Wiederkehrender Trojaner TR/Dldr.MedBot.B.2 ssd32d.exe.conf

Hallo,

schwierig zu beantworten, da wir nicht genau wissen wie du dir den Backdoor gefangen hast. Mal drei wichtige Regeln:

1.) Immer alle Updates von Microsoft einspielen (ev. die automatische Updatefunktion aktivieren)

2.) Keine Dateien aus dubiosen Quellen (Mailanhänge, Filesharing, Cracks usw.) ausführen

3.) Mit eingeschränkten Rechten surfen, in den meisen Fällen kann sich Malware dann erst gar nicht installieren.


Grüße Jasager

 

Anleitung: Neuaufsetzen des Systems und anschliessende Absicherung!

 

Es ist einfach nur lächerlich wie sich manche Leute Angst machen lassen. Uh ich hab einen Schädling auf dem Rechner ich muss formatieren. Sowas blödsinniges. Wenn ich die Kisten meines letzten Projekts jedesmal neuinstalliert hätte wenn ein Kunde einen Virus installiert hat wäre das Projekt innerhalb von 2 Monaten an den Kosten zugrunde gegangen. Aber GottseiDank gibt es ja Leute wie einige hier im Forum die nur das nachplappern was ihnen irgendwelche Zeitschriften erzählen. BotNetze und Rootkits... OMG. Der standard Trojaner bzw das standard Szenario hat damit überhaupt nix am Hut. Der TO hat sich irgendwo eine Datei gezogen und ausgeführt die schädliche Software enthalten hat. Und natürlich glauben einige Leute sobald sie ins Internet gehen warten da nur tausende von bösen Dingen um sich auf sie zu stürzen. Leute macht die Augen auf. Das eigentliche Problem sind keine Rootkits und Botnetze bzw Zombiecomputer. Es sind Phishing mails, Spam, und Abzocke. Sonstige Gefahren für Heimrechner die, nicht in direkter Verbindung mit Schadenscode eines Virus/Wurms stehen, sind extrem gering oder schlicht erfunden.

@TO wenn du neuinstallieren willst dann tu das. Aber denk auch daran sämtliche anderen Rechner im Netz zu formatieren. Der Schädling könnte sich verbeitet haben...
Ach und wenn du die Schädlingsdatei wieder ausführst weil du nicht weißt welche es war (bzw wo genau der Schädling herkommt) stehst du demnächst wieder da wo du jetzt stehst. Und dann wird dir schon wieder geraten neuzuinstallieren anstatt sich um das Problem zu kümmern. Ist ja einfacher...


Jeder der meint ein einzelner Schädling wäre eine Panikattacke Wert:
Geh in die nächste grössere Firma und frag den Admin dort ob er jedesmal wenn ein User sich einen Schädling eingefangen hat das komplette Firmennetzwerk neuinstalliert... Das wäre nämlich die logische Schlussfolgerung.

edit: und an die Leute die hier meinen in Sicherheitsforen würde gegen Schädlinge nur zur Neuinstallation geraten... welchen Sinn hätte ein Forum in dem es nur einen Satz gibt: "installier neu".
Ich meine, wenn ihr schon solche Forn verlinkt, dann schaut sie euch wenigstens vorher an. Die ersten (sticky) Einträge sind meistens Entfernungsratschläge für Schädlinge. Und das OHNE Neuinstallation.

(Der Witz bei der Sache ist, das die reine Installation eines Backdoors noch kein System kompromitiert, sondern (z.B im Fall einer erwarteten verbindung von aussen) erst ein aktiver Zugriff.)

 

Wenn Jasager zur Neuinstallation rät, sollte man das tun.
Er hat hier schon einer Menge Leute geholfen, wieder zu einem sauberen System zu kommen, bei denen die meisten Neuaufgesetzt hätten, inkl. meiner Wenigkeit.
Wenn du weißt, wie der TO wieder zu einem sauberen System zurückkommt ohne Neuzuinstallieren, poste es doch einfach.
Es hält dich keiner davon ab.

Der Admin hat saubere und vollständige Backups. Das haben die User nicht, die hier im Virenforum nachfragen. Leider...

