Backdoor.Anakha/wie löschen??

Dieses Thema im Forum "Sicherheit" wurde erstellt von Jasmin72, 26. Januar 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Jasmin72

    Jasmin72 ROM

    Registriert seit:
    14. Januar 2004
    Beiträge:
    4
    Hallo,

    hab heute mal ein Virenprogramm durchlaufen lassen und es wurde ein Virus (trojaner) gefunden und zwar Backdoor Anakha . In Windows/System/shellEx.exe.
    Was soll ich tun? Einfach löschen? Gehört diese Anwendung zu meinen System oder ist DAS der Virus?
    Laus Virenscanner soll der schon seit 2002 drauf sein - hab aber bis heute nichts gemerkt.....aber in letzter Zeit spinnt mein PC, heute kam er garnicht hoch und der Bildschirm zeigte auch nur noch ein farbengewusel an. Internet ist irgindwie sehr lahm geworden - könnte das alles daher kommen?
    Muss sowas erst aktiviert werden oder ist der gleich 'scharf'?
    Hab im Internet über gerade diesen (Anakha) so gut wie nichts brauchbares finden können, vielleicht kann mir ja einer sagen wie ich den wegbekomme???
    Danke und Gruß
    Jasmin
     
  2. trudenbiker

    trudenbiker Kbyte

    Registriert seit:
    14. Oktober 2003
    Beiträge:
    291
    @MobyDuck

    Ist schon klar - wenn's nur der Troj ist, war's das dann schon. Aber sie hat offensichtlich noch andere Probleme auf der Festplatte, bei denen ohne professionelle Hilfe (falls die das könnte) die Aussicht auf endgültige Heilung gering ist. Nein Intensivstation ist keine Lösung mehr - Neugeburt muß her.

    @Jasmin - bist du noch Online ??

    Mit dem Neuaufsetzen kriegste auch ein neues Anmeldefenster, das du dann mit einem Passwort versehen kannst oder auch nicht. Gibst du ein Passwort ein, kommt der Anmeldebildschirm wieder - lässt du es, kommt er erst dann wieder, wenn du ein zweites Benutzerkonto einrichtest. Doch dazu in zwei Tagen .:wink:
     
  3. Gast

    Gast Guest

    Was das Passwort anbetrifft ist deine Angabe leider etwas ungenau, wen du mit Passwortabfrage bevor sich Windows aufbaut meinst, das ein kleines fenster (oder sowas in der Art) mit deinem Benutzernamen aufgeht, das sollte eigentlich beim Neuaufsetzen des Systems weg sein.
    Dann mußt du dir ein neues Benutzer konto (als Admin) einrichten.

    Wenn das die Passwortabfrage beim einschalten des rechners kommt dann ist es ein Biospasswort, dem macht eine Neuinstallertion nichts aus.

    mfg.dedie:D
     
  4. Gast

    Gast Guest

    Hallo,

    möchte auch noch eben meinen Senf dazutun:

    Aus deinem letzten Posting ist zu sehen, daß du wirklich nicht viel Ahnung hast. Eigentlich haben die anderen recht, es wäre wohl das beste das System neu aufzusetzen. Bevor du das machst, solltest du dich vielleicht mal umhören, ob du jemanden mit ein wenig Wissen auftreibst. Laß den das dann machen, nicht daß du dir mit gesicherten Daten den Mist wieder aufspielst, wenn das formatieren und neu aufspielen überhaupt klappt.

    Wenn du jemanden kennst, der weiß, was die Registry so bedeutet, so kann er auch folgendes tun:

    Im abgesicherten Modus starten (wichtig!) und die Dateien Windows\system\shellEx.exe
    Windows\system\rundll32.pin

    löschen.

    In der Registry unter

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    den Eintrag

    ShellEx C:\Windows\System\ShellEx.exe

    löschen. (Sonst kommt das Ding bei jedem Neustart wieder)

    Dann isser auch wech, der Trojaner.:D

    Viel Glück!
     
  5. Jasmin72

    Jasmin72 ROM

    Registriert seit:
    14. Januar 2004
    Beiträge:
    4
    Hast Du schön geschrieben :-)))
    OK, Ok, Du hast mich überzeugt.
    Irgindwann muss ich mich ja mit diesen Kasten auseinander setzen - nützt ja nix und eigentlich kann ich nicht (falls der Fall der Fälle eintritt) viel verlieren denn auf meinem PC ist nicht sooo viel los...was ich nicht erzetzen könnte!
    Und...falls ich mich in zwei Tagen nicht melde dann ist er geflogen

    Bis dann
    Jasmin

    PS: Hab ich fast vergessen, auf meinen PC ist eine Passwort Abfrage und zwar bevor Windows sich aufbaut - wie gehe ich damit um? Bleibt das bestehen? Auch das wurde nicht von mir gemacht, hab da null Ahnung :(
     
  6. trudenbiker

    trudenbiker Kbyte

    Registriert seit:
    14. Oktober 2003
    Beiträge:
    291
    Hallo Jasmin - nun mal nicht gleich den Mut verlieren.

    XP ist auch von WinDoof - d.h. einmal ist es manchmal ein doofes Betriebssystem und zum anderen können auch doofe was damit anfangen.

    Da wo du jetzt stehst, haben alle die hier im Forum gute Ratschläge verteilen (können) schon irgendwie gestanden und sie haben das Problem angepackt. Es ist, das ist wahr, ein Tal der Tränen und es Jammers, was alles an dieser Schei... kiste nicht mehr geht. Durch dieses Tal sind 'ne Menge Leute gegangen und haben den PC nicht auf die Strasse geschmissen (ich habe jedenfalls noch keinen gefunden).

    Mach jetzt noch das, was ich dir gepostet habe - download und Sicherung - dann verabschiede dich für 2 Tage aus dem Forum und melde dich, wenn du wieder Online bist. Wir freuen uns schon auf dich. -Bye
     
  7. Jasmin72

    Jasmin72 ROM

    Registriert seit:
    14. Januar 2004
    Beiträge:
    4
    Hallo,

    da hab ich ja mehr Ärger mit als ich dachte.
    Dachte eigentlich das es reicht wenn der wech is...
    Dumm ist nur, daß ich - wie ja schon erwähnt - null Ahnung habe und alles was an diesen Rechner installiert wurde, wurde nicht von mir gemacht und leider ist dieser jemand nicht mehr erreichbar. Ich alleine werde da nix hinkriegen!!
    Hab ja nicht mal mehr Win 98 - hab nur noch XP und das wollte ich nicht weil man mir sagte das das zu viele Macken haben soll!?
    Da bleibt mir wohl nichts anderes übrig als mir jemanden zu suchen.......
    Schöne Sch**** ;-)

    Grüße und danke
    Jasmin
     
  8. trudenbiker

    trudenbiker Kbyte

    Registriert seit:
    14. Oktober 2003
    Beiträge:
    291
    Trojaner - schon der Name sagt es, sind hölzerne Pferde mit viel Unheil im Bauch. Welches er auf deinem und auf anderen Rechnern von deinem Rechner aus schon angestellt hat, werden wir nie erfahren.
    Lies dir noch mal das Posting von mmk durch, insbesondere den letzten Teil.

    Bevor du deinen Rechner neu aufsetzt - und das solltest du wirklich, weil nicht mehr abzuschätzen und mit deinen PC-Erfahrungen nicht zu lösen ist, inwieweit ein Fremder sich einen Zugriff auf deinen Rechner verschafft hat, brenne dir eine CD mit den Daten, die du noch verwenden musst. kEINESFALLS übernehme Zugangsdaten und Passwörter elektronisch, sonder nur auf einem Blatt Papier.

    Alles andere gehört formatiert. Wie das geht, liest du beim installieren.

    Nach dem Neuaufsetzen änderst du alle - ALLE - Passwörter und Kennungen (INTERNETZUGANG, MAILKENNWÖRTER etc.).

    Je nachdem, wieviel Programme bei dir drauf sind, rechne gut einen halben bis ganzen Tag an der Tastatur. Es gibt also eine Menge Arbeit.

    Halt - Stop - noch nicht loslegen. Seite wechseln und für deine neu Konfiguration diesen Browser downloade. Damit du nach der Installation den IE nicht mehr nutzen musst.;)
     
  9. Jasmin72

    Jasmin72 ROM

    Registriert seit:
    14. Januar 2004
    Beiträge:
    4
    Hallo,

    also besser hätte man mir das nicht erklären können und hoffe ich hab's richtig gemacht !?
    Also im Systemverzeichniss ist er verschwunden und hab ihn jetzt auf'm Desktop in einen Ordner.....
    Was jetzt, kann man ihn nicht einfach löschen oder muss ich ihn jetzt für alle Ewigkeit behalten ;-)
    Sorry für die blöden fragen aber hab so garkeine Ahnung davon und nutze den PC zu 99 % nur für's Internet - kenne mich also mit dem System überhaupt nicht aus und bin bei solchen sachen total aufgeschmissen!!
    Und..wo hab ich mir den eingefangen? Durch eMails ? Kann ich mir garnicht vorstellen da ich nur solche öffne die ich auch erwarte/kenne oder durch anklicken bestimmter Seiten???
    Hmmm........
    Danke für die super einfache Erklärung :-)

    viele Grüße
    Jasmin
     
  10. Gast

    Gast Guest

    Hallo Jasmin!

    Zur Erklärung: Die Bezeichnung muss zwingend Backdoor lauten, nicht Virus, nicht Trojaner. Warum? Weil der Begriff beschreibt, welche Eigenschaften die Malware aufweist. Daraus ergeben sich dann unterschiedliche Konsequenzen.

    Im Grunde ist Löschen nicht falsch. Nur solltest du ggf. vorher eine Sicherungskopie dieser Datei erstellen, denn wer weiß, was mit deinem System in der Zwischenzeit so alles angestellt wurde. Nötigenfalls kannst du dann den Backdoor als "Beweismittel" nutzen.

    Dazu ist wie folgt vorzugehen: den entsprechenden Prozess im Windows Taskmanager (Strg Alt Entf gleichzeitg drücken) ausfindig machen, ihn markieren und dann beenden. Jetzt ins Systemverzeichnis gehen, die Datei ausschneiden und in einen beliebigen Quarantäne-Ordner einfügen.


    Nein, sie gehört nicht zum System. Diese Datei selbst ist der Backdoor. Sie trägt nur einen "wichtigen" Namen, um den User zu verwirren.

    Wie lautet dazu die Meldung genau? Oder meinst du eher, seit wann dieser Backdoor erkannt wird?

    http://www.symantec.com/avcenter/venc/data/backdoor.anakha.html

    Das ist auch nicht zwingend der Fall bei einer Backdoorinfektion - hier ist ja gerade das Ziel, so wenig wie möglich Aufsehen zu erregen, damit der User nichts merkt!

    Das könnte darauf hindeuten, dass weitergehende Veränderungen vorgenommen wurden. Abhängig auch davon, wie lange der Backdoor aktiv auf deinem System war.

    Ja, z.B. ist es möglich, dass dein PC inzwischen als Spamschleuder dient oder für Angriffe auf andere Systeme missbraucht wird (daher oben die Empfehlung, den Backdoor als Beweismittel zu sichern).

    Der Backdoor befindet sich laut deiner Meldung aktiv im System. Dazu musste er allerdings erst installiert werden. Das macht in der Regel der User - in diesem Falle du - selbst, wenn er eine Datei aus unseriöser Quelle (E-Mail-Dateianhang, Filesharing...) öffnet, die man besser nicht öffnen sollte oder eine Anwendung nutzt, die löcherig ist wie ein Schweizer Käse (der Internet Explorer z.B.) ;)

    Ab der "Installation" ist der Backdoor dann sofort "scharf", ja.

    Siehe oben. Und dann am besten formatieren, System neu aufsetzen, Passwörter / Zugangsdaten ändern. Denn: Ein aktiver Backdoor bedeutet immer, dass jemand "Unbefugter" vollen Zugriff auf dein System hat und beliebige Änderungen daran vornehmen kann, solange du online bist.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen