Backdoorprogramm auf dem PC
Ich kam auf die Idee einen Virenscan durchzuführen. Und tatsächlich wurde etwas gefunden. Ein Backdoorprogramm mit dem Namen bds.zegost.L.500 Da ich Avira benutze hab ich es in die Quarantäne verschoben und dann aus der Quarantäne gelöscht. Nach erneuter Systemprüfung wurde nichts mehr gefunden. Kann ich sicher sein das es wirklich weg ist? Oder besteht die Möglichkeit das sich das Teil irgendwo "versteckt" hat? Ich bin gerade etwas verunsichert, da ich schon mal einen Trojaner hatte der sich nicht löschen lies... Und wenn es sich noch irgendwo auf meinem PC befindet, was macht man am besten dagegen?
Danke schonmal
4 Antworten
Soso ein Backdoor-Trojaner... Na der könnte durchaus nicht allein gewesen sein.
Lade und installiere dir Malwarebytes' Anti-Malware Free und gehe dann auf "Aktualisierung" um ein Update zu veranlassen. Evtl. aktive Virenscanner deaktivieren. Bitte einen Vollständigen Scan machen, alle Funde löschen und das Logfile, das am Ende aufklappt, abspeichern, bei file-upload.net uploaden und den dazugehörigen Download-Link hier reinstellen.
Es wäre hilfreich, wenn du die Avira-Fundberichte hochladen könntest. Und zwar zusammen mit dem MB-Logfile. Die Logs von Avira erreichst du unter "Verwaltung" --> "Berichte" --> Rechtsklick auf den Bericht --> "Reportdatei anzeigen" --> "Datei" --> "Speichern unter..." --> "Desktop".
http://www.file-upload.net/download-4027438/sched.log.html und das ist der Link vom Logfile von Avira
Schade, in dem Avira-Bericht steht nicht das was ich erhofft hatte. Kannst du den Pfad und die Fundbezeichnung von Avira nennen? Wenn du Glück hast, war's das mit der Adware
OTL-CustomScan:
Downloade dir OTL von OldTimer und aktiviere zuerst die OTL.exe (bei Win 7 oder Vista mit Rechtsklick "als Administrator starten/ausführen").
Da dann den kompletten Inhalt, was hier in der "otl_ custom.txt" --> http://www.file-upload.net/download-3979257/otl_custom.txt.html steht, in die Textbox unten in der Mitte bei OTL reinkopieren! Da steht als Überschrift "Custom Scan/Fixes" oder - falls du die deutsche Version hast - "Benutzerdefinierte Scans/Fixes" in cyanblau! Kannst du gar nicht übersehen. Da einfach den Inhalt von "otl_custom.txt" reinkopieren.
Wichtig: Danach alle Programme, die nebenher laufen (auch Firefox, MSN, Musikplayer etc.) schließen und Virenscanner deaktivieren!
Dann oben in der Mitte ist ein Button, da steht pink "Quick Scan" drauf. Da dann bitte drauf klicken und im Anschluss auf "OK".
Wenn der Scan fertig ist, wird ein Logfile erstellt namens "OTL.txt". Dieses dann wieder bei file-upload.net hochladen, Link hier posten.
http://www.file-upload.net/download-4027778/OTL.Txt.html Hab ich alles gemacht, und hier ist der Link.
OTL-Fix
Beende dazu alle evtl. geöffneten Programme (Firefox, ICQ, MSN, Windows Media Player usw.), auch Virenscanner deaktivieren (!), starte OTL und kopiere den gesamten Inhalt dieses Skriptes in die Textbox unten in OTL.
Am besten davor das Notepad-Fenster maximieren, damit es übersichtlicher wird. Das ":OTL" ganz oben im Skript muss mitkopiert werden! Einfach den gesamten Inhalt kopieren!
Danach oben links auf das rote "Fix" drücken und warten. Womöglich will OTL einen Neustart, diesen dann bitte zulassen. Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen bei der Meldung von OTL auf "OK" klickst. Das Logfile bitte wieder bei file-upload.net hochladen.
Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition (also "C:\") im Ordner "_OTL" erstellt.
An die Mitleser: dieses Skript gilt nur für Lissy321, ist also nicht universell anwendbar!
Der Link oben ist tot, bitte den hier benutzen: http://www.file-upload.net/download-4027910/otl_fix_lissy.txt.html
Es läuft gerade. Mittlerweile seid 2h... Wie lang dauert sowas normalerweise? (garade bin ich mit dem Handy im Internet, da es mit dem Laptop ja nich geht)
Hab ich gemacht. Aber immer das gleiche. Nichts tut sich und um otl zu beenden muss ich den Laptop komplett ausschalten, weil nichts mehr reagiert...
