Allgemeine Fragen zu Trojaner - backdoor.Win32.PoeBot.d

Hallo alle zusammen.
Mein AVK hat gestern ein Backdoorprogramm gefunden: backdoor.Win32.PoeBot.d
Und zwar in C:\Programme\Winrar und dort in der uninstall.exe. Hab dazu paar Fragen: die uninstall.exe gibt es dort ja auch schon.

1) Ist es dann so, dass sich dieses Backdoor-Programm
in ein normales .exe einistet? Hab gedacht, der BackdoorTrojaner ist ein eigenes , separates exe file

2) Und warum dann ausgerechnet in die uninstall.exe von Winrar ??

3) Wird der Backdoor-Trojaner erst gestartet, wenn ich uninstall.exe ausführen würde? (Das habe ich nicht gemacht) oder auch schon so ohne explizites Ausführen der uninstall.exe

4) Ich habe zuvor ein Image der Festplatte angelegt gehabt, und dieses jetzt wieder auf die Systempartition
zurückgespielt. Dann müsste ja wohl auch der Backdoor etc. auch weg sein. Ist ja wie eine Formatierung der Festplatte ... ?!

Noch eine Frage: Ich überlege mir ein DSL Modem/Router mit integrierter Firewall zu kaufen. (z.B. die AVM FRITZ!Box Fon).
5) Sind diese externen Firewalls sicherer?

Ich benutze z.Zt. GData AVK Virenscanner und ZoneLabs_free und MS AntiSpy. Ich war auch in nicht in einem Messenger, Chat und mache kein Filesharing. Trotzdem habe ich irgendwie dieses
Backdoorprogramm bekommen.

6) Sollte ich noch einen zusätzlichen TrojanerScnner installieren. Was haltet ihr von a-squared. Oder evtl andere?

Ich danke Euch für die Antworten. Ciao, Kai

 

0) Bitte ändere deine Überschrift:
http://www.pcwelt.de/forum/faq.php?faq=forum_rules#faq_forum_aussagekräftigeüberschriften



1) mal so, mal so. Bist du sicher, dass es die uninstall.exe dort vorher schon gab? Dessenungeachtet gibt es auch schon mal Fehlalarme.

2) Da musst du den Virenautor fragen. Allerdings hier nochmal der Hinweis auf einen Fehlalarm.

3) Erst nach starten der exe. Allerdings kann auch ein anderes, unentdecktes Programm diese exe starten. Solche sich gegenseitig startenden Schädlinge sind recht häufig.

4) Ja, nach dem Image ist alles sauber, wenn das Image sauber war

5) Sicherer als desktop-Firewalls ? Ja. Ob eine Firewall sinnvoll ist, steht auf einem anderen Blatt. Der Normalsurfer und Firewall-Laie ist am besten mit der WInXP-Firewall bedient.

6) Nein, die Erkennungsrate dieser Trojanerscanner ist zu mies, um sich drauf verlassen zu können. Andere Sicherungsmaßnahmen sind viel effektiver und wichtiger. Siehe hierzu
http://dedies-board.de/wbb2/thread.php?postid=760#post760

 

Hallo,
zu 1.)
Also das ist im Nachhinein schwer zu sagen, normalerweise legen Backdoors eigene exe Dateien an, können aber auch durchaus bestehende exe Dateien verändern bzw. infizieren.
Übrigens ein wenig info zu dem Backdoor:
http://www.sophos.de/virusinfo/analyses/w32poebotd.html
zu 2.)
Wie schon oben gesagt prinzipiell geht das mit jeder exe Datei, aber eigentlich denke ich das das ganze ein Fehlalarm war, was sich ja leider nicht mehr verifizieren läßt, zukünftig würde ich dir vorschlagen wenn du einen Virenalarm hast noch mla die Datei hier gegenzuchecken.
zu 3.)
Also, wenn du dir jetzt Winrar aus einer unseriösen Quelle geladen hättest(was eigentlich nicht die Verbreitungsart des Backdoors ist, Stichwort Netzwerkfreigaben) dann infizierst du dein System erst wenn du die betreffende Datei ausführst, nicht allein durch das Runterladen.
zu 4.)
Ja, neues Image aufspielen ist eine sichere Variante der Virenbeseitigung, wenn auch, wie oben schon erwähnt, in deinem Fall wahrscheinlich unnötig.
zu 5.)
Ja Hardwarefirewalls(z.B. weil sie eine NAT-Funktion haben) sind deutlich sicherer als Softwarefirewalls(falls man bei diesen überhaupt von zusätzlicher Sicherheit reden kann)
Gerade von Zonelabs halte ich ja überhaupt nichts, aber wenn dei Firewall ohne Probleme läuft, ist es deine Entscheidung. Wenn du deine Fritzbox installiert hast, hat aber Zonealarm keine Funktion mehr und sollte deinstalliert werden. Du kannst dann noch deine Netzwerkfreigaben schließen, z.B. mit diesem Script, aber selbst das ist eigentlich hinter einem Router unnötig.

zu 6.)
Also als zusätliche Spywarescanner kannst du noch Spybot und Adaware installieren, damit du ganz auf der sicheren Seite bist. Aber viel wichtiger als installierte Programme ist das regelmäßige und zeitnahe patchen Sicherheitsrelevanter Programme, wie OS, Browser, JAVA usw. und natürlich nicht auf alles klicken was schön bunt ist, aber den Eindruck hinterläßt du eigentlich nicht.

