Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Kaspersky findet 3 Trojaner(Funktion und Gegenmaßnahme?)
Rokop Security > Security > Trojaner, Viren und Würmer
xri12
Ich habe heut mit dem Kaspersky Scanner 7 infizierte Dateien gefunden, in denen sich folgende Trojaner befinden:
*Trojan-Download.JS.LuckySploit.q
*Trojan.Win32.Runner.qc
*Trojan.Win32.FraudPack.pok

Ich finde es zwar gut das Kaspersky diese erkennt, aber sie sind leider nicht in deren Datenbank aufgeführt und über google finde ich auch nichts passendes.

Also hat da von euch vll. jemand ein paar Infos oder Erfahrungen mit denen? Was machen die 3, wo und wie verstecken sie sich im System und wie kann ich sie wieder entfernen?
Bis jetzt habe ich noch nichts unternommen und eine Neuinstallation kommt nicht in Frage.
Ich werd mich erst am Montag wieder an die Arbeit machen und den PC versuchen zu säubern, da könnte ich dann bei Bedarf auch mehr Informationen zu den Dateien und dem System geben.

Danke schonmal!
xri12
blueX
Woher sollen wir dir sagen können, wo sich die Malware befindet? rolleyes.gif

Du musst doch wissen unter welchen Pfad sie gemeldet werden.

Es kann auch keine Aussage darüber getroffen werden, was die Malware macht.
Ein Neuaufsetzen wäre immer das Beste und sollte stets in Betracht bezogen werden. Hast du denn kein ordentliches sauberes Backup, dass du einspielen könntest?


Hast du versucht die Malware im abgesicherten Modus zu löschen?






Catweazle
Welche Verssion von Kaspersky hast du benutzt ?

Und füge, ein HiJackthis Log hier mit an, ---> http://www.rokop-security.de/index.php?showtopic=6235

Catweazle
xri12
ZITAT(blueX @ 14.08.2009, 19:52) *
1.Woher sollen wir dir sagen können, wo sich die Malware befindet? rolleyes.gif


2.Hast du versucht die Malware im abgesicherten Modus zu löschen?


Zu 1.: Ich weiss schon wo sich die Malware befindet, aber es kann ja sein dass sich diese irgendwo anderes einnistet oder eine Windows-Datei ersetzt.
Zu 2.: Bisher habe ich nichts gemacht, nur den Scanner durchlaufen lassen und dann ein (verseuchtes) Image gezogen, falls durchs Säubern irgendetwas zerstört werden sollte.

ZITAT(Catweazle @ 14.08.2009, 19:52) *
Welche Verssion von Kaspersky hast du benutzt ?

Und füge, ein HiJackthis Log hier mit an, ---> http://www.rokop-security.de/index.php?showtopic=6235

Catweazle



Von Kaspersky habe ich den Online-Scanner benutzt, der installierte von McAfee hat nämlich nichts gefunden.
Hijackthis Log habe ich mir schon angeschaut aber da wurde nichts verdächtiges angezeigt.

Momentan komme ich jetzt auch nicht an den Rechner, da er bei mir in der Firma steht. Ich möchte nur vor Montag möglichst viel rausfinden, damit ich nicht komplett unvorbereitet vor dem Teil stehe.
raman
Jetzt kommen wir zu dem "unangenehmen" Teil des Threads.

Das ist ein Firmenrechner! Ist es deine Firma?
Wenn nein, lass es, lass das jemanden machen, der Verstand von Malware hat, bzw informiere die verantwortliche Person, die den Rechner IMHO neu aufsetzen lassen sollte.

Wenn Ja, lass es auch! Nach den Aussagen, die du hier gemacht hast, bist du dir unsicher, ueberlege, was passiert(evtl. Arbeitsausfall, Verlust von Daten usw), wenn du den Rechner, bzw die Windowsinstallation zerlegst , oder nicht alle Malware finden und loeschen kannst. Denke daran, das Malware Passworte, Dokumente und aehliches geklaut haben kann!
Catweazle
Versuche mal http://www.emsisoft.de/de/software/stick/ das wen du das in deiner Firma darfst.

Bedenke aber das a² ab und wan mal einen False Posetive, Fehlarlarm herforbringt, also mit vorsicht zu geniesen.

Wen du das benutzt halte dich an der Anleitung, um a² auf einem USB Stick zu bekommen.

Oder du benutz eine COMPUTER BILD-Notfall-CD, ---> http://www.computerbild.de/download/COMPUT...CD-3127466.html

Kaspersky Rescue CD 2008. ---> ftp://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/

Aber ich würde mal eueren System Admin bescheid geben was zu tuhn ist. Also erst mal die Finger Weg !!!

Catweazle
Catweazle
Bin der gleichen Meinung wie raman, wen du nicht das wisses dazu hast , und auch die berichtigung dazu, lass die Finger davon, einen reinigungsversuch zu starten. Sys Admin informieren, was zu tuhn ist. Das ist sein Job.

Lass die Finger, von den Too´ls die ich gepostet habe. Fertig.

Catweazle
xri12
ZITAT(Catweazle @ 14.08.2009, 21:55) *
Bin der gleichen Meinung wie raman, wen du nicht das wisses dazu hast , und auch die berichtigung dazu, lass die Finger davon, einen reinigungsversuch zu starten. Sys Admin informieren, was zu tuhn ist. Das ist sein Job.

Lass die Finger, von den Too´ls die ich gepostet habe. Fertig.

Catweazle


Das PC ist kein Firmen-Gerät; den hat ein Kollege mitgebracht weil Windows nicht mehr richtig gebootet ist.Ich hab ihn mir angeschaut und dann eben die 3 Trojaner gefunden.
Und jetzt wollte ich rausfinden ob man sich das Neuaufsetzen sparen und evtl. die Trojaner entfernen kann. Aber wenn ihr jetzt sagt, dass das eher nichts wird, bzw. zu kompliziert ist, dann formatieren wir ihn halt und aus die Maus.
Die infizierten Dateien hätte ich auch selbst löschen können, aber damit ist die Sache ja nicht erledigt.

ZITAT(raman @ 14.08.2009, 20:19) *
Wenn Ja, lass es auch! Nach den Aussagen, die du hier gemacht hast, bist du dir unsicher, ueberlege, was passiert(evtl. Arbeitsausfall, Verlust von Daten usw), wenn du den Rechner, bzw die Windowsinstallation zerlegst , oder nicht alle Malware finden und loeschen kannst. Denke daran, das Malware Passworte, Dokumente und aehliches geklaut haben kann!

Ganz unbeholfen bin ich ja auch nicht; ich hatte nicht vor wild alles was ich finde zu löschen und dann zu hoffen dass alles noch passt. Deswegen habe ich zuerst ja noch ein Image erstellt, falls irgendwas schief geht.


Also abschliesende Meinung:
[ ]Säubern probieren oder
[ ]Neuaufsetzen


Allerdings würde mich immer noch interessieren was diese Trojaner letztenendes machen, da man über die Namen ja nichts findet.
Auf alle Fälle wird er alle Passwörter von einem anderen PC aus ändern, lieber nichts risikieren.
citro
ZITAT(xri12 @ 14.08.2009, 20:00) *
Hijackthis Log habe ich mir schon angeschaut aber da wurde nichts verdächtiges angezeigt.


Vielleicht findet hier doch jemand was
Habakuck
Hi xri12-

Wenn wir dir einen Rat geben sollen was zu tun ist dann musst du kooperieren.

Poste ein rsit log nach dieser Anleitung: http://virus-protect.org/artikel/tools/random.html

Danach könen wir dir evtl. sagen wie gefährlich eine Bereinigung ist.

Zu den Trojaner: Das sieht mir nach einem Malware Paket aus welches über einen versteckten iframe Exploit auf den Rechner gelangt. Damit ist der Rechner kompromitiert was bedeutet das Hintertüren für den Angreifer geöfnet werden. Die können dann das nachladen was ihnen grade passt. Meistens sind das zBots die den Rechner in ein BotNetz einfügen. Das bedeutet dann auf jeden Fall das der Rechner neuaufgesetzt werden muss. Der Rechner sollte erstmal Falls keinen Internet Zugriff mehr bekommen!
xri12
ZITAT(Habakuck @ 15.08.2009, 12:18) *
Hi xri12-

Wenn wir dir einen Rat geben sollen was zu tun ist dann musst du kooperieren.

Poste ein rsit log nach dieser Anleitung: http://virus-protect.org/artikel/tools/random.html

Danach könen wir dir evtl. sagen wie gefährlich eine Bereinigung ist.

Zu den Trojaner: Das sieht mir nach einem Malware Paket aus welches über einen versteckten iframe Exploit auf den Rechner gelangt. Damit ist der Rechner kompromitiert was bedeutet das Hintertüren für den Angreifer geöfnet werden. Die können dann das nachladen was ihnen grade passt. Meistens sind das zBots die den Rechner in ein BotNetz einfügen. Das bedeutet dann auf jeden Fall das der Rechner neuaufgesetzt werden muss. Der Rechner sollte erstmal Falls keinen Internet Zugriff mehr bekommen!


Hi,

das Logfile werde ich Montag früh gleich hier reinstellen, genauso wie das von Hijackthis, wobei da keine unbekannten Dateien angezeigt wurden.
Den Rechner hab ich schon vom Netz genommen, nachdem der Kaspersky Scanner das erste infizierte Objekt angezeigt habe.
raman
Wenn du den REchner eh im Zweifelsfalle neu installieren willst, mache mal eine Sicherung der wichtigsten Daten und jag da Malwarebytres Antimalware drueber, sowie einmal Combofix.

Minianleitungen dazu findest du hier:
http://board.protecus.de/t23187.htm
xri12
Soa, bitte entschuldigt dass ich mich erst jetzt so spät melde, aber ich hatte die ganze Woche wenig Zeit zum schreiben.
Also ich wollte das ganze jetzt einfach schnell hinter mich bringen und hab zuerst alle infizierten Dateien, die mir Kaspersky gemeldet hat gelöscht. Das waren keine Systemdateien , sondern *.exe Files die z.B. im Temp-Ordner lagen. Danach habe ich mit Spybot alle Probleme behoben, die es gefunden hatte.
Zum Schluss wie oben beschrieben habe ich noch Malewarebytes und Combofix durchlaufen lassen.
Malewarebytes hat zusätzlich nochmal 4 infizierte Dateien und 7 Registryeinträge gefunden, die ich beseitigt habe.

Danach habe ich den PC rebooten lassen und siehe da, er ist wieder ohne Problem hochgefahren. Vorher blieb er im Ladebildschirm hängen, manchmal auch erst in der Anmeldung oder, wenn man sich anmelden konnte, wurde der explorer beendet.
Jedenfalls lief er jetzt wieder ohne Probs und ich hab dann nochmal den Kaspersky durchlaufen lassen und dieser fand darauf hin eine neue infizierte Datei, die er vorher noch nicht angezeigt hatte. Hab da irgendwie die Befürchtung dass sich der Trojaner dann ständig wieder neu anlegt.

Also habe ich es dann sein lassen und dem Kollegen empfohlen komplett zu Formatieren und dann alles nochmal neu aufzusetzen. Und zusätzlich soll er sich ein anderes AV kaufen, McAfee hat nämlich nichts von all dem erkannt.


Trotzdem Vielen Dank dafür dass ihr mir geholfen habt, auch wenn es letzten Endes doch beim Formatieren geendet hat^^


Achja falls es euch interessiert, hier noch einige VT-Auswertungen:
http://www.virustotal.com/de/analisis/5bf7...f102-1250490235
http://www.virustotal.com/de/analisis/2aa7...de2e-1250490261
http://www.virustotal.com/de/analisis/960a...c3e7-1250490293
http://www.virustotal.com/de/analisis/960a...c3e7-1250490309
http://www.virustotal.com/de/analisis/b9e5...2bd1-1250490312
http://www.virustotal.com/de/analisis/186a...ba9a-1250490319
raman
Vielen Dank fuer die Infos und die Rueckmeldung. Interessant haette ich den Combofix Report gefunden...
blueX
Du hättest die Dateien an McAfee senden können, dann hätten sie es künftig auch erkannt: http://www.rokop-security.de/index.php?showtopic=17635



Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2019 Invision Power Services, Inc.