Ok, ziehe das System neu auf.
Allerdings weis ich noch nicht, wie ich ca. 90 GB Daten auf DVD oder ähnlichem sichern soll.

Zu der Sicherung der Malware. Es fehlen mir noch:

Zitat:

Sat Jan 01 15:33:49 2005 => File D:\System Volume Information\_restore{ECFBD8DB-174B-44DE-9C3E-74829FB1CA4F}\RP13\A0002524.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken.
Sat Jan 01 15:33:49 2005 => File D:\System Volume Information\_restore{ECFBD8DB-174B-44DE-9C3E-74829FB1CA4F}\RP13\A0002525.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken.
Sat Jan 01 15:33:50 2005 => File D:\System Volume Information\_restore{ECFBD8DB-174B-44DE-9C3E-74829FB1CA4F}\RP13\A0002526.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken.

Hier ist mir der Zugriff auf den Ordner "System Volume Information" verweigert.

Zitat:

Sat Jan 01 14:52:52 2005 => File C:\Dokumente und Einstellungen\Allgemein\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DIVKLYF\tbd_web[1].htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:53:11 2005 => File C:\Dokumente und Einstellungen\Allgemein\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GPERKDEF\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:53:55 2005 => File C:\Dokumente und Einstellungen\Allgemein\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X4SJHLK9\Fix[1].exe infected by "Backdoor.Win32.Ciadoor.13" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:56:17 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:56:17 2005 => File C:\WINDOWS\Downloaded Program Files\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.

Diese Daten sind einfach nicht zu finden.

@chaosman
Hab die Anleitung schon verstanden. Systemwiederherstellung ist bei mir eifach nicht vorhanden.

Stefan

Hallo Luxor,

die Dateien in dem Ordner File D:\System Volume Information\_restore wirst und kannst Du so ohne Weiteres nicht finden, der Ordner ist schreib- und lesegeschützt. Aber das ist auch nicht so wichtig, denke ich. Soweit ich weiss, sind es doppelte Dateibestände, die in diesem Ordner abgelegt werden. Mit diesem Ordner kann man - normalerweise - sein System retten .. wenn man denn über eine intakte Systemwiederherstellung verfügt. Verbessert mich, wenn ich Unfug schreibe.

Und diese Dateien sind schon zu finden:

Zitat:

Sat Jan 01 14:52:52 2005 => File C:\Dokumente und Einstellungen\Allgemein\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DIVKLYF\tbd_web[1].htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:53:11 2005 => File C:\Dokumente und Einstellungen\Allgemein\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GPERKDEF\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:53:55 2005 => File C:\Dokumente und Einstellungen\Allgemein\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X4SJHLK9\Fix[1].exe infected by "Backdoor.Win32.Ciadoor.13" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:56:17 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.
Sat Jan 01 14:56:17 2005 => File C:\WINDOWS\Downloaded Program Files\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.

Sie befinden sich zum Grossteil in Deinen Temporary Internet Files. Versuch's mal so: öffne die Temporary Internet Files/Downloaded Program Files -> suchen -> Treffer markieren/kopieren und in einen neuen Ordner übertragen. Weisst Du wie man neue Ordner erstellt? Schau hier.

Zitat:

Zitat von luxor

Allerdings weis ich noch nicht, wie ich ca. 90 GB Daten auf DVD oder ähnlichem sichern soll.

Schau Dir dann bitte dieses Programm an: BackUp Maker. Es ist kostenlos und sehr einfach in der Handhabung. Damit kannst Du ein Back-Up des Rechners erstellen, vorausgesetzt Du hast genug DVD's. Das Programm brennt, soweit ich weiss, die Bestände auch auf die DVD's. Es geht ziemlich schnell, es gibt eine Funktion mit der Du nur die Verzeichnisse anzugeben brauchst, den Rest macht das Programm alleine. Ich habe es ebenfalls, daher kenne ich es.

Mache aber bitte nicht den Fehler, das back-Up wieder auf den formatierten Rechner hochzuspielen ... bevor Du das verwendest, musst Du erst Lutz Rat zur Datensicherung befolgen.

