Woher weiß ich, ob ich einen unentdeckten Trojaner vollständig entfernen konnte?

912
Arjan

Ich habe einen Trojaner gefunden, der explorer.exe verwendet, um sich selbst zu reproduzieren, falls der Autostart-Eintrag oder die Haupt-Exe-Datei in gelöscht wird Programs/x.

Es hatte bereits versucht, einen verdächtigen Server über explorer.exe zu kontaktieren, der über meine Firewall blockiert wurde.

ICH:

  • Die Autostart-Einträge wurden aus der Registrierung entfernt
  • Durchsuchte meine Dienste, wenn etwas Verdächtiges vorlag
  • Der Trojaner wurde gelöscht Programs/
  • Ging durch die System-Volume-Informationen, um eine 2 Monate alte explorer.exe zu finden, und ersetzte die möglicherweise infizierte.

Es laufen jetzt keine verdächtigen Prozesse mehr (keine doppelte explorer.exe) und auch nichts möchte diesen Trojaner-Besitzer verbinden.

Ich habe mein System auch mit mehreren Anti-Malware-Programmen überprüft.

Was der Trojaner tat:

  • Startet eine zweite explorer.exe
  • Immer wenn ich die Haupt-Trojaner-Exe-Datei gelöscht habe, wurde sie reproduziert (von der zweiten explorer.exe)
  • Immer wenn ich den Autostart-Eintrag gelöscht habe, wurde er auch von der explorer.exe reproduziert.

Als ich die verdächtige explorer.exe beendete, die nur halb so viel Speicher wie die weniger verdächtige von Windows benötigte, passierte etwas Merkwürdiges, das ich von den Computern in meiner Informatik-Klasse kenne:

Oben links auf meinem Explorer-freien Desktop wurde ein Fenster mit dem Titel "Persönliche Einstellungen für ... sind ..." angezeigt, in dem offensichtlich einige Dateien kopiert wurden. Dann fingen beide explorer.exes wieder an und der Trojaner war wieder überall.

  • Was hat der Trojaner eigentlich getan, um den Forscher zu retten?
  • Ist mein PC jetzt von diesem neuen Trojaner sauber?
  • Welche anderen Orte sollte ich für den Trojaner überprüfen?
  • Der Trjoan scheint nicht sehr hochrangig zu sein. Hat er andere Systemdateien geändert oder ist der Autostart-Eintrag dafür unerlässlich?
3

4 Antworten auf die Frage

2
S.Hoekstra

Sie können niemals zu 100% sicher sein, dass Sie ein Trojanisches Pferd vollständig entfernt haben. Sobald Ihre Sicherheit verletzt ist, wissen Sie nicht, was genau passiert ist.

Sie scheinen es gut verstanden zu haben, was es mit Ihrem System gemacht hat. Was aber, wenn ein Rootkit installiert wurde, das Sie nicht gefunden haben und für Ihre Antivirensoftware nicht sichtbar ist?

Es gibt eine Menge Dinge, die man wie im obigen Beispiel denken muss. Der einzige Weg, um absolut sicher zu sein, ist eine Neuinstallation des gesamten Systems .

Wenn Sie nicht dazu bereit sind, führen Sie einige Anti-Virus-Softwarepakete aus. Überprüfen Sie alle Starteinstellungen (Registrierung, msconfig usw.), suchen Sie nach "merkwürdigen" laufenden Prozessen und beenden Sie sie, um zu sehen, was passiert.

1
fluxtendu

Wie gesagt, ohne vollständige Neuinstallation wären Sie nicht ganz sicher ... Wenn Sie sich jedoch die Zeit nehmen, Ihr System gründlich zu inspizieren (oft mehr Zeit als eine gute Sicherungs- / Neuinstallationsstrategie anzuwenden ...), könnten Sie eine Außerhalb des Zufalls bleibt etwas übrig. Hier sind einige kostenlose Tools, um dies zu tun. (in der Reihenfolge der persönlichen Vorlieben)

Starten Sie und beenden Sie mit einer sfc /scannowEingabeaufforderung eines Administrators, um alle Systemdateien zu überprüfen

Anti-Malware-Scanner

Verwenden Sie für mehr Sicherheit mehrere Engines und verwenden Sie diese von einem Boot-Medium (wie ubcd4win ) oder einem anderen (gut geschützten) Computer.

