|
Plagegeister aller Art und deren Bekämpfung: Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.10.2011, 21:35 | #1 |
| Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei? Hallo, habe einen Laptop (XP-Pro) von Bekannten, voll mit Viren verseucht. Erst wurde das WIN-Update abgestellt. Später (ca. 2 Wochen) wurde die Firewall abgeschaltet. Und 2 Wochen später ist der Avira außer Gefecht. (ersichtlich aus Ereignisprotokoll) Im abgesicherten Modus als admin konnte ich den Avira noch starten und habe einen Scan durchgeführt. Er hatte 9 Funde, die ich mir zum Glück notiert hatte. TR/Crypt.ZPack.Gen2 TR/Crypt.XPack.Gen TR/Priminay.cox TR/Gendal.Kd.371252 TR/Kazy.24292 W32/PatchLoad.A W32/PatchLoad.A,afd.sys W32/PatchLoad.A,svchost.exe W32/PatchLoad.A,IgDCtrl.exe Nach dem Scan war Avira auch hier komplett außer Gefecht. Kam nicht mehr an die Berichte usw. Also habe ich mir die Rescue-CD von Avira (ISO Download) besorgt und damit einen Scan durchgeführt. Den ersten Bericht konnte ich leider nicht auf der Festplatte speichern (Zugriff verweigert) und USB-Stick ließ sich nachträglich nicht mehr anschließen. Den zweiten Scan habe ich auf dem USB-Stick. Und den dritten Scan nach Deinstallation und Löschen der Verzeichnisse von Avira und Tune Up habe ich auch auf dem Stick und kann ich auf Wunsch posten. Dann habe ich den bootkit_remover (damals vom Microsoft-Support erhalten) von Laufwerk c starten wollen. Ging aber nicht (Zugriff verweigert). Vom USB-Stick konnte ich das Tool starten. Aber es wurde nicht der Bootcode angezeigt. Es gab folgende Meldung: \\.\PhysicalDrive0 MD5 6def5ffcbcdbdb4082f1015625e597bd Auch der TDSSKiller von Kaspersky ließ sich nicht von c starten. Aber vom USB-Stick. Es folgte eine Meldung „1 threat found“ und dann wurde eine Versteckte Datei angezeigt. Am Ende des Scans verschwanden alle Meldungen und es hieß: es wurde nichts gefunden. Habe den Scan noch einmal laufen lassen und die versteckte Datei notiert. C:\windows\3506907014:2044262446.exe (Wie erzeugt man einen Dateinamen mit Doppelpunkt/Sonderzeichen?) MD5 8f2bb1827cac01aee6a16e30a1260199 Die Datei konnte ich aber nie finden. Das Protect von AVM (Fritzsoftware) ließ sich auch nicht mehr einrichten. Wenn ich versuchte Avira zu installieren kam immer eine Fehlermeldung. Scheinbar ist nur eine Neuinstallation sinnvoll. Wollte Ubunt Linux 6.10 Installieren, ging nicht. Auch Suse Linux 9.3 (Professional), ließ sich nicht installieren. Wieso habe ich keine Berechtigung auf c: zuzugreifen obwohl ich ja als first boot CD/DVD im Bios eingestellt habe und der PC vorher ausgestellt war? (Im Speicher kann der Virus ja wohl nicht mehr aktiv gewesen sein – Akku für 20 min ausgebaut) Bei der XP-Installation hat er nicht zugelassen die Partition zu löschen. Er hat einfach eine Paralleinstallation gemacht. Mit der neuen Installation konnte ich im abgesicherten Modus nur Eingabeaufforderung die versteckte exe-Datei unter Windows finden und löschen. Mein System war jetzt automatisch im Verzeichnis WINXP nach der Instalation. Aus der Boot.ini habe ich den Eintrag für das alte Windows entfernt. Ich habe alles vom alten System gelöscht. Aber auch hier konnte ich nach Neustart (also nicht im abgesicherten Modus) Avira nicht installieren. Es gab die gleiche Fehlermeldung wie beim alten System. „Die Anwendung konnte nicht ausgeführt werden, weil MSVCR100.dll nicht gefunden wurde. Neuinstallation der Anwendung könnte das Problem beheben.