ubuntuusers.de

Win32:SdBot-gen44 im System - wie entferne ich ihn sicher?

Status: Ungelöst | Ubuntu-Version: Ubuntu 10.04 (Lucid Lynx)
Antworten |

Darkie

Avatar von Darkie

Anmeldungsdatum:
7. Juni 2009

Beiträge: 86

Hallo zusammen,

ich habe heute entdeckt, daß sich auf meinem System ein Trojaner eingeschlichen hat und führe auch gerade einen Scan des ganzen Systems durch, um zu sehen, ob noch etwas im Argen liegt. Es ist der Win32:SDbot-gen44, und er hat sich in "var/log/samba/log.gmbh" eingenistet. Als während des Scans die Meldung kam, ließ er sich nicht in die chest verschieben. Nun meine Frage: kann man diese befallene Datei gefahrlos manuell löschen, also natürlich auch im Papierkorb löschen, und bleibt danach trotzdem irgend etwas im System zurück? Kann es Probleme geben, wenn diese Datei gelöscht wird, die ja ursprünglisch sicher auch für etwas notwendig war? Gibt es vielleicht irgend eine CD wie die "Kaspersky" - Rettungs-CD (die für Windows ist) auch für Linux/Ubuntu? Was kann ich noch tun? Wahrscheinlich muß ich sämtliche Passwörter ändern, oder!?

Ich weiß, viele Fragen, aber ich wäre Euch sehr dankbar für eine Antwort.

Liebe Grüße, Darkie ☺

hoerianer

Anmeldungsdatum:
14. August 2012

Beiträge: 3156

Ich würde es mal mit einer aktuellen Knoppix CD versuchen.

drtri

Anmeldungsdatum:
9. Dezember 2012

Beiträge: 619

Ruhig Blut 😉

Du kannst die gesamte var/log löschen, ohne dass dem System was fehlen würde.

Dass der Virenscanner (welcher?) die Datei nicht verschieben konnte, wird schlicht an mangelnden Rechten für var/log liegen.

Hau weg und schau nächste Woche noch mal.

Darkie

(Themenstarter)
Avatar von Darkie

Anmeldungsdatum:
7. Juni 2009

Beiträge: 86

Hallo,

Danke schön für die prompte Antwort! ☺

Na das nenne ich eine gute Nachricht! 😊 Dann bleibt also nach dem Löschen nichts mehr zurück? Ich frage nur noch mal, weil ja normalerweise, wenn man eine Datei auf einer Festplatte löscht, es doch noch irgendwie da ist, man kann sie nur nicht mehr "sehen" (falls ich da nix falsch verstanden habe). Und meinst Du, daß das Ändern der Passwörter notwendig ist? Ich habe nämlich ein wenig Bammel, daß, wenn ich das root-Passwort ändere, bei meinem "Glück" irgendwas schief geht, und ich komme nicht mehr ins System ... und neu installieren wäre für mich ein absolutes Rätsel.

Ach, und ein Linux-Trojaner kann sich in einem Windows-system nicht einnisten und auch keinen Schaden anrichten, oder?

Ach, vergessen: Mein Virenscanner ist AVAST Antivirus.

Liebe Grüße

harry123

Avatar von harry123

Anmeldungsdatum:
3. Mai 2006

Beiträge: 3188

Wohnort: Leipzig

Win32:SDbot-gen44

Das wird wohl ein Windowsvirus sein und der Fakt, dass der in einem Sambaverzeichnis liegt bedeutet, dass er dir von einem Rechner dort hin kopiert wurde.

Grüße

Darkie

(Themenstarter)
Avatar von Darkie

Anmeldungsdatum:
7. Juni 2009

Beiträge: 86

😲

... Wie kann das denn passsiert sein?? Ich selbst habe da nichts hineinkopiert ... Allerdings bekam ich gestern, als ich mich in einem Forum anmelden wollte, vom System die Meldung, daß ich den Schlüsselbund freischalten solle. Da ich zu diesem Zeitpunkt einen neuen Browser ausprobiert habe und im Net sah, daß das im Zusammenhang mit der Eingabe eines Passwortes schon mal vorkommen kann und normal sei, habe ich es getan. Kann das die Ursache gewesen sein? Irgendeine verdächtige fremde Mail habe ich nicht bekommen, das weiß ich genau.

drtri

Anmeldungsdatum:
9. Dezember 2012

Beiträge: 619

Ich meine so:

Gefunden in in den logs, also im Systemprotokoll, ist schon mal seltsam - ausführbare Dateien haben da nichts zu suchen.

