Hallo!

Ich hab grad mit "Cosinus" schon einen Rechner mit Trojanerbefall wieder hingekriegt. Danke dafür!

Und nun ein weiterer Hilferuf:

Ich habe noch ein Sorgenkind.
Der Rechner ist noch von meinem vor 2 Jahren verstorbenen Mann. Die Programme die drauf sind, stammen hauptsächlich noch von ihm.
Meine Tochter nutzt ihn seit einiger Zeit als Zweitrechner, ihr erster läuft unter LINUX.
Jetzt sieht man nach dem Hochfahren nur noch das Hintergrundbild, keine Taskleiste, keine Icons. ACG und Malwarebyte haben Trojaner/Infektionen gefunden.
Frage: Ich weiß nicht, ob alles auf dem Rechner koscher ist, können wir da trotzdem mal schauen? Ich weiß, dass es dafür strenge Richtlinien gibt, aber ich kenne vieles nicht, was auf dem Rechner ist und hab auch sonst sehr wenig Ahnung von PC`s. Wenn ihr was unerlaubtes findet, werde ich das umgehend löschen. Ich würde den Rechner ungern neu installieren und halt gerne möglichst alles so belassen, wenn das irgendwie machbar ist.
Sobald ich ein ok bekomme, schicke ich die logs.

Liebe Grüße

Zitat:

Meine Tochter nutzt ihn seit einiger Zeit als Zweitrechner, ihr erster läuft unter LINUX.
Jetzt sieht man nach dem Hochfahren nur noch das Hintergrundbild, keine Taskleiste, keine Icons. ACG und Malwarebyte haben Trojaner/Infektionen gefunden.

Welcher Rechner jetzt?
Der mit Linux läuft, hat auch ein Windows? Das ist der von deinem Mann?

Hallo!

Ich freue mich von dir zu hören.
Tut mir leid wenn ich mich nicht klar ausgedrückt habe.

Der Rechner meiner Tochter läuft mit Linux, der ist ok.

Der Rechner von meinem Mann läuft mit Windows. Der war lange unbenutzt. Keiner wollte was dran verändern.
Seit einiger Zeit nutzt ihn meine Tochter als Zweitrechner. Verändert hat sie aber wenig, weil ich nochmal schauen wollte was auf dem Rechner ist.

Jetzt sieht man beim Hochfahren nur das Hintergrundbild.
Das hat sich auch nicht geändert nachdem ACG und Malwarebyte gelaufen sind.
Hier die Logs:

1. AVG

Code: Alles auswählenAufklappen

ATTFilter

Scan "Gesamten Computer scannen" wurde beendet.
Infektionen;"4";"4";"0"
Für den Scanvorgang ausgewählte Ordner:;"Gesamten Computer scannen"
Start des Scans:;"Montag, 12. September 2011, 08:47:21"
Scan beendet:;"Montag, 12. September 2011, 09:09:28 (22 Minute(n) 7 Sekunde(n))"
Gesamtanzahl gescannter Objekte:;"702156"
Benutzer, der den Scan gestartet hat:;"Peter"

Infektionen
;"Datei";"Infektion";"Ergebnis"
;"C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temp\0.2533295443531036.exe";"Trojaner: BackDoor.Generic14.SGH";"In Virenquarantäne verschoben"
;"C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\5ab40f57-4524e84b";"Trojaner: Java/Exploit.FA";"In Virenquarantäne verschoben"
;"C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\5ab40f57-3f29baa1";"Trojaner: Java/Exploit.FA";"In Virenquarantäne verschoben"
;"C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\5ab40f57-39282d24";"Trojaner: Java/Exploit.FA";"In Virenquarantäne verschoben"
         

2. Malwarebyte

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7698

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

12.09.2011 10:13:32
mbam-log-2011-09-12 (10-12-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 275518
Laufzeit: 18 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\jashla.exe) Good: (Explorer.exe) -> No action taken.

Infizierte Verzeichnisse:
c:\dfkabfagkus (Trojan.SpyEyes) -> No action taken.

Infizierte Dateien:
c:\system volume information\_restore{6f9d266c-7a1e-4833-905f-9fe041233b31}\RP541\A0244802.exe (Trojan.Agent) -> No action taken.
e:\eigene dateien\Bilder\backup\eigene dateien 2\winspine.exe (Joke.Winshoot) -> No action taken.
c:\dfkabfagkus\5e985bd95bf309f (Trojan.SpyEyes) -> No action taken.
         

Ich hoffe du kriegst auch diesen Rechner wieder klar. Ich wär dir unendlich dankbar!

Liebe Grüße

Zitat:

-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Hallo!