“ Auch das Protect von AVM konnte man nicht starten. Was kann man noch machen? – Muss man die Festplatte ausbauen und in einem anderen Rechner „LÖSCHEN“? Habe dann mit einer alten Boot CD (2.31) vom PC Magazin mit jede Menge tools gestartet. Mit AutoClave V0.3 (Linux) konnte ich die Festplatte nicht Löschen, da schon beim Start Errormeldungen kamen (irgendwas mit kernel panik oder so!) Mit Active@ KillDisk Free Edition V3.0 konnte ich die gesamte Festplatte mit 0 überschreiben. Worauf diese Software basiert (DOS, Linux…) weiß ich nicht. Wollte eigentlich nach Godman verfahren (mehrmaliges Überschreiben), aber in der free Version war das nicht möglich. Danach konnte ich eine ganz normale XP-Installation (XP-Pro Spk2) durchführen. Anschließend habe ich das SPK3 von CD aufgespielt. Dann das Protect von AVM, Avira. Dann habe ich Alles mit Svc2kxp.cmd eingestellt. (Do All). Anschließend habe ich den DHCP Dienst und Auto-Update für Wndows wieder auf automatisch gestellt. Mit netstat –a –b –v habe ich überprüft, was für ports geöffnet sind. Es waren nur 2 von Avira, was auch i.O. ist. So habe ich dann mein Netzwerk über LAN aktiviert und Avira upgedatet. Das Protect von AVM hat funktioniert, musste Avira update usw. erst freigeben. Gleichzeitig wurden schon Updates von Windows runter geladen. Dann habe ich XP aktiviert. Alles verlief ganz normal. Nachdem alles aktuell war, habe ich die Software aufgespielt. Alles war ganz normal. Dann wollte ich auch wieder das WLAN aktivieren, und ab da fingen die Probleme an. Das LAN hatte ich deaktiviert. Irgendwie ließ sich nie eine Verbindung aufbauen. Habe die WLAN-Karte mehrmals in dem Gerätemanager gelöscht und die Treiber wieder neu Installiert. Irgendwann funktionierte es schließlich doch. Dachte, schön endlich alles geschafft. Da das Internet über LAN schneller ist als über WLAN, wollte ich das LAN auch wieder aktivieren. In dem Moment, wo ich das LAN aktiviert habe, kam die Meldung, dass das Protect abgeschaltet wurde. Das wollte ich natürlich nicht. Habe gleich LAN und WLAN deaktiviert. Das Protect ließ sich nicht mehr starten. So habe ich die Fritzsoftware deinstalliert und wieder neu installiert. Kein Erfolg. Daraufhin habe ich nochmals deinstalliert und alles in der Registrie von AVM und Fritz gelöscht. Auch unter Anwendungsdaten habe ich das Fritzverzeichnis gelöscht. Und dann habe ich es noch einmal neu installiert. Und siehe da, es funktioniert wieder. Allerdings gab es bei der Installation komische Zeichen im Text des Installationsfensters. Und in der Taskleiste macht sich hin und wieder so ein kleines Fenster im Hintergrund auf (siehe Bild 1). Auch der Lautstärkeregler hat komische Sachen gemacht. Dann sind plötzlich 2 da und man kann sie nicht schließen, oder er ist hinter der Taskleiste und so tief, dass man gar nicht an den Regler kommt (in der Taskleiste angeklickt – beim Doppelklick öffnet sich ja das erweiterte Einstellungsfenster, So konnte ich trotzdem die Lautstärke regeln.) Bin jetzt ziemlich unsicher ob der Virus auch wirklich weg ist. Virenscanner finden nichts. Der Bootcode war aber nicht von DOS oder Microsoft (mit bootkit_remover aber wieder korrigiert – benutze keinen Bootmanager, da nur XP und auch nur eine Partition) Habe von einem Bekannten gehört, dass hier sehr fähige Leute sind und mir wohl weiterhelfen könnten. Habe nach Anweisung erst den defrogger ausgeführt. Allerdings kam keine Aufforderung zum Neustart. Habe dann auch keinen durchgeführt. Einfach oben rechts auf X und geschlossen. Hier das defrogger_disable.log: defogger_disable by jpshortstuff (23.02.10.1) Log created at 19:45 on 10/10/2011 (Pilo) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- Dann habe ich wie gefordert das OTL ausgeführt: OTL.txtOTL Logfile: Code:
