Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/ATRAPS.GEN - msacm32.drv und mehr (https://www.trojaner-board.de/78923-tr-atraps-gen-msacm32-drv-mehr.html)

emet 03.11.2009 14:45
Ich hab mich hier ja erst mal durchs Forum gelesen und da findet man eine Aussage, die mir auch vorher schon klar war: "100% gibt es nicht".

Du dürftest bei einem jungfräulichem System keine CD, DVD, Stick mehr reinstecken und dich nie mehr ins Internet begeben.

Einmal ins Internet kann bereits reichen und du hast es noch nicht mal bemerkt.

Ich hab aufs neuaufsetzen verzichtet, da hätte mir inzwischen zuviel gefehlt.

Ich bin zufrieden und hoffe, das keiner mehr was in meinen Logs findet.

stillway 03.11.2009 14:47
ok.

Weiss jemand noch Rat zu meiner 2ten Frage:

Da ich auch betroffen bin überlege ich, mir mein Acronis Backup draufzuspielen nach der Neuinstallation. Reicht das aus? Oder muss ich noch zusätzlich den Masterboot Sektor "ausmerzen"?

undoreal 03.11.2009 14:48
Das sieht soweit ganz gut aus. Allerdings sind da Spuren vom Sinowal zu sehen. Einem der übelsten Trojaner überhaupt.

Ich würde noch mit ein zwei Scannern scannen um das Restrisiko soweit wie möglich zu verringern.

Nimm dazu am besten eine live CD.

Antivirus Live-CD


Drucke dir diese Anleitung aus da sie dir während du mit der Live-CD arbeitest nicht zur Verfügung steht!


1. Brennen und Starten der LiveCD:
  • Downloade dir dieses Archiv:
    Code:
    http://qshare.com/get/866107/MultiAVBootCD.zip.html
  • Entpacke die Datei in einen eigenen Ordner. Das Passwort lautet: LiveCD2009
  • Brenne die entpackte .iso Datei mit einem Brennprogramm deiner Wahl. Kostenlos und gut ist zum Beispiel der CdBurnerXP
  • Lege die Cd ins Laufwerk ein und starte den Rechner neu. Er sollte nun von der CD booten und einen Auswahlbildschirm auf Italienisch anzeigen. Wenn der Rechner nicht von der CD bootet sondern ganz normal Windows startet musst du im BIOS den boot device ändern.(Google Hilft ;) )


2. Datensicherung:
  • Wähle im Auswahlbildschirm die zweite Option (Menu antivirus) aus.
  • Im folgenden Auswahlbildschirm wähle den zweiten Eintrag (Avvio die GDATA) aus.
  • Das G-Data Rettungssystem startet nun.
  • Du wirst automatisch gefragt ob die Virus Signatures aktuallisiert werden sollen bestätige erst durch drücken des Si Buttons und danach mit Ok.
  • Warte bis das Update beendet ist (100%) und schließe das Fenster durch Klicken des Chiudi Buttons.
  • Danach kannst du das G-Data AntiVirus Fenster erstmal schließen.
  • Öffne den File Manager (Gestione file) durch drücken des Akten Zeichens in der Taskleiste.
  • Navigiere zu deinen Festplatten. Diese finden sich im Menü auf der Linken Seite unter Filesystem -> mnt
  • Stecke deinen USB-Stick oder deine externe Festplatte in einen freien USB-Slot.
  • Öffne den File Manager ein zweites mal und navigiere zu deinen USB-Stick. Dieser findet sich als letzter Eintrag im Menü des File Managers auf der Linken Seite.
  • Nun hast du zwei Fenster geöffnet zwischen denen du per Drag&Drop bzw. Copy&Paste Daten verschieben kannst.
  • Sichere deine wichtigen Dokumente. Allerdings so musst du dies nach strengen Kriterien tun:
a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben.
b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV durchsucht werden.
c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!


3. Schädlingssuche:


Viele Rootkits verändern beim Windows Start ihren Namen. Daher ist es wichtig, dass während der folgenden Prozedur der Rechner nie das normale Windows Betriebssystem startet sondern immer von der LiveCD bootet. Solltest du mal nicht schnell genug die CD ins Laufwerk bekommen oder das BootMenü verpassen so drücke den Reset Knopf am Computer um zu verhindern, dass Windows gestartet wird.


G-DATA:
  • Starte nun die Schädlingssuche.
  • Anfallende Log/Bericht Dateien speichere unbedingt!!
  • Schreibe dir außerdem die Funde ab!!
  • Nachdem G-Data durch ist starte den Rechner neu.

F-Secure:
  • Boote wieder von der CD und mache mit F-Secure weiter (Avvio di F-Secure).
  • F-Secure updatet sich von alleine. Klicke dich durch die Dialoge und starte den Scan.
  • Log/Bericht Dateien auf jeden Fall speichern und Funde abschreiben!!
  • Nachdem der Scan beendet ist starte den Rechner neu.

DrWeb:
  • Boote wieder von der CD und wähle (Avvio di DrWeb) aus.
  • Danach wähle den ersten Eintrag DrWeb-LiveCD aus.
  • Klicke im Hauptfenster unbedingt den grünen Button (Update Bases)!
  • Danach starte den Scan durch drücken des Start Buttons.
  • Log/Bericht Dateien auf jeden Fall speichern und Funde abschreiben!!
  • Nachdem der Scan beendet ist starte den Rechner neu.

Kaspersky:
  • Boote wieder von der CD und wähle (Avvio di kaspersky) aus.
  • Danach wähle den ersten Eintrag rescue aus.
  • Kasperksy09 startet. Das Update sollte automatisch starten. Wechsel in den Update Reiter und stelle sicher, dass das Update durchgeführt wird. Startet das Update nicht so starte es bitte manuell. Warte bis das Update beendet wurde und die Siganturen aktuell sind.
  • Setze unter Settings -> Scan: den Haken bei All Archives.
  • Wähle unter Settings -> Threads and Exclusions -> Settings: alle Bedrohungen aus. Einen Haken musst du selber für "other Programms" setzen.
  • Wähle dann im Hauptfenster alle deine Festplatten sowie die Laufwerksbootsektoren aus (einfach alles auswählen!) und starte den Scan.
  • Ist der Scan beendet rufe das log auf und speichere es.
  • Schreibe dir außerdem wie immer alle Funde auf ein Blatt Papier ab!!

Alle Log/Bericht Dateien sowie die abgeschriebenen Funde packe bitte per G-Data Rettungssystem wie oben beschrieben auf einen USB-Stick und poste sie uns. Dazu musst du einen anderen PC benutzen da du den infizierten Rechner wie gesagt nur über die Live CD booten darfst bis du von uns andere Anweisungen bekommst.
Solltest du keinen anderen PC zur Verfügung haben bietet das DrWeb Live System einen integrierten FireFox an. Du kannst also von der DrWeb-LiveCD booten, FireFox aufrufen, das Trojaner-Board besuchen und uns die Funde posten.

stillway 03.11.2009 16:04
Reicht es bei Befall ein ("sauberes") Acronis Backup meines Systems draufzuspielen? Oder kann der Trojaner in irgendeinem Speicher trotzdem überleben?

undoreal 03.11.2009 16:26
Die Antwort galt emet.

Stillway bitte eröffne bei weiteren Fragen einen eigenen Thread. Sonst wird es zu unübersichtlich.

Zwei Fragen beantworte ich dir aber schnell schonmal so:

Zitat:
Reicht es bei Befall ein ("sauberes") Acronis Backup meines Systems draufzuspielen?
Ja!
Zitat:
Oder kann der Trojaner in irgendeinem Speicher trotzdem überleben?
Nein! Dafür hat man Acronis ja. ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:11 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131