Liebe Gemeinde,

dank widersprüchlicher Aussagen in diversen Foren dachte ich mir, ich frag mal die Profis.

Ich habe mir durch Dummheit einen Trojaner eingefangen (.exe-Datei). Sofort nach dem Ausführen wusste ich, da stimmt was nicht (nichts ist passiert und die Datei ist verschwunden). Ohne Neustart habe ich sofort spybot checken lassen. Ergebnis: virtumonde.scn, ein Trojaner, in der Datei sshnas21.dll. Spybot konnte ihn aufgrund der Administratorrechte nicht entfernen, AntivirGuard hat aber ebenfalls sofort Alarm geschlagen und die Datei entfernt.
Nach dem Neustart des PC kam eine Fehlermeldung: sshnas21.dll kann nicht gefunden werden (o.ä.). Denn: Im Autostart stand ein neuer Eintrag, der in der Registry auf diese Datei verwiesen hat. Diese Einträge in der Registry habe ich ebenfalls entfernt.
Neue Scans mit Antivir und Spybot bringen keine Funde. Fehlermeldung ist weg.

Ich kenne das Prinzip, dass man nach Trojanerbefall eigentlich das System neu aufsetzen sollte. Muss dass in diesem Fall wirklich sein? Ich habe den PC nämlich erst unter höchsten Schwierigkeiten neu aufgesetzt, mit allen meinen Einstellungen, e-mails, blablabla und habe da definitiv keine Lust mehr drauf!
Was meint ihr?

Gruß
Smeagol

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Falls Du Probleme mit Malwarebytes hast (startet nicht, Updates laden nicht etc.), das hier beachten > http://www.trojaner-board.de/82699-m...tet-nicht.html

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Falls RSIT nicht startet: im Kompatibilitätsmodus ausführen (Rechtsklick auf RSIT.exe, Reiter Kompatibilität) => Windows XP einstellen und ausführen

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo wieder,

da ich die ganze Woche unterwegs bin und erst am nächsten Montag wieder in der Nähe des infizierte Rechners bin, hatte ich eigentlich gehofft, dass eine "allgemeine Antwort" möglich ist.

Also in der Art:
"Wenn dein Virenprogramm einen Trojaner erkennt, ihn löscht und beim zweiten Scan nichts mehr zu finden ist, kann man eigentlich davon ausgehen, dass der Schädling entfernt ist. Noch dazu weil du nicht mal einen Neustart zwischendurch durchgeführt hast und es sofort gemerkt hast. Eine 100%ige Sicherheit gibt es natürlich nie!"

Oder in der Art:
"Der Trojaner Virtumonde.scn ist bekannt dafür, verschiedene Dateien zu befallen und die Dateien auch zu wechseln. Also eine Datei zu löschen muss garnichts heißen, inzwischen kann er auch einfach zu einer anderen Datei gesprungen sein. Außerdem weißt du nicht, was alles in der Registry verändert wurde. Deswegen raten wir zu einer Neuaufsetzung des Systems."

Kann man keine "allgemeingültige" Aussage treffen, aus Erfahrungen, ohne dass ich sämtliche Scans durchführe und ins Forum poste? Das wäre sicher auch für andere Betroffene interessant, denen es zeitlich einfach zu umständlich ist, sich anzumelden, Scans durchzuführen und hier analysieren zu lassen.

Wenn so etwas nicht möglich ist, werde ich ab nächsten Montag die verschiedenen Logfiles hier posten. Solange müsstet ihr den Thread dann allerdings bitte offen lassen...

Vielen Dank erstmal fürs Willkommenheißen und die Anleitung.

Eine allgemeingültige Antwort kann man so nicht geben. Schon garnicht so was in der Art wie "wenn der Virenscanner nichts mehr findet, bist Du sauber" - das wäre naiv und fahrlässig. Man müsste schon die geforderten Logs kontrollieren. Aber selbst wenn da keine Auffälligkeiten zu sehen sind, gibt es keine Garantie auf Schädlingsfreiheit

Hmmm. Nagut, wenn das so ist komme ich nach reiflicher Überlegung zu dem Schluss, dass ich das System nochmal komplett neu aufsetze. Ich habe das ja erst gemacht, von daher weiß ich genau welche Probleme auf mich zukommen und wie ich die löse.

Das ist für mich jetzt einfacher, als mich durch die ganzen Anweisungen durchzulesen, die geforderten Programme zu installieren und kennenzulernen (und zum Laufen zu bringen :-)... und danach kann ich mir ja trotzdem nicht sicher sein.

Ist vielleicht schade für den Thread, eventuell wären auch andere an der Lösung interessiert, aber so egoistisch muss ich hin und wieder sein..

Danke Arne für deine Meinung und die angebotene Hilfe!

Nö, sshnas kommt hier häufiger vor, aber jeder Rechner ist mit seiner Konfig irgendwie einmalig...
Vllt solltest Du nach dem nächsten Neuaufsetzen erstmal ein Image des Systems machen. Also wenn alle Updates, Programme usw drauf und alle Einstellungen erledigt sind. So kannst Du notfalls binnen weniger Minuten zurück zu dieser Konfig, falls das System mal zerschossen, wieder infiziert ist oder durch nen Plattendefekt ne neue Platte rein musste. Geht mit sowas wie zB Acronis TrueImage.

Das werde ich tun. Super Tipp, das Acronis. Hör ich zum ersten Mal, klingt aber genial... danke!

Ist aber leider nicht kostenlos. Dann gibt es noch sowas wie Drivesnapshot (auch kostenpflichtig) oder kostenlos: DriveImage XML oder CloneZilla.

Da hat man wieder mal die Qual der Wahl... und die Meinungen zu diesen Programmen sind so unterschiedlich wie ihre User. Vielleicht werd ich die Recherche hierzu noch vertiefen.
Die Acronis-Testversion ist angeblich 30 Tage lang voll funktionsfähig. Das sollte ausreichen, um ein Image zu erstellen :-)
Merci nochmals.

Acronis ist das Geld voll und ganz aber wert, kannste ja mal testen. Wenn die kostenlosen Programme aber reichen, dann nimm die