ATTFilter OTL logfile created on: 10.10.2011 19:56:56 - Run 1 OTL by OldTimer - Version 3.2.29.1 Folder = C:\Dokumente und Einstellungen\Pilo\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 894,05 Mb Total Physical Memory | 585,73 Mb Available Physical Memory | 65,51% Memory free 2,12 Gb Paging File | 1,80 Gb Available in Paging File | 85,20% Paging File free Paging file location(s): C:\pagefile.sys 1344 2688 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,52 Gb Total Space | 65,05 Gb Free Space | 87,29% Space Free | Partition Type: NTFS Computer Name: ASTRID | User Name: Pilo | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.10.10 19:49:13 | 000,582,656 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Pilo\Desktop\OTL.exe PRC - [2011.07.21 12:08:02 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011.05.09 05:42:04 | 000,428,200 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe PRC - [2011.04.21 07:53:10 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2011.04.21 07:52:51 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2011.04.21 07:52:36 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2011.01.17 18:50:34 | 011,322,880 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.exe PRC - [2011.01.17 18:50:34 | 011,314,688 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.bin PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2007.10.17 15:02:50 | 001,114,112 | ---- | M] (Ralink Technology, Corp.) -- C:\Programme\RALINK\Common\RaUI.exe PRC - [2007.09.11 15:50:28 | 000,804,144 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\StCenter.exe PRC - [2007.09.07 11:06:46 | 001,070,384 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\FwebProt.exe ========== Modules (No Company Name) ========== MOD - [2011.10.09 15:06:43 | 000,985,088 | ---- | M] () -- C:\Programme\OpenOffice.org 3\program\libxml2.dll MOD - [2011.07.21 15:12:30 | 000,355,688 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2006.07.12 14:36:36 | 001,167,360 | ---- | M] () -- C:\Programme\RALINK\Common\acAuth.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- -- (HidServ) SRV - [2011.07.21 12:08:02 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.05.09 05:42:04 | 000,428,200 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService) SRV - [2011.04.21 07:52:51 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2007.09.04 10:14:34 | 000,087,344 | ---- | M] (AVM Berlin) [Disabled | Stopped] -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE -- (IGDCTRL) ========== Driver Services (SafeList) ========== DRV - [2011.07.21 12:11:12 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011.07.21 12:11:11 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2009.10.08 17:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.09.29 16:05:15 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2007.12.12 15:44:42 | 000,989,696 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV) DRV - [2007.12.12 15:44:42 | 000,730,112 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf) DRV - [2007.12.12 15:44:42 | 000,209,152 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys -- (HSFHWAZL) DRV - [2007.12.12 15:43:46 | 000,714,240 | ---- | M] (S3 Graphics Co., Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\S3gIGPm.sys -- (S3GIGP) DRV - [2007.11.14 17:14:02 | 004,625,408 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2007.10.01 12:06:40 | 000,451,968 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rt73.sys -- (RT73) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.10.09 01:49:20 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.10.09 01:55:13 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2011.10.09 01:49:33 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Pilo\Anwendungsdaten\Mozilla\Extensions [2011.10.09 16:31:17 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2011.10.09 15:05:10 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} [2011.10.09 16:31:17 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} [2011.10.09 15:05:01 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2011.09.29 09:09:51 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2011.09.29 