Darkie
Anmeldungsdatum: 7. Juni 2009
Beiträge: 86
|
Hallo zusammen, ich habe heute entdeckt, daß sich auf meinem System ein Trojaner eingeschlichen hat und führe auch gerade einen Scan des ganzen Systems durch, um zu sehen, ob noch etwas im Argen liegt. Es ist der Win32:SDbot-gen44, und er hat sich in "var/log/samba/log.gmbh" eingenistet. Als während des Scans die Meldung kam, ließ er sich nicht in die chest verschieben. Nun meine Frage: kann man diese befallene Datei gefahrlos manuell löschen, also natürlich auch im Papierkorb löschen, und bleibt danach trotzdem irgend etwas im System zurück? Kann es Probleme geben, wenn diese Datei gelöscht wird, die ja ursprünglisch sicher auch für etwas notwendig war? Gibt es vielleicht irgend eine CD wie die "Kaspersky" - Rettungs-CD (die für Windows ist) auch für Linux/Ubuntu? Was kann ich noch tun? Wahrscheinlich muß ich sämtliche Passwörter ändern, oder!? Ich weiß, viele Fragen, aber ich wäre Euch sehr dankbar für eine Antwort. Liebe Grüße, Darkie ☺
|
hoerianer
Anmeldungsdatum: 14. August 2012
Beiträge: 3156
|
Ich würde es mal mit einer aktuellen Knoppix CD versuchen.
|
drtri
Anmeldungsdatum: 9. Dezember 2012
Beiträge: 619
|
Ruhig Blut 😉 Du kannst die gesamte var/log löschen, ohne dass dem System was fehlen würde. Dass der Virenscanner (welcher?) die Datei nicht verschieben konnte, wird schlicht an mangelnden Rechten für var/log liegen. Hau weg und schau nächste Woche noch mal.
|
Darkie
(Themenstarter)
Anmeldungsdatum: 7. Juni 2009
Beiträge: 86
|
Hallo, Danke schön für die prompte Antwort! ☺ Na das nenne ich eine gute Nachricht! 😊 Dann bleibt also nach dem Löschen nichts mehr zurück? Ich frage nur noch mal, weil ja normalerweise, wenn man eine Datei auf einer Festplatte löscht, es doch noch irgendwie da ist, man kann sie nur nicht mehr "sehen" (falls ich da nix falsch verstanden habe). Und meinst Du, daß das Ändern der Passwörter notwendig ist? Ich habe nämlich ein wenig Bammel, daß, wenn ich das root-Passwort ändere, bei meinem "Glück" irgendwas schief geht, und ich komme nicht mehr ins System ... und neu installieren wäre für mich ein absolutes Rätsel. Ach, und ein Linux-Trojaner kann sich in einem Windows-system nicht einnisten und auch keinen Schaden anrichten, oder? Ach, vergessen: Mein Virenscanner ist AVAST Antivirus. Liebe Grüße
|
harry123
Anmeldungsdatum: 3. Mai 2006
Beiträge: 3188
Wohnort: Leipzig
|
Win32:SDbot-gen44 Das wird wohl ein Windowsvirus sein und der Fakt, dass der in einem Sambaverzeichnis liegt bedeutet, dass er dir von einem Rechner dort hin kopiert wurde. Grüße
|
Darkie
(Themenstarter)
Anmeldungsdatum: 7. Juni 2009
Beiträge: 86
|
😲 ... Wie kann das denn passsiert sein?? Ich selbst habe da nichts hineinkopiert ... Allerdings bekam ich gestern, als ich mich in einem Forum anmelden wollte, vom System die Meldung, daß ich den Schlüsselbund freischalten solle. Da ich zu diesem Zeitpunkt einen neuen Browser ausprobiert habe und im Net sah, daß das im Zusammenhang mit der Eingabe eines Passwortes schon mal vorkommen kann und normal sei, habe ich es getan. Kann das die Ursache gewesen sein? Irgendeine verdächtige fremde Mail habe ich nicht bekommen, das weiß ich genau.
|
drtri
Anmeldungsdatum: 9. Dezember 2012
Beiträge: 619
|
Ich meine so: Gefunden in in den logs, also im Systemprotokoll, ist schon mal seltsam - ausführbare Dateien haben da nichts zu suchen. Falls du aktive Schadsoftware auf dem System hast, könnten Spuren der Aktivität wieder im Protokoll auftauchen. Daher die Protokolldatei löschen - die dürfte ziemlich unübersichtlich sein, wenn sie seit der Installation läuft - und z.B. ein bisschen surfen. Tatsächlich deutet der Fund im log/samba darauf hin, dass du dir nichts übers Netz gefangen, sondern irgendwas draufkopiert hast. Was so ein richtiger Trojaner ist, der erlaubt sich Netzwerk-Aktivitäten, die sich u.a. auch wieder in den logs niederschlagen können. Wahrscheinlich? Eher nicht. Anekdote am Rande aus der Win-Welt: Seit Jahren ein kleines Kalenderprogramm laufen gehabt, nach einem Signaturupdate von Antivir war das plötzlich "böse" - und eine Woche später wieder "lieb". Also: Wo Rauch ist, ist nicht immer Feuer.
|
drtri
Anmeldungsdatum: 9. Dezember 2012
Beiträge: 619
|
Darkie schrieb: 😲 ... Wie kann das denn passsiert sein?? Ich selbst habe da nichts hineinkopiert ... Allerdings bekam ich gestern, als ich mich in einem Forum anmelden wollte, vom System die Meldung, daß ich den Schlüsselbund freischalten solle. Da ich zu diesem Zeitpunkt einen neuen Browser ausprobiert habe und im Net sah, daß das im Zusammenhang mit der Eingabe eines Passwortes schon mal vorkommen kann und normal sei, habe ich es getan. Kann das die Ursache gewesen sein? Irgendeine verdächtige fremde Mail habe ich nicht bekommen, das weiß ich genau.
Au! Überschneidung der Posts. Welches Forum denn, welcher Browser, wieso Schlüsselbund, wäre schon interessant ???
|
Darkie
(Themenstarter)
Anmeldungsdatum: 7. Juni 2009
Beiträge: 86
|
Wo kann ich diese Protokolldatei finden? Und gibt es noch etwas, das ich besser löschen sollte? Mit der Anekdote - ich weiß, was du meinst ... stimmt schon. Ich hatte auch schon mal bei einem Scan einen Fehlalarm bi einer harmlosen Musikdatei. ☺ Ich bekam die Nachricht, als ich mich in eine sichere Webside einloggen wollte, die ich schon seit Jahren kenne. Da tauchte die Nachricht auf, ich könne einen Virus auf dem System haben ... Das war wohl sowas, wo Websitebetreiber mitmachen, um den User zu warnen, wenn man was im System hat. Hinzu kam dann die bereits erwähnte merkwürdige Aufforderung, den Schlüsselbund zu entsperren (was ich blöderweise auch noch machte), und dann hat Avast heute bestätigt.
|
drtri
Anmeldungsdatum: 9. Dezember 2012
Beiträge: 619
|
Darkie schrieb: Wo kann ich diese Protokolldatei finden? Und gibt es noch etwas, das ich besser löschen sollte? Mit der Anekdote - ich weiß, was du meinst ... stimmt schon. Ich hatte auch schon mal bei einem Scan einen Fehlalarm bi einer harmlosen Musikdatei. ☺ Ich bekam die Nachricht, als ich mich in eine sichere Webside einloggen wollte, die ich schon seit Jahren kenne. Da tauchte die Nachricht auf, ich könne einen Virus auf dem System haben ... Das war wohl sowas, wo Websitebetreiber mitmachen, um den User zu warnen, wenn man was im System hat. Hinzu kam dann die bereits erwähnte merkwürdige Aufforderung, den Schlüsselbund zu entsperren (was ich blöderweise auch noch machte), und dann hat Avast heute bestätigt.
Das war mitnichten ein Service des Websitebetreibers, sondern Scareware - unter Windows wärst du jetzt tot. Nur gut, dass Win-Viren unter Linux nicht so richtig funktionieren wollen. Löschen: var/log komplett (mit root-Rechten)
|
Darkie
(Themenstarter)
Anmeldungsdatum: 7. Juni 2009
Beiträge: 86
|
Ach du liebes Bißchen ... das wird ja immer besser ... 😮 Zur vorherigen Frage: Der Browser war Epiphany, die Seite war dolldivine.com, und zu der Sache mit dem Schlüsselbund meinte ich das hier //wiki.ubuntuusers.de/GNOME_Schlüsselbund?highlight=schlusselbund#Problemloesungen:. Ich habe das gefunden und habe daher auch das Passwort eingegeben. Var/log komplett, okay. Die vielen Ordner, die darin sind, wie apparmor, appt ect. also auch. (Sorry, wenn ich so viel frage; ich hoffe, ich nerve Dich nicht zu sehr 😳 ...) Nachtrag: Mein letzter Post war ein bißchen zu konfus – die Schlüsselbund-Sache und die Meldung der Scareware waren nicht gleichzeitig: das erste war gestern, und das zweite heute vormittag.
|
drtri
Anmeldungsdatum: 9. Dezember 2012
Beiträge: 619
|
Darkie schrieb: Ach du liebes Bißchen ... das wird ja immer besser ... 😮 Zur vorherigen Frage: Der Browser war Epiphany, die Seite war dolldivine.com, und zu der Sache mit dem Schlüsselbund meinte ich das hier //wiki.ubuntuusers.de/GNOME_Schlüsselbund?highlight=schlusselbund#Problemloesungen:. Ich habe das gefunden und habe daher auch das Passwort eingegeben. Var/log komplett, okay. Die vielen Ordner, die darin sind, wie apparmor, appt ect. also auch. (Sorry, wenn ich so viel frage; ich hoffe, ich nerve Dich nicht zu sehr 😳 ...) Nachtrag: Mein letzter Post war ein bißchen zu konfus – die Schlüsselbund-Sache und die Meldung der Scareware waren nicht gleichzeitig: das erste war gestern, und das zweite heute vormittag.
Auf dolldivine war ich gerade mal: Mir wurde kein "Virencheck" angeboten - bei dir? Den Schlüsselbund musstest du freigeben, weil dir irgendwas installiert werden sollte, vermute ich mal. Das kann harmlos gewesen sein, vielleicht nur ein Epiphany-Plugin - aber da kann man nur raten und ich habe Epiphany nicht installiert, testen geht also nicht. Würde ich zunächst mal komplett deinstallieren. Epiphany hat sicher eine Konfigurationsdatei in Home (versteckt, .epiphany o.ä.) - die muss auch weg. Die var/log auch nur deshalb, um sie übersichtlich zu machen und in den ja wieder neu angelegten logs vielleicht was zu finden. Ich denke, dann ist der Rechner zunächst wieder benutzbar, wobei ich mir Zahlungsverkehr erst einmal verkneifen würde. Aber: 10.04 wird nur noch bis Ende des Monats unterstützt und es steht sowieso eine Neuinstallation an. Wäre es nicht das Sicherste, die einfach ein paar Wochen vorzuziehen?
|
Darkie
(Themenstarter)
Anmeldungsdatum: 7. Juni 2009
Beiträge: 86
|
Nein, der Virencheck ist nicht wiedergekommen. Und einen solchen Schlüsselbund werde ich in Zukunft sicherheitshalber immer wegklicken. Ich nehme Epiphany auch nicht immer, sondern nur für manche Games, weil der Browser schneller ist als Firefox und mein ziemlich betager Computer nicht so schnell ist. Die Konfigurationsdatei lösche ich auch gleich. Und etwas, das mit Zahlung zu tun hat, mache ich sowieso niemals per Computer - ist mir grundsätzlich viel zu gefährlich. Ich würde Epiphany einmal deinstallieren und dann neu installieren - geht das auch? Ja, das Update werde ich bald machen - ich hoffe, ich komme nächste Woche dazu.
|
TheDarkRose
Anmeldungsdatum: 28. Juli 2010
Beiträge: 3459
|
Kann zum eigentlichen Thema zwar nichts sagen, aber alles in /var/log löschen kann kontraproduktiv sei, da für einige Logfiles doch spezifische Rechte benötigt sind, die immer anders sein können!
|
drtri
Anmeldungsdatum: 9. Dezember 2012
Beiträge: 619
|
TheDarkRose schrieb: Kann zum eigentlichen Thema zwar nichts sagen, aber alles in /var/log löschen kann kontraproduktiv sei, da für einige Logfiles doch spezifische Rechte benötigt sind, die immer anders sein können!
??? Das sind doch nur Protokolle z.B. zur manuellen Fehlersuche. Dazu reichen die der letzten Stunden vor Auftreten des Fehlers. Zum Trojanerproblem: Ich denke nicht, dass da noch was nachkommt.
|