Lad dir TDSSKiller runter.
Alle Programme schließen, die "TDSSKiller.exe" starten und den Anweisungen folgen. Klicke dann auf "change parameters" und setze die Haken in den 2 Punkten darunter. Dann klicke "Start Scan". Wenn eine infizierte Datei (Rootkit) gefunden wird, "Cure" auswählen, wenn's nicht schon automatisch da steht, und "Continue". Wenn ein "Suspicious Object" entdeckt wurde, unbedingt die Option "Skip" wählen und "Continue". Wenn ein Neustart verlangt wird, diesen zulassen.
Sollte was gefunden werden (Rootkit) und nach der Entfernung irgendwas nicht stimmen mit dem System, dies bitte sagen. Normalerweise sollten keine Komplikationen auftreten.
Und die Hälfte vergess ich dann wieder -.-... Am Ende kommt wieder ein Logfile (gewöhnlich auf "C:\"), dieses natürlich wieder hochladen.
Was hab ich geschrieben?:
Wenn ein "Suspicious Object" entdeckt wurde, unbedingt die Option "Skip" wählen und "Continue".
Du hast "Löschen" gewählt. -.- Das ist schlecht, denn es kann jetzt sein, dass eine Software u.U. nicht mehr richtig funktioniert.
ComboFix:
Lade es runter --> http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf dem Desktop.
Du kannst dir das hier durchlesen, um einen Überblick zu haben: w ww.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Bevor CF gestartet wird, den Internetbrowser schließen, alle Anti-Viren-Programme ausschalten und zwar so, dass sie sich nach dem Start NICHT wieder anschalten (also komplett beenden am Besten). Starte danach CF, bestätige die Warnmeldungen, führe eventuelle Updates durch, installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System scannen.
Während CF arbeitet, bitte nichts am Computer machen, einfach nur warten. Zum Schluss öffnet sich automatisch eine "combofix.txt", die bitte hochladen. Das Logfile befindet sich auch unter C:\ComboFix.txt.
In seltenen Fällen kann es sein, dass der PC nicht mehr bootet und neu aufgesetzt werden muss. Deshalb wäre es sinnvol, wenn du ein aktuelles Backup hast. Wenn nicht, sichere vorsichtshalber deine Daten auf eine externe Festplatte.
Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie: "Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.", startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.
An die Mitleser: CF ist auf keinen Fall in Eigeninitiative auszuführen!! Es kann bei falscher Benutzung das System ruinieren!
Sollte es zu dem unwahrscheinlichen Fall kommen, dass ComboFix beim Start ein aktives Anti-Viren-Programm bemängelt, schließe ComboFix und beende das AVP.
Da hab ich mal wieder nicht aufgepasst...
Meine ganzen Dateien kommen sowieso immer auf eine externe Festplatte, zur Sicherheit. Jedenfalls ist hier der logfile. http://www.file-upload.net/download-4036482/ComboFix.txt.html
Ja, ich glaube schon. Das CD-Laufwerk war heute verschwunden, aber das hab ich wieder hinbekommen. Und sonst funktioniert alles so wie es soll.
Mach bitte zur Kontrolle nochmal einen Full Scan mit Malwarebytes (vorher updaten nicht vergessen!!), Funde löschen, Logfile uppen, sowie einen Scan mit Hitman Pro.
Die passende Version downloaden (also in deinem Fall die für Win XP), dann doppelklicken bzw. Rechtsklick -> als Admin ausführen, dann "Settings License", "Activate Test License". Alle Funde löschen/in Quarantäne, am Ende die *.xls-Datei exportieren und hochladen.
http://www.file-upload.net/download-4042379/2log.xml.html (der erste Scan war mit HitmanPro 3.5, der zweite mit 3.6, weil ich wieder mal zu schnell war... Ich hoffe das stellt am Ende kein Problem dar)
Dann sind wir fertig! :-) \°/
Combofix kannst du deinstallieren: "Start" -> "Ausführen" -> "combofix /uninstall" eingeben.
MB kannste behalten und ab und zu scannen. Gleiches gilt für Hitman Pro (zumindest bis die Trial abgelaufen ist, falls die das noch haben :-P).