03:24:37 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.09.29 03:16:42 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2011.09.29 03:24:37 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.09.29 03:24:37 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2011.09.29 03:24:37 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011.09.29 03:24:37 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2004.08.04 12:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe (Ralink Technology, Corp.) O4 - Startup: C:\Dokumente und Einstellungen\Pilo\Startmenü\Programme\Autostart\FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe (AVM Berlin) O4 - Startup: C:\Dokumente und Einstellungen\Pilo\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1 O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\FRITZ!DSL\\sarah.dll () O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin) O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH) O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin) O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin) O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH) O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin) O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{5081AB40-76DB-4E15-987C-F1931349BE22}: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2011.10.08 21:37:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789) ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\INF\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE NetSvcs: 6to4 - File not found NetSvcs: HidServ - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2011.10.10 19:49:13 | 000,582,656 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Pilo\Desktop\OTL.exe [2011.10.09 23:15:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pilo\Desktop\Tools [2011.10.09 21:19:30 | 000,000,000 | ---D | C] -- C:\Programme\xp-AntiSpy [2011.10.09 21:19:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pilo\Startmenü\Programme\xp-AntiSpy [2011.10.09 21:16:41 | 000,000,000 | ---D | C] -- C:\Programme\DPA SHA Extras.txt OTL Extras logfile created on: 10.10.2011 19:56:56 - Run 1 OTL by OldTimer - Version 3.2.29.1 Folder = C:\Dokumente und Einstellungen\Pilo\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 894,05 Mb Total Physical Memory | 585,73 Mb Available Physical Memory | 65,51% Memory free 2,12 Gb Paging File | 1,80 Gb Available in Paging File | 85,20% Paging File free Paging file location(s): C:\pagefile.sys 1344 2688 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,52 Gb Total Space | 65,05 Gb Free Space | 87,29% Space Free | Partition Type: NTFS Computer Name: ASTRID | User Name: Pilo | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 "DisableNotifications" = 0 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP520_series" = Canon MP520 series "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform "{2457326B-C110-40C3-89B0-889CC913871A}" = AVM FRITZ!DSL "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 26 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3 "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar "{DEE88727-779B-47A9-ACEF-F87CA5F92A65}" = ScanSoft OmniPage SE 4 "{E91E8912-769D-42F0-8408-0E329443BABC}" = Ralink Wireless LAN "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "CanonMyPrinter" = Canon My Printer "CanonSolutionMenu" = Canon Utilities Solution Menu "CNXT_MODEM_PCI_VEN_14F1&DEV_2C06&SUBSYS_14F10000" = Soft Modem with SmartCP "DPASHA" = DPA SHA 1.98 "Easy-PhotoPrint EX" = Canon Utilities Easy-PhotoPrint EX "HijackThis" = HijackThis 2.0.2 "ie8" = Windows Internet Explorer 8 "InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Plattform-Geräte-Manager "Mozilla Firefox 7.0.1 (x86 de)" = Mozilla Firefox 