SD

Generell solltest du bei der Sicherung auf ausführbare Dateien verzichten. Musik- oder Videofiles kannst du jedoch ziemlich gefahrlos sichern.
mfg Haui

Hey, für was haltet ihr mich, ich sitz nicht gerade zum ersten mal vor einem Comptuer. Da sind keine Dateien, zumindest nicht für mich sichtbar. Da seien müssen sie wohl schon weil wenn ich die Dateien mit "ausführen" aufruf (ich weis, das ich das nicht tuen sollte) reagieren sie. Aber in den Ordnern in denen sie seien sollten sind sie nicht vorhanden. Im Verzeichnis Temporary Internet Files gibt es bei mir nicht einmal Unterordner und auch im Verzeichnis selbst sind die Dateien nicht. Ich hab selber geschaut und Windows suchen lassen.
Das Programm BackUp Macker kenn ich. Es geht mir aber nicht darum ein Backup zu machen, sondern ich habe keinen Bock 90 GB zu brennen. Kann man nicht auf einer seperaten Partition, die die nur mit Daten belegt ist, Daten belasssen, während man die Systempartitionen löscht. Wenn man Lutz liest wohl nicht. Ginge es dann zumindest eine weitere Festplatte anzuschliesen, dorthin Daten zu überspielen und mit dieser Festplatte dann so zu verfahren, wie Lutz es für die CDs empfielt. Vielleicht liese sich auch etwas über Netzwer machen, dass wäre auch vorhanden.

Willst du jetzt eigenlich die Vierendateien so weit ich sie nun habe? Vielleicht ergänzt sich der Rest ja übers Internet ganz alleine.

Zitat:

Zitat von luxor

Da sind keine Dateien, zumindest nicht für mich sichtbar. Da seien müssen sie wohl schon weil wenn ich die Dateien mit "ausführen" aufruf (ich weis, das ich das nicht tuen sollte) reagieren sie. Aber in den Ordnern in denen sie seien sollten sind sie nicht vorhanden. Im Verzeichnis Temporary Internet Files gibt es bei mir nicht einmal Unterordner und auch im Verzeichnis selbst sind die Dateien nicht. Ich hab selber geschaut und Windows suchen lassen.

siehst Du die Unterordner auch nicht, wenn Du dies machst: "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

Zitat:

Zitat von luxor

Kann man nicht auf einer seperaten Partition, die die nur mit Daten belegt ist, Daten belasssen, während man die Systempartitionen löscht.

Das geht schon, es ist aber anzunehmen, dass das gesamte System betroffen ist ... was sagt Ihr dazu?

Zitat:

Zitat von luxor

Ginge es dann zumindest eine weitere Festplatte anzuschliesen, dorthin Daten zu überspielen und mit dieser Festplatte dann so zu verfahren, wie Lutz es für die CDs empfielt.

Das geht auch, aber Du musst davon ausgehen, dass alles was Du von diesem verseuchten System rüberrettest - wohin auch immer - verseucht sein kann.

Zitat:

Zitat von luxor

Vielleicht liese sich auch etwas über Netzwer machen, dass wäre auch vorhanden.

Auf KEINEN Fall!!! Du müsstest mit Deinem Rechner eigentlich schon längst aus dem Netzwerk sein. Dein Rechner ist eine Gefahr für alle, die mit Dir Kontakt haben. Sorry, aber es ist nicht anders.

Zitat:

Zitat von luxor

Willst du jetzt eigenlich die Vierendateien so weit ich sie nun habe?

Danke nein, ich will diese Dateien ganz und garnicht. Aber wir haben Fachleute an Board, die mit diesen Beständen umgehen können und herausfinden, was das eigentlich ist, was Du da auf dem Rechner hast.

Zitat:

Zitat von luxor

Vielleicht ergänzt sich der Rest ja übers Internet ganz alleine.

... wie meinst Du das? Das verstehe ich nicht.

Zitat:

Zitat von luxor

Da seien müssen sie wohl schon weil wenn ich die Dateien mit "ausführen" aufruf (ich weis, das ich das nicht tuen sollte) reagieren sie.

Vorbildlich. Das machst Du prima.[1]

Zitat:

Es geht mir aber nicht darum ein Backup zu machen, sondern ich habe keinen Bock 90 GB zu brennen.

Es geht hier nicht um Bock haben oder nicht. Es geht vielmehr um die Entsorgung eines gekapertern PCs.

Cobra

[1] Ja, das war purer Sarkasmus.

Wow, hier brennt der Baum.

@ luxor
Ich denke, dass wir die Malware Dateien nicht mehr brauchen, da ja zwei unserer Member bereits im Besitz dieser sind.

