Trojaner aufm Rechner. Wie bekomme ich den weg?

[Lenki]

Habe mir wohl vor ein paar Tagen einen Trojaner gefangen. Avira meldet sich ständig. Das Ding heisst "TR/Dldr.Agent.dwe". Egal was für eine Aktion ich wähle (Delete, Access deny,...), paar Sekunden spärter meldet sich Avira wieder.

Was tun?

[brianjones71]

Geh mal so vor: Systemwiederherstellung deaktivieren. Rechner neu starten im abgesicherten Modus (meistens F8 beim hochfahren!), dann antivir durchlaufen lassen und Trojaner löschen lassen! Dann neu starten und gucken, ob es funzt.

Achso, Systemwiederherstellung stellst du so aus:Rechtsklick auf Arbeitsplatz-Systemwiederherstellung-Auf allen Laufwerken deaktivieren Haken setzen.

Bearbeitet 1. November 2007 von brianjones71

[Bluenote]

schick ihn weg ... wenn bei mir einer uneingeladen auf'm PC rumhockt ... hauerhau

ich würd dem kerl sagen er soll wieder in die zeitmaschine steigen und sich

nach italien verpissen ... und seinen enkeln raten fiat-aktien zu kaufen

b

[brianjones71]

Allerliebster Blue, er hat doch geschrieben, er ihn sich selber gefangen! Also fände ich es ziemlich unhöflich ihn wieder wegzuschicken! Dass er immer verneinungen bekommt, sollte sich durch devotes Ankuscheln eigentlich in die richtigen Bahnen lenken (Lenki) lassen!

[Lenki]

Ist das mit dem abgesichtertem Modus wichtig? Geht bei mir nämlich nicht...

[christianovic]

Ist das mit dem abgesichtertem Modus wichtig? Geht bei mir nämlich nicht...

hi

mit spybot oder hijack this - sind beide freeware - einfach googel´n !!!!

der müsste ihn finden und dann kannst ihn suchen !!!

gruss

chris

[Lacknase]

@Lenki:

\Mantra-Modus{an}

Was zeichnet manchen Trojaner aus? Richtig! Er kann zur Laufzeit Code nachladen! Rootkits z.B. Und was noch? Richtig! Er kann - passende Privilegien vorausgesetzt - Deine Kiste weiter aufmachen als Frau Schaffraths Decolletée es zu besten Zeiten war. Im Bild (der Zeit) gesprochen: Was Du hier versuchst, ist die Verbrennung der Verkehrsmittel, mit denen böse Terroristen ins Land einreisten. Nur bringt das genau nix für die "innere Sicherheit". (Könnte trotzdem aus dem Innenministerium kommen, blöd wie die Idee ist.) Nimm es zur Kenntnis: Deine Karre ist erobert. Punkt. Du willst eine Neuinstallation mit vernünftiger Konfiguration. Und Du willst keine Anti-Virensoftware. Warum? Weil sie alles nur komplizierter (und damit fehleranfälliger) macht, weil sie Resourcen klaut, die sie durch ihren tatsächlichen Nutzen nicht rechtfertigt, und weil Du jetzt aus eigener Anschauung weißt, wie gut sie Dir helfen kann.

\Mantra-Modus{aus}

Wenn Du Deinen Betrübssystem-Typen mitteilst, kann man Dir vielleicht sogar mit Tips und weiterführenden Hinweisen für die Neuinstallation zu einer - für EDV-Verhältnisse zumindest - langen Zeit in Ruhe und Frieden verhelfen.

[Lenki]

Ich gebe zu ich verstehe nicht ganz was du mir damit sagen willst. Kannst du das bitte, was du mir mitteilen wolltest, für Leute (wie mich), die einfach dumm sind, nochmal erklären? Das wäre volle nett!

[Basti_MRP]

Ich gebe zu ich verstehe nicht ganz was du mir damit sagen willst. Kannst du das bitte, was du mir mitteilen wolltest, für Leute (wie mich), die einfach dumm sind, nochmal erklären? Das wäre volle nett!

er sagt: mach ne sicherheitskopie von deinen pornofilmen und mach die kiste platt. beim neu einrichten solltest du dann darauf achten, das die mühle sicherer ist als jetzt, sonst drehst du dich ja irgendwie im kreis. kapische?