Hab Malwarebytes nochmal gestartet und die infizierten Dateien entfernt.
Hier das log dazu:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7721

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

15.09.2011 14:15:50
mbam-log-2011-09-15 (14-15-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 276304
Laufzeit: 24 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\jashla.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\dfkabfagkus (Trojan.SpyEyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
e:\eigene dateien\Bilder\backup\eigene dateien 2\winspine.exe (Joke.Winshoot) -> Quarantined and deleted successfully.
c:\dfkabfagkus\5e985bd95bf309f (Trojan.SpyEyes) -> Quarantined and deleted successfully.
         

Beim ersten Lauf waren es allerdings 3 infizierte Dateien.
Folgende hat Malwarebytes jetzt nicht mehr angegeben:

c:\system volume information\_restore{6f9d266c-7a1e-4833-905f-9fe041233b31}\RP541\A0244802.exe (Trojan.Agent) -> No action taken.

Jetzt sehe ich die Taskleiste und den Desktop wieder,

Liebe Grüße

Zitat:

c:\dfkabfagkus\5e985bd95bf309f (Trojan.SpyEyes)

Machst du Onlinebanking oder ähnliche kritische Dinge mit diesem PC unter dieser verseuchten Windows-Installation?

Hallo!

Meine Tochter nutzt den Rechner hauptsächlich zur Bild- bzw Videobearbeitung.
Deine Frage klingt auch, als sollten wir besser nichts relevantes damit machen.
Kannst du mir trotzdem helfen?
An dem Rechner hängen auch externe Festplatten, die laut Aussage meiner Tochter seit diesem GAU jedoch nicht in Betrieb waren. Wir hoffen also, dass sie nicht betroffen sind und trauen uns im Moment auch nicht sie anzuschalten.

Liebe Grüße

SpyEyes ist ein gefährlicher Keylogger. Ihr solltet umgehend alle Passwörter von einem sauberen Rechner aus abändern. Empfohlen ist bei diesem Befall eine komplette Neuinstallation des Systems.

Du kannst aber wenn du unbedingt willst auch den (riskanten) Weg einer Bereinigung gehen.

Hallo!

Es fällt mir unendlich schwer den Rechner platt zu machen. Wieder ein Stück Abschied.
Aber ich glaube mittlerweile auch, dass eine Neuinstallation das Beste ist.

Kann man vor der Neuinstallation noch Daten sicher retten?
Ich werde das Wochenende nutzen, um mich nochmal auf dem Rechner umzusehen, ob mein Mann vielleicht was auf dem Rechner hinterlassen hat, das ich gerne aufheben würde.
Meine Tochter würde gerne auch Fotos und bearbeitete Bilder sichern.

Da wären dann noch folgende Fragen:

- wenn möglich, wie sichere ich die Daten ohne Trojaner-/Virusbefall ?

- wie kann ich überprüfen, ob die externen Festplatten ok sind, ohne sie dabei zu infizieren, oder evtl an einem anderen Rechner, ohne diesen zu infizieren, falls sie nicht ok sind

- Wir haben vor ca 3 Jahren ein Windows XP gekauft (der Rechner meiner Tochter wurde beim Kauf mit vista geliefert und das wollte sie nicht)
Dieses Windows ist mittlerweile nicht mehr auf dem Rechner (da ist jetzt Linux), können wir das jetzt auf den PC meines Mannes spielen oder ist das an den PC gebunden auf dem es als erstes installiert wurde?

- vor einer Neuinstallation soll man auch Hardware-Treiber sichern, wo finde ich die denn?

Liebe Grüße

Zitat:

- wenn möglich, wie sichere ich die Daten ohne Trojaner-/Virusbefall ?

Ich hab da extra einen Link zu in meiner Signatur

Zitat:

- wie kann ich überprüfen, ob die externen Festplatten ok sind, ohne sie dabei zu infizieren, oder evtl an einem anderen Rechner, ohne diesen zu infizieren, falls sie nicht ok sind

Auch das wird immer gefragt. Es gibt keine 100% Sicherheit. Beschränke dich auf nicht ausführbare Dateien. Behalte Musik, Videos, Dokumente etc.

Zitat:

Dieses Windows ist mittlerweile nicht mehr auf dem Rechner (da ist jetzt Linux), können wir das jetzt auf den PC meines Mannes spielen oder ist das an den PC gebunden auf dem es als erstes installiert wurde?

Kannst du auf dem anderen Rechner verwenden

Zitat:

- vor einer Neuinstallation soll man auch Hardware-Treiber sichern, wo finde ich die denn?

Würde ich nicht unbedingt machen, lieber Treiber neu runterladen