Wiederkehrender Trojaner TR/Dldr.MedBot.B.2 ssd32d.exe.conf

Hey Leute,

ich habe seit ca. 10 Tagen das Problem mit einem wiederkehrenden Trojaner oder so. Täglich wenn ich mein WLAN starte findet mein AntiVir flogendes Programm:
TR/Dldr.MedBot.B.2
es zeigt sich immer in einer exe an, ungefähr so:
ssd32d.exe.conf
die Zahlen variieren immer wieder, das gemeldete Programm ist aber immer das gleiche. Habe schon Spybot probiert und eben AntiVir, aber es kommt immer wieder. Zudemm geht alle 2 Tage mein Internet mehr und ich muss eine Systemwiederherstellung vom 12.7. machen.
Ich weiß wirklich ni wo ich das her hab und was ich dagegen machen kann.

Danke

 

Hast du das übersehen?
http://www.pcwelt.de/forum/viren-tr...bedingt-lesen-posten-von-hijackthis-logs.html
Soll schon geholfen haben
TR/Dldr.MedBot.B.2 (29exssd32c.exe) - Trojaner-Board

 

Hallo,
der zweite Link (zum Trojaner board) ist etwas verwirrend, wenn es sich um einen Backdoor handeln sollte ist ein Neuaufsetzen des Systems die einzig sinnvolle Maßnahme.


Grüße Jasager

 

Und wenn dein Auto einen Platten hat kaufst du auch ein Neues? Oder um ein besseres Beispiel zu geben. Ist ein Marderschaden zwingend ein Totalschaden?

@TO. Du hast 2 Möglichkeiten.
1. Neuinstallation. Beseitigt garantiert installierte Malware. Allerdings auch jegliche andere Software auf der Systempartition. Ausserdem löst das dein Problem nicht unbedingt, weil du nicht weißt wo du den Schädling her hast. Er könnte in einer Datei stecken die du irgendwann wieder aufrufst und schon gehts wieder von vorne los.
2. Search & Destroy. Dauert, kostet Zeit und Nerven und unter Umständen wirst du doch um 1. nicht herumkommen. Aber meistens findet man den Schäding und kann ihn auch entsprechend entfernen. Gleichzeitig findet man oft heraus wo er herkommt und wie man verhindern kann ihn wieder zu bekommen.

Die Entscheidung liegt bei dir da natürlich niemand dein System oder deine verfügbare Zeit und Lust, dich mit dem Thema zu beschäftigen, kennt

 

Hallo,
@Chummers
Ich dachte wenigstens bei der Beseitigung von Backdoors wären wir uns über die Unsinnigkeit einig, war wohl eine Fehlannahme.
Ist aber im Endeffekt die Entscheidung des Users, hier aber Lektüre die dabei berücksichtig werden sollte
Erstens
Zweitens
Drittens

Zusammenfaßend bleibt zu sagen das es in Deutschland quasi kein Sicherheitsforum (board.protecus mal ausgenommen) gibt, dass Backdoors beseitigt, von Usegroups mal ganz zu schweigen und das hat schonm seine Gründe.

Aber wir sind ja noch nicht mal mit der Analyse durch, solange kein Link zu dem HijackThis Logfile gepostet wird kann man noch nichts mit Gewißheit sagen.



Grüße Jasager

 

Tja. Ein BackdoorProgramm versucht eine "Hintertür" ins System zu erstellen um z.B Verbindung zum Internet herzustellen oder auf sich herstellen zu lassen. Und grundsätzlich war's das auch schon. Eine sonstige Funktion lässt sich aus dem Begriff "Backdoor" erstmal nicht ableiten. Angst davor zu haben ist also in so fern berechtigt, als dass man einen solche Verbindung verhindert sollte in dem man den Schädling entfernt.
Diese Lnks sind genau das was ich immer Zeitschriften und Shows wie Planetopia ankreid. Alles wird über einen Kamm geschert. Da ist noch gar nicht bekannt um was genau es geht und tritzdem werden schon hunderte von möglichen Szenarien durchgespielt.
Das ist vielleicht nur ein kleiner dummer minischädling der einfach entfernt werden kann (was sich ja identifizieren lässt) und dann soll gleich das ganze System infiziert worden sein....Es heisst nicht umsonst "Informations-Technik".

 

Hallo,
der Unterschied von einem Backdoor zu anderer Malware ist, dass damit dritte vollen Zugang zum System unter Adminrechten haben, wenn eine solche Verbindung nach aussen zustande gekommen ist kann man eben nicht mehr sagen welche Befehle der Botmaster durchgegeben hat. In diesem Moment reicht es nicht mehr den Schädling zu entfernen sondern man müßte das gesammte System auf Kompromittierung untersuchen (dies wäre theoretisch mit Checksummen möglich, aber in der Praxis noch nicht durchführbar), also ist die einzige sichere Maßnahme einen aktiven Backdoor zu entfernen das Neuaufsetzen des Systems.
Und diese Links sind immerhin von (oder verweisen weiter auf) solchen Institutionen wie MS oder CERT, das läßt sich wohl kaum mit der üblichen Zeitschriften oder Planetopia Masche vergleichen, dort herrscht ja auch noch die Meinung vor: Firewalls schützen und mein AV entfernt und erkennt alles auf Knopfdruck.



Grüße Jasager

 

Danke erstmal, mir wäre es aber am angenehmsten wenn ich das ohne eine Neuauflage des Systems schaffen würde.



ganz schön belastend sowas. Werds erstmal Versuchen mit Spybot. Vielleicht klappts ja.

 

So, habe nun einen HijackThis durchgeführt und laut Auswertung zwei schlechte Dateien gefunden. Reicht es wenn die dann durch Hijack gefixt werden? Oder muss ich nochmal in die Ordner rein und diese Dateien selbst löschen?

mfg ich

 

bitte-unbedingt-lesen-posten-von-hijackthis-logs

Ist das wirklich so schwer, das Forum selbst herausfinden zu lassen, was bei Dir krumm läuft?

Poste doch einfach mal den LINK zur LOG-Auswertung von HJT...

Im Übrigen: wenn Jasager der Auffassung ist, dass Du Dein System neu aufsetzen solltest und sich sogar noch die Mühe macht, zu erklären, warum Du Dir nie ganz sicher sein kannst, alle Schadware beseitigt zu haben - wieso tust Dir selbst nicht den Gefallen und spurst? Aber das ist eh nur eine rhetorische Frage...

 

Tut mir leid das ich nunmal kaum ne Ahnung von all diesen Dingen hab und ni weiß wie ich Dateien und das ganze andere Zeug dann behalte oder verliere oder so. Bin nun mal ein wenig unwissend und ich weiß, die Tipps sind richtig, aber ich kann damit manchmal nicht viel anfangen wenn da steht: "fix einfach" oder so. Sorry

http://www.hijackthis.de/logfiles/a82eb1e4432d99217e21ccaf38ff5543.html

das ist die Auswertung, hoffe ich zumindest

mfg ich

 

Hallo,
aktiver Backdoor Trojaner, nämlich der hier.
Hier eine Anleitung wie du beim Neuaufsetzen und anschließenden absichern vorgehen solltest.



Grüße Jasager

 

Das ist ein Heim PC!!!

@TO. In Jasagers 1. Link ist auch die Beschreibung wie du ihn loswirst OHNE neuzuinstallieren:
Beschreibung:
Troj/Polbot-A ist ein Backdoor-Trojaner, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer ermöglicht.

Troj/Polbot-A enthält Funktionalität, um auf das Internet zuzugreifen und mit einem remoten Server über HTTP zu kommunizieren.

Wenn er erstmals gestartet wird, kopiert sich Troj/Polbot-A nach <Windows-Systemordner>\smss.exe und erstellt die Datei <Windows-Systemordner>\nvsvcd.exe.

Der folgende Registrierungseintrag wird erstellt, um Troj/Polbot-A beim Start auszuführen:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
.nvsvc
<Windows-Systemordner>\smss.exe /w

Die Datei nvsvcd.exe wird als ein neuer Systemtreiberdienst namens "Windows Log" mit dem Anzeigenamen "Windows Log" und dem Starttyp "Automatisch" registriert, damit sie wärend des Systemstarts automatisch ausgeführt wird. Registrierungseinträge werden an folgender Stelle erstellt:

HKLM\SYSTEM\CurrentControlSet\Services\Windows Log\

 

Gerade die "kleinen dummen" Home PC`s eignen sich vorzüglich für Bot Netze.

 

@NetFuchx
Gehe in ein beliebiges Forum das mit sich mit Computersicherheit beschäftigt und hole dir eine zweite Meinung. Die beseitigung über den Sophos Link ist mehr als unverantwortlich, da diese sehr häufig weitere Dateien und Regeinträge nicht auflisten.

@Chummer
Das hat überhaupt nichts mit "bösen Hackern" zu tun, Backdoors sind dazu da um Botnetze zu schaffen, dieses geschiet auch an Heim PCs. Ob derjenige der gerade Kontrolle über das System hat sagt "spiele ein wenig Adware ein" oder "installiere ein Rootkit" kann niemand nachvollziehen. Aber die Diskussion hat jetzt mal langsam ein Ende, da es keine Diskussion ist, diese wäre nämlich ergebnisoffen und man müßte auf Argumente eingehen, dafür fehlt dir sowohl der Wille als auch das Fachwissen, das hast du mehr als einmal hier bestätigt.
EOD


Grüße Jasager

 

Hier gibt es ne kleine aber feine Sammlung an Links zu Securityboards aber da wirst du das selbe zu hören kriegen wie von Jasager auch wenn solche Pseudoexperten wie Chummer immer das gegenteil behaupten deine Kiste gehört Formatiert und Neuaufgesetzt

 

Danke erstmal an alle die sich hier die mühe gemacht haben reinzuschreiben.
Sollt euch wegen sowas ni anmachen, denn im Endeffekt liegt es in mener Hand was ich mache. Werde mir alles durchlesen und versuchen das ganze hinzukriegen.

Hoffe das man beim Neuauflegen nicht all seine Daten verliert. Denn hab sowas noch nie gemacht und irgendwie hab ich ein wenig Angst vor dem Verlust. Nun ja, schaun wir mal.

Danke

mfg ich

 

Daten kann und MUSS man eh regelmäßig auf DVD o.ä. sichern.
Wer seine Daten NUR auf der Festplatte des PC bunkert, ist ziemlich naiv...

 

Wenn Deine Daten auf der Bootpartition liegen (also dem Laufwerk, von dem Dein Betriebssystem startet), musst Du natürlich Deine Daten VOR dem Neuaufsetzen sichern!

 

Ich sichere meine wichtigsten Daten regelmößig auf ner CD, aber wenn ich an all die Programme und so denke, wo ich die dann alle wieder herholen muss und so, da kommt einiges an Arbeit auf mich zu. Klar muss man das dann machen, trotzdem ist es ni grade schön!

So .... und nun an die Arbeit

Aber noch ne FRage, wie schütze ich mich dieses MAl besser? Hab Firewall, Antivir .... was brauche ich noch?