Trojaner TR/proxy.ranky.g.1

[Tuor]

AV zeigte mir diesen Trojaner an:

 

TR/proxy.rauky.g.1

 

Kennt jemand diesen Trojana? - Mit einfachem Löschen durch AV scheine ich ihn nicht runter zu bekommen.

[Wheel of Fortune]

Hmh, hast du schon das "Übliche" versucht?

 

1. Feststellen, ob es sich wirklich um einen Trojaner und nicht nur eine Falschmeldung des AV handelt. (z.B. mit einem anderen Virenscanner)

Ist es wirklich ein Trojaner:

2. Versuchen den Trojaner im abgesicherten Modus mit nem Virenscanner / Removal-Tool zu entfernen

Hilft das nicht:

3. Versuchen mit ner Linux-Live-CD (BitDefender, Knoppicilin etc.) den Trojaner zu entfernen

Hilft das nicht:

4. Mit ner Linux-Live-CD die persönlichen Daten sichern und Windows neu installieren.

[Nixonian]

Warum siehst du nicht auf der homepage von Avira nach?

http://www.avira.com/de/threats/section/fulldetails/id_vir/1135/tr_proxy.ranky.fq.1.html

Da gibt es auch noch die Aliases, die andere Antivirenhersteller für dieses trojanische Pferd verwenden.

 

Zusätzlich zur Antwort von WoF: Selbst wenn du eine Deinstallationsroutine findest (vulgo Entfernungsprogramm) und dieses ausführst, kannst du nie sicher sein, ob nicht etwaige zusätzliche Programme eingeschmuggelt wurden.

 

Also selbst wenn du es "entfernst" bist du nicht sicher und mußt nachher mindestens doppelt und dreifach aufpassen oder wirklich gleich neu installieren.

Beim neu installieren und rücksichern der persönlichen Daten ist auch unbedingt darauf zu achten, daß wirklich nur saubere Dateien auf deinem Rechner landen.

[Tuor]

Ich habe AV ein zweites mal laufen lassen, da fand es noch eine Datei. Diese habe ich dann auch entfernt. Beim dritten Lauf von AV kam dann keine Warnung mehr. AV stuft den Trojaner als mittelmßig gefährlich ein (was immer das heißen mag). Ich hoffe, ich bin ihn jetzt los.

[Nixonian]

Noch einmal meine eindringliche Bitte:

Bitte verlaß dich nicht darauf, was ein installiertes Antivirenprogramm dir sagt. Dieses ist möglicherweise bereits ausgeschaltet oder blind für das, was auf deinem Computer vorgeht. Teste bitte zumindest mit anderen Antivirenprogrammen, am besten wie oben beschrieben von einer live-CD.

 

Das erste, was die Danaer gemacht haben, nachdem sie erfolgreich das trojanische Pferd verließen, war, die Tür aufzuschließen und weitere Griechen einzulassen. Die ledigliche Entfernung des hölzernen Ungetüms hülfe hier gar nichts.

Und so macht es auch ein trojanisches Pferd bzgl. Computer. Es lädt zuerst normalerweise weitere Routinen nach und installiert weitere backdoors, um genau deiner Vorgehensweise vorzugreifen. Und diese sind möglicherweise gar nicht mehr "sichtbar" weil sie mit Systemrechten nachinstalliert wurden.

[Abd al Rahman]

Noch einmal meine eindringliche Bitte:

Bitte verlaß dich nicht darauf, was ein installiertes Antivirenprogramm dir sagt. Dieses ist möglicherweise bereits ausgeschaltet oder blind für das, was auf deinem Computer vorgeht. Teste bitte zumindest mit anderen Antivirenprogrammen, am besten wie oben beschrieben von einer live-CD.

 

Das möchte ich noch erweitern.

 

Verlass Dich nicht auf ein Programm, dass du zum jetzigen Zeitpunkt installieren mußt. Gute Trojaner und Backdoors korumpieren Prüfprogramme sofort, wenn sie installiert, bzw. gestartet werden.