Dann folgt hier die Anleitung zur Absicherung des PCs. Einige Links funktionieren nicht aber Madame Google hilft da auch gerne ;-) Ich denke, dass Windows und Java immer aktuell sein müssen, versteht sich von selbst.
Was noch wichtig ist:
Skepsis gegenüber E-Mail-Anhängen, Links etc. mit unbekanntem Inhalt, auch wenn sie von Freunden kommen! Würmer verbreiten sich so und die Betroffenen merken nicht, dass sie die Würmer weiter verschicken!
Große Vorsicht bei Facebook! Es ist der Seuchen-Verteiler #1 im Netz! Und betreibt dazu noch Datensionage. Am besten ganz meiden.
Meide Streaming-Seiten, weil von dort gerne Trojaner im Drive-By-Verfahren verteilt werden. Bei illegal geladenem Material (Keygens, Cracks) sehr vorsichtig sein und am besten gar nicht nutzen.
Les dir den Wikipedia-Artikel "Computervirus" durch, damit deine Freundinnen dich wegen deines neuen Wissens beneiden und grün werden wie Absinth.
Dann:
Schmeiß Avira ins Nirvana ("Start" -> Systemsteuerung" -> "Software" -> "Avira AntiVir Personal Free" deinstallieren). Danach mit dem Avira Registry Cleaner den Rest wegschrubben und als bessere Alternative die Kaspersky Security Suite CBE 11 von der Computerbild-CD installieren. Das ist eine volle IS mit Gratis-Lizenz. Bevor du Avira wegmachst, check bitte erst, ob die Security Suite auf der aktuellen Heft-CD enthalten ist, denn das ist nicht immer der Fall und sonst stehste ohne Malware-Schutz da und das willste ja auch nicht :-D
Als Ergänzung zu allen Anti-Viren-Programmen kannst du Kingsoft PC Doctor und/oder ThreatFire installieren. Begriffe einfach googlen.
Kann ich sicher sein das es wirklich weg ist?
Nein! Es besteht die Möglichkeit, dass die Schadsoftware weiter auf deinem Computer ist. Sicherheit gibt es nur bei einer Neuinstallation, das hast du richtig erkannt.
Oder besteht die Möglichkeit das sich das Teil irgendwo "versteckt" hat?
Wäre wahrscheinlich. Würde ich einen Trojaner programmieren wäre es so.
Und wenn es sich noch irgendwo auf meinem PC befindet, was macht man am besten dagegen?
Eine Neuinstallation ist die einzige Möglichkeit. Nimm Dateien mit, die du erst nach Installation eines guten Virenscanners wieder auf dem Computer gibst. Ich empfehle "Norton Internet Security". Du siehst, die Investition in einen guten Scanner lohnt sich. (Er schützt dich aber auch nicht vollständig).
Hoffe, dass ich helfen konnte.
Danke, eine Hilfe wars auf jeden Fall, auch wenn mich die Antwort nicht wirklich glücklich macht. Anscheinend hab ich keine andere Wahl, außer einer Neuinstallation...
Ist nichts schweres -du musst dir halt einfach 1-2 Stunden Zeit nehmen. Früher brauchte man Wissen über Computer um Windows neu aufzusetzen, daher die Meinung, dass es nicht gerade einfach ist. Anleitungen gibt es zuhauf im Internet und sonst musst du halt einen IT-Fritz kaufen.
Starte den Pc im abgesicherten Modus mit Eingabeforderung.
Tippe Explorer.exe
Lade Anitmaylwarebytes und mache einen suchlauf
So und dann spaeter den Pc nochmal normal starten
Taskmanager starten und gucken ;-)
Im Taskmanager muss ich dann bei Prozesse und schauen ob irgendwo der Dateiname des Programms auftaucht, oder ?
Ein Virus kann sich als alles tarnen und sogar den Manager manipulieren. Aber du liegst richtig: Besser als nichts auf jeden Fall!
Mit Avira ist es eigentlich dann weg, kannst ja noch einmal ein anderes Antivir Programm nehmen und damit scannen, dann stellt sich heraus, ob der Virus weg ist oder nicht. Am besten Kaspersky PC Security Testversion oder Microsoft Essentials testen, aber mit Avira ist es dann weg, wenns ein Internet Programm ist empfehle ich eher Kaspersky Internet Security, nehme ich auch, seit dem ist mein PC sicher.
http://www.file-upload.net/download-4027433/mbam-log-2012-01-13--18-52-22-.txt.html
Das ist der Link vom Logfile des Malwareprogramm, es hat aber "nur" 3 Adwareteile gefunden