[Spiderdust]

und er sagt etwas, was man keinem unbedarften otto-normal-pc-nutzer raten sollte:

verzichte auf deinen virenschutz.

er sagt aber nicht, wie man sich stattdessen schützen soll, welche maßnahmen man ergreifen kann browserseitig (javascript, activex deaktivieren, metarefresh ebenso) oder dass man mit anderen browsern als dem IE sicherer unterwegs ist.

auch sagt er nicht, dass man für den alltag mit einem eingeschränkten benutzerkonto angemeldet sein sollte, da sich dann trojaner und dergleichen gar nicht erst installieren können.

daher mein rat: verzichte besser nicht auf deinen virenschutz oder deine firewall, solange du nicht weißt, was du da tust.

[Lacknase]

@Lenki: Exakt, was Basti schrieb. Und die Begründung für die Empfehlung, alles "platt" zu machen, lautet:

Trojaner manipulieren Dein System.

Und nachdem Du nicht wissen kannst, was da manipuliert wurde (Systemeinstellungen geändert, Software nachinstalliert etc.), kannst Du Dich nicht mehr auf Dein System verlassen. Egal, ob Du den Trojaner an sich entfernen kannst. Was er angerichtet hat, bleibt zurück. Unbemerkt. Egal was für tolle Virenscanner und Spyware-Finder Du noch einsetzt. Zudem bleibt die Frage, wie das Ding (trotz tollen Virenschutzes) auf Dein System kommen konnte. Wenn Du das auch nicht weißt (und es ist schwer bzw. bedeutet Aufwand, das mitzubekommen), dann hast Du mal noch mindestens ein Sicherheitsproblem mehr.

@Spiderdust:

Das kann man auch nicht sagen, ehe man nicht weiß, was für ein System der User hat. Ich fragte danach. Er antwortete nicht. In diesem Sinne möchte ich Teile Deiner (Pauschal)Aufzählungen als extrem fahrlässig klassifizieren. Wenn man von Windows ausgeht, dann genügt es z.B. je nach IE-Version nicht, ActiveX und Script abzuschalten. Er sollte dann lieber den IE überhaupt nicht mehr benutzen, weil der (wieder je nach Version) in Subsystemen IMMER mit Systemprivilegien läuft.

Und um nur mal die Spitze des Eisbergs anzufassen: Was bringen denn Virenscanner (von "Desktopfirewalls" will ich gar nicht anfangen), wenn man Dein obiges Szenario "ernst nimmt"? Sprich: Wieviel kalkulierbare Sicherheit gewinnt er denn, wenn er mit Virenscanner unter Admin-Privilegien unterwegs ist? Das ist bestenfalls "Wohlfühlgefühl". Aber nicht "Sicherheit". Verzeih den Widerspruch.

Gerade die von Dir sog. "unbedarften Otto-Normal-PC-Nutzer" sind mit dem Fensterchen, das aufgeht und nach der Erlaubnis für ausgehende Verbindung des COM-obj sys32.dld.xbot fragt, überfordert. Und statt sie aufzuklären, zu erläutern, wie sie Dienste abschalten, wie sie ihr System minimalistisch und ohne dolle Automatismen (und damit übersichtlich) einrichten, welche bessere (weil auf schmalerer Codebasis aufgebaute) Software sie benutzen können, empfiehlt man Regenschirm-Bildchen rechts unten in der Taskleiste, die die ein wenig humorvoller programmierten Bots schon lange mitsteuern.

[Spiderdust]

sicher ist "plattmachen" in einem solchen fall wie bei Lenki wohl die beste option, wenn nicht die einzige, wenn man denn sicher sein will.

da ich keine ausbildung im bereich systemadministration oder dergleichen habe, kann ich auch nur mit autodidaktisch angeeignetem halbwissen glänzen. dieses hat mich aber bisher (zumindest soweit ich das mitbekommen habe) vor den größten gefahren aus dem internet bewahrt (klopfaufholz). und meines wissens nach kommen viele schädlinge eben über aktives scripting auf den rechner. von irgendwelchen downloads über emule, bittorrent etc. müssen wir gar nicht reden, da jeder, der sich dort was zieht, selber schuld ist, wenn sein rechner verseucht ist.

wie immer sitzt das größte problem eben vor dem bildschirm. wenn man sich nicht selber informiert, sondern einfach loslegt und immer schön auf OK klickt, sobald sich ein fenster auftut, ist man selber schuld, wenn's schiefgeht.

aber was ist denn besser: die option, das richtige zu tun, wenn ein fensterchen aufklappt (ich tendiere eher zu kaspersky als zu antivir, aber egal...), oder ohne programm auch kein fensterchen zu haben, was dazu führt, dass der schädling ungehindert rein kann? wenn ich ein fensterchen habe, in dem ich gefragt werde, was zu tun ist, stehen die chancen 50/50, dass ich das richtige tue. ohne fenster ist diese chance nicht da...

