Ukash BKA Trojaner

[bumtschak]

Hallo ich hab ein echtes Probelm! :P

Also zunächst mal wie ich an den kack Trojaner gekommen bin. War auf einer Partnerstreamingseite von kino.to und hab mir über eine pop-up Werbung den Trojander zugelegt.
Genauere Infos hier:

http://www.pc-magazin.de/news/erpres...t-1106113.html

Ich komm nicht mehr auf die Benutzeroberfläche und der Trojaner legt auch den Taskmanager lahm. Ich hab schon so Sachen wie Antivier Rescue System drüber laufen lassen, was aber leider nichts gebracht hat.
Wenn einer von euch noch nen Vorschlag hat was ich ausprobieren könnte immer raus damit. Ansonsten werd ich Windows neu aufsetzen müssen


Vielen Dank im Vorraus

Ich hoffe ich muss nichts löschen xD


bumtschak

[WinTOR]

Du solltest auf jeden Fall neu aufsetzen. Das System ist nach einer Kompromittierung nicht mehr sicher, du weißt nicht, was alles nachgeladen wird bzw. wurde. Du solltest mittels einer LIVE CD alle deine Daten sichern und auch über eine LIVE CD nach Viren/Trojaner suchen lassen. Diese Daten dann nach einer Neuinstallation zurückspielen.

Bei dem Bericht handelt es sich aber nicht um dein beschriebenes Problem mit Kino.to - auch wird es kaum der Bundestrojaner sein.

[-Matte-]

Wenn das System infiziert ist, solltest du das BS neu installieren.
Siehe auch: http://board.gulli.com/thread/152225...-und-erkennen/

Ich hoffe ich muss nichts löschen

Wichtige Daten kannst du vorher mit einer Linux-Live CD sichern.

Gruß Matte

Edit: Zu spät.

[bumtschak]

auf gulli ist immer verlass ^^

danke für euren schnellen antworten. werde nun windows neu aufsetzen.
soweit ich mich im inet informiert hab, hat sich der trojaner über so ne pop-up werbung eingeschlichen während ich gemütlich nen film geschaut hab -.-

[WinTOR]

@bumtschak

Am besten vielleicht in einer VM (Virtuelle Maschine), z.B. VMWare, den Film schauen, dann ist es egal - dein Host-System wird von einem Trojaner (niormal) nicht berührt. Es sei denn, der Trojaner "bricht" aus der Umgebung aus.


@Matte

Geiler Link zu den Live CD`s - den kannte ich nicht. Danke!

[aNtiCHrist]

Am besten vielleicht in einer VM (Virtuelle Maschine), z.B. VMWare, den Film schauen, dann ist es egal - dein Host-System wird von einem Trojaner (niormal) nicht berührt.

Das das Host-System dann nichts abbekommt, ist zwar in aller Regel korrekt, dennoch sollte man es unbedingt vermeiden, ein kompromittiertes (Gast-)System am Netz zu betreiben. Schließlich kann auch in einer solchen Umgebung genug Unsinn angestellt werden. Durch die Kapselung ist zwar ggf. der einfache Zugriff auf die persönlichen Daten eingeschränkt und durch Momentaufnahmen der VM lässt sie sich auch bei Bekanntwerden schnell wieder in einen sauberen Zustand zurückversetzen. Allerdings muss man die Kompromittierung überhaupt erstmal bemerken.

Wichtiger erscheint mir Prävention durch eine sichere Systemkonfiguration, sodass man sich gar nicht erst die Malware einfängt. Hinweise dazu findest du im bereits verlinkten Sicherheitsleitfaden.

[BudFudlecker]

Änder mal diese nichtssagende Überschrift in irgendetwas, was weder Ukash noch das BKA in den Schmutz zieht nur weil du dir auf irgendeiner Warez-Seite einen Trojaner eingefangen hast.
So liest sich das, als würde man Gefahr laufen, bei der Nutzung von Ukash einen BKA Trojaner zu bekommen. Was natürlich völliger Quatsch ist.

[bassi]

hallo,

mich hat es heute morgen auch erwischt und ich war drauf und dran win neu zu installieren dann habe ich doch noch was gefunden.

über abgesicherte modus systemherstellung wählen und einen zeitpunkt wählen.

hat bei mir funktioniert

alternativ gibt es von kaspersky ein Rescue Disk der auch gut sein soll.

ich habe erst die systemherstellung durchgeführt und anschliessend mit der disk das system überprüft.

zum thema ukash gut oder schlecht kann ich nur sagen wenn ukash gut wäre würden sie sich für so was nicht hergeben.

[aNtiCHrist]

mich hat es heute morgen auch erwischt

Lass mich raten: Du hast/hattest das am Donnerstag/Freitag erschienene Update für den Flash Player (oder sonst ein noch länger verfügbares Update für irgendein Programm) nicht installiert?

und ich war drauf und dran win neu zu installieren dann habe ich doch noch was gefunden.

über abgesicherte modus systemherstellung wählen und einen zeitpunkt wählen.

hat bei mir funktioniert

Damit fällst du genau in die Nutzergruppe, die ich unter Punkt 3.4.2. des Leitfadens erwähne und vor deren "Hilfe" ich warne. Die sichtbaren Symptome zu beheben ist in aller Regel trivial. Das System verlässlich zu bereinigen leider nicht.

alternativ gibt es von kaspersky ein Rescue Disk der auch gut sein soll.

Schlecht ist sie nicht gerade, aber das im Leitfaden empfohlene AntiVir Rescue System hat üblicherweise eine bessere Erkennungsleistung. Es schadet natürlich nicht, beide einzusetzen. Das Problem ist eben, dass kein Malwarescanner perfekt arbeitet. Bei einem bekanntermaßen bereits kompromittierten System würde ich das Risiko nicht tragen wollen, dass die Scanner etwas übersehen. Zudem hast du vermutlich die Schwachstelle(n) in deinem System nicht geschlossen und deine Passwörter nicht geändert. Das ist ebenfalls fahrlässig.

zum thema ukash gut oder schlecht kann ich nur sagen wenn ukash gut wäre würden sie sich für so was nicht hergeben.

Jeder kann Ukash nutzen, um Geld zu empfangen. Insofern kann ich nicht erkennen, wie sich Ukash für so etwas hergeben können soll. Das ist einfach ein Zahlungsdienstleister, der anders als eine Bank bei Überweisungen zudem nicht erkennen kann, wer wem (im Sinne von identifizierbaren Personen) Zahlungen leistet. Wie soll Ukash hier verhindern, dass der Dienst auch von Betrügern genutzt werden kann?

[WinTOR]

@aNtiCHrist


Natürlich sollte man eine infizierte VM nicht weiter betreiben. Ich meinte, wenn eine Infektion gemeldet wird, kann man ja das VM, welches ja im Prinzip nur als Ordner gesehen wird, eifnach zurückkopieren. Vorher muss es natürlich gesichert worden sein.

Momentaufnahmen der VM lässt sie sich auch bei Bekanntwerden schnell wieder in einen sauberen Zustand zurückversetzen

Hier hast du es ja auch schon erläutert.

Allerdings muss man die Kompromittierung überhaupt erstmal bemerken.

Das stimmt - allerdings kann man immer erst nach einer Meldung (oder seltsamen Verhalten) reagieren.

[bassi]

Damit fällst du genau in die Nutzergruppe, die ich unter Punkt 3.4.2. des Leitfadens erwähne und vor deren "Hilfe" ich warne. Die sichtbaren Symptome zu beheben ist in aller Regel trivial. Das System verlässlich zu bereinigen leider nicht.

gebe ich dir vollkommen recht aber jetzt kann ich wenigstens ein paar daten retten bevor ich neu installiere und das ist mir viel wert.

[Hezu]

Das geht auch bequem per Linux-Live-CD, und das ganz ohne Risiko, das sich der Trojaner in den zu sichernden Daten oder auf den Sicherungsdatenträgern weiter einnistet.

[mathmos]

gebe ich dir vollkommen recht aber jetzt kann ich wenigstens ein paar daten retten bevor ich neu installiere und das ist mir viel wert.

Um Daten zu retten, braucht man die Symptome nicht beseitigen. Ein auf Linux oder WindowsPE basierende Boot-CD oder USB-Stick reichen vollkommen.

[PhreQuincY]

Für alle die sich diese Malware auch in Zukunft einfangen sollten hier ein kleiner "Workflow" wie ihr diese Malware loswerdet OHNE zu formatieren oder sonstiges:

Starten den PC neu, drückt während dem Bootvorgang F8 und wählt anschließend den abgesicherten Modus mit Eingabeaufforderung. Wählt dann das Benutzerkonto aus welches infiziert wurde, anschließend gebt ihr in der Konsole den Befehl "Regedit.exe" ein.

Nun öffnet sich die Registry und ihr geht auf folgenden Key:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

Hier wird nun ein Eintrag "Shell" sein welcher auf eine EXE verweist welche die Malware ist.

Anschließend gebt ihr in der Konsole "Explorer.exe" ein und geht in das Verzeichnis wo die Malware liegt und löscht diese. Anschließend löscht ihr noch den Wert (Nicht den ganzen Key) und startet den PC neu.

Nun habt ihr die Malware von eurem PC entfernt ohne dass ihr formatiert habt oder sonstiges.


PS: Falls nun jemand meinen sollte dass das nicht sicher wäre und formatieren bessere wäre dem kann ich nur sagen dass das in vielen Fällen so sein mag aber hier nicht. Diese Malware macht nichts auser den Winlogon-Key einzutragen und 2 DNS-Requests, keine Backdoor funktionen oder sonstiges.