 

Neben dem Schutz, wozu Dir Jasager ja Hinweise gegeben hat, noch ein Vorschlag zur zukünftigen Arbeitserleichterung.

Wie Du vielleicht weißt, gibt es Imagesicherungsprogramme wie z. B. Acronis True Image (A-TI 7.0; zuletzt auf CHIP-CDs der Ausgaben 04/2006 und 07/2006, Registrierung; ggf. mal in der Bücherei stöbern).

Du richtest Dir Dein System neu ein mit den aktuellsten Sicherheitsupdates von MS (noch schnell herunterladen und sichern), ohne ins Internet zu gehen. Dann läßt Du A-TI laufen und brennst Dir eine Image-CD-Serie + die zugehörige Boot-CD.

Sollte so ein Fall erneut auftreten, dann brauchst Du nicht alles von Grund auf neu zu machen, sondern hast ein zu dem Zeitpunkt bereits halbwegs fertiges System, das nur noch auf den aktuellen Stand gebracht werden muss.

Das entspräche dem von Deoroller genannten BackUp eines Admin; nur eben für Privatrechner.

Glück auf,
Thor

P.S.: Ich bin selbst einmal durch diese Knochenmühle gegangen (nicht wegen Infektion) und weiß Programme wie A-TI so richtig zu schätzen.

 

Ach und dir hat er nicht zu einer Neuinstallation geraten? Das wundert mich doch. Aber ich will das gar nicht bezweifeln.

Der Admin hat aber nicht einen Rechner sondern unter Umständen hunderte.

Aber überlegen wir mal. Jemand hat sich irgendwo vielleicht Datei gezogen (von mir aus einen Crack für das Spiel XYZ) und dabei einen Trojaner erwischt. Genauergesagt ein Backdoor. Er kommt hierher und erwartet hilfe. Bekommt erzählt er müsste einfach neuinstallieren alles andere hätte keinen Sinn. OK macht er. Nach der Neuinstallation sieht auch alles wieder gut aus. 2 Wochen später will er wieder das Spiel xyz starten und benutzt den gleichen Crack, schwupp steht er wieder hier. Das macht einfach keinen Sinn.

P.s das mir hier keiner was falsches Unterstellt. Es gibt durchaus Schädlinge bei denen man um eine Neuinstallation nicht herumkommt. Aber alle über einen Kamm zu scheren ohne sich vorher über die Wirkung und die Quelle des Schädlings im Klaren zu sein (oder auch nur eine Ahnung zu haben) ist einfach nur paranoid und kontraproduktiv. Denn vor allem bei letzterem kommt er mit hoher Wahrscheinlichkeit wieder.

 

Aber halbherzige Säuberungsaktionen machen dann nen sinn oder wie

In solch einem fall solte der betreffende User sich wenigstens die Die ABSOLUT SICHERE Firewall
installieren so das nicht noch andere durch seine Dummheit geschädigt werden.

 

Nochjemand der glaubt man könnte einen Schädling nicht aus dem System entfernen? Dann kann man ja sämtlicher Foren die sich um dieses Thema drehen schliessen. Hilft ja alles nix.

 

Theorethisch völlig richtig. Nur was sagt mir, dass kein Zugriff von Aussen auf eine Backdoor erfolgt ist? Der Admin hat dazu sicher Protokolle laufen und kann sie auswerten.
Der normale User weiß oft noch nicht einmal, dass es eine Protokollfuntkion gibt und könnte sie auch gar nicht bedienen.
Bitte Profikenntnisse nicht mit Allgemeinwissen verwechseln.

Und die sind alle gleich konfiguriert und übers Netzwerk ruckzuck wiederhergestellt oder der Admin hat viel Zeit nach Dienstschluss...

Braucht er nicht. Ich habe Backups.

Das Gewitter hat leider die Hitze nicht merklich gemildert und so sind wir weiterhin leicht gereizt.

 

Auf "neuinstallieren" kommt der Laie auch alleine...

Nein sind sie in der Regel nicht.
Aua. Der letzte Satz tut weh *g

In Verbindung mit Samstag Abend halb 12 und der "Zeit nach Dienstschluss"... ich werd' langsam wirklich sauer. (edit hat nichts mit diesem Forum zu tun!)

 

ok. dann sag dem TO endlich, wie er ums Neuinstallieren kommt.
Wir schreifen nämlich vom Thema ab.

 

Er hat ein log erstellt und die beiden Problemfälle gefunden. Der gepostete Link enthält die Daten die er braucht um zu überprüfen ob noch Reste im System sind (Registrierung...). Damit hätte er den eigentlichen Schädling schonmal weg. Will er schaun ob etwas eine verbindung zum Internet aufbaut oder hinter einem Port lauscht gibts zum einen Netstat und zum anderen jede Menge anderer Tools die das anzeigen.
...
edit: er hat sich bereits für die Neuinstallation entschieden. Na dann bis nächste Woche... oder so.

 

Guten Abend.

Habe nun tatsächlich neu aufgelegt und naja, so konnt ich den PC weigstens ausmisten. Trotzdem würd ich gern das nächste mal eine leichtere Variante vorziehen. Knn ich die im Log angezeigten Dateinen und Registrierungen dann einfach löschen?

Naja, hoffentlich setz ich den Trojaner jetzt nicht durch irgendwas wieder in mein System.

Danke an alle und nen schönen Abend

NetFuchx

 

Zur Vorbeugung: s. Beiträge #21, #22 & #25...

 

Ich will mich ja hier nicht in eine Unterhaltung reindrängen. Aber was zwischen Chummer und Jasager abgeht, könnte u.U. die Stimmung hier im Forum nach unten ziehen.

Sicherlich hat jeder eine Meinung. Und die unterscheidet sich in den meisten Fällen von denen anderer. Einige haben sich Fachwissen angeeignet und nutzen dies auch beruflich. Und hier scheinen im Moment zwei verschiedene Meinungen zu kollidieren.

Jasager leistet hier immer gute Dienste. Zur Neuinstallation rät er eigentlich in den seltensten bzw. gravierensten Fällen. Und zwar dann, wenn Reste alter VWT erkennbar sind oder verschiedene Varianten sich auf dem PC tummeln oder eine ganz besondere Speizes gefunden wurde.

Die Gefahr bei einem Heim-PC mag vielleicht gering sein. Wenn man diese aber unterschätzt, können sich VWT sorglos verbreiten und Daten ausspionieren. Und bei der Vielfahlt an Varianten hinken die Antivirenhersteller immer hinterher. Wer garantiert denn, dass die Anleitungen hundertprozentig wirken, dass alle Dateien/Ordner/Registryeinträge dokumentiert sind, die von VWT angelegt werden? Da besteht IMO die Gefahr, dass noch Reste übrgbleiben könnten. Und sicherlich kann man mit netstat nachschauen, was sich bewegt. Aber nicht jeder weiß, wo er es findet, geschweige, was dieses Programm kann. Ebenso andere Tools.

Wer einen Crack benutz ist selber schuld. Da hilft es auch nicht, die VWT zu entfernen. Denn bei erneuter Benutzung sind die auch wieder da -> kein Unterschied zu einer Neuinstallation. Und in Firmen-Netzwerken gibt es entweder die Image-Lösung oder Netinstall: ein Knopfdruck beim Booten und der Rechner wird neu eingerichtet.

IMO ist eine Neunstallation genauso schnell abgeschlossen wie das Entfernen. Zudem fühle ich mich sicherer, wenn ich eine Neuinstallation durchführe. Denn dann ist alles weg.

Passiert sowas in einem Firmen-Netzwerk, hat entweder der Administrator beim Einspielen von Patches/Updates gepennt oder er lässt Benutzer mit Administratorrechten am PC arbeiten. Es gibt natürlich auch noch die Wege über Diskette/CD/DVD/USB. Aber wenn ein Mitarbeiter so unüberlegt mögliche verseuchte Daten in ein Firmen-Netzwerk einschleppt, ist er IMO recht schnell ein Ex-Mitarbeiter. Passiert sowas auf dem eingenen Arbeits-PC in einem Ein-Mann-Betrieb, hat man ebenfalls verpasst, Updates einzuspielen oder einfach unüberlegt im Internet gesurft -> IMO dann selber schuld. Mann kann sich ja selbst feuern.

*VWT: Viren/Würmer/Trojaner.