trojaner Kazaa.Irc.DarkIrc11.LiteStalky

[christian_k]

hallo,


ich hatte gestern abend meine platte mit spybot gescannt und der hat folgendes gefunden:

Kazaa.Irc.DarkIrc11.LiteStalky

ich hab das dann mit spybot aus der registry entfernt. weiß jemand, was das ist und was es anrichtet? ist das auf jeden fall ein trojaner? ich habe und hatte weder kazaa, noch ein vergleichbares p2p-programm auf meinem rechner.
in einem anderen forum schrieb mir jemand, dass ich das system neu aufsetzen müsse. heißt das windows neu installieren? wäre das wirklich nötig, ich habe doch mit spybot den eintrag beseitigt?

wäre nett, wenn mir jemand was dazu sagen könnte,

grüße, christian

 

[virenscanner]

ich hab das dann mit spybot aus der registry entfernt

Was genau wurde wo in der Registry gelöscht?

in einem anderen forum schrieb mir jemand, dass ich das system neu aufsetzen müsse. heißt das windows neu installieren? wäre das wirklich nötig, ich habe doch mit spybot den eintrag beseitigt?

Es hängt davon ab, ob der Trojaner zu irgendeinem Zeitpunkt "aktiv" war.
Wenn er definitiv nicht aktiv war, so reicht das bereits durchgeführte Löschen aus.

Wenn er aber aktiv war, so ist der Rat, das System neu aufzusetzen, nicht verkehrt. Denn dann hast Du beispielsweise keine Garantie dafür, dass alle ausführbaren Dateien noch die Originaldateien sind und nicht irgendwelche, von "Mr. X" aufkopierte "Programme".

 

[christian_k]

@ virenscanner

habe bei spybot noch mal geschaut, wo sich der eintrag in der registry befand und da stand

Kazaa.Irc.DarkIrc11.LiteStalky: Autorun Settings
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SystemProcess

kann ich überhaupt rausfinden, ob er aktiv war? habe das wie gesagt direkt mit spybot bereinigt. der kann auch nicht lange drauf gewesen sein. ich update spybot regelmäßig und hatte am tag vorher gescannt, damals ohne ergebnis.
wenn ich jetzt mit a2 und spybot scanne, finden die auch nix

grüße,

christian

 

[virenscanner]

Kazaa.Irc.DarkIrc11.LiteStalky: Autorun Settings
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SystemProcess

kann ich überhaupt rausfinden, ob er aktiv war?

Somit musst Du davon ausgehen, dass das Teil aktiv war. Was Du nicht weisst: Ob ein "Mr. X" bis zur Beseitigung die ihm dadurch gebotenen "Möglichkeiten" genutzt hat und -wenn ja -wie.

Wäre es mein System, würde ich es - nach Sicherung aller Daten - komplett neu aufsetzen und keine ausführbaren Dateien dieser Sicherung mehr benutzen.

Du kannst natürlich auch nach dem Prinzip "Hoffnung" leben: Es bei der bereits durchgeführten Löschung belassen und hoffen, dass kein "Mr. X" "seine Möglichkeiten" genutzt hat.

 

[christian_k]

okay,

danke für diese wenig erfreuliche antwort. frage noch mal konkret nach. system neu aufsetzen heißt windows neu installieren?
sollte ich dahin mit dem rechner nicht mehr ins netz gehen? (mache momentan kein onlinebanking etc.). hab auch noch mal eine andere frage. wir haben dsl an mehreren rechnern und gehen über einen server, der über linux läuft ins netz. ich nehme mal an, dass das letzendlich kein schutz war. aber ist dieser server irgendwie gefährdet?

 

[virenscanner]

danke für diese wenig erfreuliche antwort. frage noch mal konkret nach. system neu aufsetzen heißt windows neu installieren?

Sorry, dass ich keine erfreulichere Antwort für Dich habe. System neu aufsetzen heisst: System "plattmachen", Windows komplett neu installieren etc...

aber ist dieser server irgendwie gefährdet?

Wenn netzwerkmäßig ein Zugriffsmöglichkeit zum Server vom befallenen System aus bestanden hat (z.B. rlogin), imho ja.
Alles, was Du auf dem kompromittierten System machen konntest, konnte (und kann eventuell noch) ein "Mr. X" auch gemacht haben.

 

[christian_k]

also, über diesen server gehen wir ins netz. ist wie gesagt linux und ich kann den von meinem pc aus nicht steuern. wenn er runtergefahren werden muss, dann muss ich das von einem anderen pc machen. wenn du das mit zugriff meintest? sorry, bin laie und deshalb etwas verunsichert...

 

[virenscanner]

Ja, das "so in etwa" meinte ich...
Somit ist bezüglich des Linux-Servers das Risiko wohl nicht so hoch.