Falls du aktive Schadsoftware auf dem System hast, könnten Spuren der Aktivität wieder im Protokoll auftauchen. Daher die Protokolldatei löschen - die dürfte ziemlich unübersichtlich sein, wenn sie seit der Installation läuft - und z.B. ein bisschen surfen. Tatsächlich deutet der Fund im log/samba darauf hin, dass du dir nichts übers Netz gefangen, sondern irgendwas draufkopiert hast.

Was so ein richtiger Trojaner ist, der erlaubt sich Netzwerk-Aktivitäten, die sich u.a. auch wieder in den logs niederschlagen können.

Wahrscheinlich? Eher nicht.

Anekdote am Rande aus der Win-Welt: Seit Jahren ein kleines Kalenderprogramm laufen gehabt, nach einem Signaturupdate von Antivir war das plötzlich "böse" - und eine Woche später wieder "lieb". Also: Wo Rauch ist, ist nicht immer Feuer.

drtri

Anmeldungsdatum:
9. Dezember 2012

Beiträge: 619

Darkie schrieb:

😲

... Wie kann das denn passsiert sein?? Ich selbst habe da nichts hineinkopiert ... Allerdings bekam ich gestern, als ich mich in einem Forum anmelden wollte, vom System die Meldung, daß ich den Schlüsselbund freischalten solle. Da ich zu diesem Zeitpunkt einen neuen Browser ausprobiert habe und im Net sah, daß das im Zusammenhang mit der Eingabe eines Passwortes schon mal vorkommen kann und normal sei, habe ich es getan. Kann das die Ursache gewesen sein? Irgendeine verdächtige fremde Mail habe ich nicht bekommen, das weiß ich genau.

Au!

Überschneidung der Posts.

Welches Forum denn, welcher Browser, wieso Schlüsselbund, wäre schon interessant ???

Darkie

(Themenstarter)
Avatar von Darkie

Anmeldungsdatum:
7. Juni 2009

Beiträge: 86

Wo kann ich diese Protokolldatei finden? Und gibt es noch etwas, das ich besser löschen sollte?

Mit der Anekdote - ich weiß, was du meinst ... stimmt schon. Ich hatte auch schon mal bei einem Scan einen Fehlalarm bi einer harmlosen Musikdatei. ☺

Ich bekam die Nachricht, als ich mich in eine sichere Webside einloggen wollte, die ich schon seit Jahren kenne. Da tauchte die Nachricht auf, ich könne einen Virus auf dem System haben ... Das war wohl sowas, wo Websitebetreiber mitmachen, um den User zu warnen, wenn man was im System hat. Hinzu kam dann die bereits erwähnte merkwürdige Aufforderung, den Schlüsselbund zu entsperren (was ich blöderweise auch noch machte), und dann hat Avast heute bestätigt.

drtri

Anmeldungsdatum:
9. Dezember 2012

Beiträge: 619

Darkie schrieb:

Wo kann ich diese Protokolldatei finden? Und gibt es noch etwas, das ich besser löschen sollte?

Mit der Anekdote - ich weiß, was du meinst ... stimmt schon. Ich hatte auch schon mal bei einem Scan einen Fehlalarm bi einer harmlosen Musikdatei. ☺

Ich bekam die Nachricht, als ich mich in eine sichere Webside einloggen wollte, die ich schon seit Jahren kenne. Da tauchte die Nachricht auf, ich könne einen Virus auf dem System haben ... Das war wohl sowas, wo Websitebetreiber mitmachen, um den User zu warnen, wenn man was im System hat. Hinzu kam dann die bereits erwähnte merkwürdige Aufforderung, den Schlüsselbund zu entsperren (was ich blöderweise auch noch machte), und dann hat Avast heute bestätigt.

Das war mitnichten ein Service des Websitebetreibers, sondern Scareware - unter Windows wärst du jetzt tot.

Nur gut, dass Win-Viren unter Linux nicht so richtig funktionieren wollen.

Löschen: var/log komplett (mit root-Rechten)

Darkie

(Themenstarter)
Avatar von Darkie

Anmeldungsdatum:
7. Juni 2009

Beiträge: 86

Ach du liebes Bißchen ... das wird ja immer besser ... 😮

Zur vorherigen Frage: Der Browser war Epiphany, die Seite war dolldivine.com, und zu der Sache mit dem Schlüsselbund meinte ich das hier //wiki.ubuntuusers.de/GNOME_Schlüsselbund?highlight=schlusselbund#Problemloesungen:. Ich habe das gefunden und habe daher auch das Passwort eingegeben.

Var/log komplett, okay. Die vielen Ordner, die darin sind, wie apparmor, appt ect. also auch. (Sorry, wenn ich so viel frage; ich hoffe, ich nerve Dich nicht zu sehr 😳 ...)

Nachtrag: Mein letzter Post war ein bißchen zu konfus – die Schlüsselbund-Sache und die Meldung der Scareware waren nicht gleichzeitig: das erste war gestern, und das zweite heute vormittag.

drtri

Anmeldungsdatum:
9. Dezember 2012

Beiträge: 619

Darkie schrieb:

Ach du liebes Bißchen ... das wird ja immer besser ... 😮

Zur vorherigen Frage: Der Browser war Epiphany, die Seite war dolldivine.com, und zu der Sache mit dem Schlüsselbund meinte ich das hier //wiki.ubuntuusers.de/GNOME_Schlüsselbund?highlight=schlusselbund#Problemloesungen:. Ich habe das gefunden und habe daher auch das Passwort eingegeben.

Var/log komplett, okay. Die vielen Ordner, die darin sind, wie apparmor, appt ect. also auch. (Sorry, wenn ich so viel frage; ich hoffe, ich nerve Dich nicht zu sehr 😳 ...)

Nachtrag: Mein letzter Post war ein bißchen zu konfus – die Schlüsselbund-Sache und die Meldung der Scareware waren nicht gleichzeitig: das erste war gestern, und das zweite heute vormittag.

Auf dolldivine war ich gerade mal: Mir wurde kein "Virencheck" angeboten - bei dir?

Den Schlüsselbund musstest du freigeben, weil dir irgendwas installiert werden sollte, vermute ich mal.

Das kann harmlos gewesen sein, vielleicht nur ein Epiphany-Plugin - aber da kann man nur raten und ich habe Epiphany nicht installiert, testen geht also nicht. Würde ich zunächst mal komplett deinstallieren.

Epiphany hat sicher eine Konfigurationsdatei in Home (versteckt, .epiphany o.ä.) - die muss auch weg.

Die var/log auch nur deshalb, um sie übersichtlich zu machen und in den ja wieder neu angelegten logs vielleicht was zu finden.

Ich denke, dann ist der Rechner zunächst wieder benutzbar, wobei ich mir Zahlungsverkehr erst einmal verkneifen würde.

Aber:

10.04 wird nur noch bis Ende des Monats unterstützt und es steht sowieso eine Neuinstallation an.

Wäre es nicht das Sicherste, die einfach ein paar Wochen vorzuziehen?

Darkie

(Themenstarter)
Avatar von Darkie

Anmeldungsdatum:
7. Juni 2009

Beiträge: 86

Nein, der Virencheck ist nicht wiedergekommen. Und einen solchen Schlüsselbund werde ich in Zukunft sicherheitshalber immer wegklicken. Ich nehme Epiphany auch nicht immer, sondern nur für manche Games, weil der Browser schneller ist als Firefox und mein ziemlich betager Computer nicht so schnell ist. Die Konfigurationsdatei lösche ich auch gleich. Und etwas, das mit Zahlung zu tun hat, mache ich sowieso niemals per Computer - ist mir grundsätzlich viel zu gefährlich. Ich würde Epiphany einmal deinstallieren und dann neu installieren - geht das auch?

Ja, das Update werde ich bald machen - ich hoffe, ich komme nächste Woche dazu.

TheDarkRose

Avatar von TheDarkRose

Anmeldungsdatum:
28. Juli 2010

Beiträge: 3459

Kann zum eigentlichen Thema zwar nichts sagen, aber alles in /var/log löschen kann kontraproduktiv sei, da für einige Logfiles doch spezifische Rechte benötigt sind, die immer anders sein können!

drtri

Anmeldungsdatum:
9. Dezember 2012

Beiträge: 619

TheDarkRose schrieb:

Kann zum eigentlichen Thema zwar nichts sagen, aber alles in /var/log löschen kann kontraproduktiv sei, da für einige Logfiles doch spezifische Rechte benötigt sind, die immer anders sein können!

???

Das sind doch nur Protokolle z.B. zur manuellen Fehlersuche. Dazu reichen die der letzten Stunden vor Auftreten des Fehlers.

Zum Trojanerproblem: Ich denke nicht, dass da noch was nachkommt.

Antworten |