 

Live-CD, die Nix vorschlägt meint, dass Du deinen Rechner mittels einer vom Antivirenprogrammhersteller ausgelieferten Boot-CD booten mußt. Nur so kannst Du sicher sein, dass Dein Speicher sauber ist.

 

Viele Grüße

hj

[Landabaran]

Hallo Tuor,

 

ich habe auch gerade eine "Infektion" hinter mir. Mit Trojanern ist nich zu spaßen und häufig wird mehr als nur ein Schädling installiert und nicht alles wird von jedem Programm erkannt!

 

Sehr kompetente, kostenlose und schnelle Hilfe findest Du hier (ist allerdings in englisch) http://www.lavasoftsupport.com/index.php?showforum=61

 

Für das Forum solltest du dir schon mal HijackThis runterladen und dann dein Log-File posten.

 

Du solltest neben deinem Virenscanner zusätzlich eine Firewall (ZoneAlarm ist z.B. kostenlos) und z.B. Ad-Aware & Spybot (beide auch kostenlos) installieren.

 

Außerdem solltest du alle WindowsUpdates aktuell halten!

 

Bis die Sache geklärt ist, solltest du kein Internet-Banking etc. machen!

 

Gruß

 

L.

[Tuor]

Bringt mir eine Firewall noch etwas, wenn ich einen Router habe? Ich bin bislang immer davon ausgegangen, dass ich keine Firewall mehr brauche.

 

Was natürlich dagegen spricht, dass dieser Trojaner mein AV korumpiert ist, dass er beim zweiten Lauf noch einmal den Trojaner fand. Eine Antivieren Startdisk habe ich nicht.

 

Onlinebanking ok, nicht ganz ungefährlich, allerdings kommt der trojaner ja nicht an meine Tannummern. Ich werde aber vieleicht Onlinebanking vorläufig nur vom Büro aus machen.

[Abd al Rahman]

Ene Firewall bringt meiner Meinung nach eh nix. Sie befriedigt nur die eigene Neugier. Wenn Firewall, dann auf einem externen Router.

 

Viele Grüße

hj

[Landabaran]

Die Gefahr geht nicht zwingend von dem aus, was dein Virenscanner gefunden hat, sondern von dem was eventuell verborgen ist!

 

Ich habe im Dezember eine Datei geöffnet, die ich eigentlich löschen wollte. So kannte ich den Zeitpunkt der Infektion und habe sofort gescannt. Ich fand einen Keylogger und einen anderen Trojaner. Ich dachte ich wäre "clean". Eine Woche später habe ich eine neue Anti-Virus Version installiert und fand noch ein Rootkit!

 

Keylogger, sind kleinen Programme, die alles "mitschreiben", was du mit deiner Tastatur eingibts. So können ziemlich einfach Passwörter etc. ausgelesen werden. Das ist eine große Gefahr.

 

Eine Firewall kann dich auch vor dem Senden von Daten von deinem Computer schützen! Einige Trojaner/Keylogger senden Informationen an eine bestimmte IP-Adresse. Eine Firewall kann dies unterbinden, da sie dir meldet "Die Datei xyz versucht einen Zugriff auf das Internet. Zulassen Ja/Nein?" So kannst du verhindern das sich Programme mit dem Inet verbinden. Du wirst dich wundern, welche das alle automatisch machen und du weist nie welche Daten übertragen werden. (die meisten sind natürlich harmlos: Realplayer, Word, Quicktime, Winamp, Acrobat usw.)

 

Ich kann dir wirklich nur das Lavasoft-Forum empfehlen. Falls dein Englisch nicht so gut ist kann ich dir gerne helfen. Mir hat das sehr geholfen.

 

Gruß

 

L.

[Tuor]

Vielleicht mache ich den Rechner besser mal in den nächsten Wochen platt und Installiere dann alles neu.

