Hallo Communitymitglieder, die alte Leier: habe mir Trojaner auf einem USB-Stick eingefangen, betroffen sind alle wichtigen enthaltenen Dateien

Hallo,

es gibt für mich bisher keinen Hinweis darauf, dass deiner Bilder infiziert wurden. Normalerweise würde dein Virenscanner versuchen, infizierte Bilddateien in Quarantäne zu verschieben, was vermutlich nicht geschehen ist.
Selbst wenn eine Bilddatei infiziert wurde, muss das Programm, das die Bilddatei anzeigt bzw. öffnet, ebenfalls infiziert sein. Das scheint ja auch nicht der Fall zu sein.
Zur Beruhigung lade dir die Freeversion von Malwarebytes herunter und analysiere erneut deinen USB-Stick.

Tipp: Von allen Daten, insbesondere einer Traumreise, hat man auf einem anderen Datenträger Duplikate. Es gibt nämlich Dinge, die sich nicht nachholen lassen!

LG Culles

Unter anderem sind Bilder von meiner Traumreise infiziert, die ich unbedingt behalten möchte.
Nun könnte ich den ganzen Stick löschen oder wegwerfen, aber - kann ich den Trojaner loswerden bzw. die Bilder „reinigen“? Wenn ja, wie? An der Fragestellung merkt ihr, wie ungefähr die Antwort ausfallen sollte: idiotensicher ;-)!
Der (die !) Trojaner wurde von Avast Free Antivirus 2015 isoliert und in Quarantäne genommen, und zwar:
Win32:Trojan-gen
Win32:Radmin-BT [PUP]
Win32:BackDoor-ACQ [Drp]
Weitere Online-Virenscanner (Hitman Pro, Malwarebytes Anti-Malware, Hit Malware u.a.) haben ebenfalls reagiert und Treffer gemeldet.
Nun würde ich gern meine Dateien wieder sauber haben, hat jemand einen sicheren Tipp? Bitte leicht verständlich… ;-)!

Hallo.

Trojaner in Bilddateien? So einfach geht das nicht. Man hat schon davon gehört, daß z.B. (PHP-)Code in den EXIF-Daten von jpg-Bildern versteckt wurde, aber der wird nur ausgeführt, wenn eine entsprechende Software diesen Teil auswertet. EXIF-Daten löschen würde in dem Fall schon ausreichen.

Andere Möglichkeit: Ein Trojaner hat Schadcode in die Bilddaten eingebaut (-> [Steganografie][1]).
Das wäre aber eigentlich Quatsch, denn erstens müßte der Code ja irgendwoher kommen und zweitens bräuchte es den Trojaner selbst, um den Code extrahieren und ausführen zu können.

Wie auch immer: Bilder mit einem nicht infizierten Bildbearbeitungsprogramm öffnen und ohne Exif-Daten in einer anderen Auflösung bzw. Qualitätsstufe abspeichern sollte alles Schädliche beseitigen.
Ob das Bildbearbeitungsprogramm infiziert ist, läßt sich einigermaßen zuverlässig herausfinden, indem man die Dateigröße der exe mit der auf einem sicher nicht infizierten Rechner vergleicht (über Dateieigenschaften die tatsächliche Größe in Bytes vergleichen! Die Anzeige im Windows Explorer ist zu ungenau). Noch sicherer: Prüfsumme (MD5 oder SHA-256) beider exe-Versionen ausrechnen lassen. Das kann z.B. dieses Tool: http://mh-nexus.de/de/hxd/

Gruß

Michael
[1]: https://de.wikipedia.org/wiki/Steganographie

Wenn der Virenscanner die Trojaner in Quarantäne genommen hat, ist eigentlich schon alles OK (nächster Schritt: diese Dateien jetzt löschen)! Wichtig ist, dass die Schadsoftware auf Deinem PC nicht zur Ausführung gelangt ist und sich weiterverbreitet. Ausführbar sind eigentlich bloß EXE- oder COM-Dateien (vereinzelt auch Skripte in doc, docxs oder pdf-Dateien u.ä. in Verbindung mit den entsprechenden Anwendungsprogrammen wie Word oder Acrobat Reader).

Wenn man ganz sicher gehen will, kann man sich von einem möglichst virenfreien Rechner aus eine Rescue CD brennen und darüber den PC mit angestecktem USB-Stick booten. Das gibt einem Sicherheit, dass außer den Dateien in Quarantäne keine weiteren Bedrohungen mehr vorhanden sind:

Und für die Zukunft wie schon gesagt mitnehmen, dass man von wichtigen Dateien immer eine Sicherheitskopie anlegen soll!

Hallo Culles,
werde ich tun! Und ja, du hast recht - Duplikate sollte man haben… oder jemand anderes hat sie eben! Ich werde -falls es jemanden interessiert- nach Erledigung nochmal Resümee ziehen!
Vielen Dank erstmal!
LG, blindfisch

Hallo Michael,
erstmal danke für die hilfreichen Tipps! Werde nun mal peu-a-peu probieren, was hilft!
Wenn ich die Technik überlistet habe (oder andersrum!), gebe ich nochmal feedback. Für heute erstmal vielen Dank!
Gruß, blindfisch

Hallo Fips,
AVAST hat die Bilder u.a. Dateien in Quarantäne genommen - aber löschen wollte ich sie nun gerade nicht! Und die Kopie - nun ja, irgendwo sind noch Kopien, nur leider nicht bei mir… ;-)! Aber dankefür deine Tipps!
Melde mich wieder, wenn ich „klargekommen“ bin!
Gruß, blindfisch

Wenn die Bilder usw. aber nun in Quarantäne sind, können die noch irgendwie gerettet werden? Ich weiß, die Frage hört sich blöd an, aber sie stellt sich mir trotzdem!
Der shreenshot der Quarantäne sieht z.B. so aus:

Reisebild.exe G: 17.05.2012 13:29 17.05.2012 22:14 Win32:Radmin-BT [PUP]

Alle Dateien haben die exe-Endung hintendran. Als Virus wird weiterhin angegeben:
Win32:BackDoo-ACQ [Drp] sowie Win32:Trojan-gen. Was kann ich hier noch tun???
Freue mich über jede eurer Anbtworten, @Fips,@Michael, @Culles!

Gruß, blindfisch (der Name ist Programm)

Hallo.

Versuch mal, sie einfach wieder in jpg umzubenennen und mit einem Bildbearbeitungsprogramm zu öffnen. Wenn das ein Bild erkennt, gut. Wenn nicht, müßte man sich den Dateiheader mal anschauen.
Kannst ja mal eine der Dateien in ein (idealerweise paßwortgeschütztes) zip packen und hier posten.

Gruß

Michael

Ich würde grundsätzlich auch sagen: eine ausführbare EXE ist kein Bild mehr (das sollte normalerweise auf JPG enden). Die Frage ist jetzt, inwieweit Du wieder an Deine Daten kommst, indem Du sie einfach umbenennst? Evtl. hat der Virus da etwas kaputt gemacht. Aus den Beschreibungen werde ich jetzt auch nicht wirklich schlau. Zumindest BackDoor-ACQ kann man offenbar mit Microsoft Security Essentials auch wieder unschädlich machen: http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Backdoor%3AWin32%2FVB.ACQ

Ansonsten sieht es meiner Ansicht nach leider nicht allzu gut aus für Deine Daten

Hallo.

Wie sieht’s aus? Irgendwelche Fortschritte?

Gruß

Michael