Kaspersky findet 3 Trojaner(Funktion und Gegenmaßnahme?), JS.LuckySploit.q/Trojan.Win32.Runner.qc/Trojan.Win32.FraudPack.pok |
Willkommen, Gast ( Anmelden | Registrierung )
Kaspersky findet 3 Trojaner(Funktion und Gegenmaßnahme?), JS.LuckySploit.q/Trojan.Win32.Runner.qc/Trojan.Win32.FraudPack.pok |
14.08.2009, 18:48
Beitrag
#1
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 115 Mitglied seit: 27.07.2009 Mitglieds-Nr.: 7.654 Betriebssystem: Win7 64Bit Virenscanner: Norton IS 2010 Firewall: NIS10/Hardware |
Ich habe heut mit dem Kaspersky Scanner 7 infizierte Dateien gefunden, in denen sich folgende Trojaner befinden:
*Trojan-Download.JS.LuckySploit.q *Trojan.Win32.Runner.qc *Trojan.Win32.FraudPack.pok Ich finde es zwar gut das Kaspersky diese erkennt, aber sie sind leider nicht in deren Datenbank aufgeführt und über google finde ich auch nichts passendes. Also hat da von euch vll. jemand ein paar Infos oder Erfahrungen mit denen? Was machen die 3, wo und wie verstecken sie sich im System und wie kann ich sie wieder entfernen? Bis jetzt habe ich noch nichts unternommen und eine Neuinstallation kommt nicht in Frage. Ich werd mich erst am Montag wieder an die Arbeit machen und den PC versuchen zu säubern, da könnte ich dann bei Bedarf auch mehr Informationen zu den Dateien und dem System geben. Danke schonmal! xri12 Der Beitrag wurde von xri12 bearbeitet: 14.08.2009, 18:50 |
|
|
Gast_blueX_* |
14.08.2009, 18:53
Beitrag
#2
|
Gäste |
Woher sollen wir dir sagen können, wo sich die Malware befindet?
Du musst doch wissen unter welchen Pfad sie gemeldet werden. Es kann auch keine Aussage darüber getroffen werden, was die Malware macht. Ein Neuaufsetzen wäre immer das Beste und sollte stets in Betracht bezogen werden. Hast du denn kein ordentliches sauberes Backup, dass du einspielen könntest? Hast du versucht die Malware im abgesicherten Modus zu löschen? |
|
|
14.08.2009, 18:53
Beitrag
#3
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Welche Verssion von Kaspersky hast du benutzt ?
Und füge, ein HiJackthis Log hier mit an, ---> http://www.rokop-security.de/index.php?showtopic=6235 Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
14.08.2009, 19:01
Beitrag
#4
|
|
Threadersteller War schon oft hier Gruppe: Mitglieder Beiträge: 115 Mitglied seit: 27.07.2009 Mitglieds-Nr.: 7.654 Betriebssystem: Win7 64Bit Virenscanner: Norton IS 2010 Firewall: NIS10/Hardware |
1.Woher sollen wir dir sagen können, wo sich die Malware befindet? 2.Hast du versucht die Malware im abgesicherten Modus zu löschen? Zu 1.: Ich weiss schon wo sich die Malware befindet, aber es kann ja sein dass sich diese irgendwo anderes einnistet oder eine Windows-Datei ersetzt. Zu 2.: Bisher habe ich nichts gemacht, nur den Scanner durchlaufen lassen und dann ein (verseuchtes) Image gezogen, falls durchs Säubern irgendetwas zerstört werden sollte. Welche Verssion von Kaspersky hast du benutzt ? Und füge, ein HiJackthis Log hier mit an, ---> http://www.rokop-security.de/index.php?showtopic=6235 Catweazle Von Kaspersky habe ich den Online-Scanner benutzt, der installierte von McAfee hat nämlich nichts gefunden. Hijackthis Log habe ich mir schon angeschaut aber da wurde nichts verdächtiges angezeigt. Momentan komme ich jetzt auch nicht an den Rechner, da er bei mir in der Firma steht. Ich möchte nur vor Montag möglichst viel rausfinden, damit ich nicht komplett unvorbereitet vor dem Teil stehe. |
|
|
14.08.2009, 19:20
Beitrag
#5
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Jetzt kommen wir zu dem "unangenehmen" Teil des Threads.
Das ist ein Firmenrechner! Ist es deine Firma? Wenn nein, lass es, lass das jemanden machen, der Verstand von Malware hat, bzw informiere die verantwortliche Person, die den Rechner IMHO neu aufsetzen lassen sollte. Wenn Ja, lass es auch! Nach den Aussagen, die du hier gemacht hast, bist du dir unsicher, ueberlege, was passiert(evtl. Arbeitsausfall, Verlust von Daten usw), wenn du den Rechner, bzw die Windowsinstallation zerlegst , oder nicht alle Malware finden und loeschen kannst. Denke daran, das Malware Passworte, Dokumente und aehliches geklaut haben kann! -------------------- MfG Ralf
|
|
|
14.08.2009, 19:33
Beitrag
#6
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Versuche mal http://www.emsisoft.de/de/software/stick/ das wen du das in deiner Firma darfst.
