Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Vorgehen bei Tan-Trojaner (TR/Hiloti ?)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.04.2011, 17:30   #1
Batty84
 
Vorgehen bei Tan-Trojaner (TR/Hiloti ?) - Frage

Vorgehen bei Tan-Trojaner (TR/Hiloti ?)



Hallo allerseits

Nun ist es passiert, ich habe mir einen richtig bösen Trojaner eingefangen und bräuchte dringend fachmännischen/-frauischen Rat zu dessen Loswerdung.
Vor vier Tagen bekam ich beim Surfen von AntiVir rasch hintereinander Meldungen über Bedrohungen. Es handelte sich um folgende:

TR/Crypt.XPACK.Gen
JAVA/Exdoer.BB.3.D
JAVA/Exdoer.BB.3.F

Diese kamen mehrmals hintereinander, und ich habe sie jeweils löschen bzw den Zugriff verweigern lassen und den Browser (Firefox) sofort zugemacht.

Trotzdem kam wohl irgendetwas davon durch... als ich mich nämlich in meine zwei Onlinebankingkonten einloggte, bekam ich die Aufforderung, 10 unverbrauchte TANs einzugeben (was ich natürlich NICHT gemacht habe). Ein Anruf bei den jeweiligen Banken genügte, um das Onlinekonto sperren zu lassen. Auch rieten mir die Leute, meine persönlichen Daten zu sicher und den betroffenen Laptop neu aufzusetzen, alle Passwörter zu ändern ect...

Ich habe dann erstmal einen vollständigen AntiVir-Scan laufen. Dabei hat es die Trojaner

TR/Hiloti.3.18
TR/Hiloti.3.22

gefunden, welche in die Quarantäne verschoben wurden.

Alle "bösen" Dateien befanden/befinden sich unter C:\Users\Mein Name\AppData\Local\Temp\

Nun frage ich mich: Wars das jetzt? Problem gelöst? Oder muss ich tatsächlich mein System platt machen? Ich habe einen Acer Aspire 7730G mit Vista, jedoch keine Recovery-CDs mehr dazu (unsere Wohnung ist vor einem Jahr bei einem Rohrbruch komplett unter Wasser gesetzt worden, und mit ihr auch diese CDs ).

Für eure Hilfe wäre ich superdankbar!

Viele Grüss,
Batty

Alt 12.04.2011, 17:39   #2
markusg
/// Malware-holic
 
Vorgehen bei Tan-Trojaner (TR/Hiloti ?) - Standard

Vorgehen bei Tan-Trojaner (TR/Hiloti ?)



also, ich persönlich würde das gerät neu aufsetzen.
dazu musst du dir halt ne windows cd besorgen, dies kann dir ja sowieso passieren, wenn du mal deine instalation zerschießt.
oder, du leist dir ne windows cd, wir können deinen code auslesen und du gibts den dann bei der instalation ein.
das risiko, das wir nicht alles finden, wäre mir persönlich zu groß, da es hier um geld geht sollte man nicht mit der 99 %igen sicherheit leben die wir dir bieten können.
__________________

__________________

Alt 12.04.2011, 18:43   #3
Batty84
 
Vorgehen bei Tan-Trojaner (TR/Hiloti ?) - Standard

Vorgehen bei Tan-Trojaner (TR/Hiloti ?)



Selbstverständlich vertraue ich eurem Urteil, aber gibt es keine Möglichkeit, erstmal eine Bereinigung des Systems zu versuchen? Handelt es sich dabei um einen so raffinierten Trojaner, dass er nicht aufzuspüren ist?

Wie vermeide ich den denn in Zukunft? Soweit ich mich erinnern kann, habe ich nach irgendwas gegoogelt und wurde auf eine Seite mit einer Java-Anwendung umgeleitet, die ich jedoch gleich geschlossen habe... aber sowas kann man ja leider nicht riechen.

Welche Daten darf ich denn alles sichern? Auch Installationsdateien von Programmen wie AllZip, Firefox ect?
__________________

Alt 12.04.2011, 18:48   #4
markusg
/// Malware-holic
 
Vorgehen bei Tan-Trojaner (TR/Hiloti ?) - Standard

Vorgehen bei Tan-Trojaner (TR/Hiloti ?)



instalationsdateien kannst du sichern.
wie du das vermeidest erkläre ich dir dann.
na was heißt denn erst mal...
wir können sichtbare trojaner bestandteile entfernen, das ist aber noch lange keine garantie. und, ist es dann nicht besser neu aufzusetzen, wenn man die risiken betrachtet, wie zwei leere konten?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 12.04.2011, 19:44   #5
Batty84
 
Vorgehen bei Tan-Trojaner (TR/Hiloti ?) - Standard

Vorgehen bei Tan-Trojaner (TR/Hiloti ?)



Hm... alles klar, dann mache ich mich mal ans Werk. Manoman, hätte nicht gedacht, dass es auch Sachprogramme gibt, an denen selbst ihr scheitert
Jedenfalls: Danke für die ehrlichen Worte! Und für eine Aufklärung, wie man sowas vermeiden kann, wäre ich wirklich dankbar. Ich dachte, mit einem aktuellen Antivirenprogramm (und AntiVir gilt ja soweit ich weiss als sehr gut), sei man einigermassen sicher vor sowas. Schliesslich kam der Trojaner ja nicht dadurch, dass ich einen Emailanhang geöffnet oder sich illegal was heruntergeladen habe.


Alt 12.04.2011, 19:45   #6
markusg
/// Malware-holic
 
Vorgehen bei Tan-Trojaner (TR/Hiloti ?) - Standard

Vorgehen bei Tan-Trojaner (TR/Hiloti ?)



das hat nichts mit scheitern zu tun, ich möchte dich nur unmissverständlich auf die risiken hinweisen.
__________________
--> Vorgehen bei Tan-Trojaner (TR/Hiloti ?)

Alt 12.04.2011, 19:54   #7
Batty84
 
Vorgehen bei Tan-Trojaner (TR/Hiloti ?) - Standard

Vorgehen bei Tan-Trojaner (TR/Hiloti ?)



Das war absolut nicht als Beleidigung gemeint Markus! Ich kann die Bedenken auf jeden Fall verstehen und du hast vollkommen recht.
Ich finde es bloss erschreckend, dass man sich einfach so sowas einfangen kann und man absolut nichts dagegen tun kann, ausser das System völlig neu aufzusetzen. Und man hängt ja auch an einem "running System"...

Alt 12.04.2011, 20:37   #8
markusg
/// Malware-holic
 
Vorgehen bei Tan-Trojaner (TR/Hiloti ?) - Standard

Vorgehen bei Tan-Trojaner (TR/Hiloti ?)



ich hab das keines wegs als beleidigung aufgefasst.
du kannst was dagegen tun, dies zeige ich dir, wenn es so weit ist.
und auch deswegen möchte ich lieber, dass du quasi nen neu anfang machst. denn zu den dingen die du tun kannst, gehört ne komplette sicherung des systems (backup) und dies regelmäßig.
und dies würde nichts bringen, wenn du ein potentiell infiziertes system sicherst.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 14.04.2011, 08:38   #9
Batty84
 
Vorgehen bei Tan-Trojaner (TR/Hiloti ?) - Standard

Vorgehen bei Tan-Trojaner (TR/Hiloti ?)



Alles klar... noch eine Frage:
Wisst ihr, ob dieser Virus/Trojaner auch den Bootsektor betrifft? Wenn nein habe ich nämlich gesagt bekommen, dass ich mithilfe einer versteckten Partition im Nachhinein noch eine Recovery-CD erstellen kann und mit deren Hilfe dann das System neu aufsetzen kann. Dann gehen mir auch die Treiber nicht verloren.
Bloss darf natürlich der Virus den Bootsektor nicht manipuliert haben.

Oder es gibt die D2D-Recovery:
Zitat:
Diese Art der Wiederherstellung beruht auf der intakt vorhandenen PQSERVICE-Partition,
dem Vorhandensein des Original ACER-Bootsektors MBR.
Im Ablauf dieser Funktion werden die Daten aus der PQSERVICE
auf die erste Partition, Laufwerk C: geschrieben.
C: wird dabei KOMPLETT gelöscht! Also, bevor man sich dazu entschliesst,
sein Windows neu aufzuspielen, Datensicherung ist Pflicht! Dazu kann das
Laufwerk D: als Speicherort benutzt werden, da D: unberührt bleibt.
Nach dem Wiederherstellen durch D2D-Recovery startet das Book neu,
das System wurde auf Werkszustand gebracht. Alle Einstellungen,
Updates, Programminstallationen liegen also noch vor einem.
Denkt ihr, dass das auch möglich wäre und man den Trojaner damit los ist?

P.S: Ich will mich nicht vor dem neu Aufsetzen drücken, aber momentan ist die finanzielle Lage nicht gerade rosig, so dass ich mir dreimal überlegen sollte, ob ich ein komplettes neues Betriebssystem kaufen muss.

Alt 14.04.2011, 11:31   #10
markusg
/// Malware-holic
 
Vorgehen bei Tan-Trojaner (TR/Hiloti ?) - Standard

Vorgehen bei Tan-Trojaner (TR/Hiloti ?)



der mbr bleibt unberührt.
diese cd würde ich aber trotzdem brennen, denn hier liegt das problem bei den recovery partitionen, wenn der mbr nämlich mal, aus welchem grund auch immer, verendert wurde, läuft das mit der recover funktion nicht mehr.
du kannst aber diese zitirte funktion nutzen.

welches betriebssystem nutzt du?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 14.04.2011, 13:50   #11
Batty84
 
Vorgehen bei Tan-Trojaner (TR/Hiloti ?) - Standard

Vorgehen bei Tan-Trojaner (TR/Hiloti ?)



Danke für die schnelle Antwort! Ich habe Vista.

Na, dann ist doch alles super.
Verstehe ich das richtig, dass du vorschlägst, erst die Recovery-CDs zu brennen und es dann über D2D zu versuchen? Kann man dann, wenn der MBR doch irgendwie futsch ist über die neu gebrannten Recovery-CDs das System SAUBER wiederherstellen? Sind die Recovery-CDs wenn ich sie jetzt erstellen würde denn "sauber"?

Alt 14.04.2011, 14:37   #12
markusg
/// Malware-holic
 
Vorgehen bei Tan-Trojaner (TR/Hiloti ?) - Standard

Vorgehen bei Tan-Trojaner (TR/Hiloti ?)



die recovery cds werden, wenn ich das richtig sehe, vom recovery laufwerk erstellt, sind damit also sauber.
ich meinte nur allgemein, solltest du bei gelegenheit diese cds brennen, du kannst aber die d2d funktion nutzen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 14.04.2011, 14:43   #13
Batty84
 
Vorgehen bei Tan-Trojaner (TR/Hiloti ?) - Standard

Vorgehen bei Tan-Trojaner (TR/Hiloti ?)



Hervorragend, danke! Das ist doch ein kleines Licht am Ende des Tunnels. Und ja, die CDs werde ich so schnell wie möglich brennen und dieses Mal auch an einem sicheren (=wasserdichten) Ort aufbewahren!

Vielen Dank für die Hilfe!

Alt 14.04.2011, 15:29   #14
markusg
/// Malware-holic
 
Vorgehen bei Tan-Trojaner (TR/Hiloti ?) - Standard

Vorgehen bei Tan-Trojaner (TR/Hiloti ?)



wenn du neu aufgesetzt hast, meld dich und wir sichern den pc vernünftig ab.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 15.04.2011, 17:15   #15
Batty84
 
Vorgehen bei Tan-Trojaner (TR/Hiloti ?) - Standard

Vorgehen bei Tan-Trojaner (TR/Hiloti ?)



Mein Antivir hat sich gerade geupdated und dann sofort das hier gefunden:

TR/PSW.Sinowal.X.9

Ich habe ein bisschen gegoogelt, und offenbar installiert sich diese Malware über den Trojaner Win32/Mebroot.

Zitat:
The system is typically infected through a drive-by download while a compromised website is being browsed.

The dropper (malicious installation program) is executed after the web browser has been exploited.

Win32/Mebroot replaces the original MBR (Master Boot Record) of the hard disk drive with its own program code, as well as placing additional code to load and patch the following files:

* ntoskrnl.exe
Die Info habe ich von hier: hxxp://www.eset.com/us/threat-center/encyclopedia/threats/win32mebroot

Jetzt haben wir auch den Übeltäter.

Heisst das, ich kann das System doch nicht über den MBR neu aufsetzen bzw jetzt noch Recovery-CDs brennen? :-(

Edit 1: Kann ich die MBR vielleicht mit dem GMER-Programm retten? (hxxp://www.gmer.net/)
Edit 2: Ich habe den "Stealth MBR rootkit detector" mal auf C:/ laufen lassen, und offenbar hat er nichts gefunden, dann müsste die MBR in Ordnung sein, oder?
Tut mir leid, dass ich hier tausendmal editiere, aber ich bin leicht in Panik!!!

Geändert von Batty84 (15.04.2011 um 17:58 Uhr)

Antwort

Themen zu Vorgehen bei Tan-Trojaner (TR/Hiloti ?)
acer, acer aspire, antivir, appdata, banken, browser, dateien, dringend, firefox, folge, frage, gen, laptop, leute, löschen, neu, passwörter, problem, problem gelöst, quarantäne, surfen, system, tans, temp, trojaner, trojaner eingefangen, vista, zugriff, ändern



Ähnliche Themen: Vorgehen bei Tan-Trojaner (TR/Hiloti ?)


  1. Neuer Postbank Trojaner. Wie muss ich vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 14.11.2014 (31)
  2. BKA Trojaner blockiert meinen Computer - Vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 17.02.2014 (3)
  3. Trojaner Bundespolizei, wie muss ich vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 23.06.2013 (19)
  4. GVU-Trojaner: PC wieder entsperrt, weiteres Vorgehen?
    Log-Analyse und Auswertung - 20.04.2013 (13)
  5. Welches Vorgehen nach BKA Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 21.11.2012 (13)
  6. AKM Trojaner hat mich erwischt, wie vorgehen?
    Log-Analyse und Auswertung - 23.07.2012 (3)
  7. Trojaner - wie weiter vorgehen nach Malwarebytes Suchlauf?
    Plagegeister aller Art und deren Bekämpfung - 04.07.2012 (1)
  8. Vorgehen beim Verschlüsselungs-Trojaner ?
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (1)
  9. Vorgehen beim Verschlüsselungs-Trojaner - Bitte um Hilfestellung
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (6)
  10. BKA-Trojaner: Wie vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 25.04.2012 (13)
  11. Win32: Krytik-HIZ Trojaner, wie soll ich weiter vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 23.02.2012 (28)
  12. BKa Trojaner eigefangen,wie soll ich vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 02.02.2012 (7)
  13. Trojaner hiloti
    Log-Analyse und Auswertung - 19.07.2011 (1)
  14. Vista - Win32.Agent.fbx, Win32/Hiloti.grn!D, TR./Hiloti.D.2542
    Log-Analyse und Auswertung - 24.05.2011 (28)
  15. Trojaner TR/Hiloti.2385 sowie TR/TDSS.fgr
    Log-Analyse und Auswertung - 10.05.2011 (9)
  16. Befall mit trojan.hiloti & co. C:\WINDOWS\msmcfy.dll (Trojan.Hiloti)
    Plagegeister aller Art und deren Bekämpfung - 09.12.2010 (16)
  17. TR/Crypt.XPACK.Gen2, TR/Hiloti, und weitere Trojaner entfernen
    Plagegeister aller Art und deren Bekämpfung - 21.11.2010 (5)

Zum Thema Vorgehen bei Tan-Trojaner (TR/Hiloti ?) - Hallo allerseits Nun ist es passiert, ich habe mir einen richtig bösen Trojaner eingefangen und bräuchte dringend fachmännischen/-frauischen Rat zu dessen Loswerdung. Vor vier Tagen bekam ich beim Surfen von - Vorgehen bei Tan-Trojaner (TR/Hiloti ?)...
Archiv
Du betrachtest: Vorgehen bei Tan-Trojaner (TR/Hiloti ?) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.