[Lacknase]

Du hast recht. Mit allem was Du schreibst. Nur ein Satz verdient es, mit besonderem Nachdruck hervorgehoben zu werden:

[...]

stehen die chancen 50/50

[...]

Ganz streng genommen ist das immer der Fall. Egal, wie Du welchen Rechner konfigurierst und damit umgehst. Nämlich bezogen auf die "Wette", daß Dein Sicherheitskonzept aufgeht.

Zu dem Vorteil des Fensterchens: Richtig lustige Malware macht Fensterchen auf, weil sie Dein System schon kontrolliert. Denk drüber nach: Du kannst doch auch Fensterchen nicht trauen, wenn die Sicherheitsrichtlinie auf deinem Rechner erst "greift". Auch nicht sonstigen Protokollmechanismen auf demselben Rechner.

Mein Anspruch an "Sicherheit" ist dagegen ganz einfach: Ich will nicht, daß ich von meiner "Wachmannschaft" gefragt werde, ob der Besuch OK geht, derweil die Einbrecher schon lange in meiner Bude sind. Ich will kein Rausschmeißer-, sondern ein Wach-Personal. Das Rausschmeißerkonzept ist aber just am Werk, wenn Deine Antivirensoftware anspringt. Anders geht es auch nicht, weil sie ja da, wo sie läuft, den Kram erstmal prüfen muß/soll. Das ist aber in meinen Augen ziemlich grober Blödsinn. "Komm, laß uns die Bombe drinnen bei den anderen entschärfen, wo wenigstens alles hin ist, wenn es schief geht." Zudem kann die angebliche Schutzsoftware so auch nur vor Dingen warnen, die sie kennt. Ich will aber nicht Laborratte sein. Sorry.

Daher bin ich von der Meldung "Einbrecher entdeckt" auch nicht beeindruckt. Wieviel wurde nicht entdeckt, obwohl es da ist? Ich will, daß ein potentieller Einbrecher - egal ob mit Gesichtskontrolle oder nicht - schon an der ersten Verteidigungslinie (also "weit draußen") in einer Weise scheitert, daß klar ist, daß es hier nix zu holen gibt, gemessen an dem Aufwand, den er treiben muß, um weiterzukommen.

Analoges gilt für sog. "Desktopfirewalls". Die laufen auf dem Rechner, den sie schützen sollen. Geht's bescheuerter? Was bringt ein Vorhängeschloß im Goldbarren? Noch dazu eines, das fragt, ob es sich bei einem lila Anhänger am Schlüsselbund nicht doch öffnen lassen soll?

Ich will eine "Verteidigungslinie" die ganz klare Regeln setzt. Berechenbar. Dann brauch ich mich nur einmal kümmern: Bei der Einrichtung. (Eines Routers oder Bastion-Hosts z.B.) Ansonsten kann ich nur zusehen, eine so geringe Angriffsfläche wie möglich zu bieten. Und da keine Software fehlerfrei ist, geht es darum, jede Funktion, die ich nicht unbedingt brauche, abzuschalten und möglichst schlichte Programme zu benutzen.

Bearbeitet 3. November 2007 von Lacknase
Rechtschreibkorrektur

[Spiderdust]

naja, nicht jeder hat aber einen zweitrechner, den er als server vorschalten kann. auch kann nicht jeder mit unix/linux umgehen (ich auch nicht, hab's auch nie versucht). auch router sind zwar mittlerweile recht weit verbreitet (wobei ich selber auch erst seit ca. 1 monat einen habe, vorher tat's die interne fritzcard), aber wieder kann nicht jeder seinen router sicher einrichten mit portregeln etc.

dein einwand zur desktopfirewall: die steht ja nicht am tresen, sondern am eingang bzw. ausgang und schützt daher schon noch das gebäude, um's mal bildhaft auszudrücken. allerdings kommt es auch hier auf richtige konfiguration an. bis auf internet- und e-mail-clients benötigen kaum andere programme zugang zum netz. dennoch sind standardmäßig viel zu viele dienste freigeschaltet, so dass jedes kleine programm nach draußen telefonieren kann, obwohl es das gar nicht muss.

