsprobleme zu haben, danke für Deine Geduld.

Zitat:

Zitat von kira

Ja das ist ein Backdoor! Liegt Ergebnisse von Virustotal vor! verstehe dich nicht, warum die Frage erneut?!

Ich hatte erneut gefragt, weil nachdem ich bereits die Virustotalergebnisse gepostet hatte, Du mir erst erklärtest, wie ich bei Virustotal checken kann. Das hieß für mich, Du hättest die geposteten Ergebnisse noch gar nicht gesehen.
Bitte werde nicht böse, wenn ich jetzt so hartnäckig nochmal nachfrage, denn die Signatur für eine implementierte Backdoorfunktion ist bei Avira doch sonst "BDS/...", hier aber "TR/...",
bei Antiy-AVL "Backdoor/...", hier aber "Trojan/...",
bei Emsisoft "Backdoor. ...", hier aber "Trojan. ...",
bei Ikarus "Backdoor. ...", hier aber "Trojan. ...", etc.
und so ist es ja bei allen Scannern im Ergebnis. Wo ist mein Denkfehler? Vielleicht lerne ich ja was für die Zukunft.

Zitat:

Zitat von kira

es mag sein, dass ich nicht deutlich genug geschrieben habe, dass die Auswirkungen (welcher Schaden durch das Schadprogramm angerichtet wurde) nie nachvollziehbar sind! Im normalfall ein durch Hintertür (backdoor) befallenen Rechner, soll neu aufgesetzt werden!
Ein Backdoor ist nie 100%ig zu beseitigen, eben wie der Name schon sagt weil ein "Hintertür" ist! ...

Doch, das hast Du deutlich geschrieben. Und sobald ich verstanden habe, dass und warum das hier tatsächlich ein Backdoorprogramm ist, werde ich auch für ein Neuaufsetzen plädieren. Ich erinnere mich an den Glaubenskrieg vor ein paar Jahren hier im Forum, gehörte aber immer schon zu der Fraktion, die da gegen einen Bereinigungsversuch ist. Wenn, und nur wenn man es mit einer Backdoor zu tun hat.

Zitat:

Zitat von kira

-> Rekursive und iterative Namensauflösung ? Wikipedia

Danke, was heißt das denn im Zusammenhang bei Sophos? Hat die Datei nach Hause telefoniert oder ist das nur ein Redirect, zB wenn man im Programm auf den Button gedrückt hätte (zum "Bezahlen und runterladen" )? Liegt hier Grund, dass Du eine Backdoorfunktion erkennst? Oder sie nicht ausschließen kannst, weil das Teil ja eine Backdoorfunktion nachgeladen haben könnte?

Ist die Datei gut bei Euch angekommen?

Schönen Sonntag, lg, Lavla

Ich weiß nicht, ob das hilfreich ist, vielleicht kannst Du damit ja etwas anfangen: Ich habe eine komplette Sandbox-Analyse genau dieser Datei gefunden, exakter MD5-Wert. Dass sie nun anders hieß, lässt sich dort gut ableiten: sie wird erst im Laufe ihrer Ausführung umbenannt und verschoben. Sehr interessant .

edit: Link: hxxp://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=84678076&cs=87CC8D918ABFBE06CB7760CFFBEF306E (mit url-tags habe ich es nicht hinbekommen, sry)

Ich würde mich total freuen, wenn Du mir erklären könntest, woran ich nun erkenne, dass es sich hier um eine Backdoor-Anwendung handelt. Es wäre toll, wenn ich es künftig selbst erkennen könnte.

Danke für Deine Geduld, Lavia, ehemals LavLa

meistens schwierig "selbst" zu erkennen, Schädlinge (wie Backdoor/hintertür und Rootkit) verstecken sich oft wochenlang, ohne das der User es merkt