Trojaner und so...

  • wie entfernt man den Trojaner....
    TR/Click Small BT3

    ich hab mir schon wieder so ein Teil eingefangen, aber diesmal hab ich mir den namen aufgeschrieben :D

  • Ein Trojaner mit dieser Bezeichnung ist mir nicht bekannt. BT3 ist eine File-Extension, welche lautet: Control Runner Button Configuration File. Das Click Small BT3 besagt eigentlich nur, das Du eben diese Datei anklicken sollst. Ich gehe mal davon aus, das der wahre Name oder die wahre Bezeichnung des Trojaners, wenns denn einer ist, unter diesem Clickedy-Small verborgen ist und mit einem Dropper das Click-Small BT3 drübergelegt wurde.

    Ins Blaue:

    Mit Virenscanner das Teil in Quarantäne schicken oder befallene Datei löschen.

    AdAware rüberrumpeln lassen

    Spybot Control ebenfalls auf die Jagd loslassen

    Vielleicht hat Time noch andere Vorschläge

    h wenn Du mit allem fertig bist, hier melden und verkünden, ob Du glücklich bist, :] ;)

    Einmal editiert, zuletzt von Ahasveru (20. Januar 2005 um 17:17)

  • wat is plond, hat den router bereits im november bezahlt, aber seitdem den typen nicht mehr erwischt, der ihn einbauen soll....

    im übrigen versteh ich dazu nur bahnhof.
    nimm heute abend ne klinikpackung baldrian....geh früh schlafen, dass du ausgeruht und nervenstark bist....ich ruf dir dann morgen an und du darfst mir am telefon erklären was ich tun muss :D

  • Zitat

    Original by Kameltreiber
    wenn du auf dieser seite noch mitkommst, dann kannst du es selbst erledigen -> http://board.protecus.de/showtopic.php?threadid=14021

    Ja, famose Idee, Kameltreiber, unser Schehersad mit Hijack-This zu konfrontieren, es fällt ihr bei und mit ihrem technischen Know-How mit Sicherheit leicht, damit zurechtzukommen, :] 8). Ich meine, dann könnte man ihr ja auch raten, ihre Daddelkiste direkt nach Kaspersky-Labs zu schicken, da wird sie dann geholfen, :D

  • Oller Beduine, ich habe das mit dem Fachmann vor Ort schon gelesen, und da wird sie ja auch am Besten geholfen, ;). Ich schrieb das ja nur, weil:

    Zitat

    .ich ruf dir dann morgen an und du darfst mir am telefon erklären was ich tun muss

    ich Dir dadurch ersparen wollte, nach einem Einsatz von Hijack-This wie nach der freundlichen Boardunterstützung der von Dir gelinkten Seite an Schehersad, einige Registry-Einträge zu löschen, hernach hier auf dem Board den neueröffneten Thread: Der Trojaner ist fort - Hilfe, wo ist meine Registry? zu gewahren, :D

  • Beim TR/Click Small BT3 handelt es sich vermutlich um eine Abart des des Click-Small-Trojaners. Dieser nistet sich - wenn mich meine Nachforschungen nicht ganz in die irre geführt haben - über eine mhtml-Sicherheitslücke des Internet Explorers ein.
    Ich bleibe bei meiner Empfehlung: Den Internet Explorer nicht benutzen, maximal für vertrauenswürdige Internetseiten. Dann aber auch nur mit hohen Sicherheitseinstellungen und der aktuellsten Version (wirklich jeden Patchday abpassen, die Patches installieren und regelmäßig Internetseiten checken die sich mit der Sicherheit befassen)
    Links:
    - Trojaner übers Web - heise-Artikel
    - c't-Browsercheck: Sicherheitslücken des Internet Explorers (Auswahl)
    - heise Security
    - SecurityFocus - englische Sicherheitsseite

    • Wie immer vor Eingriffen die schädliche Auswirkungen haben können: einen Systemwiederherstellungspunkt setzen
    • Den Virenscanner aktualisieren und noch einmal durchlaufen lassen. Bietet er Funktionen an die er an diesem Trojaner ausführen kann, nutze sie. Also wie Ahasveru schon gesagt in Quarantäne verschieben bzw. Löschen
    • Soweit der Virenscanner hier tätig werden konnte: Neustart, danach Virenscanner noch einmal laufen lassen
    • Konnte der Virenscanner nicht tätig werden, die Programme Ad-aware und Spybot S&D ausführen, auch könnte CWShredder unter Umständen hilfreich sein
    • Tritt der Trojaner nach einem Neustart immer noch auf - was meinen Quellen zufolge leicht der Fall sein kann - wird es schwieriger. Darauf möchte ich allerdings erst eingehen wenn die anderen Methoden gescheitert sind. Denn die entsprechenden Maßnahmen bergen durchaus ein gewisses Risiko, insbesondere wenn man nicht genau weiß was man da eigentlich macht.

    Zur Absicherung des Internet Explorers, siehe den Thread Windows-Festung. Weiterhin empfehle ich den Einsatz eines alternativen Browsers, zumindestens dann wenn du nicht bereit bist die Sicherheitseinstellungen des IE so hoch zu setzen wie im Thread empfohlen.
    Ferner empfehle ich dir den gesamten Festungs-Thread zu lesen und ihn, soweit es dir möglich ist, umzusetzen. Sprich: Verwendung von Sicherheitsprogrammen, regelmäßigen Scans, Nutzung alternativer Software, gesunde Vorsicht beim Betrachten von Dateien, ...

    Ich glaube wenn die Registry weg ist werden erst einmal einige Tage vergehen ehe wir Schehersad hier wiedersehen. :D
    Also erst einmal - wie Ahas es schon gesagt hat - die "normalen" Mittel ausprobieren.

    Gut dass ich den IE nicht benutzen muss und mir so keine IE-Würmer, -Viren und ähnliches Viehzeugs einfangen kann. Ich hätte persönlich nicht den Nerv dazu mich ständig um meinen Rechner zu kümmern. Stattdessen bevorzuge ich ein System welches einmal eingerichtet längere Zeit nicht großartig gewartet werden muss, nehme dafür auch schonmal die eine oder andere kleine unbequemlichkeit in Kauf (Verzicht auf Administrator-Rechte z.B.). Aber das hängt natürlich von den persönlichen Vorlieben ab. Es gibt Leute die beschäftigen sich lieber produktiv mit ihrem Rechner und solche die basteln gerne daran. Und natürlich auch solche die nicht so genau wissen was sie tun und deswegen unfreiwillig regelmäßig an ihrem Rechner basteln müssen.
    Meine Statistik ist bislang recht positiv, in meinen 12/13 Jahren mit Computern (C64) bzw. 8 Jahren mit AT(X)-PCs ist mir bisweilen kein Virus, Wurm oder ähnliches in das System gelangt - von bewussten Installationen einmal abgesehen. Allerdings kann sich diese Statistik sehr schnell ändern (Vielleicht warte ich auch nur darauf dass endlich mal was handfestes passiert, damit ich einen triftigen Grund zum dauerhaften Umstieg auf Linux habe.) Der größte Virus auf meinen Rechnern war bislang Windows selbst, welches schon das eine oder andere Gigabyte unwiderbringlich und ohne jede Warnung vernichtet hat.

    viel spaß beim basteln ;)
    time

  • Zitat

    in meinen 12/13 Jahren mit Computern (C64)

    Dito, in der ganzen Zeit habe ich mir einen Virus (beim Start meiner PC-Karriere auf einem 486er mit Windows 3.11 einen Bootsektor-Virus über eine verseuchte Diskette gefangen) und vor 3 Jahren mal einen Worm, weil ich mein System frisch installiert hatte, aber natürlich sofort ins Internet huschte, ohne die Kiste wie sonst immer vorher erst abzusichern.

    Zitat

    Der größte Virus auf meinen Rechnern war bislang Windows selbst,

    Jenen bekommt man sehr leicht mit Linux weg, :] ;)

    Zitat

    welches schon das eine oder andere Gigabyte unwiderbringlich und ohne jede Warnung vernichtet hat.

    Windows sucks......

  • Also, noch mal zu TR/ Click Small TB3. Dieses ist in diesem Sinne nicht der Trojaner selbst, sondern ein Trojaner-Downloader, d.h., ein kleines Programm, welches beim Anklicken (Click Small) erst in einem 2. Vorgang den Trojaner downloadet., wobei es sich um ein .exe (executable) - File handelt und dieses *run32dlll.exe* (3 L hier richtig, kein Vertipper) heisst. Der Trojaner versteckt sich nach Ausführen dieser .exe als mseclj.dll unter Windows. Es wurden dabei Trojaner bekannt, welche auch Keylog-Funktionen besitzen wie auch Passwörter ausspionieren können.

    Von der Click-Small-Familie sind bisher 370 Varianten bekannt, welche ausser Trojanern auch Spyware, Dialer, etc. downloaden und installieren können.

    @ Shehersad:

    Da Dir der TR/ Click Small TB3 nur von Deinem Virenscanner gemeldet wurde und ich mal davon ausgehe, das Du diesen selbst nicht angeklickt und somit ausgeführt hast, hast Du ergo ersteinmal nur den Trojan-Downloader auf Deiner Kiste, den Trojaner selbst aber noch nicht. Wenn Du dieses Teil nach einem manuell durchgeführten Scan Deiner Festplatte mit dem Virenscanner nochmal angezeigt bekommst, einfach löschen und gut ist. Zur Sicherheit auch, wie schon oben erwähnt, AdAware und Spybot über die Platte huschen lassen.

    Einmal editiert, zuletzt von Ahasveru (21. Januar 2005 um 13:26)