[Nixonian]

Eine Firewall kann dich auch vor dem Senden von Daten von deinem Computer schützen!

Nein, das kann sie definitiv nicht.

Application Level (oder Layer) Gateways (und so etwas ist eine so genannte Desktop-Firewall) können dem geübten Administrator als Hilfe dienen, den Internetverkehr feiner zu steuern, als er das mit einem packetfilter kann.

Wenn ein trojanisches Pferd deinen Rechner infiziert hat und du ein rootkit drauf hast, ist es absolut kein Problem, einen Prozess z.B. iexplore.exe zu nennen. Der darf auf jeden Fall ins Internet und schon ist die "firewall" umgangen.

Auf der anderen Seite: Darf "svchost.exe" Zugriff aufs Internet haben? Oder wuau32.exe? Warum betrachtest du den Realplayer als harmlos? Oder den Acrobat?

 

Wenn es sich wirklich wer antun will und in die Thematik einlesen will:

http://linkblock.de

 

Kurz gesagt: Eine Infektion auf dem Computer ist auch nicht leichter erkennbar oder vermeidbar, wenn man z.B. Zonealarm installiert. Das einzige ist, daß man, so man dann was findet, sicher davon ausgehen kann, daß man jetzt davon infiziert ist. Wenn es zu keinen "false positives" kommt.....

 

@Tuor

Er kommt an deine Tannummnern, wenn du sie eingeben mußt. Wie gesagt: Unbedingt mindestens noch gegenchecken. Ein Beweis für irgendwas ist eine installierte Software gar nicht mehr.

Für die Zukunft: Achte auf jeden Fall darauf, nicht mit Administratorrechten zu surfen, halte dein Betriebssystem und alle darauf installierten Programme auf dem sicherheitsrelevant neuesten Stand, installiere Software nur aus vertrauenswürdigen Quellen, vermeide Internet Explorer/Outlook (Expreß) und sei generell vorsichtig mit dem, worauf du klickst. Das ist zwar keine Garantie, aber ein recht brauchbares Sicherheitskonzept, das sich bei vielen Leuten (u.a. auch bei mir) bewährt hat. Ganz ohne Virenscanner und "Firewall".

[Landabaran]

Eine Firewall bietet keine absolute Sicherheit. Genau wie ein Virenscanner keine absolute Sicherheit bietet. Aber sie senkt die Schadenswahrscheinlichkeit! In meinem Fall konnte ich den Keylogger blocken, da die Firewall mich informierte. Gute Programme erkennen ausserdem umbenannte Dateien und können diese von original Prozessen unterscheiden!

 

Es gibt natürlich bessere Firewalls als das kostenlose ZoneAlarm (z.B. die kostenpflichtige Version). Aber besser als keine!

 

Sicher, mein Rootkit (die Zweit-Infektion) war eine jener Dateien, die die Firewall umgehen. Aber das spricht nicht gegen eine Firewall als solche. Es ist wie mit allem - je besser man sich auskennt, desto besser kann man sich schützen. 100% Sicherheit gibt es eben nicht.

 

Acrobat oder Realplayer betrachte ich als ungefährlich in ihrer originären Form. Es kann sein, dass Daten zu Marketingzwecken übertragen werden, aber Adobe wird nicht dein Konto leerräumen Außerdem kann man ja gerade auch diesen Programmen automatischen Kontakt mit einer Firewall verbieten!

[Nixonian]

In meinem Fall konnte ich den Keylogger blocken, da die Firewall mich informierte. Gute Programme erkennen ausserdem umbenannte Dateien und können diese von original Prozessen unterscheiden!

Woher weißt du das? Weil ein Fenster der "Firewall" aufging? Was wenn diese bereits kompromittiert ist?

Ein Programm kann Veränderungen nur anhand von gespeicherten Erwartungswerten vergleichen. Verändere ich somit die erwartete Signatur, kann ich auch das Programm verändern. Mache ich z.B. wie sehr oft einen md5-sum-hash brauche ich nur den hash meines veränderten Programms in die Datei, wo diese hashes den Programmen zugeordnet werden, schreiben.

