Viren, Spyware, Datenschutz 11.253 Themen, 94.785 Beiträge

Verfolgung starten Optionen

Wie werde ich dieses Trojanische Pferd wieder los

Andi Mertens / 2 Antworten / Flachansicht Nickles

Hi


Um gleich alle Anmerkungen diesbezüglich zu beantworten:


Ich habe einen Virenscanner, den ich regelmäßig benutze und


ich habe ebenso eine Firewall ständig am laufen


und trotzdem ist eine böses Dateichen durchgekommen. Gott weiß wie es das geschafft hat. Nun gut der Virenscanner findet es auch: er meldet mir :


explorer9[1].cab ist das Trojanische Pferd TR/Dldr.Small.OR


Dieses kann aber nicht gelöscht werden da es sich um ein Archiv handelt.


Das Problem ist jetzt außerdem, dass ich diese komische Datei explorer9(1).cab nicht finden kann. Wieso findet der Scanner die und ich nicht. Also kann ich das Ding auch nicht von Hand löschen. Und so ist der Virus nach ein paar Tagen schon wieder da, da er sich natürlich aus dieser Datei heraus immer wieder verbreitet. Außerdem ändert die Datei gerne ihr Zuhause und heißt manchmal auch explorer.exe in der sich das gleiche Pferdchen mit dem obigen Namen versteckt. Diese explorer.exe kann ich auch finden und löschen.Aber diese blöde .cab Datei ist nach wie vor da und so werde ich den Virus nicht los.


Wer weiß da einen Trick oder soinstwie Hilfe?

bei Antwort benachrichtigen
Hallo andi mertens, diese Datei steckt wahrscheinlich in einem gepackten ... UselessUser
HADU Andi Mertens „Wie werde ich dieses Trojanische Pferd wieder los“
Optionen

Hi,
ich zitiere mal (wieder) eine altbekannte FAQ:

Ich habe einen Virus / Dialer / ,,Trojaner``/ wurde ,,gehackt``. Was soll ich tun?


Wenn ein System kompromittiert wurde, sollte man genau wissen wie man zu verfahren hat, um den Schaden einzudämmen. Virenscanner bieten zwar als einfache Lösung an, das System zu ,,säubern``, dies kann aber nicht erfolgreich sein, da ein Angreifer (Virus / Wurm / Dialer / Cracker etc.) längst beliebige Systemdateien ersetzt haben könnte (und vermutlich auch hat) und sich so im System festgesetzt hat. Solch einer Reinigung durch einen Virenscanner kann man nur dann vertrauen, wenn man Prüfsummen aller (System-)Dateien hat und diese auch von einem Nachweisbar sauberen Datenträger aus verifizieren kann. Dies ist jedoch sehr selten der Fall, da ein solches Verfahren auf einem Desktop-System kaum zu realisieren ist.

Deshalb sollte man folgendes Vorgehen wählen:

1. System sofort von allen Netzwerkverbindungen (LAN, Internet etc.) trennen.
2. Evtl. den gesamten Inhalt der Systemdatenträger sichern, um im Falle eines straf-/ zivilrechtlichen Vorgehens Beweise zu haben. Für die meisten Heimanwender dürfte dies aber nicht nötig sein. Eine Ausnahme bildet der Fall, dass man einen sog. ,,Dialer``installiert hat. Hier sollte man auf jeden Fall eine Vollsicherung durchführen. Falls man vermutet, dass auch schon Kosten angefallen sind, sollte man evtl. sogar den gesamten Rechner als Beweismittel zur nächsten Polizeidienststelle bringen und Anzeige erstatten.
3. Feststellen welcher Art die Kompromittierung war und auf welchem Wege das System kompromittiert wurde.
4. Alle evtl. betroffenen Dritten informieren.
5. Evtl. nötige Patches und Updates herunterladen. Hierzu ist ein sauberer Rechner notwendig, wie z.B. ein anderes System, oder ein Rettungssystem, wie z.B. Knoppix, das von CD lauffähig ist. Die Patches und Updates sollten wenn möglich auf einem schreibgeschützten Datenträger (CD-ROM, Diskette etc.) gespeichert werden, damit sie nicht kompromittiert werden können.
6. Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern oder sperren lassen, da ein Angreifer die Passwörter z.B. verwenden kann, um erneut in das abgesicherte System einzudringen oder mit der Identität des Nutzers Transaktionen im Internet auszuführen.
7. Alle Datenträger neu formatieren und sämtliche Software von den Originaldatenträgern neu einspielen.
8. Das letzte, vor der Kompromittierung erstellte, Backup der Daten (nicht die Vollsicherung, die zu Beweiszwecken erstellt wurde!) zurückspielen.
9. Die genutzte Sicherheitslücke (z.B. durch Einspielen der nötigen Patches) schließen und prüfen, ob es evtl. weitere, ähnliche Lücken gibt und diese ebenfalls schließen.
10. Erst jetzt das System wieder an die Netzwerke anbinden.
11. Konsequenzen aus dem Vorfall ziehen und ggf. das eigene Sicherheitskonzept entsprechend anpassen.
Dieses Verfahren wird auch von Mircosoft, CERT und den entsprechenden Abschnitten des ,,Users' Security Handbook``der IETF (RFC 2504, Abschnitt 6.2) als Maßnahme zur Beseitigung einer Kompromittierung empfohlen.

Dass es wirklich nicht ausreichend ist, nur das Schadprogramm allein durch einen Virenscanner entfernen zu lassen, hat der Wurm Sobig - in all seinen Varianten - gezeigt. Er installierte unbemerkt (auch von Antivirus-Herstellern) ein Trojanisches Pferd und zusätzlich eine modifizierte Version des WinGate Proxies, der u.a. von Spam-Versendern zur Verschleierung ihrer Identität oder als quasi anonyme Ausgangsbasis für Angriffe auf andere Systeme mißbraucht wird. Nähere Informationen zu diesem Vorfall finden sich unter http://www.lurhq.com/sobig.html und http://www.lurhq.com/sobig-e.html (englisch).

Weiterführende Informationen zum Thema:

Empfehlungen von Microsoft:

http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx http://www.microsoft.com/germany/ms/technetdatenbank/overview.asp?siteid=600230
Warum nach einer Kompromittierung der Rechner nicht mehr dir gehört:

http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx
Empfehlungen des CERT (engl.):

http://www.cert.org/security-improvement/practices/p051.html
,,Users' Security Handbook``/ RFC 2504 (engl.):

ftp://ftp.rfc-editor.org/in-notes/rfc2504.txt
Warum Kompromittierungen nicht unvermeidbar sind:

http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
Knoppix Live-CD:

http://www.knopper.net/knoppix/
bei Antwort benachrichtigen