[Lacknase]

Der Einwand, daß nicht jeder Motorrad fahren kann, macht die Empfehlung, auf ein Moped nie ohne Salzkristallschlüsselanhänger zu steigen, nicht besser. Die richtige Folgerung ist und bleibt, den Erwerb der entsprechenden (minimalen) Kenntnisse zu empfehlen, soweit man den Kram eben benutzen möchte. Nicht, sich auf Schlangenöl zu verlassen! Die Anmerkung, daß man Zusatzsoftware richtig konfigurieren muß, gilt schon für das nackte Betriebssystem. Und - Achtung! Just hier kommt mein Einwand! - wenn man eben das macht, also: das OS ordentlich einrichten, dann braucht man keine Zusatzsoftware. Warum einen Papierzaun vor eine offene Tür bauen, anstatt die Tür schlicht zu schließen? Dazu muß man nicht auf Unix umsteigen. (Mal abgesehen davon, daß das per se auch nix hilft.)

Was genau schützt denn eine "Desktopfirewall" noch, wenn (im Idealfall) lokal eh keine unnötigen Dienste laufen? ntsvcfg[1] existiert. Mehr braucht der Durchschnittsuser etwa unter win2k oder XP an "Systemzusatz" lokal nicht. Wer ganz auf Nummer sicher gehen oder meherere Rechner bzw. Netzkomponenten kommod verbinden will, kauft sich einen billigen Router ab um die 20 EUR mit integriertem Switch. Dann noch die Finger von IE und Outlook gelassen, und schon bleibt als (ewige) Restgefahr nur noch SocialEngineering via eMail oder Telephon. Was kostet im Vergleich die Norton-Suite?

Und bitte, egal ob Tresen oder Schwingtür: Die "Desktopfirewall" läuft mit Zugriff zum Hauptspeicher auf der CPU, auf der der Rest des Systems läuft. "Böse" Pakete landen wo? Aha. Die Software läuft ja nicht mal in einer Sandbox und greift sogar regelmäßig in den Systemring rein. Es genügt, diese Software zum Absturz zu bringen ... was ist dann? Kein Single-Point-of-Failiure-Prinzip, so daß dann vorhersagbar alle Leitungen gekappt sind. Wenn ich einen Router oder einen Bastion-Host oder einen Gateway neu starte, dann geht währenddessen genau nix. Da gibt es nur "an" und "aus". Und das soll auch so sein. So simpel wie möglich. Es gibt Malware, die (bei "Admin-Surfern") in der Lage ist, gängige "Sicherheitssoftware" zu beenden. Incl. Desktopfirewall. Die lustigen Bildchen unten rechts läßt das Zeug weiterlaufen. Und jetzt?

Mal ganz ab vom "Reglement", das solche Sicherheitssoftware umsetzt. Wie gut ist ein Schutzprogramm, das "anwendungsbezogene Erlaubnis" erteilt? Ich könnte meine Schadsoftware iexplorer.exe nennen. Weiß da jetzt jemand mehr oder ist gar sicherer? Nach just diesem Prinzip arbeitet aber manches "Schiebereglersicherheitsprogramm", weil es angeblich "anwenderfreundlicher" ist. Ich halte es schlicht für "Betrug". Was passiert, wenn die "freigegebenen Anwendungen" selbst fehlerhaft sind? Egal wieviel Blinkenlight da dranhängt, wie oft grc.com noch die "Schilde" scannt und wie oft ein Marketingfuzzi "Professional" auf die Schachtel geschrieben hat, das Konzept ist Müll.

Dabei haben wir noch nicht über Wechselwirkungen gesprochen. Manche Software funktioniert, obwohl sie nur lokal laufen soll, nicht, wenn bestimmte "Shield"-Programme aktiv sind. Lies mal im Netz in den üblichen DAUs-"helfen"-DAUs-Foren nach, wieviele Rechner vor lauter Norton-Grandsecurity-Suite und ZA mit Windows-PowerDefense-Center dies oder das nicht mehr machen. Brennprogramme streiken, weil die LOKALE cddb-Abfrage (liegt in Kopie da und wird auf loopback abgefragt) nicht mehr geht. Drucker, besonders Kombigeräte mit Scaneinheit haben scheinbar defekte Schnittstellen, weil auf einmal die via Netzwerk realisierte Scanfreigabe gegen Mauern rennt. Etc. Bis hin zu den Vollhorsten, die sich durch abschalten von ICMP im Netz "unsichtbar" machen wollen, aber hinterher die Hälfte aller FTPs nimmer benutzen können, richtet der Kram nur Funktionsvernichtung an Stellen an, wo man sie haben möchte, während das tatsächliche Risiko an anderer Stelle nicht gemindert wird. Vorhersagbar ist so ein System auch nicht. Ein Router, auf dem nix anderes läuft, schon eher.

