|
Vorgehen bei Tan-Trojaner (TR/Hiloti ?) Hallo allerseits Nun ist es passiert, ich habe mir einen richtig bösen Trojaner eingefangen und bräuchte dringend fachmännischen/-frauischen Rat zu dessen Loswerdung. Vor vier Tagen bekam ich beim Surfen von AntiVir rasch hintereinander Meldungen über Bedrohungen. Es handelte sich um folgende: TR/Crypt.XPACK.Gen JAVA/Exdoer.BB.3.D JAVA/Exdoer.BB.3.F Diese kamen mehrmals hintereinander, und ich habe sie jeweils löschen bzw den Zugriff verweigern lassen und den Browser (Firefox) sofort zugemacht. Trotzdem kam wohl irgendetwas davon durch... als ich mich nämlich in meine zwei Onlinebankingkonten einloggte, bekam ich die Aufforderung, 10 unverbrauchte TANs einzugeben (was ich natürlich NICHT gemacht habe). Ein Anruf bei den jeweiligen Banken genügte, um das Onlinekonto sperren zu lassen. Auch rieten mir die Leute, meine persönlichen Daten zu sicher und den betroffenen Laptop neu aufzusetzen, alle Passwörter zu ändern ect... Ich habe dann erstmal einen vollständigen AntiVir-Scan laufen. Dabei hat es die Trojaner TR/Hiloti.3.18 TR/Hiloti.3.22 gefunden, welche in die Quarantäne verschoben wurden. Alle "bösen" Dateien befanden/befinden sich unter C:\Users\Mein Name\AppData\Local\Temp\ Nun frage ich mich: Wars das jetzt? Problem gelöst? Oder muss ich tatsächlich mein System platt machen? Ich habe einen Acer Aspire 7730G mit Vista, jedoch keine Recovery-CDs mehr dazu (unsere Wohnung ist vor einem Jahr bei einem Rohrbruch komplett unter Wasser gesetzt worden, und mit ihr auch diese CDs :headbang:). Für eure Hilfe wäre ich superdankbar! Viele Grüss, Batty |
also, ich persönlich würde das gerät neu aufsetzen. dazu musst du dir halt ne windows cd besorgen, dies kann dir ja sowieso passieren, wenn du mal deine instalation zerschießt. oder, du leist dir ne windows cd, wir können deinen code auslesen und du gibts den dann bei der instalation ein. das risiko, das wir nicht alles finden, wäre mir persönlich zu groß, da es hier um geld geht sollte man nicht mit der 99 %igen sicherheit leben die wir dir bieten können. |
Selbstverständlich vertraue ich eurem Urteil, aber gibt es keine Möglichkeit, erstmal eine Bereinigung des Systems zu versuchen? Handelt es sich dabei um einen so raffinierten Trojaner, dass er nicht aufzuspüren ist? Wie vermeide ich den denn in Zukunft? Soweit ich mich erinnern kann, habe ich nach irgendwas gegoogelt und wurde auf eine Seite mit einer Java-Anwendung umgeleitet, die ich jedoch gleich geschlossen habe... aber sowas kann man ja leider nicht riechen. :( Welche Daten darf ich denn alles sichern? Auch Installationsdateien von Programmen wie AllZip, Firefox ect? |
instalationsdateien kannst du sichern. wie du das vermeidest erkläre ich dir dann. na was heißt denn erst mal... wir können sichtbare trojaner bestandteile entfernen, das ist aber noch lange keine garantie. und, ist es dann nicht besser neu aufzusetzen, wenn man die risiken betrachtet, wie zwei leere konten? |
Hm... alles klar, dann mache ich mich mal ans Werk. Manoman, hätte nicht gedacht, dass es auch Sachprogramme gibt, an denen selbst ihr scheitert ;) Jedenfalls: Danke für die ehrlichen Worte! Und für eine Aufklärung, wie man sowas vermeiden kann, wäre ich wirklich dankbar. Ich dachte, mit einem aktuellen Antivirenprogramm (und AntiVir gilt ja soweit ich weiss als sehr gut), sei man einigermassen sicher vor sowas. Schliesslich kam der Trojaner ja nicht dadurch, dass ich einen Emailanhang geöffnet oder sich illegal was heruntergeladen habe. |
das hat nichts mit scheitern zu tun, ich möchte dich nur unmissverständlich auf die risiken hinweisen. |
Das war absolut nicht als Beleidigung gemeint Markus! Ich kann die Bedenken auf jeden Fall verstehen und du hast vollkommen recht. Ich finde es bloss erschreckend, dass man sich einfach so sowas einfangen kann und man absolut nichts dagegen tun kann, ausser das System völlig neu aufzusetzen. Und man hängt ja auch an einem "running System"... |
ich hab das keines wegs als beleidigung aufgefasst. du kannst was dagegen tun, dies zeige ich dir, wenn es so weit ist. und auch deswegen möchte ich lieber, dass du quasi nen neu anfang machst. denn zu den dingen die du tun kannst, gehört ne komplette sicherung des systems (backup) und dies regelmäßig. und dies würde nichts bringen, wenn du ein potentiell infiziertes system sicherst. |
Alles klar... noch eine Frage: Wisst ihr, ob dieser Virus/Trojaner auch den Bootsektor betrifft? Wenn nein habe ich nämlich gesagt bekommen, dass ich mithilfe einer versteckten Partition im Nachhinein noch eine Recovery-CD erstellen kann und mit deren Hilfe dann das System neu aufsetzen kann. Dann gehen mir auch die Treiber nicht verloren. Bloss darf natürlich der Virus den Bootsektor nicht manipuliert haben. Oder es gibt die D2D-Recovery: Zitat:
P.S: Ich will mich nicht vor dem neu Aufsetzen drücken, aber momentan ist die finanzielle Lage nicht gerade rosig, so dass ich mir dreimal überlegen sollte, ob ich ein komplettes neues Betriebssystem kaufen muss. |
der mbr bleibt unberührt. diese cd würde ich aber trotzdem brennen, denn hier liegt das problem bei den recovery partitionen, wenn der mbr nämlich mal, aus welchem grund auch immer, verendert wurde, läuft das mit der recover funktion nicht mehr. du kannst aber diese zitirte funktion nutzen. welches betriebssystem nutzt du? |
Danke für die schnelle Antwort! Ich habe Vista. Na, dann ist doch alles super. Verstehe ich das richtig, dass du vorschlägst, erst die Recovery-CDs zu brennen und es dann über D2D zu versuchen? Kann man dann, wenn der MBR doch irgendwie futsch ist über die neu gebrannten Recovery-CDs das System SAUBER wiederherstellen? Sind die Recovery-CDs wenn ich sie jetzt erstellen würde denn "sauber"? |
die recovery cds werden, wenn ich das richtig sehe, vom recovery laufwerk erstellt, sind damit also sauber. ich meinte nur allgemein, solltest du bei gelegenheit diese cds brennen, du kannst aber die d2d funktion nutzen. |
Hervorragend, danke! Das ist doch ein kleines Licht am Ende des Tunnels. Und ja, die CDs werde ich so schnell wie möglich brennen und dieses Mal auch an einem sicheren (=wasserdichten) Ort aufbewahren! Vielen Dank für die Hilfe! |
wenn du neu aufgesetzt hast, meld dich und wir sichern den pc vernünftig ab. |
Mein Antivir hat sich gerade geupdated und dann sofort das hier gefunden: TR/PSW.Sinowal.X.9 Ich habe ein bisschen gegoogelt, und offenbar installiert sich diese Malware über den Trojaner Win32/Mebroot. Zitat:
Jetzt haben wir auch den Übeltäter. Heisst das, ich kann das System doch nicht über den MBR neu aufsetzen bzw jetzt noch Recovery-CDs brennen? :-( Edit 1: Kann ich die MBR vielleicht mit dem GMER-Programm retten? (hxxp://www.gmer.net/) Edit 2: Ich habe den "Stealth MBR rootkit detector" mal auf C:/ laufen lassen, und offenbar hat er nichts gefunden, dann müsste die MBR in Ordnung sein, oder? Tut mir leid, dass ich hier tausendmal editiere, aber ich bin leicht in Panik!!! |
kannst mal die genaue avira meldung zeigen, sammt fund ort doch brennen kannst du. |
Hier sind die Meldungen: In der Datei 'C:\Users\Mein Name\AppData\Local\Temp\F1BB.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Sinowal.X.9' [trojan] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\Users\Mein Name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scanzdiskc28.dll' wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Sinowal.X.9' [trojan] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\Users\Mein Name\aload05.dll' wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Sinowal.X.9' [trojan] gefunden. Ausgeführte Aktion: Datei löschen |
laut avira ist der mbr nicht betroffen, wir prüfen das jetzt aber, ums ein für ale mal auszuschließen bitte eSage Lab - Digital security research and consulting - Resources herunterladen. entpacke das archiv in einen eigenen ordner. doppelklick in dem ordner auf remove.exe. Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im log posten |
Alles klar, danke. Also, erstmal gibt es mir im schwarzen Fenster eine Fehlermeldung: main<>: CreateFile<>Error 5 ERROR: Can't open volume device \\.\C: Das Fenster schliesst sich nicht automatisch nach dem Beenden des Scans, oder? Das Log-File ist im Anhang... |
Manoman, ich bin ganz schön doof... Muss das Tool natürlich als Admin ausführen. Jetzt heisst es im schwarzen Fenster: http://img827.imageshack.us/img827/8...ablage01vj.jpg Das Log dürfte dasselbe sein, soweit ich sehe. |
scheint io zu sein, also neu aufsetzen wie beschrieben. |
Alles klar, werde ich machen, sobald das neue CD-Laufwerk da und eingebaut ist (ein funktionierendes Laufwerk ist ja ganz nützlich, wenn man Recovery-CDs brennen will ;-)) Vielen Dank für die Hilfe, ich melde mich dann mit "reinem" System wieder! |
ja das wäre auf jeden fall günstig :d |
Hallöchen Ich habe jetzt mein System über die nachträglich gebrannten Recovery-CDs neu aufgesetzt. Habe auch gerade die ganzen überflüssigen Programme deinstalliert, welche Acer immer mit vorinstalliert, habe Avira Antivir und Firefox installiert und mache jetzt einen Systemwiederherstellungspunkt. Wäre jetzt also gerne Bereit für weitere Belehrungen bezüglich "wie schütze ich mich vor Trojanern". Insbesondere würde mich halt schon interessieren, wie ich es verhindern kann, über einen Google-Link mir sowas einzufangen... Viele Grüsse, Batty |
Hallöchen Mein Thread ist wohl untergegangen :-) Ich wollte nur nachfragen, ob es denn nun einen konkreten Schutz davor gibt, dass man automatisch von Google auf falsche Seiten umgeleitet wird, von denen man offenbar Schädlinge abbekommt. Viele Grüsse, Batty |
sorry hab ich wirklich übersehen! welche windows version? find da grad keine angabe. |
Kein Problem. Ich habe Windows Vista Home Premium, Service Pack 2 |
http://www.trojaner-board.de/96344-a...-rechners.html hier alle!! tipps für vista/windows 7abarbeiten. anstelle des ie8 instaliere ie9 Internet Explorer - Microsoft Windows zusätzlich file hippo, secunia, den abschnitt autorun und panda vaccine .abarbeiten. bitte start suchen: windows update enter bitte instaliere alle wichtigen und optionamen updates. unter einstellungen so konfigurieren das updates automatisch geladen / instaliert werden. anmerkungen meiner seits: avira genauestens nach anleitung instalieren: http://www.trojaner-board.de/54192-a...tellungen.html achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig. unter avira, konfiguration, Guard, Suche, weitere Aktionen die autostart überwachung deaktivieren. als browser solltest du den opera nutzen, er ist sicherer und schneller. wenn er dir nicht gefällt passe ich meine anleitung für den ff an. um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. bitte ab sofort anstelle des browser symbols nur noch das sandboxed web browser symbol anklicken. eine sandbox ist eine vom system isoliert arbeitene umgebung, wenn hier ein schadprogramm reingelangt, läuft es im besten falle nicht, da wir die sandbox eingeschrenkt haben, oder es läuft, kommt aber nicht raus. kenne keine malware, die das im moment kann. dieses konzept muss, um die maximale wirkung zu erreichen, komplett umgesetzt werden. hier greifen nämlich mehrere maßnamen. - updates von windows. durch das automatische updaten von windows werden jeden monat sicherheitslücken geschlossen durch die man schadcode einschläusen kann. - updates mit secunia und file hippo. diese programme helfen dir, die gesammte restliche software aktuell zu halten, auch hier werden lücken geschlossen, durch die angreifer schadcode einschläusen wir nutzen 2 programme zum prüfen auf updates, um definitiv alle abzudecken. die updates sollten immer sofort instaliert werden. hiermit wird einem potentiellen angreifer die möglichkeit genommen schadcode einzuschläusen. natürlich gibts immer unbekannte, bzw bekannte aber noch nicht geschlossene lücken. deswegen: eingeschrenktes nutzerkonto: dieses konto ist für die tägliche arbeit, das admin konto nur für instalationen. hier werden programme mit eingeschrenkten rechten ausgestattet, somit wird malware die möglichkeit erschwert, sich im system festzusetzen. uac: die uac gibt dir kontrolle über prozesse die gestartet werden sollen, bitte meldungen genau lesen und im zweifelsfalle auf nein klicken. dep und sehop tun dies ebenfalls. - sandboxie ist ein wichtiger bestandteil, auf den ich schon eingegangen bin. - avira: auf ein antimalwareprogramm sollte man, zu mindest als einzellösung sich nicht verlassen. es gibt jeden tag rund 50000 neue malware variannten, da kommt kein hersteller hinterher. es ist aber, mit den anderen getroffenen maßnamen durchaus nützlich, wenn es, nach der geposteten anleitung konfiguriert, und damit auch immer aktuell ist. das backup: dieses kannst du nutzen, wenn: - malware auf dem system ist - es andere probleme mit dem pc gibt. mit dem backup wird das system auf einen sauberen zustand wiederhergestellt, also führe es regelmäßig aus, dann hast du keine daten verlusste. alle benötigten verknüpfungen fürs eingeschrenkte konto nach c:\benutzer\Default\desktop bzw \startmenü kopieren. so sind sie für alle sichtbar wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte. lies auch den abschnitt zum onlinebanking!! |
Hallöchen Vielen Dank für die Anleitungen. Habe sie jetzt nach bestem Wissen und Gewissen abgearbeitet und werde in Zukunft nur noch über die Sandbox online gehen. Das ist ja ein tolle Programm! Avira habe ich sowieso installiert, und ich arbeite mit Firefox statt des IE. Persönliche Daten wie Fotos, Dokumente ect. werde ich in Zukunft auf einer externen Festplatte speichern, dann verliere ich sie nicht, sollte das System mal vollkommen lahmliegen. Vielen Dank für die Tipps! Auf dass das System sauber bleiben möge.... (ist grad so schön :-D) |
a du nutzt den firefox, nicht opera, dann muss in der sandbox aber einiges umgestellt werden. erst mal instaliere für den firefox noscript und adblock+ hier gibt es noch filterlisten: Bekannte Filterlisten fr Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe beschrenken, hier kannst du auch noscript und andere plugins eintragen. geht auch unter c:\windows\sandboxie.ini unter dem eintrag defauld box OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini bei Internetzugriff: firefox.exe und plugin-container.exe eintragen öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, firefox. direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok. hast du dir das backup programm angesehen? du kannst damit ne sicherung des gesammten systems machen, bei neuer malware oder anderen problemen nimm das backup und du hast nen sauberes system in 10 minuten. wegen avira, bitte nicht die konfiguration vergessen, das macht avira noch etwas genauer. |
Welches Backup-Programm? Habe ich was überlesen? Sandbox hat mir direkt nach der Installation eine Verknüpfung namens "Sandboxed Web Browser" auf den Desktop gemacht. Diese lässt den Firefox aufgehen, allerdings ist in der Titelleiste vor dem Namen der aufgerufenen Website ein [#] zu finden. Ich nehme an, das ist Firefox im Sandbox-Modus. Das war aber schon so, ohne dass ich irgendwelche Einstellungen vorgenommen habe. Macht es das vielleicht automatisch (neue Version oder so)? Zur Malware-Liste: Wie kann ich diese Adressen automatisch blockieren lassen? Der Hinweis mit dem Avira-Autostart ist übrigends super. Habe mich schon etwas genervt, dass er immer motzt, wenn ich eine CD einlege :heilig: |
backup steht unter file hippo und secunia. hier noch mal ne checkliste was abgearbeitet werden muss: - windows updates, und das automatische laden von updates. - erstellen eines eingeschrenkten kontos. - sehop und dep aktivieren. - autorun deaktivieren, panda usb vaccine instalieren. - avira konfigurieren. - für den firefox die adons noscript und adblock + wenn du die hast, kannst du die ffilterregeln abounieren - file hippo und secunia - und darunter kommt das backup. - post 28 lesen da steht das schon alles drinn :-) da steht auch die konfiguration für sandboxie, das programm läuft natürlich auch ohne konfiguration, aber die konfiguration macht es sicherer. [#] zeigt an, das das programm sandboxed läuft. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:50 Uhr. |
Copyright ©2000-2024, Trojaner-Board