Trojan Element in .lnk-Datei?

Dieses Thema im Forum "Sicherheit" wurde erstellt von Thor Branke, 16. Juni 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.484
    Moin,

    nach meinem letzten Spybot-Check ergab sich für eine auf dem Desktop erstellte .lnk-Datei folgende Meldung:

    [​IMG]

    Demnach handelt es sich um eine Infektion mit dem Trojaner Trojan Element.

    Daraufhin habe ich einen HJT-Test gemacht, AdAware 1.06 durchlaufen lassen und die .lnk-Datei sowie die zugehörige .txt-Datei bei JOTTI.DE einer Überprüfung unterzogen - alles ohne Befund.

    Gibt mir Spybot 1.3 (aktuellste Updates) da nur Blödsinn aus?

    Gruß,
    Thor :(


    --------------
    Ach ja: beim Privacy Keeper handelt es sich um ein gewollt aufgespieltes Programm, das beim Shutdown der Browser automatisch die TIF löscht. Alle Dateien ohne Befund bei JOTTI.DE getestet.
    --------------
     
  2. UKW

    UKW Megabyte

    Registriert seit:
    27. August 2003
    Beiträge:
    1.438
    Hallo,

    wieso nur Blödsinn, auf deinem Desktop hat ja niemand eine Verknüpfung zu erstellen. Mach dir lieber gedanken wer oder was die Verknüpfung erstellt hat / bzw. wo dein Sicherheitsloch liegt. Ich vermute einmal beim Browser.

    UKW
     
  3. UKW

    UKW Megabyte

    Registriert seit:
    27. August 2003
    Beiträge:
    1.438
    In der Beschreibung zu dem Trojaner steht dass er über Filesharing verteilt wird und in Key-Generatoren enthalten ist. Wenn du in letzter Zeit Keygen's benutzt hast solltest du die einmal überprüfen und entsprechende Tests durchführen.

    UKW
     
  4. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.484
    @ UKW

    Nur zur Klärung:
    den Link habe ich selbst angelegt. Ganz bewußt und willens.

    Zuerst per "Senden an", dann, nach erstem Fixing (.lnk war von Spybot gelöscht worden), von Hand auf dem Desktop selbst neu erstellt. Trotzdem wieder die Meldung.

    Wenn Du einen Verdacht hast, solltest Du den aber bitte nicht als fixen Standpunkt äußern. Dazu fehlte Dir nämlich diese Info (zugegeben: hätte ich oben bereits einfügen müssen :o ).

    Mein Browser: schau bitte in die Signatur...

    IE ist nur noch für Updates, auf dem neuesten Patchstand und war schon vor Umstieg auf den FX vor 5 Monaten nach Zonenmodell eingerichtet.

    Überflüssige Dienste sind abgeschaltet (PC-Heft-Vorgaben: PCW, PCM, CHIP sowie Tipps von hier, z.B. Links auf entsprechende Seiten).

    Und definitiv nein: kein filesharing, kein keygen - habe 1500MB Tarif und null Ahnung von dem Kram...


    Im Einzelnen: weder der Link, noch die Systemdateien sind zu 0-byte-Leichen geworden und auch Dateien, wie boot.exe usw. sowie element.txt mit dem unfreundlichen Eintrag existieren auf meinem Rechner nicht.

    Auch die dem Link zugrundeliegende txt-Datei enthält nur die von mir eingetragenen Daten. Es gibt außer der Spybotmeldung keinen einzigen Hinweis auf eine Infektion meines Systems (jedenfalls nichts mir bis jetzt Ersichtliches).


    Thor
     
  5. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.652
    Mach mal ein Update auf Spybot 1.4. Damit wurden ein paar Bugs beseitigt.

    edit:
    Laut Log sind da 5 BHO´s im Einsatz. Die verdächtige ich mal als erstes, da diese Toolbarhelper selbstständig COde aus dem Internet nachladen können, ohne dass man es bemerkt.
    So etwas dulde ich nicht auf meinem PC.
     
  6. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.484
    @ Deoroller & alle

    Danke für den Hinweis mit SB-S&D 1.4 Final, hatte bisher nur die beta in meiner Sammlung.

    Ich werde mir überlegen, die BHO's zu fixen.
    Die gelten ja eh nur für den IE, der kaum noch mal Verwendung findet (Firewallblockierung).

    ----------------------

    So, höchst ärgerlich - auch SB-S&D 1.4 zeigt das Teil als "Element" an. Jetzt werde ich wohl richtig aktiv werden müssen.

    ----------------------

    Okay, habe noch einmal den Rechner auf alle Dateien abgecheckt, die der Trojaner anlegen soll. Keine gefunden!

    Dann die Daten aus der TXT gesichert, in eine neue eingefügt und Link auf den Desktop gelegt. Alte Dateien (txt+lnk) mit O&O Safe Erase beseitigt.

    SB-S&D 1.4 laufen lassen: :)

    [​IMG]

    Scheint so, als hätte Spybot nun doch einen an der Waffel gehabt.

    Danke für die Hilfe,
    Thor
     
  7. UKW

    UKW Megabyte

    Registriert seit:
    27. August 2003
    Beiträge:
    1.438
    Deinstalliere das Spybot 1.4, du bist doch ein erfahrener User der sowas nicht braucht. Das ist mehr was für Anfänger die auf jeden Müll klicken der ihnen unter den Mauszeiger kommt.

    UKW
     
  8. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.484
    @ UKW

    Hhm, danke für die Blumen, aber ich denke, das war mal ein heilsamer Schock, sich wieder mit der Infektionsgefahr zu beschäftigen.

    Es zeigt aber auch einmal mehr, dass keine Software 100%ig funktioniert. Dennoch werde ich die Sachen drauf lassen, sozusagen als "psychologische Stütze" und um in Übung zu bleiben. Die Feuerwehr übt ja auch regelmäßig.

    Ich bin seit August 2004 virenfrei, sowas macht dann ggf. schon mal unaufmerksam...

    Jetzt bin ich jedenfalls wieder wach.

    Gruß
    Thor [​IMG]
     
  9. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.652
    @UKW
    Geh mal in den Expertenmodus von Spybot und guck dir mal die netten Tools an, die mitgeliefert werden. Ich glaube kaum, dass das was für Anfänger ist.

    @Thor Branke
    Du denkst, du seist seit 2004 virenfrei".
    Wenn du die Toolbars nicht selbst installiert hast und wie du schon zu recht bemerktest, das du nicht den IE nutzt (außer für Updates) kannst du sie bedenkenlos löschen.
    Die Dinger werden aber oft in den Nutzungsbedingungen vor einer Programminstallation angekündigt. Ich lese die mir immer durch und wenn da was von zusätzlichen Diensten steht, die mitinstalliert werden oder man sich damit einverstanden erklärt, dass automatisch Aktualisierungen nachgeladen werden, werde ich misstrauisch.
     
  10. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.484
    @ Deoroller

    Wenn ich das richtig sehe, ist da nur die google-toolbar für den IE drauf, und die hatte ich selbst aufgespielt. Hast Du mehr gefunden? Bin für jeden Hinweis in Sachen HJT-Log dankbar. Da scheint zwar alles im "Grünen Bereich" zu sein, aber das muss ja auch nichts heißen.

    Ja, das gilt natürlich nur, soweit ich mich auf die verwendeten Scanner verlassen kann und ansonsten auch keine Auffäligkeiten bemerke. Eine Maßnahme z. B. von mir ist, dass ich ein alternatives Email-Adressbuch führe, was mich im Fall der Fälle als klassische Mailwurmschleuder schon mal ausschließt. Dazu dann strikte Trennung von OS und Daten (2 Partitionen), regelmäßige BackUps der letzteren, na ja, halt das "samstägliche Wagenwaschen". Denke, bis jetzt bin ich gut damit gefahren.

    Thor
     
  11. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.652
    Ich meine die Einträge mit BHO (Browser Helper Objekts).
    Die können nützlich sein, aber auch gefährlich, weil sie sich hervorragend zum Nachladen von Spyware/Malware und weiteren schädlichen Code missbrauchen lassen. Un da du den OE6SP2 benutze, benutz du ständig die IE-HTML-Eingine zur Darstellung von HTML-E-Mails. Deshalb benutzt du 2 Browser und die müssen beide stets auf dem neusten Stand gehalten werden.

    Ich sichere meine c: Partition regelmäßig mit einem Imageprogramm. Aber das ist auch keine 100% Absicherung, denn mit der Zeit kann da sich was einschleichen und dann hat man irgendwann keine saubere Sicherung mehr, weshalb ich win2k nach dem Neuaufsetzen und Patchen und installieren von allen Treiber als Image auch DVD gebrannt habe. Das ist sozusagen meine letzte Absicherung, die ein Neuaufsetzen etwas einfacher gestaltet.
     
  12. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.484
    @ deoroller

    Ich lasse keine .html-Dateien im OE zu, nur Textmails. Genügt mir völlig und wer mir was zukommen lassen will, kann das gerne als Anhang tun. Kurzer Check bei JOTTI.DE und das Thema ist durch (notfalls die ganze posteingang.dbx).
    Der IE ist immer auf dem neuesten Stand was MS-Patches angeht. Ich bin viel zu faul, um mir durch sowas Leichtsinniges wie verpasste Patchdays unnötig Installationsarbeit zu machen. ;)

    Wurdest Du als mailclient Thunderbird empfehlen? Ganz und gar zu Mozilla?

    Ich habe Acronis True Image, allerdings nutzt mir die bestehende Sicherung jetzt wenig, da die noch mit SP1 entstand. Da kann ich dann ggf. auch die Recovery wieder aufspielen.

    Die BHO's stammen alle von mir bekannten & gewollten Programmen. Wenn die seit August 2004 nichts Böses gesaugt haben, werden die das wohl jetzt auch nicht mehr tun. Immerhin habe ich ja noch bis Ende Dezember 2004 sogar mit dem IE gesurft und nichts ist passiert. Stellt sich nur die Frage, woran das lag...

    Meine Befürchtung: fixe ich die BHO's, dann funktionieren die zugehörigen Programme vielleicht nicht mehr (richtig). Also lasse ich es jetzt erstmal so und behalte die BHO's im Auge.

    Aber ich weiß auf alle Fälle, was Du mir sagen willst und dafür meinen Dank. :)

    Beste Grüße,
    Thor
     
  13. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.652
    Du kannst ja ruhig mal Thunderbird 1.02 ausprobieren.
    Einrichten geht ganz fix, da man den persönlichen Ordner von OE und die Mailkonten importieren kann.
    Da du ja vorsichtig mit E-Mails umgehst, sehe ich ich keinen Grund das Mailrogramm zu wechseln. Ich benutze Outlook2000. Es gefällt mir. :cool:
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen