Backdoor.bot, Malware.Trace & Hijack.UserInit löschen?

#0
23.05.2009, 13:19
Member

Beiträge: 429
#1 Habe mir gestern oder heute offenbar wieder neue Schädlinge auf dem Rechner zugezogen. Kann ich die einfach löschen mit Malwarebytes?

Nette Grüße Dirk

P.S. Bedeutet "No action taken.", daß das Schad-Programm noch nicht aktiv geworden ist oder war oder daß Malwarebytes noch nichts (auf Veranlassung seines Nutzers) unternommen hat gegen / mit dem Schädling?

---------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2169
Windows 5.1.2600 Service Pack 3

23.05.2009 13:08:10
mbam-log-2009-05-23 (13-07-55).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 85509
Laufzeit: 11 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: c:\windows\system32\twext.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,) Good: (userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user.ds.cla (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twext.exe (Backdoor.Bot) -> No action taken.
__________
- aktuelles Vista Home Premium, alle Service Packs
- Windows 7 Home Premium Build 7600
Seitenanfang Seitenende
23.05.2009, 14:43
Moderator

Beiträge: 7799
#2 Das ist ein Zbot. Wo hast du dir den denn so schnell eingefangen?
Der ist nicht durch die Malware gestern auf den Rechner gekommen. Dasist eine komplett neue Infektion.
Das "dumme" dabei ist, das der dir alles an Passworte und co geklaut und versendet hat. Da ist dringendst Passwortwechsel angesagt, sowie eigentlich neu aufsetzen... ;)

Nachtrag, die Maware war/ aktiv, das siehst du an den "nicht-exe" teilen. Dort hat der Trojaner die gestohlenen Daten gesammelt, bevor er sie verschickt hat...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.05.2009, 16:17
Member

Themenstarter

Beiträge: 429
#3 Vielen Dank Ralf,

das klingt ja nicht so gut. Wüßte ich auch gerne, woher der kommt.

Ist wohl irgendwann 'raufgekommen, nachden der andere Trojaner gestern beseitigt worden ist, sonst hätte ihn ja Malwarebytes bestimmt angezeigt.

Gestern oder ein, zwei Tage zuvor, meine ich gesehen zu haben - mehr oder weniger zufällig - daß - ich glaube - 17 eMails verschickt worden sind, die definitiv nicht von mir geschrieben / geschickt waren. Hatte keine Erklärung dafür; ist das eine Art wie Zbot Daten verschickt? Diese eMails sind auf meinem Rechner nirgendwo zu finden. Hoffentlich sind nicht noch andere Daten verschickt worden.

SpyBot, AntVir, ZoneAlarm scheinen dann ja also nicht so brauchbar zu sein...

Das heißt also, ich muß wirklich alle Passwörter ändern...Zbot kriegt die bestimmt vom Browser, da sind ja alle gespeichert*. Werde ich dann wohl gleich mit anfangen, sind bestimmt 50 bis 100.

Und die gefundenen Objekte werde ich dann erst einmal mit Malwarebytes löschen...aber offenbar hilft das wohl nicht viel...es bleibt offenbar eine Gefahr bestehen, sind bestimmt Sicherheitslücken durch Zbot bekannt geworden...

Vielen Dank, nochmals. Nette Grüße Dirk

P.S. *Obwohl die Passwörter im Browser doch verschlüsselt sind, so viel ich weiß. Vielleicht können Sie ja auch in z.B. Word-Dokumenten etc. ausgelesen werden.

P.S.P.S. Ach so, verstehe, hier hat Zbot die Daten / Passwörter einige Zeit gesammelt:

C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user.ds.cla (Backdoor.Bot) -> No action taken.
__________
- aktuelles Vista Home Premium, alle Service Packs
- Windows 7 Home Premium Build 7600
Dieser Beitrag wurde am 23.05.2009 um 16:23 Uhr von Biffle editiert.
Seitenanfang Seitenende
23.05.2009, 17:57
Moderator

Beiträge: 7799
#4 Die Passwortverschluesselung ist bei den meisten Browsern schon geknackt, darauf wuerde ich mich nicht verlassen. Es gibt ja auch mehrere Moeglichkeiten an die Passworte zu kommen..

Das Problem bei Malware ist halt, das das "Malwareschreiben" inzwischen schon genau so eine Industrie geworden ist, wie Malware zu finden... ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.05.2009, 20:32
Member

Themenstarter

Beiträge: 429
#5 Ja, verstehe Ralf, komme um das Ändern der Passwörter nicht drumherum. Werde damit also fortfahren.

Und mal einen Beitrag über "Sicherer Umgang mit Passörtern: wie?" beginnen.

Schade, mir ist erst nach dem Löschen der Zbot-Ordner eingefallen, daß ich da ja vielleicht hätte sehen können, welche Informationen verschickt worden sind.

Vielen Dank, nochmals. Nette Grüße Dirk
__________
- aktuelles Vista Home Premium, alle Service Packs
- Windows 7 Home Premium Build 7600
Seitenanfang Seitenende
23.05.2009, 20:44
Moderator

Beiträge: 7799
#6 Das mit dem sehen der Passwoerter in dem Ordner ist Problematisch. Inzwischen verschluesseln die Malwareschreiber diese Daten selber! ;)

Bis vor einem(oder zwei) Jahren war das bei Zbot noch moeglich. Dort standen teiweise interessante und erschreckende informationen! Also erschreckend in dem, was sie alles abgegrast haben...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.05.2009, 21:01
Member

Themenstarter

Beiträge: 429
#7 Au Backe, na ja, dann ist es vielleicht doch besser, ich sehe diese Informationen erst gar nicht; tatsächlich können die ja wirklich alles nach Belieben abgrasen, eMails (mit vertrauten Daten) an alle im eigenen Adressbuch stehenden Personen oder sonstwo hin schicken und...darf gar nicht dran denken...

Gleich erst mal mein Passwort in "protecus" ändern.

Sicherer Umgang mit Passörtern: aber wie?

Herzlichen Dank für alles. Nette Grüße Dirk
__________
- aktuelles Vista Home Premium, alle Service Packs
- Windows 7 Home Premium Build 7600
Seitenanfang Seitenende
25.05.2009, 21:36
Member

Themenstarter

Beiträge: 429
#8 Es könnte ja tatsächlich sein, daß jemand unbemerkt und dauerhaft (volle) Kontrolle über meinen Rechner hat, je nachdem, was der Trojaner installiert hat, wenn ich recht sehe, so daß sich mittlerweile meine Angst doch merklich steigert. Zwar zeigt ja Malwarebytes auch nach einem Vollscan von C: keinen Fund an, aber das, was der Trojaner installiert haben könnte (etwa ein Programm zur Fernsteuerung meines PCs) oder verändert haben könnte nach seinem Belieben, muß ein Virenscanner oder ein Programm wie Spybot ja vermutlich gar nicht als Schadprogramm / schädlich ansehen. Und das Problem ist ja, daß man diese vom Trojaner installierten Programme wohl eben auch nicht aufspüren kann.

Wenn ich das System komplett neu aufsetze, muß ich dabei noch auf etwas bestimmtes achten? Oder kann ich einfach die Festplatte formatieren (nicht mit der Schnell-Formatierung) und dann "einfach" alles neu installieren? Und danach mit AntiVir, Spybot, Malwarebytes scannen?

Und wenn keine Funde angezeigt werden, kann ich dann sicher sein, ein sauberes System zu haben?

Und muß / sollte ich noch irgendwas im Boot-Sektor löschen oder sonstiges löschen, das die Formatierung nicht löschen kann?

Nette Grüße Dirk
__________
- aktuelles Vista Home Premium, alle Service Packs
- Windows 7 Home Premium Build 7600
Dieser Beitrag wurde am 25.05.2009 um 21:45 Uhr von Biffle editiert.
Seitenanfang Seitenende