Matos Blog – Privates, Nützliches & Informatives

Posted By Chief-Mato on 9. Januar 2010

Nur damit euch das nicht auch noch passiert, hier mal eine kleine Erklärung, was mir gestern passiert ist und wie ich damit verfahren bin.

Ich schildere euch das nun deshalb ganz genau, weil etwa 5 Stunden später der Webmaster von Sommer/Wintermailer, der mich ansprach, genau das gleiche Problem hatte, 
also sogar 2 mal, denn bei ihm war gleich der PC und sein Notebook infiziert.
Wenn ich das Problem alleine gehabt hätte, wäre das für mich noch kein Grund für diesen NL gewesen
Ich und andere befreundete Webmaster nutzen seit langem den Speedcommander von speedproject, sowie auch den dazu gehörenden Speededit und das darin integrierte FTP-Programm, womit ich meine Dateien aus den Scripten und Seiten bearbeite.

Gestern Abend, am 8.1.2010 gegen 19 Uhr ging auf einmal gar nichts mehr, es ließ sich weder der Speededit wie auch der ganze Speedcommander nicht mehr öffnen.

Stattdessen kam eine Warnung über Antispy von Antivir über einen Trojaner Namens: TR/Crypt.XPACK.Gen2 

und auch der Versuch den Speedcommander oder den Taskmanager zu öffnen brachte den ganze PC zum hängen

Nach einem PC-Neustart bin ich folgendermaßen vorgegangen:

1.) Mein Spybot Search & Destroy von 

http://www.safer-networking.org/de/index.html

wurde gestartet, auf den neusesten Stand gebracht und neu immunisiert, danach eine Überprüfung gestartet, dabei wurde neben right-media in einem Cookie auch eine Adware Namens: easyads gefunden und diese Probleme dann mit dem Programm beseitigt.

2.) Mit Antivir 9 von Avira, welches bei Mir immer auf dem neuesten Stand ist, wurde ein Prüflauf der Systemplatte C: gestartet, der dann noch Funde des oben genannten Trojaners in folgenden 4 Dateien im Verzeichnis des Speedcommanders gemacht hat:

speedcommander.exe
speedview.exe
filesearch.exe
filesync.exe

die 5.Datei speededit.exe war ja schon bei der Trojanermeldung von mir durch Antivir eliminiert worden.

Diese genannten 4 Dateien, habe ich dann per reparieren von Antivir in Quarantäne verschieben lassen, so das sie keinen Schaden mehr auf dem Rechner anrichten können und vor allem auch den Angreifen keine gewünschten Daten mehr übermitteln können.

3.) Danach bin ich per Startmenü-> ausführen und Eingabe von regedit in den Registrierungseditor gegangen und habe nach folgendem gesucht:

1.speedcommander
2.speedview
3.speedproject

und die gefundenen Einträge alle gelöscht, da mangels der Hauptdatei speedcommander.exe das Programm nicht mehr aus Software in der Systemsteuerung herauszubekommen war.

Vorsicht: In der Registry kann man leicht viel zerstören, wenn man überhaupt keine Ahnung hat, besser jemanden machen lassen, der sich damit auskennt

Nachdem das System nun soweit wieder Trojanerfrei war, habe ich dann nach einem PC-Neustart den Speedcommander neu installiert, vorher habe ich aber noch einen Registry-Check und Bereinigen mit meinem Tuneup-Utilities2010 gemacht, wobei in der Registry nun auch über 2300 ungültige Einträge gelöscht wurden.

Nachdem ich nun wieder einen einwandfrei laufenden Speedcommander habe, habe ich dann eine Komplettsicherung der Systemplatte gemacht, falls sich das Teil wieder einschleicht und man so eine schnellere Möglichkeit hat, das System wieder zum Laufen zu bringen, indem man einfach platt macht und mit dem Backup dann alles wieder binnen 1,5 h auf den alten Stand gebracht hat.

Und als letzte und wahrscheinlich im neuen Fall die schnellere Lösung, habe ich nun einfach die besagten 5 Dateien in einer anderen Festplatten-Partition gesichert, denn ich vermute, das man damit den Speedcommander dann auch so gefahrlos wieder zum Laufen bekommt.
Nun denn, es wird jetzt manch einer sagen, interessiert mich nicht, ich nutze keinen Speedcommander, nur wer sagt euch, das sich dieser Trojaner nicht auch in andere Anwendungen verbreitet, wenn er über irgendwelche Cookies reinkommt.

Und da in letzter Zeit immer wieder bekannt wird, das alle möglichen Dienste gehackt werden, liegt die Vermutung nahe, das man genau über diese Wege an FTP-Daten kommt, also wie gesagt, im Speedcommander ist mein genutztes FTP-Programm integriert und somit auch alle Daten zu den Scripten auf den Servern.
Wer also kein aktuelles Virenprogramm benutzt, der startet arglos seinen Speedcommander und liefert mit dem aktivierten Trojaner alle Daten an die Hacker.
Deshalb möchte ich euch bitten und euch auch hiermit erlauben, diesen NL an alle euch bekannten Webmaster weiterzuleiten und meinetwegen auch sonstwo zu veröffentlichen.

In solchen Fällen kann man leider nicht genug warnen

Categories: Informatives
Schlagwörter: Info, Trojaner, Wichtig