Deutsches Mike Oldfield Forum (https://www.oldfield-forum.de/index.php)
- Archivierte Foren (https://www.oldfield-forum.de/board.php?boardid=67)
-- Internet Technik und anderes (https://www.oldfield-forum.de/board.php?boardid=58)
--- Trojaner TR/kazy.mekml.1 (https://www.oldfield-forum.de/thread.php?threadid=3667)
Geschrieben von ralle am 26.04.2011 um 07:37:
Trojaner TR/kazy.mekml.1
Kann mir evtl. jemand helfen? Ich habe mir am Osterwochenende den Trojaner „TR/kazy.mekml.1“ eingefangen trotz aktuellem Virenscanner (hatte sich kurz vorher erst aktualisiert). Das Problem: Der Trojaner zeigte einen Warnhinweis bzgl. einer „malware“, die ich mit Klick entfernen könnte. Problem ist, dass dieser Warnhinweis wirklich so aussah, als wenn man Virenscanner mal ein Problem meldet, daher habe ich die Option „Entfernen“ gewählt, was aber wohl der Start allen Übels war.
Auswirkungen: Meine Programme werden nicht mehr angezeigt, sind aber noch vorhanden. Habe ein „unhide“-Programm laufen lassen, aber bei der nächsten „Fehlermeldung“ des Trojanders waren die verschwunden.
Ein Virenscan wird abgebrochen bevor er den Trojaner lokalisieren kann.
Es werden dann immer wieder „Fehlermeldungen“ angezeigt wie z.B.: „Festplattencluster beschädigt, private Dateien können in Gefahr sein.“ oder „Problem mit DIE SATA Festplatte festgestelllt“.
Nachdem ich danach mit einem anderen PC gegoogelt habe, bin ich relativ schnell durch andere Einträge in Foren darauf gestossen, dass es sich um o. g. Trojaner handelt. Es gibt auch Hinweise, wie der zu entfernen ist, aber das ist alles etwas nebulös (man soll irgendwelche LOGs auslesen, einen Report erstellen lassen, diesen dann an einen User senden und der schickt einem dann einen Download-Link, mit dem man alles bereinigen kann).
Gestern Abend war ich längere Zeit mit einem Freund daran am arbeiten, aber wir haben es nicht hinbekommen. Als wir letztlich den PC formatieren und das Betriebssystem neu aufsetzen wollten, hat der PC den Vorgang immer wieder abgebrochen und ist einfach ausgegangen.
Da die besagten Foreneinträge alle in letzter Zeit verfasst wurden (um Ostern herum) scheint es ein aktuelles Problem zu sein.
Ist evtl. hier auch jemand betroffen bzw. weiß eine (praktikable) Lösung?
Danke für Eure Hilfe!
P.S.: Mein Betriebssystem ist Windows XP.
Geschrieben von anorak am 26.04.2011 um 11:07:
in der c't 08/2011 gab es eine notfall-dvd mit der software "desinfec't", mit der kann man ein linux-derivat nebst antivirenscannern booten, das ding geht sogar ins internet und aktualisiert die signaturen der scanner. wenn du nicht in dessen besitz bist, und dich auch scheust, die anleitungen aus dem trojaner-board zu befolgen, wird dir das nix nützen...
ich habe mal eben etwas hinter dem trojaner hinterhergegoogelt, die praktikable lösung scheint wirklich zu sein, neu aufzusetzen
. hast du alle deine wichtigen dateien gesichert? usb-stick oder externe festplatte sind ideal.
wenn ja, starte den rechner mit einer (windows) bootdiskette, wenn du über ein disketten-laufwerk verfügst. wenn du nicht über eine solche diskette verfügst, macht es auch das hervorragende tool "xfdisk"
http://www.mecronome.de/xfdisk/deutsch.php es sollte imho auch mit einem usb-stick funktionieren. dazu muß allerdings im bios die bootreihenfolge umgestellt werden (entweder von floppy disk, meist laufwerk A:\, oder eben usb, glaube es ist B:/). dann partition C:\ löschen, neu anlegen, aktivieren, formatieren. die aktivierte C:\ nennt sich auch primäre partition. dateisystem NTFS!
das aktivieren der partition ist wichtig, damit das bios weiß, daß das betriebssystem auf der aktivierten partition C:\ liegt, und es darüber booten soll.
tip: wenn die festplatte groß genug ist, leg dir 2 partitionen an. auf der ersten C:\ installierst du das os, auf die zweite partition D:\ lagere deine wichtigen dateien aus. im notfall kannst du C:\ plattmachen, ohne daß dir auf D:\ daten verloren gehen. fürs C:\ bist du mit 15 gb auf der sicheren seite, den rest vergebe dann an D:\.
