Spyware Doctor findet Backdoor Trojaner Namens " Trojan.Gaslide.B " in Notepad.exe

Dieses Thema im Forum "Sicherheit" wurde erstellt von Litaria, 14. Januar 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Litaria

    Litaria ROM

    Registriert seit:
    14. Januar 2006
    Beiträge:
    4
    Hallo erstmal an alle!

    Hallo an alle erstmal!

    Ich habe mir einen wirklich schlimmen Backdoor Trojaner Namens " Trojan.Gaslide.B " eingefangen. Das größte Problem dabei ist, daß er sich in die Hardware einnistet und sich ständig wiederherstellt. Er kappt alle! Sicherheitsprogramme! Egal ob Firewall, Virenscanner oder Malware-Suchprogramme. Nach der Neuinstallation von Win XP mit Formatieren der Festplatte ist er noch da. Nachdem ich Spyware Doctor gekauft habe, hat das Programm ihn gefunden und gelöscht, nun hat er sich wieder hergestellt und ändert sehr viele Registrywerte, und kein Programm erkennt ihn nun mehr, denn er ändert auch seinen Namen. Zur Vorsicht gehe ich nun nur noch im abgesicherten Modus ins Internet, aber das sollte ja kein Dauerzustand bleiben. Aber was tun? Er hat nun wieder den folgenden Schlüssel verändert: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile/Shell/open/command


    Kann mir jemand helfen?

    :confused:
     
  2. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    erstmal wäre es besser wenn du eine sinnvollere Überschrift gewählt hättest, Hilfe kann jeder hier brauchen und die übermäßige Benutzung von Satzzeichen macht es auch nicht besser.
    Wo wurde der angebliche Trojaner von Spyware Doctor gefunden? Nicht zufällig in der C:\WINDOWS\ServicePackFiles\i386\notepad.exe?



    Grüße Jasager
     
  3. Litaria

    Litaria ROM

    Registriert seit:
    14. Januar 2006
    Beiträge:
    4
    Du hast recht. Ich hätte die Überschrift auch anders wählen können. Spyware Doctor hat ihn tatsächlich in der notepad.exe gemeldet. Aber die Beschreibung des Trojaners stimmte ganz genau. Er lädt ****ographische seiten runter, verändert das default prefix, gibt Daten wohl an Dritte weiter, das kann ich nicht bestätigen, stellt sich wieder her, usw.
    Ich habe Win XP, nutze als Browser Firefox oder Opera, eigentlich beide, und nutze einen Router.
    Was mich wundert: Wenn ich die Festplatte formatiere und danach neu installiere, und ich merke, es hat sich danach nicht geändert, kann er doch nur in der Hardware, eventuell im Router sein, oder nicht?
     
  4. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    soweit ich informiert bin handelt es sich um einen Fehlalarm (false positive) von Spyware Doctor, poste mal ein HijackThis logfile wie hier beschrieben. Hast du überhaupt irgendwelche Symptome außerhalb davon das Spyware Doctor etwas gefunden zu haben meint.


    Grüße Jasager
     
  5. Litaria

    Litaria ROM

    Registriert seit:
    14. Januar 2006
    Beiträge:
    4
    Oh, ich habe sehr vieles. Z.B. sind plötzlich zwei neue Dienste erstellt worden, der eine hat nur ein Z als Bezeichnung. Dann sind im Explorer neue Ordner in englischer Sprache, My Documents, My Sample List, usw. Etwa einen Tag nach einer Neuinstallation gibt es ein Netzwerk. Die registryschlüssel sind verändert, z.B.: shell/command/open, und andere. Hijack This habe ich schon lange in Benutzung, das Logfile zeigt nichts böses an.
     
  6. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Ist das Logfile geheim, oder warum darf man das nicht sehen?
     
  7. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ich zweifele immernoch daran das du überhaupt einen Virus hast. Bist du sicher das die Veränderungen nicht von normalen Programmen vorgenommen wurden (z.B. bei der Installation von Spyware Doctor selbst). Mit welchen Programmen bist du eigentlich schon auf Virensuche gegangen (übrigens ist Spywaredoctor nicht dafür ausgelegt Viren (Trojaner) zu finden, eigentlich soll es sich um die Spyware kümmern)?
    Außerdem, wie schon von steppl erwähnt, könntest du mal den Link zur Auswertung deines Logs posten.


    Grüße Wildone
     
  8. Litaria

    Litaria ROM

    Registriert seit:
    14. Januar 2006
    Beiträge:
    4
    Nein. Entschuldigung. Ich habe nichts zu verbergen, ich denke nur, weil ich es erst ausgewertet hatte, daß es in Ordnung ist. So hier ist das Logfile: Ich hoffe es geht so.

    http://www.hijackthis.de/logfiles/f17635006092bc79c91ea2ab23444561.html

    ----------------------------------------------------------------
    Anmerkung der Moderation:

    Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich den Link zur gespeicherten Auswertung, wie auf folgender Seite beschrieben: http://www.pcwelt.de/forum/thread134046.html

    Es kann auch als Textdatei an den Beitrag angehängt werden.

    Gruß
    Nevok

    ----------------------------------------------------------------
     
  9. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    Logfile sieht sauber aus, die Kuckucksei.exe kennst du?
    Hast du schon mal mit Onlinescannern dein System untersucht?
    Aber, wie schon gesagt, ich glaube nicht an einen Virus. Es gibt übrigens soweit ich weiß keine Viren im Umlauf die eine Formatierung überleben. Dies können ohnehin nur MBR Viren und die sind quasi ausgestorben, da man auch sie recht leicht beseitigen kann.


    Grüße Jasager
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen