Hallo Experten!
seit gestern abend befindet sich folgender trojaner/malware auf meinem PC
TR/PSW.OnlineGames.bmlg
ich habe keine ahnung wo ich den herhabe, habe lediglich einen druckertreiber runtergeladen.
beim 2ten systemstart am abend kam antivir mit der meldung das dieser trojaner gefunden wurde.
auf löschen klicken oder in quarantäne schieben hat keine wirkung gezeigt, immer wieder hat antivir ihn gefunden un mein rechner ist lahmgelegt.
hat jemand eine lösung dafür`?
mfg
daniel
Hallo!
Entfernen kannst du den Trojaner,nur mit einer Neuinstallation deines Betriebssystems.Deine Passwörter sind unsicher und können schon dritten bekannt sein,also setz das System neu auf und ändere alle Passwörter.Solltest du oder andere Benutzer Online Banking machen,informiere deine Bank darüber,die werden dich in dieser Hinsicht weiter beraten.Hier noch ein Link:http://www.avira.com/de/threats/section/fulldetails/…
Gruß Frank
P.S.Hier noch ein Workshop zur Hilfe bei Fragen zur Neuinstallation:http://www.chip.de/artikel/System-komplett-neu-insta…
Hi
naja, net so schnell.
Wo meldet Antivir die kleine Drecksau denn?
Wenn das Viech oder die Datei mit der Signatur im Code nur im „temporary internetfiles“ rumliegt und NICHT installiert wurde, dann LÖSCH ihn halt.
A
seit gestern abend befindet sich folgender trojaner/malware
auf meinem PC
TR/PSW.OnlineGames.bmlg
In welcher Datei wurde das gefunden? Vollständiger Pfad bitte.
ich habe keine ahnung wo ich den herhabe, habe lediglich einen
druckertreiber runtergeladen.
Von wo hast du denn den Druckertreiber heruntergeladen? Der Download des Druckertreibers muss aber auch überhaupt nichts mit dem Trojaner zu tun haben. Der kann auch schon länger auf deinem Rechner drauf sein, und dein Virenscanner hat eben erst gestern eine Signatur bekommen, die den Trojaner entdeckt.
auf löschen klicken oder in quarantäne schieben hat keine
wirkung gezeigt, immer wieder hat antivir ihn gefunden un mein
rechner ist lahmgelegt.
Wie du siehst, sitzt der Trojaner offensichtlich schon sehr tief in deinem System, sonst könnte er sich gar nicht gegen sowas wehren. Sowas kriegst du zuverlässig nur durch eine Neuinstallation weg, da du nicht weißt, was der Trojaner alles bereits an deinem System verändert oder gar nachgeladen hat.
hallo!
er liegt in windows/sytem32/wbem/HB32.dll wenn ich mich recht erinnere. nutze nun erstmal einen anderen pc:wink:
der druckertreiber kam von epson, aber mir fiel ein das ich am tag vorher auch noch ne speicherkarte von einer bekannten dran hatte. naja der kann wahrscheinlich von überall sein…
mfg
Dass der Trojaner aktiv geworden ist, ist offensichtlich. HB32.dll ist sicher kein Bestandteil einer legitimen Anwendung.
Du könntest versuchen, den Rechner im abgesicherten Modus zu starten und diese Datei dann zu entfernen. Zusätzlich solltest du die Registry und die System-Starteinträge (Start-> Ausführen-> msconfig) nach der Zeichenkette hb32 bzw. nach verdächtigen Einträgen flöhen und ggf. löschen.
Sollte das nicht unverzüglich zum Erfolg führen, würde ich keine Zeit mehr mit solchen Spielchen verlieren und den Rechner neu aufsetzen.
Aber auch wenn du erfolgreich sein solltest, solltest du diesen Erfolg lediglich als Aufschub betrachten, der dir die Möglichkeit gibt, wichtige Dateien und Systemeinstellungen in aller Ruhe zu sichern, bevor du neu aufsetzt.
Es gibt Hinweise, dass der Trojaner per ‚Drive-by Download‘ auf deinen Rechner gekommen ist. Um derartige Infektionen zukünftig zu verhindern. solltest du nach der Neuinstallation einen anderen Browser verwenden oder eine aktuellere Version des bisher verwendeten Browsers einsetzen oder den verwendeten Browser sicher konfigurieren.
Gruß
Du könntest versuchen, den Rechner im abgesicherten Modus zu
starten und diese Datei dann zu entfernen. Zusätzlich solltest
du die Registry und die System-Starteinträge (Start->
Ausführen-> msconfig) nach der Zeichenkette hb32 bzw. nach
verdächtigen Einträgen flöhen und ggf. löschen.
Und was soll das bringen?
Woher willst du wissen, ob das die einzigen Veränderungen sind, falls solche Einträge existieren? HB32.dll kann ja einfach nur ein Bestandteil einer nachgeladenen Komponente sind, während noch andere Komponenten unentdeckt weiter schlummern.
Laut der Beschreibung des Trojaners sollte der Trojaner eine Datei winewfile.dll anlegen. Da dies von dem gegebenen Fall mit der HB32.dll abweicht, kann der gute Mann auch längst mit einer Abart dieses Trojaners infiziert worden sein.
http://www.avira.com/de/threats/section/fulldetails/…
http://www.sophos.com/security/analyses/viruses-and-…
Aber auch wenn du erfolgreich sein solltest, solltest du
diesen Erfolg lediglich als Aufschub betrachten, der dir die
Möglichkeit gibt, wichtige Dateien und Systemeinstellungen in
aller Ruhe zu sichern, bevor du neu aufsetzt.
Diese Zeit hat er doch so oder so. Rechner ausschalten, mit Linux Live-CD starten und alle Dateien sichern, die man braucht. Der Trojaner ist dabei dann überhaupt nicht aktiv und kann auch nichts anstellen.
Es gibt Hinweise, dass der Trojaner per ‚Drive-by Download‘
auf deinen Rechner gekommen ist.
Und zwar welche bitte?
Die Infektion könnte durch eine Vielzahl an Wegen auf seinem PC gelandet sein. Allein drei verschiedene sind hier angeführt und dort steht auch, dass das Ding auch von anderer Schadsoftware nachgeladen wird: http://threatinfo.trendmicro.com/vinfo/secadvisories…
Die Infektion die sein Antivirus festgestellt hat, muss also auch überhaupt nicht mal neu sein, sondern kann schon alt sein, nur jetzt erst wurde mal ein Ding nachgeladen, welches der AV erkannt hat.
Im Prinzip haben wir keine Ahnung wann und wie das Ding auf seinen PC gekommen ist. Wir haben auch keine Ahnung ob es das einzige solche Ding auf seinem PC ist und was sonst noch an seinem System verändert wurde.
In diesem Sinne gibt es nur einzige Möglichkeit wieder ein sauberes System zu bekommen, nämlich ein Neuaufsetzen des Rechners.
Es gibt Hinweise, dass der Trojaner per ‚Drive-by Download‘
auf deinen Rechner gekommen ist.Und zwar welche bitte?
http://www.freefixer.com/blog/summer-drive-by-downlo…
Gruß
Hallo!
er liegt in windows/sytem32/wbem/HB32.dll wenn ich mich recht
erinnere. nutze nun erstmal einen anderen pc:wink:
Da du nicht weißt wann bzw. wie du dir diesen Unhold eingefangen hast und dieser Trojaner eine nachladende Wirkung(Avira findet ihn nach der Verbannung immer wieder) hat,sich auch in die Registry einschreibt bzw. Schlüssel erstellt und Passwörter stiehlt(siehe Link):http://www.avira.com/de/threats/section/fulldetails/…
,ist der Fall eindeutig.Um 100% sicher zu gehen setz das System neu auf.Irgendwelche Rettungstools sind keine Garantie,das der Rechner sauber ist.Eigentlich gibt es da keine Diskussionen,ob neu aufsetzen oder nicht.Da es keinem hier bekannt ist,wie und wo der Trojaner herkommt und welchen Schaden er schon angerichtet hat,bzw.wie weit er sich in deinem System eingenistet hat,sind Rettungstools evtl.nur ein Tropfen auf einem heißen Stein.
Damit du in Zukunft sicher im Netz bewegen kannst gibt es hier eine Zusammenstellung der 10 Goldenen Regeln,die man einhalten sollte um sicher im Netz unterwegs zu sein:http://www.comsafe.de/regeln.html
Gruß Frank
Es gibt Hinweise, dass der Trojaner per ‚Drive-by Download‘
auf deinen Rechner gekommen ist.Und zwar welche bitte?
Da steht z.B.
"HB32.dll is located in the ‚C:\Documents and Settings\Roger\Start-meny\Program\Autostart‘ folder "
Das ist in diesem Fall schon mal offensichtlich anders. Wie aus meinen Links ersichtlich wird, gibt es auch noch andere Verbreitungswege. Welcher davon in diesem Fall zutrifft, ist reine Spekulationssache. Das hängt oft einzig vom „Herrchen“ des Trojaners ab, die die Dinger oft mit Trojaner-Bausätzen nach Belieben zusammenstellen können.
Letztlich ist es aber für die Säuberung des Systems unerheblich und in jedem Fall sollte sich der OP fragen, wie das Ding überhaupt auf seinem Rechner landen konnte.
und Passwörter stiehlt
Aja, hab ich in meiner anderen Antwort vergessen:
Alle Passwörter sollten als potentiell bekannt angesehen werden und sollten alle von einem sauberen System aus neu gesetzt werden.
Da steht z.B.
"HB32.dll is located in the ‚C:\Documents and
Settings\Roger\Start-meny\Program\Autostart‘ folder "
Guck mal hin, bevor du den Link auf HB32.dll klickst. Dass in der Detailanzeige ein anderer Pfad genannt wird, als in der Liste, ist in der Tat zunächst verwirrend. Jedoch wird in der Liste klar auf C:\WINDOWS\system32\wbem\HB32.dll verwiesen - was den Schluss zulässt, dass der Download zunächst in den Autostart-Ordner erfolgt und erst beim nächsten Anmeldevorgang das Kopieren oder Verschieben in den wbem-Systemordner erfolgt.
Wie dem auch sei, ich hatte lediglich von einem ‚Hinweis‘ auf Drive-by Downloads gesprochen. Ich gehe aber angesichts der aktuell bekannten und ausgenutzten und erst mit dem Juli-Patchday geschlossenen DirectShow-Lücke von einer sehr hohen Wahrscheinlichkeit aus, dass der Fragesteller sich diesen Schädling tatsächlich mit dem IE6 oder IE7 per Drive-by geholt hat.
Gruß
Guck mal hin, bevor du den Link auf HB32.dll klickst.
Stimmt, das hatte ich übersehen.
Wie dem auch sei, ich hatte lediglich von einem ‚Hinweis‘ auf
Drive-by Downloads gesprochen. Ich gehe aber angesichts der
aktuell bekannten und ausgenutzten und erst mit dem
Juli-Patchday geschlossenen DirectShow-Lücke von einer sehr
hohen Wahrscheinlichkeit aus, dass der Fragesteller sich
diesen Schädling tatsächlich mit dem IE6 oder IE7 per Drive-by
geholt hat.
Ich habe mir die Infos auf der Freefixer-Page nochmal genau betrachtet und würde jetzt sagen, dass du da recht hast und ich Unrecht damit, dass es keinen Hinweis auf Drive-by Download gibt.
Hi,
lass´ Mal a-squared (free) durchlaufen und damit den PC reinigen.
Hallo Daniel!
Für mich klingt das nach einen aggressiven Virus, und Trojaner sind besonders schädlich:
Wenn das System einmal von einem aggressiven Schädling befallen wurde, kann man selbst nach scheinbar erfolgreichem Entfernen des Schädlings nicht wirklich sicher sein, ob vielleicht schon andere Windows Systemdateien manipuliert wurden. Und solche manipulierte Windows Systemdateien werden leider oft von den Virenscannern nicht als Schädling erkannt.
Es besteht eine hohe Wahrscheinlichkeit dass der PC nicht mehr dem Benutzer, sondern dem Angreifer gehört und dass dieser beliebige weitere Schädlinge nachladen kann! Die Manipulationen sind in der Regel so gravierend, dass es unmöglich ist den PC wieder in den Ursprungszustand vor der Infektion zu versetzen! Nur, wenn die Festplatte komplett formatiert und Windows ganz neu aufgespielt wurde, kann man zu 100% sicher sein dass das System wieder sauber und sicher ist!
Wer ein natürlich ein Backup (Image) vom Windows angelegt hat zu einem vorigem Zeitpunkt kann sich das Formatieren ersparen – hier reicht es dann aus das Backup zurückzuspielen! (Achtung: Alle Programme und Treiber die NACH diesem Backup installiert wurden müssen wieder neu installiert werden)
Backups von der Windows-Systemwiederherstellung reichen übrigens leider nicht aus, weil hierbei nicht der komplette Festplatteninhalt gesichert wird, da würde der Virus nachher „weiterleben“!
Besonders bei Trojanern und Würmern mit Backdoorfunktion wird das System gerne an die so genannten BOT-Netze angeschlossen; welche Gefahren dabei für den Benutzer entstehen könnt Ihr hier nachlesen:
http://www.heute.de/ZDFheute/inhalt/22/0,3672,759688…
http://www.emsisoft.de/de/kb/articles/tec070503/
http://virus-protect.org/kompsystem.html
Seid bitte darauf bedacht, dass beim Formatieren sämtliche gespeicherten Dateien und Einstellungen vom PC unwiderruflich gelöscht werden! Außerdem sollte möglichst bald gehandelt werden, da wie schon erwähnt wurde die Gefahr besteht, dass neue Schädlinge nachgeladen werden und damit die Situation sich noch weiter verschlechtert.
Wenn kein Backup vorhanden ist, müssen alle Daten vorher gesichert werden! (z.B. auf DVD gebrannt) Bei aggressiven Schädlingen kann es sein, dass Windows sich nicht mehr richtig bedienen lässt, in diesem Falle kann man noch versuchen, den PC im abgesicherten Modus zu starten – dort ist die Chance höher, dass der Schädling nicht aktiv wird!
Ansonsten lassen sich die Daten noch retten, indem die Festplatte in einen anderen PC eingebaut wird, oder auch mit Rettungs-CDs wie z.B. dem Bart’s PE Builder! (Wie das geht – Schritt für Schritt, dazu schaut in meiner Anleitung (PC—Formatieren) nach, dort ist ein extra Kapitel für den Barts PE Builder!)
Zusammenstellung: Wie formatiere ich und installiere Windows 2000, XP, Vista, 7 neu?
Ich habe eine separate Anleitung geschrieben, wie man unter Windows XP und unter Vista formatieren kann! Diese Anleitung erklärt vom ersten bis zum letzten Schritt alle nötigen Punkte, von der Datensicherung, Einstellungssicherungen, Treiberbeschaffung, Programmbeschaffung bis hin zum Formatieren, Partitionieren, Neuinstallieren und alles wieder einrichten! Diese Anleitung könnt Ihr (PC—Formatieren) hier herunterladen: ftp://Bernd123:[email protected]
Durch den Virenbefall kann es in seltenen Fällen sein, dass auch in den gesicherten Daten noch die Schädlinge Mit-Transportiert werden, daher sollten diese gesicherten Daten nicht direkt nach dem Formatieren neu aufgespielt werden, sondern erst 2 Wochen später, wenn mit den allerneuesten Signaturen alle diese Daten noch einmal gründlich gescannt wurden! In der Regel befinden sich die Viren aber nur auf der C: Festplatte!
+++++++++++++++++++++++++++++++++++++++++++++++++++++++
Damit Dir in Zukunft so eine Infektion nicht wieder passiert, Daniel, empfehle ich Dir den PC besser abzusichern:
Besuche keine unseriösen Internetseiten, betreibe kein Filesharing, lösche alle SPAM-Emails immer ungelesen, öffne keine Links in Chatprogrammen, und Downloade keine Programme, Themes, Codecs etc. die aus unbekannten Quellen stammen! (Damit werden die besonders gefährlichen Internetzonen vermieden, und verhindert, dass ein Benutzer unwissentlich selber einen Virus installiert!)
Dieser Punkt muss als einziger immer beim Surfen bedacht werden, während alle anderen Punkte nur ein Mal umgesetzt werden müssen!
Installiere, falls noch nicht geschehen, das neueste Service Pack von Windows, und aktiviere die automatische Windowsupdate-Funktion! (Die Service Packs und Windowsupdates sind Grundvoraussetzung dafür, dass eine Sicherheit vor Viren am PC überhaupt gewährleistet werden kann)
Unter Windows 2000: Klickt auf Start – Systemsteuerung – System – Automatische Updates
Unter Windows XP: Klickt auf Start - Systemsteuerung – Sicherheitscenter – Automatische Updates
Unter Windows Vista/7: Klickt auf Start – Alle Programme – Windows Update – und dann links in der Leiste auf „Einstellungen ändern“
Erstelle ein neues Benutzerkonto unter Windows, mit eingeschränkten Benutzer Rechten, und benutze in Zukunft immer dieses zum Surfen im Internet! Vergib außerdem für alle Benutzerkonten (auch dem Administrator-Konto im abgesicherten Modus) sichere Passwörter, sonst bringt dieser Schritt nur die Hälfte!
Um unter Windows Vista/7 ein eingeschränktes Benutzerkonto zu erstellen geht folgendermaßen vor: Start - Systemsteuerung – Benutzerkonten und Jugendschutz – Benutzerkonten – Anderes Konto Verwalten – Neues Konto erstellen - Achtet darauf das hier Standardbenutzer angeklickt ist und nicht Administrator - und gebt einen Namen ein und klickt auf Konto erstellen!
Um unter Windows 2000 und XP ein eingeschränktes Benutzerkonto zu erstellen geht folgendermaßen vor: Start - Systemsteuerung: Benutzerkonten – Neues Konto erstellen – Weiter – Eingeschränkt – Konto erstellen!
(Ein eingeschränktes Benutzerkonto kann deutlich effektiver wie ein Antivirenprogramm verhindern, dass sich Viren auf dem PC installieren können! Nachdem ein neues Konto erstellt wurde, wird beim nächsten PC Start ein neues Menü kommen in welchem man auswählen kann in welches Benutzerkonto man sich einloggen möchte!)
Entweder: Benutze, statt des Internet Explorers, den Firefox oder Opera, und statt des Outlook Express, den Thunderbird!
http://www.chip.de/downloads/Firefox_13014344.html
http://www.chip.de/downloads/c1_downloads_13000987.html
http://www.thunderbird-mail.de/
Oder: Wer lieber den Internet Explorer verwendet, kann für diesen auch alternativ eine sichere Umgebung schaffen, indem er die Sandboxie zum Surfen benutzt: http://www.sandboxie.com/index.php?DownloadSandboxie
(Ein Alternativ-Browser oder die sichere Umgebung der Sandboxie verringert die Infektionsgefahr wieder erheblich!)
viele Grüsse,
Bernd