EDIT:
Toll, mal wieder zu langsam gewesen, naja doppelt gemoppelt hält besser
Grüße Jasager

 

So ist das, wenn man über 20 Minuten an einem Beitrag tippt :p

Aber besser so, als wenn du überall das Gegenteil behauptet hättest

 

So, erstmal Vielen Dank für Eure Antworten. Sorry wegen der Überschrift, habs nicht gewusst. War keine Absicht!. Werd das gleich ändern (wenn man das jetzt noch machen kann).

Also die uninstall.exe hat es definitiv schon vorher gegeben. Bin eigentlich eher zufällig draufgekommen: Ich hab MS AntiSpy gestartet, da kam dann was von einem Programm etc. (weiß aber die genaue Beschreibung nicht mehr). Hab dann einen Scan mit MS AntiSpy gemacht, und dann kam während des Scanns der GDataWächter, dass das MSAntiSpy auf eine infizierte Datei zugreifen will (nämlich die uninstall.exe). Dann nochmal Scan mit GData gemacht mit Ergebnis, dass die uninstall.exe infiziert ist. Von alleine hätte mir das AVK anscheinend nicht Bescheid gegeben. Ist doch so, dass gerade die files/ordner untersucht werden, mit denen man gerade arbeitet ... ?!

Hab mir Winrar übrigens von www.winrar.de geholt (ist doch die offizielle Seite?!). Die ganzen Sicherheitsupdates werden immer installiert etc. und ich surfe mit Firefox. Also, die meisten der Sicherheitseinstellungen habe ich schon zuvor gemacht, bzw. mache so weiter...

Also merci nochmal. Ciao, kai

 

Also, wie Jasager und ich oben schon geschrieben haben, tendiert es wohl zu einem Fehlalarm. Hatte ich im Frühjahr auch mal, Kaspersky meckerte nach einem Update über eine selten benutzte Datei in einem ANwendungsprogramm, 3 Stunden später nach einem erneuten Update war der Spuk vorbei....:nixwissen

 

Hallo,

hier ist die MD5 Prüfsumme der "uninstall.exe" WinRar Version 3.42 deutsche Version (virenfrei):

bf43ba768bbf20fec4980ea86196128d *uninstall.exe

vergleiche die mit deiner Prüfsumme

Wolfgang77

 

Ich hätte ja auch gesagt, er solle die Datei online scannen lassen, aber er hat ja schon das Image drübergebügelt und seither keinen Alarm-wenn ich ihn richtig verstanden habe...

 

Sevus nochmal. Danke für die Prüfsumme. Normalerweise handelt es sich ja auch nach dem Image um diesselbe datei wie vorher. Wo kireg ich aber das Programm zum Check der Prüfsumme her? Übrigens: Wenn ich nochmal Virenfragen habe, schicke ich dann einfach das file als Anhang hier ins Board???
CU, Ciao+Merci, Kai

 

Die verdächtige Datei? Entweder hier:
http://www.kaspersky.com/de/remoteviruschk.html

oder hier:
http://virusscan.jotti.org/de/
hochladen und prüfen lassen.

Coole Überschrift übrigens

 

Hallo. Wichtige Neuigkeiten!!!!!
Ratet mal, was ich gerade bei winrar.de gelesen habe:

Erneut Fehlalarme (F-Secure / GData)
Erneut Fehlalarme (F-Secure / GData)18.07.2005
Die aktuellen Versionen von F-Secure und GData-Antivirenkit melden einen Backdoor-Virus in WinRARs uninstall.exe.

Es handelt sich um einen Fehlalarm.

Teile der WinRAR-Installationsdatei werden mit upx.com gepackt, einem Laufzeitkomprimierer, der gelegentlich auch von Virenprogrammierern zum Verkleinern schaedlicher Programme eingesetzt wird.
Leider verwechseln Antivirenprogramme deshalb die Signatur von upx gelegentlich mit der Signatur von schaedlichen Programmen.
Mit der naechsten Virendefinition Ihres Virenwaechters wird sich das Problem wahrscheinlich erledigt haben.

Da diese Fehlalarme auch in der Vergangenheit recht haeufig aufgetreten sind, wird rarlab.com mit der Version 3.50 von WinRAR auf die Komprimierung des Distributionsarchivs weitgehend verzichten.

Tja, so kann's gehen.. hab mich schon gewundert, wie ich den Trojaner bekommen haben sollte ...Ja Steppl, die Überschrift: ganz allgmein im speziellen ... LOL
also, Servus und schönen Abend noch und nochmals recht herzlichen Dank für Eure Hilfe! Sehr nett!

 

Hallo,
naja die Drammatik erschließt sich mir jetzt nicht so ganz:

[EDIT]
Ursprüngliches Postig von launchee(nur zum Verständnis):

[/EDIT]
Zitat steppl:

Zitat Ich

Und wo du eine Datei bei Virenverdacht hinschicken kannst hatte ich dir doch bei Beantwortung deiner zweiten Frage schon gepostet.


Grüße Jasager

 

Das mit der "Dramatik" ist ja auch nur ironisch gemeint ;-)
Auf alle Fälle merci für Deine Tipps. Hab das schon gerade gelesen, wegen dem upload von infizierten dateien.
... ciao, kai

 

Hallo,
oh, da hatte ich wohl meinen Ironiedetektor ausgeschaltet, nichts für ungut.


Grüße Jasager

 

.. oder ich hätte ;-) gemacht, dafür sind sie ja da :-)