Hilfe ! CIAdoor

Hilfe!!! Ich hatte den Trojaner Backdoor CIAdoor. Mein Antiviren Programm (Norton) hat dieses zwar sofort gelöscht aber es blieb ein datei und ein Eintrag in der Registry. Diese löschte ich dann mit Adware SE.
Wenn es jemand nicht weiß: Dieser Trojaner schnüffelt Passwörter und CD Keys von diversen Spielen aus. Auf meinem PC ist CS:S installiert (auf einer anderen Festplatte). Nach dieser Warnmeldung von Norton zog ich den Stecker vom Internet raus. Allerdings bin ich mir jetzt unsicher was ich tun sollte. Ich weiß nicht wie schnell der Trojaner Daten sendet bzw. ob er überhaupt irgendwas versendet hat. Ebenfalls bin ich mir auch nicht sicher ob er noch auf der Festplatte ist. (Norton und Adware und SpybotSearch&Destroy haben eine .ini,.exe und einen Eintrag in der Registry gelöscht und keine anderen Viren ,Keylogger o.ä gefunden)

Was ratet ihr mir zu tun? Soll ich Valve kontaktieren und einen neuen CD-Key anfordern? Oder soll ich das nur machen wenn ich plötzlich gebannt wurde bzw. mein Key als doppelt angezeigt wird?

Danke schonmal im Vorraus.
M.f.G Mr Propp

Evtl. findest du hier die Antwort.
http://oschad.de/wiki/index.php/Kompromittierung

FG Insulin

CIADoor ist zunächst eine Art Baukasten, der vom Autor nach Belieben angepasst werden kann. Welche der möglichen Spielereien der Autor tatsächlich nutzt, bleibt ihm selbst überlassen. Insofern ist die Aussage

Wenn es jemand nicht weiß: Dieser Trojaner schnüffelt
Passwörter und CD Keys von diversen Spielen aus.

nicht ganz richtig. Grundsätzlich gilt aber: Wird CIADoor aktiviert, sendet er eine Nachricht an seinen Autor, öffnet einen Port auf dem PC und wartet dort auf die Aufgaben, die sein Herr und Meister an ihn zu richten trachtet. Sollte er also auf deinem Rechner aktiviert worden sein - wenn ein Eintrag in die Registry geschrieben wurde, war das der Fall - wäre doch eine recht hohe Latenz zwischen Infektion und Schaden zu erwarten. Ein sofortiges Deaktivieren und Löschen dürfte einen möglichen Schaden also erfolgreich verhindert haben.

Allerdings solltest du dringend feststellen, wie ein solcher Schädling sich trotz Antivirenprogramms auf deinem Rechner überhaupt aktivieren konnte und wie du diesen Weg für die Zukunft verstopfst.

Gruss
Schorsch

Erst mal Danke für die schnellen antworten.

„Allerdings solltest du dringend feststellen, wie ein solcher Schädling sich trotz Antivirenprogramms auf deinem Rechner überhaupt aktivieren konnte und wie du diesen Weg für die Zukunft verstopfst.“

Tja, des war eine ganz dumme Sache… Ich gebe zu die Datei selbst ausgeführt zu haben. Normalerweise mache ich IMMER einen Virencheck wenn ich Dateien bekomme oder downloade. Nur leider hab ich das in diesem Fall verpeilt…

Also ich habe die Datei ausgeführt und keine Sekunde danach kam die Warnmeldung und die .exe wurde gelöscht. Nach einem Scan wurde auch die .ini gelöscht und in dem besagten Registry Eintrag war der Wert „“ und wurde auch gelöscht. Ich war aber noch vorher auf der Symantec Virenseite und habe mir zum Trojaner Infos durchgelesen. In dieser (kurzen) Zeit war ich noch mit dem Netz verbunden. Ich hoffe das löschen des Trojaners hat zumindest verhindert, dass eine Verbindung zum Autor entstehen konnte. Soweit ich das weiß muss doch die „server.exe“ ausgeführt sein um sich zu verbinden. Dies geht aber nicht wenn die Datei nicht mehr vorhanden ist, oder?

M.f.G Mr Propp

Soweit ich das weiß muss doch die
„server.exe“ ausgeführt sein um sich zu verbinden. Dies geht
aber nicht wenn die Datei nicht mehr vorhanden ist, oder?

Sie muss im Hauptspeicher geladen sein. Ob sie dabei auf der Platte noch phys. vorhanden ist, spielt keine Rolle. Die Datei zu löschen hat keine Auswirkungen auf den laufenden Prozess.