Rootkit-Detektor

Werkzeuge zur Tiefenprüfung des Systems

Bonus: Ein interessantes Video mit Mark Russinovich (Entwickler von ProcessExplorer & Autoruns) zur Malware-Reinigung

Tolle Antwort Wenn ich noch Stimmen hätte, würde ich das bestätigen. Schöne Google-Eule übrigens :) Alex vor 14 Jahren 0
0
Armen Mkrtchyan

Verwenden Sie Lavasoft_Ad_Aware_Anniversary_2009_Professional_8.0.7, Suchen und Zerstören von Spybots oder SUPERAntiSpyware

Möchten Sie etwas mehr erklären? Zum Beispiel: warum * diese * Tools und warum diese genaue 8.0.7-Versionsnummer? Arjan vor 14 Jahren 0
-1
Alex

(1) Wenn es völlig unentdeckt war, können Sie nie ganz sicher sein, dass Sie alles bekommen haben.

(2) Ich würde stattdessen einen Mac empfehlen.

+1 für den ersten Punkt, -1 für den Mac-Fanboy-Kommentar. Er hat sogar gesagt, dass er in einer Woche Linux bekommt. Sasha Chedygov vor 14 Jahren 0
Es ist keine Fanboysache; Ich war 15 Jahre lang Windows-Experte, bevor ich endlich einen Mac ausprobierte. Ich habe ein paar Monate gebraucht, um meine Gewohnheiten zu verlernen, aber dann war ich mit dem Konzept * und der Hinrichtung völlig verkauft. Linux auf dem Desktop ist einfach noch nicht da. Ich benutze es derzeit im Serverraum, was im Moment leider wirklich seinen Platz im Leben hat. Mac OS verfügt über die gleichen UNIX-Grundlagen, jedoch mit einer viel konsistenteren und durchdachteren Benutzeroberfläche. Alex vor 14 Jahren 0
Ich bevorzuge Linux gegenüber Mac, da mir Funktionalität wichtiger ist als schöne Benutzeroberflächen. Ich bevorzuge Open Source der DRM-Hölle von Apple. Es wurde von Antiviren-Programmen nicht erkannt und bedeutet nicht, dass ich es nicht erkannt habe. Sorry, aber diese Antwort hat mir nicht viel geholfen, vor allem für den Mac-Teil. vor 14 Jahren 2
@ Ubuntuisbetter, was würden Sie erwarten, wenn Sie den Namen "Ubuntuisbetter" verwenden und Ihre Frage mit "Getting Linux in einer Woche" selbst unterschreiben ...? Arjan vor 14 Jahren 0
Eine Antwort, die etwas Nützliches enthält, würde mich dann nicht für Fan-Empfehlungen interessieren. vor 14 Jahren 0
@ Ubuntuisbetter: Die Funktionalität von Mac und Ubuntu ist sehr ähnlich, da beide Unix-basierte Systeme sind und für den Mac mehr proprietäre Drittanbieter-Software verfügbar ist. Darüber hinaus bin ich auf keinen Fall mit Apple-DRM-Höllen auf meinem Desktop in Berührung gekommen, obwohl ich zustimmen werde, dass einige Leute Apples Steuerung auf dem iPhone nicht mögen. Es gibt Gründe, Mac oder Ubuntu zu bevorzugen, aber Funktionalität und DRM sind wirklich keine guten Gründe, Ubuntu zu bevorzugen. David Thornley vor 14 Jahren 0
Ich bin nicht hier, um über Mac mit ein paar Apple-Fans zu diskutieren, sorry. vor 14 Jahren 0
@ David: Einverstanden. @Ubu: Wir sind keine Fanboys, wir sind IT-Profis. Vielleicht möchten Sie sich diese Frage und die akzeptierte Antwort (und wer sie geschrieben hat, sowie die Kommentare dazu ansehen). http://superuser.com/questions/119001/ Alex vor 14 Jahren 0
@Ubuntu ist besser: Würden Sie sich besser fühlen, wenn Sie wissen, dass ich diesen Kommentar von meinem Ubuntu-Laptop aus posten und mein früherer Kommentar von meinem Ubuntu-Desktop stammt? Ich glaube nicht, dass ich mich als Mac-Fan sehr gut qualifizieren kann. Davon abgesehen stimme ich natürlich zu, dass Ubuntu Vorteile hat, aber es handelt sich nicht um Funktionalität und DRM. David Thornley vor 14 Jahren 0
Ich denke, Ubuntuisbetter ist hier richtig. Diese Antwort hilft nichts weiter. Die Kommentare helfen ein wenig, aber auch nicht mit der Frage. Ich würde es bearbeiten und versuchen, etwas hilfreicher zu sein, wenn ich Burke wäre. Aber es ist trotzdem eine humorvolle Antwort, sollte nicht so ernst genommen werden, nur weil es wie ein Fanboy aussieht. cregox vor 14 Jahren 0

Verwandte Probleme