Bedenke aber das a² ab und wan mal einen False Posetive, Fehlarlarm herforbringt, also mit vorsicht zu geniesen. Wen du das benutzt halte dich an der Anleitung, um a² auf einem USB Stick zu bekommen. Oder du benutz eine COMPUTER BILD-Notfall-CD, ---> http://www.computerbild.de/download/COMPUT...CD-3127466.html Kaspersky Rescue CD 2008. ---> ftp://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/ Aber ich würde mal eueren System Admin bescheid geben was zu tuhn ist. Also erst mal die Finger Weg !!! Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
14.08.2009, 20:56
Beitrag
#7
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Bin der gleichen Meinung wie raman, wen du nicht das wisses dazu hast , und auch die berichtigung dazu, lass die Finger davon, einen reinigungsversuch zu starten. Sys Admin informieren, was zu tuhn ist. Das ist sein Job.
Lass die Finger, von den Too´ls die ich gepostet habe. Fertig. Catweazle Der Beitrag wurde von Catweazle bearbeitet: 14.08.2009, 20:57 -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
14.08.2009, 21:35
Beitrag
#8
|
|
Threadersteller War schon oft hier Gruppe: Mitglieder Beiträge: 115 Mitglied seit: 27.07.2009 Mitglieds-Nr.: 7.654 Betriebssystem: Win7 64Bit Virenscanner: Norton IS 2010 Firewall: NIS10/Hardware |
Bin der gleichen Meinung wie raman, wen du nicht das wisses dazu hast , und auch die berichtigung dazu, lass die Finger davon, einen reinigungsversuch zu starten. Sys Admin informieren, was zu tuhn ist. Das ist sein Job. Lass die Finger, von den Too´ls die ich gepostet habe. Fertig. Catweazle Das PC ist kein Firmen-Gerät; den hat ein Kollege mitgebracht weil Windows nicht mehr richtig gebootet ist.Ich hab ihn mir angeschaut und dann eben die 3 Trojaner gefunden. Und jetzt wollte ich rausfinden ob man sich das Neuaufsetzen sparen und evtl. die Trojaner entfernen kann. Aber wenn ihr jetzt sagt, dass das eher nichts wird, bzw. zu kompliziert ist, dann formatieren wir ihn halt und aus die Maus. Die infizierten Dateien hätte ich auch selbst löschen können, aber damit ist die Sache ja nicht erledigt. Wenn Ja, lass es auch! Nach den Aussagen, die du hier gemacht hast, bist du dir unsicher, ueberlege, was passiert(evtl. Arbeitsausfall, Verlust von Daten usw), wenn du den Rechner, bzw die Windowsinstallation zerlegst , oder nicht alle Malware finden und loeschen kannst. Denke daran, das Malware Passworte, Dokumente und aehliches geklaut haben kann! Ganz unbeholfen bin ich ja auch nicht; ich hatte nicht vor wild alles was ich finde zu löschen und dann zu hoffen dass alles noch passt. Deswegen habe ich zuerst ja noch ein Image erstellt, falls irgendwas schief geht. Also abschliesende Meinung: [ ]Säubern probieren oder [ ]Neuaufsetzen Allerdings würde mich immer noch interessieren was diese Trojaner letztenendes machen, da man über die Namen ja nichts findet. Auf alle Fälle wird er alle Passwörter von einem anderen PC aus ändern, lieber nichts risikieren. Der Beitrag wurde von xri12 bearbeitet: 14.08.2009, 21:35 |
|
|
14.08.2009, 21:40
Beitrag
#9
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.829 Mitglied seit: 06.10.2005 Mitglieds-Nr.: 3.709 Betriebssystem: Win 10 Home (1909) Virenscanner: Avira free Firewall: Comodo |
|
|
|
15.08.2009, 11:19
Beitrag
#10
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.607 Mitglied seit: 17.02.2009 Mitglieds-Nr.: 7.363 |
Hi xri12-
Wenn wir dir einen Rat geben sollen was zu tun ist dann musst du kooperieren. Poste ein rsit log nach dieser Anleitung: http://virus-protect.org/artikel/tools/random.html Danach könen wir dir evtl. sagen wie gefährlich eine Bereinigung ist. Zu den Trojaner: Das sieht mir nach einem Malware Paket aus welches über einen versteckten iframe Exploit auf den Rechner gelangt. Damit ist der Rechner kompromitiert was bedeutet das Hintertüren für den Angreifer geöfnet werden. Die können dann das nachladen was ihnen grade passt. Meistens sind das zBots die den Rechner in ein BotNetz einfügen. Das bedeutet dann auf jeden Fall das der Rechner neuaufgesetzt werden muss. Der Rechner sollte erstmal Falls keinen Internet Zugriff mehr bekommen! Der Beitrag wurde von Habakuck bearbeitet: 15.08.2009, 11:20 -------------------- "If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein |
|
|
15.08.2009, 15:09
Beitrag
#11
|
|
Threadersteller War schon oft hier Gruppe: Mitglieder Beiträge: 115 Mitglied seit: 27.07.2009 Mitglieds-Nr.: 7.654 Betriebssystem: Win7 64Bit Virenscanner: Norton IS 2010 Firewall: NIS10/Hardware |
Hi xri12- Wenn wir dir einen Rat geben sollen was zu tun ist dann musst du kooperieren. Poste ein rsit log nach dieser Anleitung: http://virus-protect.org/artikel/tools/random.html Danach könen wir dir evtl. sagen wie gefährlich eine Bereinigung ist. Zu den Trojaner: Das sieht mir nach einem Malware Paket aus welches über einen versteckten iframe Exploit auf den Rechner gelangt. Damit ist der Rechner kompromitiert was bedeutet das Hintertüren für den Angreifer geöfnet werden. Die können dann das nachladen was ihnen grade passt. Meistens sind das zBots die den Rechner in ein BotNetz einfügen. Das bedeutet dann auf jeden Fall das der Rechner neuaufgesetzt werden muss. Der Rechner sollte erstmal Falls keinen Internet Zugriff mehr bekommen! Hi, das Logfile werde ich Montag früh gleich hier reinstellen, genauso wie das von Hijackthis, wobei da keine unbekannten Dateien angezeigt wurden. Den Rechner hab ich schon vom Netz genommen, nachdem der Kaspersky Scanner das erste infizierte Objekt angezeigt habe. |
|
|
15.08.2009, 16:27
Beitrag
#12
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Wenn du den REchner eh im Zweifelsfalle neu installieren willst, mache mal eine Sicherung der wichtigsten Daten und jag da Malwarebytres Antimalware drueber, sowie einmal Combofix.
Minianleitungen dazu findest du hier: http://board.protecus.de/t23187.htm -------------------- MfG Ralf
|
|
|
20.08.2009, 08:11
Beitrag
#13
|
|
Threadersteller War schon oft hier Gruppe: Mitglieder Beiträge: 115 Mitglied seit: 27.07.2009 Mitglieds-Nr.: 7.654 Betriebssystem: Win7 64Bit Virenscanner: Norton IS 2010 Firewall: NIS10/Hardware |
Soa, bitte entschuldigt dass ich mich erst jetzt so spät melde, aber ich hatte die ganze Woche wenig Zeit zum schreiben.
Also ich wollte das ganze jetzt einfach schnell hinter mich bringen und hab zuerst alle infizierten Dateien, die mir Kaspersky gemeldet hat gelöscht. Das waren keine Systemdateien , sondern *.exe Files die z.B. im Temp-Ordner lagen. Danach habe ich mit Spybot alle Probleme behoben, die es gefunden hatte. Zum Schluss wie oben beschrieben habe ich noch Malewarebytes und Combofix durchlaufen lassen. Malewarebytes hat zusätzlich nochmal 4 infizierte Dateien und 7 Registryeinträge gefunden, die ich beseitigt habe. Danach habe ich den PC rebooten lassen und siehe da, er ist wieder ohne Problem hochgefahren. Vorher blieb er im Ladebildschirm hängen, manchmal auch erst in der Anmeldung oder, wenn man sich anmelden konnte, wurde der explorer beendet. Jedenfalls lief er jetzt wieder ohne Probs und ich hab dann nochmal den Kaspersky durchlaufen lassen und dieser fand darauf hin eine neue infizierte Datei, die er vorher noch nicht angezeigt hatte. Hab da irgendwie die Befürchtung dass sich der Trojaner dann ständig wieder neu anlegt. Also habe ich es dann sein lassen und dem Kollegen empfohlen komplett zu Formatieren und dann alles nochmal neu aufzusetzen. Und zusätzlich soll er sich ein anderes AV kaufen, McAfee hat nämlich nichts von all dem erkannt. Trotzdem Vielen Dank dafür dass ihr mir geholfen habt, auch wenn es letzten Endes doch beim Formatieren geendet hat^^ Achja falls es euch interessiert, hier noch einige VT-Auswertungen: http://www.virustotal.com/de/analisis/5bf7...f102-1250490235 http://www.virustotal.com/de/analisis/2aa7...de2e-1250490261 http://www.virustotal.com/de/analisis/960a...c3e7-1250490293 http://www.virustotal.com/de/analisis/960a...c3e7-1250490309 http://www.virustotal.com/de/analisis/b9e5...2bd1-1250490312 http://www.virustotal.com/de/analisis/186a...ba9a-1250490319 |
|
|
20.08.2009, 08:44
Beitrag
#14
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Vielen Dank fuer die Infos und die Rueckmeldung. Interessant haette ich den Combofix Report gefunden...
-------------------- MfG Ralf
|
|
|
Gast_blueX_* |
20.08.2009, 19:01
Beitrag
#15
|
Gäste |
Du hättest die Dateien an McAfee senden können, dann hätten sie es künftig auch erkannt: http://www.rokop-security.de/index.php?showtopic=17635
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 18.04.2024, 13:10 |