Weniger ist mehr.

[1] http://www.ntsvcfg.de

[2] http://www.fefe.de/pffaq/halbesicherheit.txt

[3] http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

[4] http://www.fefe.de/iloveyou.html

[Lenki]

hi

mit spybot oder hijack this - sind beide freeware - einfach googel´n !!!!

der müsste ihn finden und dann kannst ihn suchen !!!

gruss

chris

Ich hab jetzt mal gestern Spybot runtergeladen. Hat einige Probleme entdeckt. Jedoch die gleiche Kacke wie vorher. Nachdem ich den Rechner hochfahre, kommt schon bald die Meldung von AntiVir. Die kommt dann nochmal 5 mal oder so nachdem ich eine Option wähle, dann nicht mehr. Muss man das verstehen?

Ich weiß auch genau wo ich die Kacke her habe. Ist also kein reiner Zufall. Ist auch nach 10 Jahren das erste mal das sowas passiert, zumindest das ich es mitbekomme. Heisst platt machen jetzt alles löschen und so? Wie nennt man das nochmal und wie geht das? Hab ich schon seit Jahren nicht mehr gemacht.

Kennt jemand diesen Trojaner und weiß wer was der machen kann? Einschränkungen habe ich bisher keine bemerkt...

[Lacknase]

[...]

Heisst platt machen jetzt alles löschen und so? Wie nennt man das nochmal und wie geht das? Hab ich schon seit Jahren nicht mehr gemacht.

[...]

Such Dir bei Dir vor Ort einen Kumpel, Bekannten, Verwandten, der Ahnung hat. (Bitte nicht nur von LAN-Parties.) Laß Dir von dem bei einem KB ein BackUp machen, Deine Installationsmedien auf Vollständigkeit und Lizenz kontrollieren und die Neuinstallation inkl. aller Systemupdates nach frischem Formatieren der Platte machen. Der kann dann auch vor Ort sehen, was Du überhaupt benutzt und brauchst, nachdem Du zur Mitteilung Deiner "Ausstattung" nicht in der Lage zu sein scheinst.

[Lenki]

Was für ne Ausstattung? Frag doch einfach mal konkret bitte. Ich hab auf dem Thema halt einfach keinen Plan.

Das mit nem Kumpel is gut. Wüsste auf anhieb niemand der da voll Plan hat...

Kann mir mal jemand bitte erzählen was den da alles passieren kann (und zwar so das ich es auch verstehe) und warum man den Trojaner nicht einfachen löschen kann?

[Lenki]

er sagt: mach ne sicherheitskopie von deinen pornofilmen und mach die kiste platt. beim neu einrichten solltest du dann darauf achten, das die mühle sicherer ist als jetzt, sonst drehst du dich ja irgendwie im kreis. kapische?

Pornofilme und andere wichtige Sachen sind schon in Sicherheit. Und den Fehler den ich da gemacht habe (weißt ja was ich meine) werde ich sicher nicht nochmal machen. War ja auch das erste mal...

[brianjones71]

Kann mir mal jemand bitte erzählen was den da alles passieren kann (und zwar so das ich es auch verstehe) und warum man den Trojaner nicht einfachen löschen kann?

Du wirst ihn wahrscheinlich löschen können, sodass zumindest von deinem Antivir keine Meldung mehr kommt, du kannst aber nicht sicher sein, ob er nicht schon andere Türen geöffnet hat! Das ist ganz vereinfacht das, was die Lacknase gesagt hat!

[Mad Marc]

...

Bearbeitet 5. Januar 2009 von Mad Marc

[Spiderdust]

trojaner öffnen hintertüren, das ist ihr job. daher auch der name...

wenn du den trojaner nun vermeintlich gelöscht hast, heißt das nicht, dass dadurch auch alle hintertüren wieder geschlossen sind. die sind nämlich immer noch offen, und der trojaner kommt über den weg einfach wieder rein. du schmeißt ihn durch die haustür raus und durch die kellertür kommt er wieder rein.

edith entfernt grobe fehler in der rechtschreibung...

Bearbeitet 4. November 2007 von Spiderdust