[shogun03]

@Rika
idR. ist das meiste an trojanern in freier wildbahn nur spielzeug (wenn ich mir die meisten der malwarebeschreibungen bei AV-herstellern anschaue) und lässt sich sehr wohl mit den üblichen vorsorgemaßnahmen (systemrestore off , entfernung im abg. modus ) löschen.
was das das ding in der zwischenzeit schon angestellt hat und wieviele passwörter dabei schon gestohlen wurden ist eine andere frage und rechtfertigt natürlich ein neuinstalliertes system und den wechsel aller passwörter.
das was du vll. meinst, aber nicht sagst, sind die gefährlicheren sachen die relativ viel am system verstellen und sich z.b. im ADS verstecken.
natürlich ist es wiederrum eine frage des aufwandes und fachwissens das teil zu löschen und möglicherweise über genaue malwarebeschreibungen die änderungen rückgängig machen zu können.

[Rika]

Zitat

Der Fall hier hört sich aber nicht so an.

Welchen Teil von "TR/Drop.Puper.AF.1" hast du nicht verstanden?

[shogun03]

@rika

nu lass das besserwissen mal sein , hhk.dll gehört (unter beachtung der antivir-ausgabe) laut Sophos zu einem browserhijacker der die startseite ect. ändert und sowas ist nicht zwangsweise der weltuntergang .
man muss , unter beachtung der vorsorgemaßnahmen vor dem reinigen, nur die 2-3 fake-elemente (die meist relativ schnell zu finden sind) im RUN bzw. BHO finden und löschen .

[Graumagier]

max sagte:

Das würde Virenscanner völlig unnötig machen. Es ist also Quatsch.

Sorry, aber von allen hier geschriebenen Argumenten ist das das schwächste.

1.) Ein Virenscanner ist bei weitem nicht unfehlbar, schon gar nicht wenn er auf einem kompromittieren System läuft. Dann darf man ihm genau gar nicht mehr vertrauen.
2.) Wenn der Schädling schon mal einige Rootkits nachinstalliert hat, hilft auch der beste Virenscanner nicht mehr, weil das System einfach nicht mehr vertrauenswürdig ist.

Dieser Beitrag wurde von Graumagier bearbeitet: 02. August 2005 - 08:00

[shogun03]

@Graumagier

max redet glaube nicht vom schlimmst anzunehmenden fall da viele AV-scanner die malware ja schon am starten hindern können.
richtig ein AV-scanner ist nicht unfehlbar aber es ist immernoch besser als garnichts und ich glaube das du es auch nicht bestreiten würdest das mit kaspersky die chance relativ hoch ist aus einem kompromittierten system wieder ein malwarefreies zu machen .

ausserdem sollten diese hilfethreads nicht immer mit "worst case" grundsatzdiskussionen gehijackt und zugespammt werden , bevor sich der falsche angesprochen fühlt ich meine beitrag 11 & 13.
alles andere vorher waren ja noch hilfsangebote.

[Graumagier]

shogun03 sagte:

richtig ein AV-scanner ist nicht unfehlbar aber es ist immernoch besser als garnichts und ich glaube das du es auch nicht bestreiten würdest das mit kaspersky die chance relativ hoch ist aus einem kompromittierten system wieder ein malwarefreies zu machen .

Das kommt ganz auf die Umstände an. In diesem Fall wohl nicht, da der Virus ja ganz offensichtlich zur Ausführung gekommen ist. Und das ist ja wohl als Worst-Case-Szenario zu betrachten.

[shogun03]

richtig, er läuft . antivir kann scheinbar nicht allzuviel ausrichten da das ausführende fake-programm sich immer wieder aus einem backup wiederherstellt aber auch das bekommt man zum schweigen wenn man wenigstens versuchen würde über die deaktivieruing des systemrestore und löschung der aktiven komponenten im abgesicherten modus im hijackthis .
aber wenn man schon das grundsätzliche rauspocht kann man auch erwähnen das es besser AV-scanner als antivir gibt und andere AV-scanner den browserhijacker schon am erststart gehindert hätten.

