BackdoorWin32

[Olafsdottir]

Ich brauch da mal Hilfe von Spezialisten:

 

Auf meinem Computer hat sich ein Trojaner "Backdoor.Win32.1614424368" festgesetzt. Mein Spyware Removal Toolkit findet und löscht ihn brav, aber er ist beim nächsten Hochfahren immer wieder da. Er tarnt sich wohl als Windows-Download: Zum einen steckt er in C:\Windows\SoftwareDistribution\Downloads\ ..., getarnt als "kernel.dll", zum anderen installiert der Computer bei jedem Herunterfahren genau ein Update.

 

Wie verhindere ich das Zwangsupdate? Im Internet habe ich dazu keine Hinweise gefunden (nur zu anderen Win32-Backdoros, die aber völlig andere Charakteristika zeigen). Ich habe Windows XP mit Sp2, wenn mich nicht alles täuscht (bin gerade nicht zu Hause). Als Virenschutzprogramm läuft Avira AntiVir, nach Malware suche ich mit dem Spyware Removal Toolkit.

 

Rainer

[Prados Karwan]

Kannst du damit was anfangen? Beschreibung und Entfernung. Oder gehört das zu den von dir genannten unnützen Hinweisen?

 

Grüße

Christoph

Bearbeitet 4. Januar 2011 von Prados Karwan

[Akeem al Harun]

Genau genommen hilft nur eines wirklich: Eine Datensicherung machen und das System komplett neu und sauber aufsetzen.

[Olafsdottir]

Danke! Das kannte ich aber schon. Meiner verhält sich anders, und ich habe auch die dort erwähnten Dateien nicht (z.B. keine digeste.dll an der erwähnten Stelle in der Registry, nur digest.dll, und ein wiaserviv.log hab ich an der genannten Stelle auch nicht).

 

Rainer

[Akeem al Harun]

Ich nehme an, das hier (ein Forum, das die dabei hilft so etwas zu entfernen und da hat jemand genau dieselbe Malware) hast du bereits gefunden?

[Sulvahir]

Ich kann da eigentlich nur Akeem zustimmen.

 

Da es ein Trojaner mit dem treffenden Namen "Backdoor" ist, weiß niemand, welche weiteren Veränderungen an deinem System bereits vorgenommen wurden. Du bekommst Möglicherweise den Trojaner weg, aber die Griechen (weitere Hintertüren geöffnet, Schadprogramme installiert, Daten ausgespäht) tummeln sich höchstwahrscheinlich bereits in deinem System.

[Olafsdottir]

Ich nehme an, das hier (ein Forum, das die dabei hilft so etwas zu entfernen und da hat jemand genau dieselbe Malware) hast du bereits gefunden?

 

Ja, aber wenn ich das so lese, hatte der gar keinen Trojaner, sondern "Schreck-Ware"???

 

Rainer

[Akeem al Harun]

Ich nehme an, das hier (ein Forum, das die dabei hilft so etwas zu entfernen und da hat jemand genau dieselbe Malware) hast du bereits gefunden?

 

Ja, aber wenn ich das so lese, hatte der gar keinen Trojaner, sondern "Schreck-Ware"???

 

Yo, sieht so aus. Es bleibt die Frage, ob das bei dir genauso ist.

[Olafsdottir]

Also habe ich mir das nicht nur eingebildet, dass das letztlich die Lösung war??? Gut. Ich fand das nämlich sehr verwirrend, weil sich seitenlang nichts tat in dem Strang.

 

Das ließe sich ja dann herausfinden ... Vielleicht sollte ich auch mal danach suchen, ob Spyware Removal Toolkit "Schreckwarr" (den Begriff hatte ich zuvor noch nie gehört) ist ...

 

Rainer

[Nixonian]

Heißt eigentlich "Scareware" und soll dich einfach verleiten, ein (nutzloses) Tool teuer zu kaufen oder herunterzuladen, das dann das echte Schadprogramm startet.

[Olafsdottir]

Ah, stimmt, "Scareware" hab ich schon einmal gehört ...

 

Ich hab's vorhin 'mal mit diesem BitDefender Online-Scanner sucht. Der findet gar nichts. Mein AntiVir hat auch nichts gefunden.

 

Die Kernel.dll ist ja nicht ganz unwichtig. Kann es sein, dass der Computer sie deshalb wieder automatisch nachlädt, wenn ich sie lösche?

 

Rainer

[Akeem al Harun]

Die Kernel.dll ist ja nicht ganz unwichtig. Kann es sein, dass der Computer sie deshalb wieder automatisch nachlädt, wenn ich sie lösche?

 

Ja. Der Anwender wird sozusagen davor geschützt, diese Datei versehentlich zu löschen.

[Akeem al Harun]

Es sieht übrigens danach aus, als sei das "Spyware Removal Toolkit" tatsächlich Scareware und sogar selbst böse: VirusTotal.com

[Olafsdottir]

Na, da schau an ... das würde ja dann so ziemlich alles klären ...

 

Dann sollte ich das vielleicht wieder deinstallieren.

 

Rainer

[Akeem al Harun]

Vielleicht kannst du noch mit HiJackThis deinen PC prüfen. Dieses Tool ist wohl sicher.

[Olafsdottir]

Ja, davon hab ich auch schon gehört. Wird nichts schaden.

 

Rainer

[Ma Kai]

Von unserer Firmen-IT wurde mir für das Absichern des Privatrechners "Spybot Search & Destroy" empfohlen. Ist schon ein paar Jährchen her, aber wenn das gepflegt wurde...

[obw]

Von unserer Firmen-IT wurde mir für das Absichern des Privatrechners "Spybot Search & Destroy" empfohlen. Ist schon ein paar Jährchen her, aber wenn das gepflegt wurde...

Das kann ich auch empfehlen:thumbs:

Ansonsten gilt: Rechner am besten von einer CD booten und von da aus durchscannen. Virenscanner sollten da ein Image parat haben.

[Olafsdottir]

Ah, Spybot S&D ... das hab ich ganz vergessen. Hab's gerade aktualisiert und lass es laufen. Danke!

 

Rainer

[Olafsdottir]

Spybot S&D hat übrigens auch nichts gefunden. Ich denke mittlerweile wirklich, das war eine Fehlmeldung des (mittlerweile deinstallierten) Spyware Removal Toolkit.

 

Rainer

[Abd al Rahman]

Ich würde aber trotzdem mal direkt einen Scanner von einer CD booten, die nicht mit Deinem Rechner erstellt wurde. Nur so kannst Du gewährleisten, dass Du Dir kein Rootkit eingefangen hast. Rootkits verbiegen Funktionen auf dem infizierten Rechner, sodass sie nicht gefunden werden können, wenn der Rechner mit dem infizierten Betriebssystem bootet.