7.0.1 (x86 de) "Mozilla Thunderbird (7.0.1)" = Mozilla Thunderbird (7.0.1) "MP Navigator EX 1.0" = Canon MP Navigator EX 1.0 "VIA Chrome9 HC IGP Family Display" = VIA Display Driver 6.14.10.0099 "Windows XP Service Pack" = Windows XP Service Pack 3 "xp-AntiSpy" = xp-AntiSpy 3.97-11 ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 09.10.2011 08:02:07 | Computer Name = ASTRID | Source = COM+ | ID = 135763 Description = Transaktionen, die zur Unterstützung von Transaktionskomponenten erforderlich sind, konnten von der Laufzeitumgebung nicht initialisiert werden. Stellen Sie sicher, dass MS DTC ausgeführt wird.(DtcGetTransactionManagerEx(): hr = 0x8004d01 Error - 09.10.2011 09:58:21 | Computer Name = ASTRID | Source = PerfNet | ID = 2004 Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen werden nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0. Error - 09.10.2011 14:08:17 | Computer Name = ASTRID | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung fwebprot.exe, Version 2.4.2.0, fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x00036822. [ System Events ] Error - 09.10.2011 10:25:23 | Computer Name = ASTRID | Source = Service Control Manager | ID = 7000 Description = Der Dienst "WebClient" wurde aufgrund folgenden Fehlers nicht gestartet: %%1290 Error - 09.10.2011 12:07:23 | Computer Name = ASTRID | Source = Service Control Manager | ID = 7000 Description = Der Dienst "WebClient" wurde aufgrund folgenden Fehlers nicht gestartet: %%1290 Error - 09.10.2011 13:03:59 | Computer Name = ASTRID | Source = Service Control Manager | ID = 7000 Description = Der Dienst "WebClient" wurde aufgrund folgenden Fehlers nicht gestartet: %%1290 Error - 09.10.2011 13:14:06 | Computer Name = ASTRID | Source = Service Control Manager | ID = 7000 Description = Der Dienst "WebClient" wurde aufgrund folgenden Fehlers nicht gestartet: %%1290 Error - 09.10.2011 13:46:49 | Computer Name = ASTRID | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "wuauserv" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {E60687F7-01A1-40AA-86AC-DB1CBF673334} Error - 09.10.2011 14:46:11 | Computer Name = ASTRID | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "wuauserv" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {E60687F7-01A1-40AA-86AC-DB1CBF673334} Error - 09.10.2011 14:46:14 | Computer Name = ASTRID | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "wuauserv" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {E60687F7-01A1-40AA-86AC-DB1CBF673334} Error - 09.10.2011 17:09:18 | Computer Name = ASTRID | Source = atapi | ID = 262153 Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht geantwortet. Error - 09.10.2011 17:10:12 | Computer Name = ASTRID | Source = atapi | ID = 262153 Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht geantwortet. Error - 09.10.2011 17:11:21 | Computer Name = ASTRID | Source = atapi | ID = 262153 Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht geantwortet. < End of report > Danach habe ich GMER ausgeführt. GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2011-10-10 21:49:53 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Hitachi_HTS541680J9SA00 rev.SB2OC70P Running: rh3g4oj4.exe; Driver: C:\DOKUME~1\Pilo\LOKALE~1\Temp\pwtdrpob.sys ---- System - GMER 1.0.15 ---- SSDT F7AE5304 ZwClose SSDT F7AE52BE ZwCreateKey SSDT F7AE530E ZwCreateSection SSDT F7AE52B4 ZwCreateThread SSDT F7AE52C3 ZwDeleteKey SSDT F7AE52CD ZwDeleteValueKey SSDT F7AE52FF ZwDuplicateObject SSDT F7AE52D2 ZwLoadKey SSDT F7AE52A0 ZwOpenProcess SSDT F7AE52A5 ZwOpenThread SSDT F7AE52DC ZwReplaceKey SSDT F7AE52D7 ZwRestoreKey SSDT F7AE5313 ZwSetContextThread SSDT F7AE52C8 ZwSetValueKey SSDT F7AE52AF ZwTerminateProcess ---- EOF - GMER 1.0.15 ---- Wäre toll schnell etwas zu erfahren. Möchte den Laptop schnell wieder meinen Bekannten geben. Jojo PS: GMER hatte ich schon einmal vorher ausgeführt. Da ich selber mit dem Protokoll nichts anfangen kann, wollte ich doch hier ein Thema eröffnen. Aber der Verlauf ist diesmal anders. Als ich das Programm GMER ohne vorher defrogger gestartet zu haben laufen ließ, hat der Scan sofort gestartet. Jetzt nach der Schritt für Schritt Anleitung kamen nach dem Start des Programms unter in der Leiste schnell ein paar Meldungen (die ich aber nicht lesen konnte) und dann stand alles, dass ich wie in der Anleitung IAT/EAT den Hacken löschen konnte und erst dann den Scan starten konnte. Hallo, habe gerade im Internet etwas über ZeroAccess (Rootkit.Sirefef) gelesen. Dort war ein link zu Bitdefender und ein link direkt zum Download des tools von Malware city. Allerdings konnte ich mit Chrome nicht auf diese Seiten zugreifen. Das Fenster wurde immer gleich geschlossen. Das betrifft jetzt nicht den neu aufgesetzten Laptop, sondern meinen Desktop PC mit Windows XP-Home. Kann es sein, dass ich meinen PC mit dem Virus vom Laptop infiziert habe? Meine Homeversion arbeitet mit eingeschränkten User Rechten. Ich habe Ativir Premium und die Autorunfunktion ist deaktiviert. Ich habe nur txt- und log-Dateien kopiert und an meinem PC angeschaut. Bis zum Zeitpunkt, wo ich die exe-Datei auf dem Laptop gelöscht hatte, war ich mir sicher einen Virus zu haben, da immer eine autorun auf den stick erstellt wurde. Mein Avira hat die aber immer geblockt und ich habe sie gelöscht und den Stick mit Avira überprüft. Die Programme bootkit_remover und TDSS Killer habe ich auf den Stick kopiert, um sie auf dem Laptop auszuführen. Auf meinem PC habe ich diese Programme auf der Festplatte und von dort starte ich sie auch. D.h. ich habe die Programme vom Stick nicht auf meinem PC laufen lassen. Das würde aber bedeuten, dass der Virus sich auch über normale txt- und log-Datei verbreitet. Da alle Sicherheitsanwendungen wie Avira, AVM Protect funktionieren, gehe ich davon aus, dass nur mein Chrome bisher verseucht ist. Chrome halte ich sowieso für sehr suspekt, da ich chrome auch ohne adminrechte installieren konnte. Mit firefox kann ich die besagten links Problemlos öffnen. Hat sich schon jemand meine log-files angeschaut? Jojo |
11.10.2011, 15:43 | #2 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei?Zitat:
Zitat:
Hm, hab jetzt etwas weiter gelesen, du hast also die gesamte Platte löschen können und dann ein XP auch neu installiert bekommen? Wenn ja, sollte jeder Schädling der ursprünglich drauf war auch komplett weg sein. Zitat:
__________________ |
11.10.2011, 17:39 | #3 |
| Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei? Hallo Arne,
__________________die Linuxversionen sind zwar alt, aber sollten dennoch installierbar sein. Für die Bekannten muss schon XP auf dem Laptop bleiben. Eigentlich ist der Laptop für Vista konzipiert. Allerdings wollten sie XP benutzen (da bei VHS Kurse gemacht, ältere Herrschaften). XP-Treiber waren nicht direkt dabei. Aber da viele lieber XP nutzen wollten, wurden später auch XP-Treiber im Internet vom Herrsteller bereitgestellt. Ich selbst wollte nur Linux installieren, weil damit alte Systeme besser gekilled werden können. Habe selbst (paradoxer Weise) vom Microsoftsupport vor 5 Jahren die Anweisung bekommen dieses Linux zu installieren. Das bei einer Neuinstallation alle Viren beseitigt sind ist nicht richtig. Ich habe mit Original CD Windows XP installiert und anschließend war der Bootcode nicht der Code von Microsoft. Microsoft hat mir dann mitgeteilt, dass der Virus im Bios sitzen muss. Ich sollte das Bios flashen. Aber das wurde durch den Virus verhindert. Ich hatte mich dann mit dem Motherbordhersteller verbunden. Aber die konnten mir auch nicht helfen. Die einzige Möglichkeit wäre der Austausch