Dein Vorhaben bezüglich Datensicherung ist sehr waghalsig. Du kannst es zwar probieren, aber letztendlich sehe ich da keinen Sinn, die Daten von A nach B zu schubsen, denn sonst kannst du ja gleich dein System mit einem AV Scanner bereinigen, imho sinnlos.
Ich halte es wie dieses Zitat:

Zitat:

#

Geht man von Manipulationen aus, müssen alle Dateien, die auch ausführbare Inhalte haben können, als schädlich angesehen werden. Eine Aufzählung von Dateitypen mit ausführbarem Inhalt für Windows gibt es hier. Dateien, die wirklich ausschließlich Daten und keinen ausführbaren Code enthalten, müssen, sofern der Inhalt wichtig ist, verifiziert werden, entweder durch Durchsicht oder automatisiert durch geeignete Algorithmen.
#

Lassen sich Daten nicht verifizieren und sind trotzdem wichtig, so hat man Pech. Da angenommen werden muss, dass diese Daten manipuliert sind, sind diese ein Fall für die Mülltonne.
#

Dateien, die ausführbaren Inhalt haben können, müssen genauer analysiert werden. Dies erfordert unter Umständen einen sehr hohen Aufwand. Wird die Analyse nicht durchgeführt, so kann auch ein Programm zur Ansicht der Daten herangezogen werden, das garantiert keine Inhalte ausführen kann, um die Daten gesondert von den ausführbaren Inhalten speichern zu können. Ist beides nicht möglich, so sind diese Dateien ebenfalls ein Fall für die Mülltonne.

Quelle: http://oschad.de/wiki/index.php/Kompromittierung

@ Cobra

Was hat die Boardleitung bis jetzt unternommen?
btw:
Warum kannst du eigentlich keinen User sperren?

Zitat:

Zitat von Cidre

Was hat die Boardleitung bis jetzt unternommen?

CyberStriker ist gesperrt.

Zitat:

Warum kannst du eigentlich keinen User sperren?

Ich bin Moderator, kein Administrator.

Cobra

@ Cidre

die Boardleitung hat genau das getan, was zu tun war. *Fernglas rüberreicht* ... sowas aber auch, vor kurzem habe ich Dich hier vehement verteidigt, nun bist Du selbst von einer vorübergehenden Sehschwäche befallen ...

Ausserdem halte ich es immer noch für besser, wenn wir - das heisst die Virenspezialisten unter uns - die Originalbestände aus den Temporary Internet Files und dem Download-Ordner bekommen könnten ... aber Ihr könnt mir ja widersprechen.

@ Cobra

herzlichen Dank für Deine Anwesenheit und Unterstützung in dieser Sache.

SD

Zitat:

Zitat von Shadowdance

siehst Du die Unterordner auch nicht, wenn Du dies machst: "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre).

Nein seh sie auch dann nicht, das war ja am Anfang mein Fehler, hatte nur versteckte Dateien angezeigt. Da hab ich mich wirklich etwas blöd angestellt.

Zitat:

Zitat von Shadowdance

Das geht schon, es ist aber anzunehmen, dass das gesamte System betroffen ist ... was sagt Ihr dazu?

Ihr?

Zitat:

Zitat von Shadowdance

Das geht auch, aber Du musst davon ausgehen, dass alles was Du von diesem verseuchten System rüberrettest - wohin auch immer - verseucht sein kann.

Ja, da muss ich mit Sicherheit aufpassen. Es handelt sich aber haupsächlich um Videos, Bilder, Musik und Textdateien. Haui45 hat ja geschrieben, da ginge es noch eher.

Zitat:

Zitat von Shadowdance

Auf KEINEN Fall!!! Du müsstest mit Deinem Rechner eigentlich schon längst aus dem Netzwerk sein. Dein Rechner ist eine Gefahr für alle, die mit Dir Kontakt haben.

Hängt ja zur Zeit sonst keiner dran, aber irgendwie muss ich ja noch ins Internet.

Zitat:

Zitat von Shadowdance

Danke nein, ich will diese Dateien ganz und garnicht. Aber wir haben Fachleute an Board, die mit diesen Beständen umgehen können und herausfinden, was das eigentlich ist, was Du da auf dem Rechner hast.

Sorry, ich dachte du wärst Fachmann und wolltest das Ding untersuchen.

Zitat:

Zitat von Shadowdance

... wie meinst Du das? Das verstehe ich nicht.

Da sind ja html Dateien dabei. Vielleicht sind das die Seiten, wo man sich das Ding einfangen kann. Vielleicht ist das ja für einen Fachman auch kontrolliert möglich. Wenn ich die Daten jemanden zum untersuchen zukommen lassen soll müsste das halt in nächster Zeit geschehen, weil ich mich dann mal daran machen werde das System zu formatieren.

Übrigens nochmal Danke für die Hilfe und ich wollte hier bestimmt niemanden angreifen, war nur genervt, weil mich hier jeder wie ein Kleinkind behandelt.

@ luxor

Zitat:

war nur genervt, weil mich hier jeder wie ein Kleinkind behandelt.

Leider müssen wir aber immer davon ausgehen, was auch in den meisten Fällen ja zutrifft. Also posten wir grossteils unsere Hilfestellungen so, dass auch jemand damit klar kommt, der gerademal Word und Excel auf seinen PC öffnen kann.

@ SD

Das Fernglas nehme ich dankend an.
Bin grad eben erst heimgekommen und leider war dies in diesem Thread nicht ersichtlich, das CyberStriker gesperrt worden ist. Natürlich hätte ich im Benutzerprofil erst nachschauen können...

@ luxor

wie ich gerade erfahren habe, kann man im Ordner c:\windows\download program files mit dem Explorer nicht sehen was drin ist. Das geht nur mit einem 'Total Commander' ...

Wenn ich in diesem Thread die Formulierung "Ihr" verwende, dann deswegen, weil ich mich mit den Kollegen hier an Board berate, wir helfen einander gegenseitig. Die Virus-Mail-Addis bekommst Du gleich.

-----------

Und hier nun ein Posting im Auftrag von Warhawk (Mitarbeiter von Spybot Search & Destroy), der sich derzeit im Urlaub befindet und nicht selbst posten kann, da er das PW zum TB nicht mitgenommen hat ... er wollte eigentlich Urlaub machen ...

Warhawk zitiert [22:04]: Hey Leute, ich persoenlich wuerde Dir das Programm "Total Commander" ans Herz legen, da der Explorer z.B. das ActiveX Verzeichnis nur in einer virtuellen Umgebung anzeigt (C:\Windows\Download Program Files), das andere Verzeichnis in Dokumente Einstellungen\... ist VERSTECKT. Dazu musst Du dann einfach den Total Commander in den Einstellungen : Experten Ansicht einschalten.

[22:05] Warhawk: schoene Gruesse aus dem fernen Italien
[22:06] Warhawk: p.s. und ein frohes neues jahr

[22:07] Warhawk: ich denk mal an etwas, was die virtuelle Umgebung anzeigt (...) im Gegensatz zum Total Commander wo man die gesuchten Datein finden kann.

[22:17] Warhawk: noch einfacher geht es mit dem Suspicious Files Packer (link) von der Spybot Seite... Du brauchst nur das Programm starten und im dem Textfeld einfach die Datein mit Pfad angeben: Suspicious File Locator bzw. hier zum Download mit Beschreibung: Suspicious File Locator

-----------

Sende bitte die Dateien passwortgeschützt (mit Angabe des Passworts in der Mail) an detections@spybot.info und partytime-germany.ice@web.de mit Hinweis auf diesen Thread und dem Kennwort "Backdoor.Win32.Ciadoor.13".

SD

@ luxor,

ich wünsche Dir, dass Du diesen Rechner zur Zufriedenheit aller Beteiligten baldmöglichst aus dem Netz nehmen und formatieren kannst.

@ TB-Support-Team

ich muss diese Angelegenheit nun an Euch übertragen. Ich denke, sie ist bei Euch @ liebe Kollegen im Online TB-Support in besten Händen.

Danke an alle, die hier mitgemacht haben. Ich muss offline, aus familiären Gründen.

Lieben Gruss
Shadowdance

So, Leute, die Sache scheint erst zu sein und es scheint wirklich der Baum zu brennen, ich benutze den Konjunktiv, weil ich mich auch schon manchmal verrannt habe, mir also nicht sicher bin.
Ich habe das Teil versucht zu testen, bin aber wirklich noch nicht richtig weiter, ich weiß leider nur, dass das Teil, dass OS zum schlafen bringt, habe schon ein Image benutzen müssen.
Liebe Grüße, Charlie