Brauche Computerhilfe

[Penthesilea]

Vielen Dank, the Lightprince und Noctifer! Ihr scheint euch ja beide gut auszukennen, was ich von mir nicht behaupten kann. Sieht so aus, als müsste ich mir mal kompetente Hilfe ins Haus holen und in persona an meine PCs lassen. *grusel* Auch dabei habe ich natürlich Sorge, entweder weiter ausspioniert oder finanziell ausgenommen zu werden.
Vorab aber mal noch ein paar Fragen:
Ist es richtig, dass diese Hacker mit ihrem Botnetz nur dann über meinen infizierten PC aktiv werden können, wenn dieser eingeschaltet UND online ist?
Kann Citadel mit mir als Absender per Mail weiterverschickt werden? Wie? Als Anhang ode Link? Oder genügt schon Öffnen zum Lesen der Mail?
Kann ich mit PCs, die mit Sicherheit nicht infiziert sind, weiterhin unbesorg online gehen?
Wenn ich kein Heimnetzwerk habe (hier gehen über meinen Router abwechselnd ca. 8 Geräte online, die aber nicht untereinander verbunden sind), besteht dann nicht die Gefahr, dass ich mir die anderen Rechner auch infiziere?
Und vorerst die letzte Frage (für heute...): Stimmt es, dass sich Citadel auch per USB Sticks, Fotodateien und so weiter verbreiten kann? Also wenn ich meine Urlaubsbilder auf einem sauberen Rechner lade, nachdem der Fotoapparat schon mit dem infizierten verbunden war, habe ich Citadel dann auch auf dem gesunden Rechner, bzw. auf der Festplatte, wo ich die Fotos aufbewahre? Dasselbe für Textdateien: Wenn ich sie zwecks Datensicherung auf einen Stick oder eine Festplatte ziehe, den Rechner bereinige (n lasse) und die Daten zurückspiele, kann ich mir Citadel also sofort wieder einfangen? Wenn ja, wie kann ich das vermeiden? Meine Textdateien sind unendlich wichtig, da steckt Jahre lange Arbeit drin. Okay, ausdrucken und neu abschreiben der 800 Seiten wäre auch eine Option 
Danke fürs Helfen und Gedankenmachen!

[TheLightPrince]

Ist es richtig, dass diese Hacker mit ihrem Botnetz nur dann über meinen infizierten PC aktiv werden können, wenn dieser eingeschaltet UND online ist?

klar. citadel wird zwar auf deinem pc Daten sammeln, aber er kann sie nicht wegschicken und es kann auch niemand auf deinen pc zugreifen, wenn er nicht online ist. Er braucht ja seinen CC-Server damit er was tun kann.

Kann Citadel mit mir als Absender per Mail weiterverschickt werden? Wie? Als Anhang ode Link? Oder genügt schon Öffnen zum Lesen der Mail?

weiß ich leider nicht mehr genau. evtl weiß da Noctifer mehr, oder du musst mal google bemühen.

Kann ich mit PCs, die mit Sicherheit nicht infiziert sind, weiterhin unbesorg online gehen?
Wenn ich kein Heimnetzwerk habe (hier gehen über meinen Router abwechselnd ca. 8 Geräte online, die aber nicht untereinander verbunden sind), besteht dann nicht die Gefahr, dass ich mir die anderen Rechner auch infiziere?

uff. also prinzipiell, würde ich nicht über ein Netz online gehen, in dem ein infiziertes Gerät hängt.

Und vorerst die letzte Frage (für heute...): Stimmt es, dass sich Citadel auch per USB Sticks, Fotodateien und so weiter verbreiten kann? Also wenn ich meine Urlaubsbilder auf einem sauberen Rechner lade, nachdem der Fotoapparat schon mit dem infizierten verbunden war, habe ich Citadel dann auch auf dem gesunden Rechner, bzw. auf der Festplatte, wo ich die Fotos aufbewahre? Dasselbe für Textdateien: Wenn ich sie zwecks Datensicherung auf einen Stick oder eine Festplatte ziehe, den Rechner bereinige (n lasse) und die Daten zurückspiele, kann ich mir Citadel also sofort wieder einfangen? Wenn ja, wie kann ich das vermeiden?

wie ich oben schon schrieb und Noctifer auch nochmal hooked citadel Systemfunktionen, unter anderem das schreiben von dateien und die IO Funktionen. Also kann es sehr gut sein, dass sich citadel in dateien schreibt die du auf ein externes medium spielst, aber er kann sich auch einfach in die bootsektoren dieses externen geräts schreiben, dann hast du ihn in der regel wieder drauf, sobald du den stick ansteckst.
Mach das ganze unter einer linux partition und das sollte kein problem sein. Es sei denn die Datei ist schon infiziert. Bei Textdateien aber sehr unwahrscheinlich. Bei doc dateien schon wahrscheinlicher. ich würde mir alle unter linux auf einen stick ziehen und dann mal bei virustotal hochladen und so auf viren prüfen lassen oder auch direkt mit einem virenscanner deiner wahl unter linux untersuchen lassen.

