Trojaner an Board - wie finden?

[1Hz]

Ich habe noch nie in meinem Leben einen Virus oder Trojaner oder ähnliches gehabt. Zum einen sichere ich mich ausreichend ab - zum anderen habe ich ein vernünftiges Userverhalten.

Allerdings habe ich aktuell mit diversen Vorgängen zu tun, die etwas heikel sind. Der Trojanerangriff kommt nicht unerwartet. Der Feind ist mächtig.

Symptome:
Aufmerksam wurde ich durch eine Sperrung meines eMail-accounts wegen Verdachts auf Fremdzugriff. Eine Systemuntersuchung ergab bisher lediglich jede Menge versteckter Registryeinträge.

Vorrangiges Ziel:
Beweissicherung. Also zunächst einmal Lokalisierung oder Identifizierung, wie immer man es nennen will.

Die betroffenen Regitryeinträge findet ihr in der angehängten Datei.

 

[[GP] mino]

die prozesse im taskmanager sowie die autostartanwendungen im msconfig hast du schon angeschaut und dennnoch nichts entdeckt?

 

[1Hz]

Noch nicht manuell - mach ich gerade mal, denke aber nicht, dass was zu finden ist. Wenn meine Vermutung stimmt, ist das ein biestiges Teil.

Ergänzung (20. November 2011)

Autostarteinträge sind OK, Prozesse auch, soweit ich das beurteilen kann. Diese svchost.exe-Dinger oder so etwas könnte natürlich alles mögliche beinhalten - kenne mich damit nicht so gut aus.

 

[Demolition-Man]

Die können immer helfen:

http://www.trojaner-board.de/

 

[Krugel]

Erstelle dir eine Gdata Live CD. Beim Rechner Start einlegen und scannen lassen.
http://gdata-bootcd.soft-ware.net/downloads.asp

 

[werkam]

https://www.computerbase.de/downloads/systemtools/sysinternals/

Darin sind einige Tools, damit siehst Du was auf dem Rechner passiert. Autoruns, Processexplorer usw.

 

[1Hz]

Danke, Danke, Danke

Gdata versuche ich mal, habe aber ähnliche Maßnahmen schon probiert. Das Ding hier ist meiner Meinung nach eine Stufe drüber anzusiedeln, weswegen herkömmliche Tools versagen. Gleiches gilt daher auch für Prozessexplorer und ähnliche Dinge. Probiere ich aber dennoch aus. Der Trojaner-Board link könnte vielleicht eher was bringen - mit viel Glück. Mal schauen.

Ergänzung (20. November 2011)

GDate hat wie vermutet nichts gebracht. Trotzdem Danke.

Geht mal davon aus, dass es sich um ein hoch-professionelles Teil handelt, das gezielt platziert worden ist.

 

[emeraldmine]

https://www.computerbase.de/downloads/sicherheit/antimalware/spybot-search-und-destroy/

Schon das probiert ?

 

[LinuxMcBook]

Geht mal davon aus, dass es sich um ein hoch-professionelles Teil handelt, das gezielt platziert worden ist.

Wie kommst du denn darauf? Bist du Professor für Kernfusionstechnik oder betreibst du ein Kernkraftwerk oder kannst du ein menschliches Gehirn nachbauen?
Wieso sonst sollte irgendjemand ausgerechnet DEINEN langweiligen PC ausspionieren wollen?

 

[Inzersdorfer]

Zitat:"Allerdings habe ich aktuell mit diversen Vorgängen zu tun, die etwas heikel sind"
"Vorrangiges Ziel: Beweissicherung"
Hier sollte wohl ein professionelles Computer Forensik Unternehmen beauftragt werden.