Gruss
Schorsch

Das heißt jetzt, wenn mein Scanner und AdwareSE nix mehr findet ist alles komplett weg?

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Mir gehts ja auch erstmal darum, ob jetzt schon irgendwelche CD-Keys oder Passwörter von mir den Weg ins Internet gefunden haben oder nicht…

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Das heißt jetzt, wenn mein Scanner und AdwareSE nix mehr
findet ist alles komplett weg?

Eine solche Aussage würde ich nie treffen (gut, vielleicht bezügl. eines unter meiner Aufsicht frisch installierten Systems). Bei einer Zeitspanne der Infektion von nur wenigen Minuten würde ich aber bezogen auf CIADoor von einer sehr geringen Wahrscheinlichkeit ausgehen, dass der Autor des Schädlings zwischenzeitlich eine Chance hatte, Daten von deinem System auszulesen oder eine weitere Backdoor zu installieren.

Ich würde das Restrisiko also als sehr gering einschätzen. Ob im konkreten Fall vernachlässigbar, ist von deinem Sicherheitsbedarf abhängig.

Gruss
Schorsch

Hallo MrPropp

Soweit ich das weiß muss doch die
„server.exe“ ausgeführt sein um sich zu verbinden. Dies geht
aber nicht wenn die Datei nicht mehr vorhanden ist, oder?

Wo steht das geschrieben und wer gibt dir die Gewähr, das diese Datei nicht mit anderem Namen kopiert auf deinem System existiert.

Das heißt jetzt, wenn mein Scanner und AdwareSE nix mehr
findet ist alles komplett weg?

Dein Scanner findet nur nichts, was die Signatur einer bekannten Malware besitzt. Täglich werden in der Welt 60-70 verschieden Malware in Umlauf gebracht, Wer soll sich darin auskennen?

Mir gehts ja auch erstmal darum, ob jetzt schon irgendwelche
CD-Keys oder Passwörter von mir den Weg ins Internet gefunden
haben oder nicht…

Woher sollen wir das wissen, entscheident ist und das wurde dir schon mehrfach gesagt, ob die Malware ausgeführt wurde oder nur anwesend ist. Aber so wie du schreibst trifft wohl eher das Erstere zu. Deine Einträge in die Registry beweisen dies. Damit dürfte der gegenwärtige Besitzer deines Systems im Internet alle Informationen besitzen. Du hast zwar deinen PC bezahlt, besitzt jedoch nur noch das Recht ein paar Spiele zu spielen und den Netzschalter zu betätigen. Ich übertreibe kaum.

Mache es mal anders und gugge dir mal die Liste in http://www.avira.com/de/threats/section/fulldetails/… und beantworte dir selbst mal die Frage, ob Scanner und AdAware dies alles entsorgt hat. Können sie dies überhaupt? Dabei sind nur erkannte Aktionen und Einträge aufgeführt. Was blieb bei dieser Masse von Veränderungen noch unbekannt, welche Daten wurden schon an den Dienstherren gesendet und welche unbekannten Dateien von der Malware aus dem Internet nachgeladen und bei dir installiert? Findest du diese unter den 60.000-100.000 Files auf deiner HD überhaupt?

Wurden wirklich Dateien nachgeladen und installiert, ist die bisherige Malware eh überflüssig und kann gelöscht werden.

Glaube mir, in dieser Situation hätte ich nur nach dieser FAQ http://faq.jors.net/virus.html gehandelt. Warum willst du dieses Risiko eingehen und glauben, es könnte sich nichts mehr in deinem System befinden? Lohnt sich dieses Risiko überhaupt oder ist deine Abwartehaltung nur mit Faulheit vergleichbar? In diesem Zusammenhang erhebt sich die Frage nach deinem letzten Backup und wo ist es? Kostenlose geeignete Software gibt es zur Genüge. Es gibt keine Ausrede. Selbst heute findest du noch am nachsten Bahnhofs-Kiosk die Zeitschrift PC-Magazin 10/06 mit Paragon DriveBackup 7.5.

Damit sicherst du deine nächste Installation des Systems und brauchst zukünftig nicht mehr fragen, wie man eine Malware aus dem System entfernt. Man tut es einfach, schnell und zuverlässig. Bei mir dauert es 10 Minuten und das WindowsXP ist so neu wie am Tag der Installation mit allen Programmen, deren Registrierungen und der Konfiguration des Internetzuganges. Vorher kannst ja noch hier auf dem Brett fragen, wie man sinnvoll partitioniert und eine Startpartition am Besten sichert.

der hinterwäldler