des Bios gewesen. Da der aber nicht gesockelt war (hätte man also auslöten müssen), habe ich mich für ein neues Motherbord entschieden. Für die Microsoftentwickler sollte ich alle Logfiles, Ereignisse und Protokolle mit einem Programm von Microsoft erstellt, zuschicken. Die wollten wohl feststellen wie und was schon bei der Installation manipoliert wird. Was wir (Microsoft und ich) festgestellt hatten war, dass der "Virus" irgendwie auch Teile von sich auf Grafikkarte und Festplatte hinterlegt hat. Das Bios von den Bekannten werde ich jetzt aber nicht versuchen zu flashen. Sollte der Lapi dann nämlich gar nicht mehr funktionieren, bin ich auch noch Schuld. Ich werde den Laptop morgen wieder abgeben und abwarten, wie lange er ohne ernsthafte Probleme läuft. Solange Firewall und Virusprogramm laufen ist der Lapi in meinen Augen o.k. Hast du denn etwas in den Logfiles finden können? mfg Jojo |
11.10.2011, 18:14 | #4 | |||||
/// Winkelfunktion /// TB-Süch-Tiger™ | Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei?Zitat:
Zitat:
Beim Setup wird ein neue Bootcode/MBR geschrieben. Du hast Recht, dass das nicht immer passiert, gerade bei Recovery-Setups hab ich schon oft beobachtet, dass der MBR nicht neu gemacht wird. Zitat:
Also die letzten Wochen kursierte da was rum, dass ein Schädling des BIOS völlig neu flashen könnte. => Die Rückkehr des BIOS-Trojaners | heise Security Zitat:
Zitat:
MS hat zwar steinige aber durchaus mögliche Wege ohne Linux sowas zu bewerkstelligen zu lassen, die Wiederherstellungskonsole ist dir da bestimmt bekannt, deswegen glaub ich einfach nicht, dass MS den Linuxweg vorschlägt
__________________ Logfiles bitte immer in CODE-Tags posten |
12.10.2011, 08:44 | #5 |
| Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei? Zitat: Zitat von heise.de Bisher ist jedoch keinem BIOS-Schädling der Durchbruch gelungen. Vermutlich, weil es einfach zu viele unterschiedliche Mainboards gibt – und somit auch unterschiedliche Wege, das BIOS zu flashen. Das hat man mir vor 5 Jahren auch schon erzählt. Aber ich selbst habe schon ein Dozent PC´s gehabt, wo das Bios nicht mehr geflashed, bzw. ganz geflashed werden konnte. Weiß noch bei einem Acer PC konnte man den Bootbereich nicht flashen. Das Bios war in mehrer Bereiche unterteilt. Hatte mich auch da mit den Herstellern des Motherboards in Verbindung gesetzt. Die haben aber die Zuständigkeit an Acer abgegeben, da die das Bios angeblich firmenspezifisch modifizieren. Und Acer hat auf meine Anfragen nie reagiert. Ein Grund mehr keinen ACER-PC zu kaufen. Fujitsu Siemens dagen ist sehr gut. Das Bios ist gesockelt und man kann heute noch Austausch bekommen. Auch der Service für alte Geräte ist super. Also wer wirklich glaubt, dass das Bios nicht über den Weg des Internets manipuliert wird, tut mir leid. Bereits 2002 habe ich die ersten Erfahrungen damit gemacht. mfg Jojo |
12.10.2011, 16:59 | #6 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei?Zitat:
Dass das BIOS manipuliert werden kann bestreitet niemand, nur sind tatsächliche Fälle wo das auch passiert sind extrem selten! Und ich bin noch nicht wirklich überzeugt, dass dein BIOS tatsächlich mit einer schädlichen BIOS-Version neu geflasht wurde!
__________________ --> Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei? |
Themen zu Probleme bei Neuinstalation (XP)! Ist das System jetzt wirklich Virenfrei? |
0x00000001, afd.sys, avira rescue cd, c:\windows\system32\rundll32.exe, canon, exe-datei, igdctrl.exe, intranet, laufwerk c, mozilla thunderbird, neustart., nicht gefunden, ntdll.dll, plug-in, probleme bei neuinstallation, svchost.exe, tr/crypt.xpack.gen, tr/crypt.zpack.gen2, tr/gendal.kd.371252, tr/kazy.24292, tr/priminay.cox, w32/patchload.a, windows e, windows internet, zeroaccess, zugriff verweigert |