4 Fragen zu Torjanerinfektion (pirminay)

[DerToast]

Hallo zusammen

Mein Vater hat sich auf seinem PC (win XP, SP3) einen Trojaner eingefangen. Die Symptome sidn so, dass wenn er was googlet kommen normal die Resultate und wenn er auf einen Link klickt wird er auf eine ganz andere Webseite weitergeleitet (meistens eine .de Seiten die Handys und vieles Mehr verkaufen wollen)

Leider hat Avira Free 2013 davon nix mitbekommen und auch malwarebytes konnte den Schädling nicht finden. Nach etwas Internetrecherche (auf meinem PC ^^) warmir dann relativ schnell klar, dass es wohl ein Trojaner sein muss, der sich im MBR eingebistet hat. Hitman hat dann den Trojaner "pirminay" gefunden und enfernt.

Sowei so gut, allerdings habe ich jetzt noch ein paar offene Fragen, die ich bei der Websuche nicht beantworten konnte - da div. widersprüchliche Aussagen im Netz zu finen sind:

1.) Ich habe wie gesagt nur Hitman zur Entfernung genutzt. Ist damit der Trojaner schon komplett weg oder muss ich mich jetzt noch irgendwie von Hand darum kümmern, z.B. dass der MBR wieder sauber ist oder Backdoors schliessen? Dazu muss ich sagen, ich werde das System sicher noch Plätten und neu aufsetzen, muss aber vorher noch ein paar Daten retten udn brauche es daher in halbwegs sicherem Zustand.

2.) Wenn ich mit einer Windows 7 DVD alle Partitionen lösche und dann neue erstelle ist dann alles clean oder kann sich der Trojaner vor der Installations DVD "verstecken"? (das System ist auf einer SSD und zusätzlich gibts noch eine HD für Daten, die würde ich ebenfalls formatieren nach der Datenbergung) Mit einem Datenshredder booten fällt leider wegen der SSD weg....

3.) Als Folge des Trojaners habe ich alle Passwörter meines Vaters geändert (von meinem PC aus ), nun sollte ich ihm aber noch ein paar Daten retten. Daher die Frage: kann ich Daten sicher auf einen USB Stick laden und dann auf das neuaufgesetzte System wieder aufspielen? (oder muss ich damit rechnen, dass Daten infiziert sind oder sich der Virus/Trojaner sonst irgendwie auf den USB Stick kopiert)

4.) Die letzte und für mich wichtigste Frage: wie vermeidet man solche Trojaner? Leider war mein Vater ratlos wie er sich das Ding zugezogen hat. Im Netz hab ich gelesen, dass die Datei getarnt als Mediaplayer und sonstiges auf den PC kommt, aber das hat mein Vater sicher nicht heruntergeladen, in der Websiten-Chronik / Download-Chronik von Firefox hab ich auch nichts auffälliges gefunden... wo könnte man sich sowas aufschnappen?

Ich hoffe ihr könnt mir helfen, im Netz gibts leider 100 verschiedene Antworten auf die Fragen.

Grüsse
DerToast

 

[JackSparrow]

Wenn du ganz sicher gehen willst das er wirklich weg ist. Dann Festplatte(n) formatieren und Windows und alles andere neu drauf.
Von solchen Lösungen halte ich nichts, es gibt keine Garantie das der Trojaner damit verschwunden ist.

 

[Hellbend]

Definitiv System neu aufsetzen und Avira-Free mal überdenken.
Das failt ja nun nicht zum ersten Mal und in jüngster Vergangenheit andauernd.
Programme wie Avira entfernen schlecht und sollten ja eigentlich die Schädlinge garnicht erst ins System lassen.

 

[U-L-T-R-A]

Definitiv System neu aufsetzen und Avira-Free mal überdenken.

Ach komm. Heuristik hin oder ner. N AV Proggi (egal vom wem und wie teuer) schützt nur dann, wenn die malware auch bekannt ist!
Tw liegts auch dann noch an der konfiguration des users wie "scharf" es denn sein soll!

ICH würd mit ner Live-CD booten und die Platten scannen.
System Festplatte neu machen und Rest belassen.

 

[wohtan]

was sich im mbr eingenistet hat, würde ich gar net erst versuchen es zu säubern. einmal komplett neu aufsetzen wäre der weg den ich gehen würde, geht mit nem backup (sicheren) auch meist schneller als googlen und säuberaktionen mit diversen programmen.

 

[davidbaumann]

Daten sichern und neu installieren.
Besondere Vorsicht, am besten keine alten Setup Dateien verwenden.
Auch Vorsicht vor Office Dateien oder Zip Archiven.

Gruß.

 

[xxMuahdibxx]

warmir dann relativ schnell klar, dass es wohl ein Trojaner sein muss, der sich im MBR eingebistet hat

Im MBR nisten sich so gut wie keine Viren mehr ein auch Trojaner tun das nicht ... oft werden .dll oder .exe Datein befallen und umgeschrieben oder die Windows Registry benutzt .

Ich empfehle erstmal eine Kaspersky Rescue Disk zu brennen und damit ( da ist ein Linux Live System mit bei ) zu starten ... die Virensignaturen zu laden und zu scannen .

 

[DerToast]

Hallo zusammen

Erstmal Danke üfr die vielen Antworten.
Wie geschrieben neu aufgesetzt wird das System so oder so, ich will es nur soweis clean haben, dass ich alle Daten sichern kann ohne riskieren zu müssen, dass dann die frische Installation befallen wird.

@xxMuahdibxx
Denkst du der Fund von Hitman war in dem Fall falscher Alarm oder einfach noch ein weiterer Fund? Weil die bei google beschriebenen Symptome des pirminay Trojaner sind oft auch diese Seitenumleitung, insofern würde es passen. tdsskiller (der ja für rootkits da wäre) hat aber tatsächlich auch nichts gefunden gehabt...

Grüsse

 

[xxMuahdibxx]

Man kann einfach glück gehabt haben das der erste Scanner alles gefunden hat .

Wenn du das System neu Aufsetzt ist es erstmal Clean .

Die Daten selber würde ich vorher mit 1-2 anderen Scannern über eine Live CD abscannen um dort mögliche Gefahren zu finden .

Und natürlich überdenken ob Avira gerade gegen das was passiert war der passende Schutz ist ... man könnte z.b. mal zu Avast Antivir wechseln .

 

[DerToast]

Hallo

Erneut danke für deine Antwort.
Wegen den Daten retten:
- welche Live-CD Scanner würdest du so drüber laufen lassen? Aktuell läuft noch die Kapersky Rescue Disk die du vorgeschlagen hast. (und sie dürfte wohl noch ne Zzeitlang haben)
- Hitman hat mir gesagt der Trojaner sei vor ca. 10 Tagen aufs System gekommen. Das deckt sich ungefähr mit den "Problemzeit" meines Vaters. Seit dieser Zeit wurden zwei externe HDs und ein USB Stick angeshclossen, soll ich die drei USB Geräte auch scanen lassen oder kann man bei dieser Sorte Trojaner davon ausgehen, dass sie sich nicht via USB verbeitet?

Bzgl. Avira bin ich bereits am überdenken. Gerade bei Realsituationen-Test schneidet es wohl öfters nicht soooo gut ab. Ich schwanke aktuell zwischen Avast Free, Kapersky kaufversion (wobei ich da noch nicht den Überblick zwischen den Versionen habe) und BitDefender. AVG soll auch gut sein, aber da hab ich relativ schlechte Erfahrungen mit der Systembeanspruchung gemacht. Leider musste ich feststellen gibt es DIE Antivirensoftware schlechthin offenbar nicht... haben alle irgendwo einen Haken und welcher wenige schlimm ist, scheint eine Religionsfrage zu sein ^^

 

[xxMuahdibxx]

Aber sicher alles Externe scannen ... man fängt sich schnell mal einen Virus ein wenn ein Datenträger über Autostart erkannt wird ..

Win XP / Vista sind da stark betroffen von . Bei Windows 7 wird nicht gleich der Autostart ausgeführt daher etwas sicherer .

Falls du diese Sachen nicht per Kasperski scannen kannst und unter Windows XP Arbeiten musst .. hilft nur die Deaktivierung des Autostarts oder mit gedrückter SHIFT Taste den USB Stick einstecken ... wobei beides nicht so gesund ist .

Hatte selber den Fall und einen Keylog Trojaner so bekommen .

 

[DerToast]

Hallo

Ok, werde die USB-Geräte auch scannen. Habs mit Kapersky CD noch nciht probiert, werde ich machen wenn das System durchgetestet ist. (steht erst bei 45%)
Einen anderen Live-CD Scanner würdest du also nicht mehr nehmen?

Das Datensichern muss nicht unbedingt unter XP geschehen, ich kann auch von ner Ubuntu-CD Booten oder sowas.
Bzgl. Autostart, reicht es evtl. auch einfach schon, dass Avira Free den Autostart von USB Geräten blockiert?

Grüsse und Danke

 

[xxMuahdibxx]

das wäre unter XP / Vista sicher sehr gut ... @ Autostart .

Anderen Scanner nun hier sind einige vorgestellt

http://www.pc-magazin.de/ratgeber/die-besten-live-cds-zur-systemrettung-im-ueberblick-1281792.html

Hab mit Kaspersky aber gute Erfahrung gemacht ... aber hatte auch nur einen Virus drauf .

Und zum Datensichern geht ja auch gleich mit der Kaspersky CD ..

 

[DerToast]

Hallo

Ich werde in dem Fall noch die BitDefender CD drüber laufen lassen. Anschliessend - wenn alles gescannt ist inkl. USB Drives - such ich in XP offline in Ruhe alle Daten udn steck sie in einen Ordner und transferiere sie dann aber von der Kapersky CD aus Danach plätte ich das System...
Etwas wundert mich immernoch, wie kommt man zu so nem Ding? Infizierte Website? Weil anderer Virenscanner als Avira ist schön und gut, aber meinen Vater mal wieder etwas "sensibilisieren" dürfte auch einiges bringen

Grüsse

 

[xxMuahdibxx]

Infizierte Webseite ja eher eine Mail mit einer .ZIP datei drinnen die nach Rechnung klingt ..

 

[DerToast]

Hallo

Also danke nochmasl für deine Hilfe.
Kapersky und BitDefender CDs sind mit allem durch udn haben sonst nichtsmehr gefunden, ausser 3 Fehlalarmen, die ich jetzt aber tortzdem gelöscht habe, da es keine wichtigen Dateien waren.

Jetzt mach ich mich noch ans Daten sichern und daran andere Antivirensoftware zu testen. Avast, in das ich viel Hoffnung gesteckt habe, zickt leider gnadenlos rum und verursacht immer wenn der PC am Netz ist einen svchost.exe Prozess der 100% CPU beansprucht... als nächstes muss jetzt AVG ran und dann werde ich wohl mal zu den Bezahlprogrammen wandern

Grüsse

EDIT:
Das mit AVAST hat mir keine Ruhe gelassen, ich hab jetzt dem 100% auslastenden Task mal auf den Zahn gefühlt und es hat sich gezeigt, dass AVAST offenbar ein Problem mit dem alten Netzwerktreibr hatte. Mit dem Windows-Standarttreiber läufts jetzt

 

[davidbaumann]

Ich hatte im Haus parallel Kaspersky und Eset laufen.
Eset war für mich weiterhin die Wahl, denn ich hatte nie Probleme. Die PCs mit Kaspersky machten immer wieder Probleme, die nach einer Neuinstallation des Scanners behoben waren.
Ausserdem meckert eset nicht, wenn man eine Lizenz auch auf vms auf dem selben PC nutzt. Laut support (3 Jahre her) ist das sogar ausdrücklich erlaubt.
Gruß