wenn das alles nicht geht, kann man auch von einer win xp betriebssystem cd / dvd booten, auch hier muß evtl das bios umgestellt werden, damit das bios zuerst auf das dvd-laufwerk zugreift. der bootvorgang ist selbsterklärend, imho läßt sich dort die reparaturkonsole laden (sorry, lange her, daß ich das gemacht habe), und von dort aus läßt sich C:\ formatieren bzw partitionieren. genau das würde ich machen: die komplette partition C:\ löschen, danach neu anlegen, in vorgegebener größe, aktivieren, und danach formatieren.
das partitionieren sorgt dafür, daß der mbr (master boot record) der festplatte neu angelegt wird, und dort evtl enthaltene schädlinge plattgemacht werden.
danach dürfte windows ohne probleme neu installiert werden können. wenn du die online-verbindung eingerichtet hast, mache am besten sofort alle updates bei m$, und richte das os erst danach nach deinem gusto ein. wenn du damit fertig bist, gibt es möglichkeiten, ein backup davon anzulegen, welches man nach bedarf recht flott wieder aufspielen kann. nero z.b. kann das, aber auch viele andere kostenfreie programme, einfach mal suchen (empfehlung: heise.de).
sorry, daß ich keine einfache lösung habe, aber diese art von scareware ist echt räudig
.
alternativ tuts sicher auch der pc-händler deines vertrauens, da mußt du schätzungsweise mit 50-100 euro kosten rechnen. am besten vorher fragen.
Geschrieben von Tanzbär am 26.04.2011 um 11:43:
Ralle wenn Du noch etwas Zeit hast..... würde ich eventuell noch mal einen oder zwei Tage warten.
Der scheint ja noch richtig frisch zu sein. Vielleicht kommen dann noch bessere Vorschlage - oder Tools der einschlägigen Anti-Viren Software Hersteller raus.
Geschrieben von anorak am 26.04.2011 um 11:55:
gute idee
.
Geschrieben von ralle am 26.04.2011 um 11:56:
Ja, erstmal danke für die Tipps! Das ist wirklich räudig. Ich frage mich echt, was das bringen soll, so eine Sch*** Software herzustellen? Haben die Leute keine bessere Verwendung für ihre Talente bzw. ihre Zeit?
Ich werde heute abend nochmal danach gucken.
@GruftiHH: Daran habe ich auch schon gedacht, das könnte auch noch eine Möglichkeit sein.
Was mich auch irritiert: Dieser Trojaner hat ja meinen PC auf den Kopf gestellt, aber hat er noch mehr angestellt? Z. B. evtl. irgendwelche Passwörter (ebay, amazon usw.) ausgelesen?
Geschrieben von anorak am 26.04.2011 um 12:02:
gute frage. vielleicht solltest du alle passwörter präventiv von einem sauberen pc aus ändern.
Geschrieben von ralle am 26.04.2011 um 13:56:
Aber wenn der schon am 13.4. entdeckt wurde, warum hat mich dann mein Antivir mit Aktualisierungsdatum 24.04., also 1,5 Wochen später, nicht dagegen geschützt?
Geschrieben von blinky am 26.04.2011 um 19:23:
Also nach meinen bescheidenen Erfahrungen ist avira gerade bei der Entfernung von Viren u.a. eher mäßig zuverlässig.
Probier doch mal ,malwarbytes'. Entfernt Viren sehr zuverlässig auch in Fällen wo avira versagt. Das Programm bietet als Freeware nur einen Scanner / Virenentferner, aber das sollte hier für Deine Zwecke reichen.
http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html
Geschrieben von typewriter am 26.04.2011 um 20:14:
es gibt wirklich schlechteres als avira. meine erfahrung mit eigentlich ALLEN AV-Programmen (ich darf das als IT-Admin mit 10 Jahren Berufserfahrung auf dem Buckel mal sagen): Schlussendlich ist und bleibt sauberes Entfernen IMMER Handarbeit. Mal mehr mal weniger!
"Vorbeugung/Prophylaxe" ist eigentlich das Stichwort. Aber das hilft auch keinem, der akut erwischt ist. Es gibt zig- Tips, wie man sein System halbwegs sicher halten könnte, wenn man nur einige Regeln befolgt, aber, mal an einem anderen Beispiel erklärt: Mein Krankengymnast sagt mir auch, dass ich Beschwerdefrei sein kann, wenn ich täglich morgens nach dem Aufwachen und Abends vor dem Schlafengehen diese 13 Übungen für sämtliche Nackenmuskeln jeweils 12 Mal und dann auch für je 30 Sekunden durchführen würde....man macht das 2 Tage lang...danach verliert es sich ;-)
Ach ja. So isset numma!