Gruß.

[Hezu]

Schick. Damit hast du einen Eintrag aus der Registry rausgeschmissen. Was machst du mit den anderen 29?

[PhreQuincY]

Da man sich anschließend wieder im Benutzerkonto anmelden kann ist es für den Benutzer möglich ein AV-Produkt zu benutzen welches anschließend alle weiteren Reg-Einträge FALLS vorhanden beseitigt. Im übrigen handelt es sich bei den 30 Einträgen in der Reigstry nicht 30 mal um Einträge welche dafür sorgen dass die Malware gestartet wird, dafür sorgt lediglich der Winlogon-Key aber nun gut.

Wenn jemand sein System direkt formatieren möchte wenn es auch einfach funktioniert dann soll er das tun, muss ja jeder selber wissen...

[elson-elson]

Da man sich anschließend wieder im Benutzerkonto anmelden kann ist es für den Benutzer möglich ein AV-Produkt zu benutzen welches anschließend alle weiteren Reg-Einträge FALLS vorhanden beseitigt. Im übrigen handelt es sich bei den 30 Einträgen in der Reigstry nicht 30 mal um Einträge welche dafür sorgen dass die Malware gestartet wird, dafür sorgt lediglich der Winlogon-Key aber nun gut.

Was du wie nachweisen kannst? Oder du hast die Software komplett analysiert um auszuschließen, dass sie noch irgendwo anders liegt? Vielleicht kommt sie ja am 1.5. wieder? Oder sobald du in der UAC auf "ja" drückst? Woher willst du wissen, dass sie nicht nach und nach aus deinen Dateien ".encrypted" bastellt?

Wenn jemand sein System direkt formatieren möchte wenn es auch einfach funktioniert dann soll er das tun, muss ja jeder selber wissen...

Du meinst wohl, "wenn jemand mit einem potentiell unsicheren System weiterarbeiten möchte"? Das Problem ist ja nicht die Schadsoftware an sich, sondern die offensichtliche Verwundbarkeit deines Systems.... Da will man schon genau wissen, wo sie herkommt.

[PhreQuincY]

Was du wie nachweisen kannst? Oder du hast die Software komplett analysiert um auszuschließen, dass sie noch irgendwo anders liegt? Vielleicht kommt sie ja am 1.5. wieder? Oder sobald du in der UAC auf "ja" drückst? Woher willst du wissen, dass sie nicht nach und nach aus deinen Dateien ".encrypted" bastellt?

Das kannst du mir jetzt glauben oder du kannst es mir nicht glauben aber ich arbeite bei einem AV Unternehmen im Virenlabor und könnte es auch beweisen was hier aber nichts zur Sache tut.

Und ja, wir analysieren solche Dateien und damit meine ich nicht nur eine kurze Analyse von wegen dort liegt die Datei so wie oben beschrieben und gut ist sondern wir disassemblen und debuggen sowas auch um zu sehen was notwendig ist um gegebenenfalls eine geeignete Reparatur zur Verfügung zu stellen und glaub mir, das was ich da oben geschrieben hab reicht aus damit man wieder in das System kommt und dort kann dann das AV Produkt den Rest erledigen vorausgesetzt man hat eines welches bereits eine Reparatur anbietet.

Wäre es nicht so würde ich mich nicht so weit aus dem Fenster wagen .

[elson-elson]

Wäre es nicht so würde ich mich nicht so weit aus dem Fenster wagen .

Verstehe mich bitte nicht falsch, ich wollte dir nicht zu nahe treten. Aber ich denke, gerade wenn du vom Fach bist solltest du wissen, dass Schadsoftware oft nur als Proof-Of-Concept entwickelt "in the Wild" geschickt wird, um dann immer weiter angepasst zu werden. Mir ging es nur darum, dass du zwar vermuten kannst, dass es beim TO so ist, aber welche "Version" auf seiner Hardware ist, dass ist im Zweifel und aus der Ferne nicht ganz so leicht.

Wenn er sie zu virustotal.com o.ä. schickt könntest du ihm ja sagen, was er zu erwarten hat. So kann er sich weiter absichern.

- me

[aNtiCHrist]

Ich halte solch eine Ferndiagnose auch für sehr problematisch und unseriös. Selbst wenn die Anleitung für eine spezielle untersuchte Version tatsächlich zu einer verlässlichen Bereinigung führen sollte, so ist es eben doch fraglich, ob hier die gleiche Version aktiv ist. Außerdem gab es ja offenbar auf dem System eine Schwachstelle und 19bumtschak hat eine Seite besucht, die Malware verteilt. Wer garantiert, dass dort nur diese Scareware installiert wurde und nicht noch mehr?