Tach Leute,

ich bräuchte mal Eure Experten-Meinung. Auf meinem PC läuft Windows XP.

Nach einem Scan von TrendMicro (HouseCall) wurden folgende Schädlinge gefunden:

adware_memwatcher
tspy_dumador
tspy_agent.tq
tspy_cimuz

Ich konnte sie anschließend durch HouseCall alle automatisch entfernen. Ein erneuter Scan findet nichts mehr und auch Scans mit Avira AntiVir, Ad-aware personal, a-squared free finden nichts mehr.
PC läuft tadellos.

Ich habe schon die Empfehlungen gelesen, dass ein einmal kompromittiertes System am besten neu aufgesetzt werden sollte. Allerdings würde das in meinem Fall einige Tage Arbeit bedeuten, da ich eine Unmenge Programme auf dem PC installiert habe (mit den jeweiligen Einstellungen) und davor graut es mir schon, das alle wieder neu zu machen....

Vor allem stellt sich mir die Frage: wenn ich mir nach einiger Zeit wieder neue Schädlinge einfange... ich kann doch nicht ständig das System neu aufsetzen.

Ich dachte, ich hätte Sicherheitsmaßnahmen ergriffen, damit mir das nicht passiert (SP 2 für XP, alle Patches und regelmäßige Sicherheitsupdates, ZoneAlarm, AntiVir, UnPnP etc.) Offensichtlich war das zu wenig....

Oder kann ich davon ausgehen, dass die Schädlinge nach dem Entfernen durch HouseCall weg sind, da die Scanner nichts mehr finden?
Auch eine Auswertung des HiJackThis log-files ergibt nichts Verdächtiges.

Wäre Euch für Tipps sehr dankbar.

Der Flaabes

Hallo,
gib deine gefundenen Schädlinge mal in Google ein.Steht bei den Erklärungen was von Backdoortrojaner wirst du um ein Neuaufsetzen nicht herumkommen.
Hier noch eine Seite die sich mit der Konfiguration bzw.den verschiedenen Möglichkeiten zu Windows befasst.Klick dich da mal durch und handle entsprechend.
http://www.heise.de/security/dienste/browsercheck/
Irrlicht

Hi,

der Tspy_Cimuz heißt bei Symantec BackDoor-CLK.dll, und
der Tspy_Dumador hat bei MCAfee und anderen auch den Zusatz BackDoor.

Sieht also schlecht aus, oder?

Zu dem neu Aufsetzen des Systems hätte ich noch eine Frage: Ich muss meine Daten (z.B. Word-Dokumente, Bilder, MP3 etc) vorher sichern. Besteht durch das Zurückspielen wieder die Gefahr einer Infektion?

Und wie kann ich mich künftig schützen? Ich habe keine Lust im Halbjahresrhythmus mein System neu aufzusetzen.

Danke schon mal!!!

Flaabes

Hallo,
Backdoor`s kommen nicht über Nacht auf den PC geflogen ....Deine "Mithilfe" ist in jedem Fall erforderlich,denn du hast den Backdoor installiert bzw.ausgeführt.Das heißt, das dich kein "Subadubba-Programm" vor deiner eigenen Dummheit schützen kann.Abhilfe schafft nur ein beruhigter "Klickfinger" und Hirn.
Desweiteren hast du meinen Link nicht angesehen,denn darin sind Sicherungsmaßnahmen aufgeführt.
Unter "Anleitungen,FAQ,Links" findest du den Thread zum Thema "Neuaufsetzen",arbeite das durch und beachte insbesondere den Teil ,bei dem es um "vor dem ersten Gang ins Internet" geht.
Irrlicht

http://www.trojaner-board.de/showthread.php?t=12154

Ansonsten ist nur ein gutes Programm zu empfehlen, was deine Prozess Aktivitäten überwacht.

Hallo,
auch für "TRYTOHELPYOU" sollte nach diesem Post.......dieser Link zur besonderen Beachtung sein !!
http://brain.yubb.de/

und das regelmäßige Updaten nicht vergessen.....
Irrlicht

thx für die infoo

Hi Leute,

ist schon klar, brain ist durch nichts zu ersetzen... Bin schon dabei, meinen brain upzudaten und mache die Vorbereitungen für das Neuaufsetzen des Systems.

Eine Frage hätte ich trotzdem noch (ich will halt diesmal wirklich keine Fehler machen). Ich will meine eigenen Dateien (Word-Dokumente, pdfs, Bilder, mp3 etc.) vom Backup auf DVD auf die Platte wiederherstellen. Gibt es hier eine Gefahr der Wiederinfizierung? Kann sich der Backdoor vielleicht in dem Verzeichnis der eigenen Dokumente versteckt haben?

Wie sieht es mit runtergeladenen Datein aus, wie z.B. CDex, a2free oder Excel Viewer, die ich auch durch ein Backup gesichert habe. Die möchte ich nach dem Neuaufsetzen wiederherstellen und dann installieren. Wäre das ok, oder lieber neu downloaden, weil sich der Backdoor evtl. hinter irgendeiner dieser Dateien versteckt hat?

Danke Euch

Flaabes

Im Verzeichnis verstecken, glaub ich ist meines nicht der Fall. Aber es können Teilweise Programmteile infiziert sein.

Es gibt immer die Möglichkeit, dass sich das System direkt wieder infiziert. Hatte z.B. mal ein Problem mit einem Virus/mailware was auch immer. Dieser hat sich bei mir in den Flashspeicher gefressen. Das heisst es ist egal, ob ich meine Festplatte platt mache, der war jedesmal wieder da, wenn ich online gegangen bin.

Achte einfach darauf, bevor du online gehst, dass du auf dem aktuellsten Update Niveau bist und eine anständige Virensoftwar im Hintergrund hast.

Ich würde dir diesen Beitrag ans Herz legen.

http://www.trojaner-board.de/showthread.php?t=12154


Die heruntergeladenen Daten würde ich dir empfehlen neu herunterzuladen

ok, vielen Dank. den Beitrag von "Cidre" arbeite ich schon durch und will es diesmal wirklich sauber machen.

Die heruntergeladenen Dateien werde ich lieber neu runterladen.
Würde es da was nutzen, wenn ich z.B. so vorgehe: eine Datei runterladen (z.B. ein Tool oder ein Spiel). Dann, bevor ich das Programm installiere, einem aktuellen Viren-Scanner über die Datei laufen lassen und dann erst installieren?
Würde der Viren-Scanner es grundsätzlich erkennen, wenn es sich bei der Datei in Wirklichkeit um einen Trojaner handelt?

Flaabes

Also kurz gesagt, Spiel runterladen oder so. jaja soll das eine Anspielung sein


Wenn du Große-Dateien von "seriösen" Anbieter herunterlädst, dann ist es "sehr" unwahrscheinlich, dass sich dieser Dateiblock mit einem Virus infiziert hat. Klar, schaden kann es nie, wenn du die Geduld dafür hast.

Ich empfehle dir, wenn du dass neue System hast möglichst zwei Viren/Malwarescanner( einer wenn möglichst mit integ. Guard) zu installieren.

Da jedes Programm vor und Nachteile bei der Erkennung hat

So hoffe ich konnte dir helfen, und würde mich freuen, wenn du mir bescheid sagen könntest, ob alles nach deiner Zufriendenheit war

MFG

Hi,
bin immer noch dabei, das System neu aufzusetzen. Hätte noch drei Fragen:

1. Kann ich mit Knoppix auf NTFS zugreifen?
2. Wenn ich mit Knoppix (von der CD gebootet) ins Internet gehe, ist das dann absolut sicher? Kann ich mir also keine Trojaner etc. einfangen?
3. Ich habe in Windows jetzt zwei Konten eingerichtet: Admin und eingeschränktes Konto.
Habe als Admin mit dem Tool die NT-Dienste ausgeschaltet. Muss ich das noch mal unter dem eingeschränkten Konto machen, oder gilt das für schon für beide?

Danke
Flaabes

zu 1. deine NTFS Partition ist unter Knoppix lesbar, aber nicht beschreibbar.
Wenn du also mit Knoppix Live aus dem Internet laedst, wuerde ich mir eine FAT32 Partition zulegen oder externe Festplatte mit FAT32 partitionieren, und dort die Daten aus dem Internet hinkopieren.

zu 2. Knoppix live laeuft im RAM Speicher, sobald der Rechner aus ist, ist ja auch das RAM wieder leer, also kann da nichts passieren.

zu 3. Die Dienste laufen systemweit, was der Admin abschaltet, laeuft auch fuer den normalen Benutzer nicht mehr.

Danke! Hört sich gut an.
Habe doch noch eine Nachfrage: Wenn ich aber über Knoppix live etwas auf die Festplatte downloaden kann, kann ich da nicht versehentlich auch einen Trojaner downloaden?
Flaabes

Natürlich kannst du wenn du Festplatten-Schreibzugriff (wie auch immer) hast, eine Malware auf die HD schreiben. Ist vollkommen unerheblich wo und wie dein Betriebssystem ist. Nur wenn du KEINEN Schreibzugriff auf KEINEN Datenträger hast, kannst du dir sicher sein.

Auch kannst du dir - wenn Quelle falsch oder befallen ist - auch unter dem Namen Knoppix Malware downloaden. Deshalb nimmt man wenn möglich auch IMMER die Originalquelle, die kann (und ist ganz selten) zwar auch bei seriösen Anbietern befallen sein, aber man kann auch vom Blitz erschlagen werden.