Ab dem Zeitpunkt bekommst du jedesmal eine Warnung der Firewall, wenn du den Internet Explorer startest, aber wenn das veränderte Programm gestartet wird, siehst du nichts. Nur so als Beispiel.

 

Wirklich interessant:

http://blog.copton.net/articles/pfw-versagen/

Es gibt natürlich bessere Firewalls als das kostenlose ZoneAlarm (z.B. die kostenpflichtige Version). Aber besser als keine!

Zur Zeit schlagen auf meinem Paketfilter täglich ein paar hundert Connection-Versuche infizierter Rechner auf port 2968 auf. Dieser Port ist für das Norton-update gedacht und wird derzeit aktiv von einem Wurm ausgenutzt. Kein Norton- kein Problem. Und wenn du einmal erlebt hast, was so ein durchgedrehter Zonealarm auf PCs anstellt....

 

Aber o.k., ich will nicht missionieren. Wichtig sind die Punkte, die ich oben aufgeschrieben habe, weder ein Virenscanner noch eine Personal Firewall ersetzt diese Schritte (nicht privilegierter User, updates, nur vertrauenswürdiges installieren...). Fühlt man sich besser, so kann man diese Programme zusätzlich installieren, obwohl sie objektiv zweifelhaften Sicherheitsgewinn bringen und den Computer auf der anderen Seite schwer bremsen bzw. ihn sogar bis zur Unbrauchbarkeit verändern. Wichtig ist dabei, daß man sich dann nicht in einer nicht vorhanden Sicherheit wiegt ("Ich habe einen Virenscanner, also kann mir nichts passieren")

[Tuor]

Ich habe auf meinem Rechner ein kostenloses anti-rootkit Programm auf dem Rechner und daneben eben AV. AV wird bei mir quasi täglich aktualisiert.

 

Die Sache mit den TANnummer verstehe ich nicht. Wenn ich die TANnummer eingebe, kann sie natürlich erkannt werden - ist klar. In diesem Moment ist sie aber auch wertlos, weil sie verbraucht ist. Wo ist da jetzt das Risiko?

[Tuor]

Ach ja, ich hatte mich verschrieben. Der Trojaner heißt

 

TR/proxy.ranky.g.1

[Nixonian]

@Tuor

Wie du vielleicht bemerkt hast, habe ich den Namen schon ausgebessert

 

Wegen TAN:

Programm erkennt, daß du eine Überweisung tätigen willst. Programm schickt dich auf eine falsche Seite/verzögert deine Eingabe.... und verwendet inzwischen die per keylogger mitgetrackten Daten für eine Abbuchung. Bankseite bleibt scheinbar ein paar Sekunden "hängen" und dann bekommst du eine Fehlermeldung über eine ungültige TAN, weil schon verwendet. Oder dir wird eine gefälschte Fehlerseite untergeschoben, die du noch mit ein paar TANs fütterst....

Es gibt wirklich ungezählte Möglichkeiten, sobald einem der Computer "gehört", sprich man ein entsprechendes Rootkit eingeschleust hat. Denke daran, daß dieses Programm mit Administrator- oder Systemrechten läuft und daher mindestens alles das darf, was du darfst. Also auch Programme installieren, aufs Internet zugreifen, "Tasten drücken" usw.

 

Muß alles nicht sein und es kommt v.a. auf den "Verwendungszweck" deines Computers an. Wenn ihn jemand nur infizieren wollte, um als botnet-Computer zu dienen für den nächsten Spamrun oder für eine Vorbereitung für einen DDOS auf irgendeine Seite, wird das Programm vermutlich gar keine Routinen für die obigen bösen Geschichten bereithalten. Aber wenn die Information über Paßwörter/TAN-Nummern/Zugangsdaten das Ziel waren...

Einfach noch vorsichtig sein jetzt, das ist meine Meinung.

[Tuor]

@Nixonian: Du wirst schon Recht haben. Ich werde erst einmal kein Onlinebankig von diesem PC aus machen. Ich scheue mich momentan nur davor, den ganze Rechner wegen eines Trojaners platt zu machen, der von AV als eher mittelmäßig bis wenig gefährlich eingestuft wird. Mittelfristig wird es aber sicher das Beste sein. Ich sollte den Rechner dann am besten beim nächsten mal so konfigurieren, dass ich nicht mehr mit Admin-Rechten ins Internet gehe.

[Sulvahir]

@Tuor

Ich fürchte du wirst in den sauren Apfel beißen müssen - je eher, umso besser.

 

Hier ein Link zu Microsoft und deren (eindeutiger) Empfehlung (englisch):

 

http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx

 

...

The only way to clean a compromised system is to flatten and rebuild.

...

 

Vielleicht tröstet dich das:

Eine Neuinstallation ist im Normalfall schneller gemacht, als der Versuch die Infektion restlos zu beseitigen dauert, und dessen Erfolg man sich zudem nie sicher sein kann.

 

Zum sicheren Konfigurieren noch ein Link:

 

http://www.ntsvcfg.de/

 

bis dann,

Sulvahir

[Landabaran]

@ Nixonian: Auch wenn es sich nicht gehört sich selber zu zitieren

 

1.

Eine Firewall bietet keine absolute Sicherheit. Genau wie ein Virenscanner keine absolute Sicherheit bietet. Aber sie senkt die Schadenswahrscheinlichkeit!

 

2.

Wenn ich eine verseuchte Datei versehentlich öffne und kurz drauf ein unbekanntes Programm, das sich definitiv dem Trojaner in Verbindung bringen lässt, ins Internet will und von mir geblockt wird, so ist die Wahrscheinlichkeit recht hoch.

 

3.

[ironie AN] Aber du hast schon recht - es ist sinnlos sich gegen Tetanus und Hepatitis zu impfen, wo man ja auch an AIDS sterben kann. [/ironie Aus]

[Widukind]

Eine lokale "Firewall-Software" waere das erste, was mein Trojaner manipulieren wuerde... Wenn Firewall, dann ausserhalb des PCs.

[Nixonian]

@ Nixonian: Auch wenn es sich nicht gehört sich selber zu zitieren

 

1.

Eine Firewall bietet keine absolute Sicherheit. Genau wie ein Virenscanner keine absolute Sicherheit bietet. Aber sie senkt die Schadenswahrscheinlichkeit!

Auch durch Wiederholung wird das nicht richtig. Wenn du auf diesem Standpunkt bestehen willst, wie schon gesagt: Ich bin hier nicht, um zu missionieren.

2.

Wenn ich eine verseuchte Datei versehentlich öffne und kurz drauf ein unbekanntes Programm, das sich definitiv dem Trojaner in Verbindung bringen lässt, ins Internet will und von mir geblockt wird, so ist die Wahrscheinlichkeit recht hoch.

Nein. Exakt das funktioniert nicht, da der Schadcode dann schon auf deinem Rechner ist. Surfst du mit Administratorrechten, hast du dem Programm damit die selben Rechte gegeben, die du zur Laufzeit hast. Z.B. auch die Firewall auszuschalten, zu verändern, zu blockieren oder dem Programm erlaubt "sich zu verstecken".

Was du da machst, nennt sich "Risikokompensation".

Surfst du mit Benutzerrechten, sieht die Sache etwas anders aus. Da könntest du auf diese Art noch eine Chance haben, aber die meisten Schadprogramme brechen die Routinen ohnehin ab, wenn sie nicht als privilegierter Nutzer installiert wurden.

 

Und selbst wenn all das gegeben ist, hast du nun tatsächlich ein Szenario ausgegraben, wo dir eine Softwarefirewall einen Indikator für die Verseuchung deines Rechners geben kann. Sicherheit hast du keine bekommen, außer die Sicherheit, daß dein Rechner kompromittiert wurde.

3.

[ironie AN] Aber du hast schon recht - es ist sinnlos sich gegen Tetanus und Hepatitis zu impfen, wo man ja auch an AIDS sterben kann. [/ironie Aus]

Ironie ist hier völlig fehl am Platz. Und der Vergleich hinkt nicht nur, er ist völlig falsch. Du "impfst" dich nicht, sondern argumentierst damit, daß du nach erfolgreicher Infektion wenigstens darauf aufmerksam wirst. Sozusagen anhand von Symptomen die Krankheit erkennen. Wie in der Medizin gilt aber: Vorbeugen schützt. Und das Kondom des Computers ist nicht eine Desktop-Firewall, sondern eine vernünftige Konfiguration und ein vorsichtiger Umgang, ggf. in Zusammenarbeit mit einer einfachen Paketbasierten "Firewall" wie auf jedem Consumer-Router oder auch auf Windows (Windows-Firewall) Linux (iptables) netfilter (andere *ixe) bereits installiert und relativ einfach sinnvoll konfigurierbar.

 

Wie gesagt: Wer Virenscanner und Firewall zu brauchen glaubt: Nur zu. Nur überlegt euch immer, wozu ihr die Sachen braucht, ob ihr nicht durch die, dem Betriebssystem eigenen, Mittel mit weniger Aufwand, Rechenleistung und Veränderung am Betriebssystem zu besseren Ergebnissen kommt.

[Rosendorn]

Ich denke nicht, dass man auf einen Virenscanner verzichten sollte - halte das sogar für falsch. Es kursieren Viren auf vielen Wegen und wenn auch der Scanner nicht unbedingt zwingend einen Schutz bietet, so informiert er i.d.R. wenigstens über eine Infektion. Andernfalls schleppt man womöglich monatelang eine Verseuchung mit sich herum und wird unerkannt zur Virenschleuder.

 

Es ist illusorisch sich vorzumachen, man könne sich mit Windows-Bordmitteln effektiv schützen. Dazu gibt es zuviele Löcher. Das mag bei Linux anders sein, aber da kenne ich mich nicht aus und Otto-NormalDAU gewiss auch nicht. Deswegen lieber einen regelmäßig upgedateten Virenscanner zuviel als zuwenig.

 

Grüße...

Der alte Rosendorn - AntiVir-Benutzer

[Nixonian]

Es ist illusorisch sich vorzumachen, man könne sich mit Windows-Bordmitteln effektiv schützen. Dazu gibt es zuviele Löcher.

Das ist das, was einem die Hersteller von "Sicherheitssoftware" glauben machen wollen. Tatsächlich ist eine Bedrohung aber sehr gering, wenn man mit einem nicht-privilegierten Benutzer arbeitet, updates regelmäßig sowohl für Betriebssystem wie für zusätzlich installierte Software einspielt und auf die unsicherste Software bei Windows (Internet Explorer, Outlook Express) verzichtet. Doch selbst die werden in der Zwischenzeit relativ zeitnah gepatcht.

Das mag bei Linux anders sein, aber da kenne ich mich nicht aus und Otto-NormalDAU gewiss auch nicht. Deswegen lieber einen regelmäßig upgedateten Virenscanner zuviel als zuwenig.

 

Grüße...

Der alte Rosendorn - AntiVir-Benutzer

Das hat mit Linux nichts zu tun, dort ist die Bedrohung eine zwar wesentlich geringere- und andere-, aber sie kann, so wie Linux manchmal eingesetzt wird, durchaus auch beachtlich werden.

 

Wer eben meint, neben den obigen Tips noch einen Virenscanner verwenden zu wollen- okay. Wer obige Tips nicht beherzigt, dem wird über kurz oder lang auch Zusatzsoftware nichts nutzen- und wird dann die Mär verbreiten, daß man bei sich bei Windows immer was einfängt....