[Graumagier]

shogun03 sagte:

aber wenn man schon das grundsätzliche rauspocht kann man auch erwähnen das es besser AV-scanner als antivir gibt und andere AV-scanner den browserhijacker schon am erststart gehindert hätten.

Oder dass er nicht nur eine PFW einsetzt, sondern diese noch dazu nicht bedienen kann. Aber so ist es nun mal passiert und man muss vom Worst Case ausgehen.

Dieser Beitrag wurde von Graumagier bearbeitet: 02. August 2005 - 10:23

[shogun03]

willst du ihn dafür verhauen oder willst du ihm helfen ?

wie wärs damit , beim nächsten mal jede ungewöhnliche meldung die man nicht selbst provoziert hat (eine provozierte reaktion der FW wäre hier wenn man z.b. ein netzwerkfähiges programm selbst gestartet hat) untersuchen und wenn man keine erklärung dafür hat die meldung mit nein beantworten.

[Graumagier]

shogun03 sagte:

willst du ihn dafür verhauen oder willst du ihm helfen ?

Am liebsten verhauen

Aber ich denke es ist für ihn eine größere Hilfe, wenn er den PC neu aufsetzt und von Anfang an alles richtig macht, als wenn er sich alle paar Wochen mit neuen Problemen herumschlagen muss.

Dieser Beitrag wurde von Graumagier bearbeitet: 02. August 2005 - 10:47

[Stan]

Zitat (shogun03: 02.08.2005, 11:29)

willst du ihn dafür verhauen oder willst du ihm helfen ? 

wie wärs damit , beim nächsten mal jede ungewöhnliche meldung die man nicht selbst provoziert hat (eine provozierte reaktion der FW wäre hier wenn man z.b. ein netzwerkfähiges programm selbst gestartet hat) untersuchen und wenn man keine erklärung dafür hat die meldung mit nein beantworten.
<{POST_SNAPBACK}>

Wenn du jeder Meldung dieser tollen PFW nachgehst, kommste ja garnimmer zum surfen. Die beste Lösung ist immer noch, sich nen Ordendlichen Router anzuschaffen und dann selber festzulegen was raus und rein darf.

[n0N4M3]

Zitat (Graumagier: 01.08.2005, 15:10)

joshi sagte:

ICh weiß nicht wie ich den virus löschen kann ohne meine festplatte zu formatieren

Gar nicht. Hier kannst du nachlesen warum.

Kann nicht entfernt werden? Selten so n Schwachsinn gelesen. DAS macht der Trojaner (und sollte auch leicht wieder rückgängig zu machen sein):


Wenn der Trojaner installiert wird, werden folgende Dateien erstellt:

<SYSTEM>\hhk.dll
<SYSTEM>\intmon.exe
<SYSTEM>\hp<zufällige Zeichen>.TMP

Die letzte dieser Dateien wird als COM-Objekt und Browser Helper Object (BHO) für den Microsoft Internet Explorer registriert, indem Registrierungseinträge erstellt werden unter:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF]
HKCR\CLSID\VMHomepage\
HKCR\CLSID\[FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF]
HKCR\Interface\[1E1B2878-88FF-11D2-8D96-D7ACAC95951F]
HKCR\TypeLib\[1E1B286C-88FF-11D2-8D96-D7ACAC95951F]

Damit er beim Start aktiviert wird, erstellt der Trojaner den folgenden Registrierungseintrag:

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run
paint.exe
shnlog.exe

Der Trojaner ändert die Einstellungen für den Microsoft Internet Explorer, darunter die Startseiten- und Sucheinstellungen, indem er Werte an folgenden Stellen verändert:

HKCU\Software\Microsoft\Internet Explorer\Main\
HKCU\Software\Microsoft\Internet Explorer\Search\
HKCU\Software\Microsoft\Internet Explorer\SearchUrl\

An folgenden Stellen werden ebenfalls Registrierungseinträge erstellt:

HKCR\CLSID\VMHomepage\
HKCR\CLSID\VMHomepage.1\
HKCR\VMHomepage\
HKCR\VMHomepage.1\

Da ich mit "Sophos Anti-Virus" die besten Erfahrungen gemacht habe, hier eine Kurzanleitung (sollte aber auch mit anderen Antivirenprogrammen gleichermassen zu lösen sein):


Um den Trojaner zu entfernen,

- Schließ alle Programme.
- Gehe auf Start|Programme| und starte "Sophos Anti-Virus"
- Wähle die Registerkarte "Sofortstart".
- Gehe auf Optionen|Konfiguration..., und wähle die Registerkarte "Maßnahmen". Wähle dort "Löschen" und klicke auf "OK".
- Klicke auf die Schaltfläche "Go" in der Menüleiste, um die Überprüfung zu starten.
- Lösche die Dateien. Starte eine weitere Überprüfung, um sicherzugehen, dass die Dateien entfernt wurden.
- Gehe erneut auf Optionen|Konfiguration..., wähle die Registerkarte "Maßnahmen", und deaktiviere die Optionen "Infizierte Dateien" und "Löschen". Klicke auf "OK".
- Boote den Computer neu und starte eine letzte Überprüfung, um sicherzugehen, dass der Trojaner entfernt wurde.


Wenn Sophos Anti-Virus Dateien nicht löschen kann, weil sie vom Betriebssystem verwendet werden, notiere die Namen der Dateien und mach Folgendes:

- Lade die aktuellen Virenkennungsdateien (IDEs) herunter (Link unten) und speicher sie auf Diskette. Aktiviere den Schreibschutz auf der Diskette.
- Starte den Computer im Abgesicherten Modus neu. Gehe auf Start|Beenden. Wähle aus dem Drop-Down-Menü "Neustart" und klicke auf "OK". Windows startet neu. Drücke F8, wenn folgendender Text im unteren Bildschirmbereich zu sehen ist: "Problembehebung und erweiterte Windows-Startoptionen: F8-Taste drücken". Wähle in dem Menü für die Erweiterten Startoptionen die dritte Option "Abgesicherter Modus".
- Starte entweder SAV32CLI von der Sophos Anti-Virus CD oder lade eine Notfall-Version von SAV32CLI (Link weiter unten) auf einen nicht infizierten Computer herunter, entpacke sie und kopiere die in dem Archiv enthaltene Dateien auf eine leere CD mit Hilfe eines CD-Brenners..
- Lege an dem infizierten Computer die CD in das CD-Laufwerk (D: in diesem Beispiel) sowie die Diskette mit den IDEs in das Diskettenlaufwerk (A: in diesem Beispiel) ein.
Gebe in eine Befehlszeile folgendes ein:

D:
Dadurch greifst Du auf das CD-Laufwerk zu. Wenn die Sophos Anti-Virus CD verwendet wird, folgendes eingeben:

CD WIN32\I386\SAV32CLI
Wenn die SAV32CLI Download-Diskette verwendet wird, folgendes eingeben:

CD SAV32CLI
Und danach:

SAV32CLI -IDEDIR=A:\ -REMOVE -P=C:\LOGFILE.TXT
Dadurch wird der Trojaner entfernt und eine Logdatei auf C:\ erstellt.

- Bevor Du den Abgesicherten Modus verlässt, bearbeite die Registrierungseinträge (siehe oben).


Sollte funzen!


Hier noch die Links zu den IDE-Dateien und der Notfallversion von SAV32CLI:

SAV32CLI
IDEs

[Graumagier]

n0N4M3 sagte:

Kann nicht entfernt werden? Selten so n Schwachsinn gelesen.

Sorry, aber dann hast du keine Ahnung. Das Problem ist in dem Fall weniger der Trojaner selbst als vielmehr diverse Rootkits, die von diesem nachinstalliert werden können. Diese lassen sich mit deiner Anleitung nämlich keinesfalls entfernen.

[n0N4M3]

nochmal (ich schreibe jetzt bewusst ein bisschen langsamer ):

"Der Trojaner ändert die Einstellungen für den Microsoft Internet Explorer, darunter die Startseiten- und Sucheinstellungen, indem er Werte an folgenden Stellen verändert..."

Also: KEINE Nachladefunktion, KEINE Root-Kits, KEIN Keylogger (Passwörter also weiterhin "safe")...

Dieser Beitrag wurde von n0N4M3 bearbeitet: 02. August 2005 - 12:22