Trojaneralarm

[Finril]

Nachdem mein Rapidshare Premium Account, drei SteamAccounts nunja "gestohlen" worden sind habe ich ein klitzekleines Problem, dass Programm loszuwerden was mir solche Probleme bereitet.

Ich habe bereits Norton über alle 3 Partitionen drüberlaufen lassen doch er hat nichts gefunden.

Was kann ich nun tun? (Keine lust zu formatieren )

Name: HEUR/Malware
Art: AHeAD Heuristik Spezialerkennung
In freier Wildbahn: Nein
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Nein


So das wurde jetzt gefunden:

C:\System Volume Information\_restore{292E5E52-F956-4C1C-AA85-889E6ABE036B}\RP173\A0054360.exe

HEUR/Malware
_________________
Ein Geist wer seine Pflichten nicht erfüllt kann nicht frei sein.

[extrakt]

Hi,

unter "system volume information" werden diverse restore Informationen/Daten pro Partition gespeichert, u.a. speichert hier Windows die bekannten Wiederherstellungspunkte. Standartmässig hat nur das System Zugriff dadrauf:

devil@TALISMAN D:\>cacls "System Volume Information"
D:\System Volume Information NT AUTHORITY\SYSTEM:(OI)(CI)F

Eine Sicherung der Datei befindet sich hier im Snapshot "RP173" auf dem Laufwerk C.
Aus diesem Bereich entfaltet der Schädling keine Schadwirkung mehr, er wurde jedoch im Zuge der Systemwiederherstellung von Windows mal mitgesichert. Diesen Snapshot solltest du nicht wiederherstellen.

Hat dein Virenscanner die Datei eigentlich schon gelöscht oder taucht es immer wieder im Scan auf ? Wenn das erstere - dann muß du sowieso nix machen, wenn doch (und keine Lust auf diesen Schönheitsfehler)...:

Es gibt nun 4 Möglichkeiten die Datei loszuwerden:

1. Den Besitz des "System Volume Information" Ordners übernehmen, sich Zugang verschaffen und Datei entfernen. Das kann ich Laien nicht empfehlen.

2. Die Systemwiederherstellung temporär deaktivieren, sodass alle Snapshots gelöscht werden. Das solltest du nur machen wenn du diese nicht benötigst.

danach sind diese wieder zu aktiveren.

3. Windows PE CD Erstellen, booten und dann die Datei von der Platte entfernen.

http://www.nu2.nu/pebuilder/

4. Nix tun und warten bis Windows den Snapshot von selbst löscht, von dort aus wird nix ausgeführt.


ps.

HEUR/Malware bedeutet, daß es von der Heuristik Engine erkannt wurde und nicht aus der Datenbank bekannter Schadware. Es kann sich also auch um einen klassischen Fehlalarm handeln..
_________________
"Gott ist eine faustgrobe Antwort, eine Undelikatesse gegen uns Denker - im Grunde
sogar ein faustgrobes Verbot an uns: ihr sollt nicht Denken!"
Nietzsche

[LingLing]

[extrakt]

Denke nicht, daß die im Systemkontext Laufen, also sollten diese keinen Zugriff auf den Ordner haben.
_________________
"Gott ist eine faustgrobe Antwort, eine Undelikatesse gegen uns Denker - im Grunde
sogar ein faustgrobes Verbot an uns: ihr sollt nicht Denken!"
Nietzsche

[Norton]

[Konrad]

[unchrist]

[Greasel]

Finril pack das Problem beim Schopfe!

Antivirenprogramme, Antikeylogger, Antispywaretools..........alles ganz nett aber letztendlich hinken sie immer hinterher. Besser und 100% sicher ist die Radikallösung.

1. Sichere alle wichtigen Dateien! Und nur die wirklich wichtigen!!!

2. Systempartition formatieren.

3. Setze dein System neu auf. Überlege dir vorher genau was du alles brauchst. Treiber, Basistools, Serviceprogramme (Nero, O&O, Norton, Office etc.). Keine Spiele! Die gehören nicht in die Systempartition.

4. Wenn du dein frisch aufgesetztes System fertig hast, koch dir nen Kaffee, zünd' dir nen Kippchen an und überlege in Ruhe ob auch alles so ist wie du es wolltest und ob du nicht was vergessen hast. Hast du zum Beispiel die Bookmarks wieder Importiert? Sind die Einstellungen in Bezug auf die Auslagerungsdatei vorgenommen worden (falls gewünscht)? etc.

5. Jetzt brauchst du ein Disk-Clone-Tool a la Norton Ghost (Zu finden auf der Hirens Boot CD(Google ist dein Freund.....Gulli auch!)) Erstelle mit dem Clonetool eine Abbild deiner frischen Systempartition und speicher es wenn möglich komprimiert auf einer anderen Festplatte.

6. Fertig! Du bist jetzt in der Lage immer und in jeder Situation dein System innerhalb von 3 Minuten neu aufzuspielen. Das, und nur das ist in Bezug auf Trojaner, Viren und Würmer wirklich sicher. Was aber viel wichtiger ist - der Aufwand ist wenn man es hochrechnet minimal. Und noch etwas, das Aufspielen des Images durch Norten Ghost geschieht selbstverständlich Complete/Access mäßig, soll heissen du hast nach jedem aufspielen eine vollständig defragmentierte Systempartition.

7. Viele Programme haben die unangenehme Angewohnheit Userdateien im System unter "Eigene Dateien" abzulegen. Nur da gehören sie nicht hin. Worddokumente, Exelmappen, Saves immer extra speichern beziehungsweise an einen sicheren Ort kopieren.

8. Und zum Schluss noch die goldene Regel:

Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup! Backup!

Jetzt kanns du, wann immer du möchtest dein System wieder in den "Ur"zustand versetzen. Und das wirklich innerhalb von 3 Minuten, denn länger braucht Noton Ghost z. B.: nicht. So hat kein Trojaner mehr ne Chance! Auch der Bundestrojaner nicht.

Gruß

[Finril]

Danke
_________________
Ein Geist wer seine Pflichten nicht erfüllt kann nicht frei sein.

[extrakt]

[Zoff]

@Greasel:

So setze ich auch auf, aber was soll Office auf der Systempartition?

[extrakt]

[Greasel]

@extrakt

Du hast natürlich vollkommen Recht, wenn, ja wenn es sich um ein durch eine kompetente Administration geführtes Firmennetzwerk handelt. Keine Frage.

Und sicherlich kann man Windows, die nötige Sachkenntins vorausgesetzt, so konfigurieren, dass man vor sämtlichen Bedrohungen (Trojaner, Viren, Keylogger, Würmer, Phishing usw.) sicher ist. Das ist allerdings auch relativ aufwändig und es nimmt einen immer wieder in Anspruch. Ich bin selber lange Zeit den gleichen Weg gegangen und hatte, bis auf eine Ausnahme (einen Wurm unter Win98), nie Probleme. Andererseits traten und treten bei Windoof immer mal wieder Probleme auf, z. B. durch fehlerhafte Treiber, Programminkompatibilitäten (C4d verträgt sich zum Beispiel nicht mit dem vorletzten Quicktime Alternative Paket - Das Spiel FEAR nicht mit Matroska Codec Pack) etc, deren Ursache sich oft nicht sofort finden lässt. Man hat dan unter Umständen ein das ganze System betreffendes Problem ohne die Ursache dafür zu kennen und oft hat man auch nicht die Zeit oder die Muße sie zu suchen. Unter diesen Gesichtspunkten halte ich es für mich persönlich und generell im privaten Rahmen für effektiver immer ein passendes Systemimage zur Verfügung zu haben welches die schnelle und unkomplizierte Wiederherstellung eines funktionierenden Systems erlaubt.

So, und nun nochmal zurück zu den "Eigenen Dateien". Wenn die Sache mit dem Systemimage zuverlässig und unkompliziert laufen soll, dann darf die Systempartition nach Möglichkeit keine oder nur ganz wenige individuelle Datensätze enthalten. Wenn ich bei einem Problem erst anfangen muss, Daten zu suchen, zu sichern und hin und her zu schieben, dann habe ich nur wieder unnötigen Aufwand. Abgesehen davon gehört z. B. mein mit Word erstellter Schriftverkehr in einen Truecryptcontainer bzw. in einen Ordner auf einer vollverschlüsselten Partition und nicht in die aus Performancegründen unverschlüsselte Systempartition. Das Gleiche gilt für Saves, Emails etc.

Jeder wie er will. Viele Wege führen zum Ziel.

Gruß

[extrakt]

[Konrad]

[extrakt]

Ich bin normalsterblich ( was ist den anormalsterblich ? ) und auch Heimnutzer
_________________
"Gott ist eine faustgrobe Antwort, eine Undelikatesse gegen uns Denker - im Grunde
sogar ein faustgrobes Verbot an uns: ihr sollt nicht Denken!"
Nietzsche