Geschrieben von anorak am 26.04.2011 um 21:07:
| Zitat: |
Original von ralle
Aber wenn der schon am 13.4. entdeckt wurde, warum hat mich dann mein Antivir mit Aktualisierungsdatum 24.04., also 1,5 Wochen später, nicht dagegen geschützt? |
dafür gibt es mehrere gründe: es gibt noch keinen schutz gegen diesen trojaner. die av-hersteller müssen jeden virus erstmal analysieren, um festzustellen, was genau er macht, bevor er in die signaturen-datenbank eingetragen werden kann. dann erst erkennt das av-programm aufgrund des verhaltens des schadcodes, daß da etwas unheil anrichten will.
es ist eine mutierte bzw veränderte version im umlauf, dessen signaturen, wie oben gesagt, erst analysiert werden müssen.
der av-hersteller behält sich "sofortige" hilfe für die zahlende klientel (vollversion) vor.
also, bevor ein av-programm alarm schlagen kann, muß der virus oder der trojaner whatever in der signaturen-datenbank des programmes bekannt sein, sonst geht nix.
es ist bekannt, daß alle av-programme probleme mit der "heuristischen" erkennung haben. die heuristik (früher bei manchen av-herstellern treffenderweise "watchdog" genannt) überwacht eingeschleusten fremdcode (der auch beim internetsurfen auf präparierten seiten auf den rechner gelangen kann) auf dessen verhalten, vergleicht mit bekannten mustern, und schlägt entsprechend alarm. der nachteil sind fehlalarme (insbesondere javascript von webseiten). es gibt heuristische programme, die zusätzlich zu einem herkömmlichen av-scanner operieren, z.b. ThreatFire
http://www.threatfire.com/de/ welches kostenfrei zu haben ist.
der einsatz dieses programmes empfiehlt sich nur auf sauberen rechnern.
ich bin gespannt, seit ein paar tagen habe ich, nachdem ich mit der performance der frei erhältlichen, natürlich permanent im hintergrund laufenden av-scanner sehr unzufrieden war, ein professionelles av-programm zu laufen, es heißt ESET NOD32 Antivirus 4, bei o.g. zeitschrift c't gab es eine kostenlose einjährige lizenz. zusammen mit ThreatFire soll das recht zuverlässig funktionieren.
ein ähnlich gut funktionierender av-scanner ist laut c't Microsoft Security Essentials 2.0, es läuft ressourcenschonend und soll laut c't sehr solide sein. nachteil: es funktioniert nur mit einer gültigen betriebssystem-lizenz
. auch dazu kann man parallel ThreatFire laufen lassen.
übrigens habe ich meine derzeitige installation win xp schon seit 7 jahren zu laufen, und es hat es noch nie ernsthaft erwischt, aber ich bin als vielsurfer und onlinejunkie höchst alarmiert.
Geschrieben von markm am 26.04.2011 um 22:35:
Trojaner? Kein Problem:
Geschrieben von Tanzbär am 27.04.2011 um 15:43:
Und täglich werden es mehr:
Trojaner Board
Hoffe, hier wirst Du jetzt fündig.
P.S: Man gut, dass sich dieses Board NICHT durch Werbung finanziert........ in dem Trojaner Board muss man erst mal in jedem Beitrag 3 Google Anzeigen durcharbeiten.........
Geschrieben von ralle am 02.05.2011 um 11:00:
Ich habe meinen PC jetzt wieder zuhause. Habe den zu einem Fachmann gegeben und 47 Euro gezahlt, das finde ich ok. Nun bin ich dabei das Gerät langsam wieder meinen Wünschen anzupassen.
Geschrieben von anorak am 02.05.2011 um 13:30:
ein sehr fairer preis! absichern nicht vergessen
.
Geschrieben von ralle am 02.05.2011 um 16:15:
Ja, ich ziehe sowieso immer Sicherheitskopien, daher ist es auch nicht so schlimm, dass das Betriebssystem "plattgemacht" werden musste.
Geschrieben von anorak am 17.04.2012 um 01:15:
gestern abend hats mich erwischt (win xp pro), und nach einigem herumfrickeln und fluchen (das teil hat sogar tastatur und maus blockiert, sodaß man nicht in den abgesicherten modus konnte, geschweige denn eine rescue-cd starten konnte. taskmanager war auch blockiert) hab ich es endlich hingebogen bekommen.
ursache war das surfen auf einem nicht seriösen bilderhoster
, und eine veraltete java-version auf meinem rechner. dadurch hat der trojaner sich recht tief ins system gepflanzt. drei verschiedene programme probiert, nur teilerfolge gehabt, bis ich dieses tool entdeckt habe, welches dem fiesen teil den garaus machte:
Microsoft Safety Scanner
Trojan:Win32/Reveton.A
fünf stunden gefrickel, obwohl ich mich sehr gut abgesichert wähnte.
Geschrieben von ralle am 18.04.2012 um 09:50:
Das mit Java habe ich neulich auch schon gelesen.
Wie aktualisiert man seine Java-Version?
Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH
