Hallo Zusammen,

ich habe heute eine Virenmeldung von Avira bekommen und wollte hier um Hilfe fragen.

Zitat:

Zitat von Avira sagt

Die Datei 'C:\Recycle.Bin\Recycle.Bin.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.N.105' [trojan].
Durchgeführte Aktion(en):
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-682723311-3188286756-744204329-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4E3E0230AEBB4E96> wurde erfolgreich repariert.
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b5637e2.qua' verschoben!

Danach habe ich Avira beauftragt einen vollständigen Systemcheck zu machen. Daraufhin meldet sich "Luke Filewalker" mit dem Fund zweier weiterer "Gäste"

1. Java/Exdoer.A
2. Java/Fester.J

Nennt mich paranoid, aber mir erscheint das Fenster des Luke Filewalkers seltsam. Wie kann ich erkennen ob die Fehlermeldung tatsächlich von Avira kommt und nicht ein Fake meiner neuen Gäste ist?


Ich hab auch bereits die 7 goldenen Regeln gelesen.

Der 1. Schritt ist der Download

Zitat:

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop

des defogger.

Hier möchte ich aber bereits stoppen, da laut Anleitung der Download als Admin durchgeführt werden soll.

Laut Avira-Viren-Datenbank (hxxp://www.avira.com/de/support-threats-summary/tid/6141/threat/TR.EyeStye.H.89)

sind die Fähigkeiten der TR/EyeStye - Viren

Zitat:

Auswirkungen:
• Erstellt schädliche Dateien
• Setzt Sicherheitseinstellungen herunter
• Zeichnet Tastatureingaben auf
• Änderung an der Registry
• Stiehlt Informationen

Seit dem Virenfund habe ich kein Admin-Passwort eingegeben, deswegen geh ich davon aus, dass der ungebetene Gast davon noch keine Aufzeichnung gemacht haben darf.
Bevor ich also mit Schritt 1 (dem Download des defogger) beginne, wär es super wenn Ihr mir verraten könnt ob die Eingabe meines Admin-Passwortes für den Download evtl. weiteren Schaden anrichten kann.

Ich bedanke mich schonmal im Voraus und hoffe, dass ihr mir weiterhelfen könnt.

Machst du OnlineBanking oder andere ähnliche kritische Sachen mit diesem infizierten Rechner?

Erstmal danke für die schnelle Antwort.

Ja ich habe leider erst vor 1-2 Wochen online-banking eingerichtet (dort aber jedes mal das passwort über so eine virtuelle tastatur mit der maus eingegeben)

Ich habe heute auch schon meine Bank angeschrieben, dass sie sicherheitshalber mein Online-Banking sperren sollen - warte aber noch auf eine Antwort.

Bei Onlinebanking solltest du generell sehr vorsichtig sein und überlegen ob du den Kompromiss einer Bereinigung wirklich eingehen willst.
Normalerweise empfiehlt man bei sowas eine Neuinstallation von Windows. Sofern du diesen Rechner weiterhin für OnlineBanking verwenden willst.

Danke für den Link.

Ein paar Fragen hätte ich noch zum Thema Neuinstallation.

Angenommen ich mach eine Datensicherung auf meine ext. Festplatte. Ist es dann ausgeschlossen, dass dadurch irgendwelche Arten von verseuchten Programmen, Daten o.ä. mit abgespeichert werden (also ist der Rechner trotz identischer Daten dann wieder vollkommen sauber)?

Hab momentan etwas Stress und könnte eine Neuinstallation mit Datensicherung etc. frühestens in 4 Tagen machen (als Anmerkung: meinen letzten Versuch ein Backup auf meine ext. Festplatte zu speichern hab ich nach ca. 30 Stunden abgebrochen...)
Können die Dinger großen Schaden anrichten und wie sollte ich mich verhalten damit dieser nicht allzu groß wird?

Nochmals Danke für die Mühe!

Zitat:

dass dadurch irgendwelche Arten von verseuchten Programmen, Daten o.ä. mit abgespeichert werden (also ist der Rechner trotz identischer Daten dann wieder vollkommen sauber)?

Nein, 100% Sicherheit gib es nicht. Minimiere das Risiko, indem du nur persönliche Dokumente, Musik, Videos oder dergleichen sicherst. KEINE ausfürhbaren Dateien, also keine Programme, Spiele oder Setups davon.

Ok,

1) und wie gehe ich jetzt am besten bei der Datensicherung vor?

Habe vorhin aus Gewohnheit meine ext. Festplatte angeschlossen und leider erst nach 10 min gemerkt, dass ich dadurch ja evtl. auch diese jetzt verunreinigt hab...

2) und dann hätte ich noch eine Frage bezüglich der Passwörter. Nachdem oben genannter Trojaner ja anscheinend meine Tastatureingabe mitlesen kann, empfiehlt es sich nach Neuinstallation lauter neue Passwörter zu generieren und diese z.B. via KeePass neu abzuspeichern, oder?

Zitat:

1) und wie gehe ich jetzt am besten bei der Datensicherung vor?

Hab dazu extra nen Link in meiner Signatur. 2. Link Datensicherung mit Ubuntu

Zitat:

lauter neue Passwörter zu generieren und diese z.B. via KeePass neu abzuspeichern, oder?

Ja, ist unbedingt zu empfehlen

Ok, vielen Dank!

Dann werd ich am Wochenende mal die ganzen Schritte durchgehen...

So,
die ganze Wochenendaktion hat glaub ich mehr Schaden angerichtet als die 3 Viren alleine geschafft hätten.

Sicherung meiner Daten (über Ubuntu) hat teilweise geklappt.
Danach wollte ich Win 7 neu installieren, hab aber anscheinend die falsche Partition ausgewählt, sodass ich am Ende zwei Win 7 Versionen auf dem Rechner hatte.
Irgendwann habe ich in meiner Verzweiflung angefangen aus der Vorgänger-version (also die Daten der ersten Win 7 Version) zu löschen. Das "gelang" mir so gut, dass die zweite Version jetzt noch teilweise besteht aber nicht mehr bootbar ist. Glücklicherweise geht die zweite Win 7 Version noch (sonst hätt ich meinen Laptop wahrscheinlich in die Tonne haun können...)

Aktuelle Situation:

• Firewall und MSE aktiv
  
• Multiboot-Auswahl am Anfang
  -> wie kann ich die zweite Version ausblenden, sodass ich am Start nicht immer beide Versionen angezeigt bekomm?
  
• die aktuelle und einzig laufenden Win 7 Version liegt auf der Recovery Partition die jetzt so voll ist, dass nicht mal die ersten Windows Updates mehr gesucht werden können.
  
  -> wie kann ich die Partitionen wieder so ändern, dass nicht alles auf der Partition mit dem Betriebssystem landet bzw. wie bekomm ich die größer?
  
  Ich wäre euch sehr dankbar wenn Ihr mir helfen könntet den Karren wieder aus dem Dreck zu ziehen...

Zitat:

Sicherung meiner Daten (über Ubuntu) hat teilweise geklappt.

Was heißt teilweise?

Zitat:

Danach wollte ich Win 7 neu installieren, hab aber anscheinend die falsche Partition ausgewählt, sodass ich am Ende zwei Win 7 Versionen auf dem Rechner hatte.

Und wieso hast du vorher nicht alle Partitionen auf der Zielfestplatte gelöscht, dann vernünftig neu angelegt?

Zitat:

-> wie kann ich die Partitionen wieder so ändern, dass nicht alles auf der Partition mit dem Betriebssystem landet bzw. wie bekomm ich die größer?

Ich würd das System noch aber richtig und vernünftig installieren

Teilweise bedeutet, dass ich nicht alles bei Ubuntu finden konnte. Das ist aber nicht weiter problematisch, die wichtigsten Daten hab ich auf meine ext. Festplatte bekommen.

Ich habe nach Ubuntu einfach angefangen die Schritte der Neuinstallation (Windows 7 neu installieren) abzuarbeiten. Laut Anweisung hab ich Win 7 dann eben auf Partition 2 (C installiert. Jetzt liegt die Vorgängerversion auf D: Sind möglicherweise die Viren jetzt immer noch auf dem Rechner?

Ich hätte wirklich sehr gern nur ein sauberes Win7 auf meinem Rechner, hab aber keinen Plan wie ich jetzt weiter vorgehen soll um die alten Versionen platt zu machen und ganz neu anzufangen. Die erste Installation hab ich ja bereits durch planloses "Säubern" bootunfähig gemacht - möchte jetzt nichts falsch machen, sodass ich am Ende vor nem funktionsunfähigen Laptop sitze

Grundproblem an der ganzen Geschichte ist halt dass ich bei technischen Fragen sofort auf meine Grenzen stoße..

Machen wir alles platt und du installierst Win7 nochmal richtig auf eine "blanke" Platte ohne Partitionen, die werden im Windowssetup neu erstellt - Daten sind ja alle gesichert. Ist das ein Vorschlag?

Wenn ja: boote Ubuntu von der CD. Öffne das Terminal links oben über Applications => Accessories => Terminal.

Tipp dort ein:

Code: Alles auswählenAufklappen

ATTFilter

fdisk -l
         

Also fdisk, (leertaste), (minus) und ein kleines L. Mit Enter ausführen und die Ausgabe hier posten

Danke!


Also Ubuntu gibt folgendes aus:

Code: Alles auswählenAufklappen

ATTFilter

ubuntu@ubuntu:~$ sudo fdisk -l

Platte /dev/sda: 500.1 GByte, 500107862016 Byte
255 Köpfe, 63 Sektoren/Spur, 60801 Zylinder
Einheiten = Zylinder von 16065 × 512 = 8225280 Bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0xfa3f015a

   Gerät  boot.     Anfang        Ende     Blöcke   Id  System
/dev/sda1               1           5       40131   de  Dell Utility
/dev/sda2   *           6        1918    15360000    7  HPFS/NTFS
/dev/sda3            1918       33086   250360629+   7  HPFS/NTFS
/dev/sda4           33086       60802   222623744    f  W95 Erw. (LBA)
/dev/sda5           33086       60802   222622720    7  HPFS/NTFS
         

Gut. Wenn wirklich alle Daten gesichert sind und wir die interne 500-GB-Platte plätten können, im Terminal diesen Befehl ausführen:

Code: Alles auswählenAufklappen

ATTFilter

dd if=/dev/zero of=/dev/sda bs=512 count=1000000
         

Damit werden die ersten Million Sektoren mit Nullen überschrieben, die Platte ist danach logisch ratzekahl

Poste die Ausgabe von dd wenn er durch ist, sollte etwat 2-3 Minuten dauern.

Und mach danach auch nochmal ein fdisk -l und poste davon auch die neue Ausgabe.