Meine Textdateien sind unendlich wichtig, da steckt Jahre lange Arbeit drin. Okay, ausdrucken und neu abschreiben der 800 Seiten wäre auch eine Option 

ausdrucken und neueinscannen wäre da schon besser ^^

Lg TLP

[Penthesilea]

Totale Noob-Frage: Wie geht das mit Linux? Ich weiß, dass das ein unabhängiges Betriebssystem ist. Wo muss das in meinem Fall hin?

Sorry, war voreilig, die Frage hat sich erledigt.

[Penthesilea]

Was ist hiervon zu halten, um zunächst einmal herauszufinden, welcher PC infiziert ist?
Ich verspreche mir davon, dass ich meine Textdateien sofort auf einem "sauberen" Stick sichern kann, falls das Programm mir sagt, dass ein geprüfter PC nicht infiziert ist. Ist so ein Programm zuverlässig oder kann Citadel sich vor ihm verstecken?

[Ranthoron]

Am besten nimmst Du eine Scan-CD von einem bekannten Antiviren-Hersteller (z.B. Kaspersky Rescue Disk 10) und gehst damit die einzelnen Rechner durch - dann weißt Du schonmal, wo etwas drauf sein könnte.
Sämtliche CDs die ich kenne, bieten die Option nur zu suchen, und die willst Du wohl erstmal nutzen.

Und Wichtig: die CD nur auf einem garantiert virenfreien Rechner (Nachbar o.ä.) erstellen!

[TheLightPrince]

Am besten nimmst Du eine Scan-CD von einem bekannten Antiviren-Hersteller (z.B. Kaspersky Rescue Disk 10) und gehst damit die einzelnen Rechner durch - dann weißt Du schonmal, wo etwas drauf sein könnte.
Sämtliche CDs die ich kenne, bieten die Option nur zu suchen, und die willst Du wohl erstmal nutzen.

Und Wichtig: die CD nur auf einem garantiert virenfreien Rechner (Nachbar o.ä.) erstellen!

*unterschreib*

alternative wäre: http://www.heise.de/download/knoppicillin-download.html
oder: http://www.knoppix.org/
oder: http://www.avira.com/de/download?product=avira-antivir-rescue-system

Lg TLP

Problem: bei allen musst du dich iwie schon ein bisschen auskennen. Ohne jegliches Wissen wirds schwierig :/

sooo noch ein Hinweis von einem Kollegen grad: Du kannst deine Festplatte quasi wegwerfen. und zwar weil (ich fasse mich kurz):
-> Du ziehst deine wichtigen Daten runter (willst du ja sowieso machen).
-> Nun formatierst du deine Festplatten und spielst dein System neu auf
-> Du hast Citadel wieder drauf (insofern Citadel tatsächlich noch den ZeuS-Kern hat, wie es aber aussieht)

Du wirst ihn nur los, wenn du tatsächlich jedes einzelne Bit mit einer 0 überschreibst.

Er hat natürlich recht und zwar ist das auch recht simple zu erklären:

schnelles formatieren FAT: löscht nur die Einträge in der Allocation Table, daten bleiben vorhanden
schnelles formatieren NTFS: Die I-Node verknüpfungen werden gelöscht, Daten bleiben erhalten
für die langsamen verfahren spar ich mirs mal, auf jedenfall ist dort, wenn ich als virus im MBR sitze, habe ich auch kontrolle über die Aufteilung der Festplatte, will ich also einen Teil der Platte verbergen... dann mach ich das. Bei den normalen Formatierungen wird der Master Boot Record in der Regel nicht überschrieben, also verstecke ich mich einfach in einem teil der Festplatte, den ich als Defekt oder nicht existent auszeichne und trage mich in den bootloader ein. Nun installierst du deine Daten / Windows auf das vermeintlich leere Medium und ich bin sofort wieder da.

Abhilfe: MBR überschreiben oder wie mein Kollege vorhin so schön formulierte: "wild hin und her formatieren." Was er meint ist das umformatieren auf ein anderes Dateisystem:
Ist es FAT? Dann umformatieren auf NTFS
Ist es NTFS? Dann ab zu FAT.

Dann einfach wieder zurück und der MBR und Bootloader sind auch gelöscht.

Aber du merkst schon... lass wen dran, der weiß was er tut. Ist besser :/

Lg TLP

PS: Ich hoffe das nimmt hier niemand als Lehrstunde "Wie schreibe ich einen Trojaner" xD

[Noctifer]

@TheLightPrince Dann muss ich mich entschuldigen, ich habe bisschen Probleme gezielte & kurze Formulierungen kronkret zu formulieren 

Kann Citadel mit mir als Absender per Mail weiterverschickt werden? Wie? Als Anhang ode Link? Oder genügt schon Öffnen zum Lesen der Mail?

Die Sicherheitstechniken von Mailservern sind allein in denn letzten 5 Jahren so stark herangewachsen, das man per Dos Ebene nicht mal über ein normales Telnet über die cmd.exe miteinander kommunizieren kann. In so einen Server einzudringen ist schwerste Arbeit, vor allem da viele auf Blacklists stehen & es nur noch wenige open Relays gibt, bei dennen sich das wirklich lohnen würde.

Microsoft wurde und wird eben immer Opfer von solchen Viren & Trojanern sein, denn Office Produkte sind die gängisten
und werden so auch extrem viel über Mail per Anhang verschickt. Solche Dingen basieren immer auf Vertrauen der User, welche sich in Sicherheit wiegen, nur um am Schluss feststellen zu müssen, das Sie ein dickes Problem an der backe haben ...

Wie du denn Trojaner beseitigen kannst, weißt du ja nun, hier nun ein paar Tipps, welches das System sicherer machen:

Computer:

- halte Dinge wie Defender, Firewall, Virenprogramm und Anti-Maleware stets aktuell und benutze nur gute programme (also welche mit möglichst guter heuristik)
- empfehlen ist hier und da mal ein cmd scan
- benutze sichere Browser wie Firefox u.ä. (hier Spalten sich oft die Meinungen) und halte ihn aktuell
- wenn möglich, deaktiviere Java Script
- DOM-Storage deaktivieren! (supercookie)
- Servicepacks / Updates helfen auch

Falls du jmd. hast der sich wirklich gut auskennt oder du beschließt jemanden die Arbeit machen zu lassen, währen da noch folgende Punkte zu beachten:

Router:

- Möglichkeit zum rooten um sehr viel mehr Funktionen freizuschalten
- Benutzung v. Router-Firewalls
- Vertrauliche Verbindungen (z.B. zum Unternehmen) per Tunnel wie Vpn o.ä.
- Ip-Filter definieren
- WLAN-Router nach Möglichkeit nicht
- WLAN ist eine Angriffsfläche mehr um du dich kümmern musst
- Aufruf der Router-Konfigurationsoberfläche stets in einem separaten Browser (z.B. K-Meleon, portable Opera, etc.), der ausschließlich dafür verwendet wird.
- Schutz der Router-Konfigurationsoberfläche mit einem mindestens 8-stelligen, starken Passwort.
- Deaktivierung der Fernwartungsfunktion im Konfigurationsmenü, falls vorhanden.

Soo... sollte erstmal reichen, wenn du dich wirklich mit speziellen Grundschutz-Maßnahmen auseinandersetzen möchtest kann ihr dir mit gutem Gewissen dies empfehlen:
http://malte-wetz.de/wiki/pmwiki.php/De/KompromittierungUnvermeidbar

Falls jemand Fehler entdeckt oder meint etwas wichtiges ergänzen zu müssen, bitte tut dies.

[Penthesilea]

Danke euch beiden noch einmal!
Ich hatte vergessen, oben den Link einzuügen. Ich meinte "House Call" für die "Schnelldiagnose". Immerhin konnte ich inzwischen anhand der Tatsache, dass einer unserer Rechner Virustotal nicht mehr aufrufen kann und der Antivir Browserschutz deaktiviert ist und sich auch nicht mehr aktivieren lässt, feststellen, dass dieser infiziert sein muss.
Mit dem Formatieren und Neuaufsetzen bin ich vermutlich überfordert. An wen kann man sich denn wenden, um wirklich vertrauenswürdige Hilfe zu bekommen? Mein Provider bietet für einen Pauschalpreis (der mir inzwischen angesichts der Arbeit sehr günstig vorkommt) Hilfe per Team View o. ä. an, aber damit kann man bestimmt nicht Windows neu aufspielen. Ebenfalls muss ja zum Ändern der PWs der Router vorübergehend abgeschaltet werden, also wird das nicht ausreichen, um wirklich Abhilfe zu schaffen.
Ähem, wohnt einer von euch beiden zufällig in Nordbaden? 
Der Artikel ist klasse, verständlich geschrieben und aussagekräftig. Danke auch dafür!

[Noctifer]

Leider ist jeder Pc-user für die Sicherheit seinen Systems selbst verantwortlich - somit auch für die Kosten im Befallungsfällen und Sonstiges.

Ein Fernzugriff wird dir nichts nützen, denn beim Formatieren der Primärfestplatte (wo schließlich das laufende Betriebssystem drauf ist) darf diese ja nicht "online" sein -> Hier benutzt man meist Live-Cd's oder das Dos.

Das einzigste was hier Sinn macht ist von deinem Provider oder einer Pc-Firma deines vertrauens eine Vorortreperatur anzufordern, hier hilft meist nur Preisvergleich von denn angebotenen Dienstleistungen, ich würde dir natürlich gerne helfen, aber das sind mir paar hundert Kilometer zuviel ^^

Empfehlen kann ich dir "Kleinfirmen" - diese sind meist billiger & dort trifft man oft auf so genannte "Freaks", also die Universalgenies der IT-Welt.

Einfach anrufen -> Problem schildern wie "Zersörung des Betriebssystem's durch Virenberfall des Citadel's" und dann nur hoffen das der Typ der kommt nicht nur rummlungert, kostet schließlich alles Bares Geld.

Ist nicht viel, hoffe es hilft trotzdem ein bisschen.

[Penthesilea]

Danke, das wird wohl die einzige Möglichkeit sein, wenn ich mich nicht selbst traue.
Ich halbe euch auf dem Laufenden.