Hi also mein Problem antivir erkennt bei mir immer einen Trojaner (tr/dldr.ba.276652.a) sobald ich eine Internetverbindung herstelle. Ich kann das teil zwar löschen aber 2 min später geht das wieder los der tr. erstell einen ordner namens exefld in c:windows diesen ordner kann ich zwar auch löschen aber irgendwann ist er wieder da und sobald eine internet verbindung steht enthällt er eine oder mehrere exe. datein mit verschiedenen nr. wie z.b. 196812.exe.

Hier mei log file hoffe jemand kann helfen dank im voraus!!!!


LOG:

Logfile of HijackThis v1.99.1
Scan saved at 22:02:21, on 01.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\hldrrr.exe
C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\WINDOWS\system32\hldrrr.exe
C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Dave\LOKALE~1\Temp\Rar$EX02.422\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://smartsurfer.web.de/client/distribution/?partnerid=0&distribution=000000000480&affiliate=0&affiliate_user_input=&version=4.0.0.4&transfererror=0&winver=Win XP SP 2 (obfuscated)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [tunebite.exe] C:\Programme\tunebite\tunebite.exe -hidden
O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - Startup: WEB.DE SmartSurfer.lnk = C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB33B394-EA76-4ED2-9811-C322A14FF01E}: NameServer = 195.71.27.3 193.189.244.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Hallo,

jo du hast dir einen klassisch schönen Wurm eingefangen der sich fleißig repliziert. Er heisst Bagle. Kannst ja mal googeln. Das Ding ist sehr hartnäckig. Wenn du genug Musse hast können wir's probieren allerdings wird das mehr Zeit und Frust kosten als neuaufzusetzen.


Reinfolge:

-Ziehe deinen Internetstecker.

-Sauge dir diese Tool und update es (starten und auf update klicken) MWAVE.

Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

-Fixe folgende Einträge mit HJT:

*C:\WINDOWS\system32\hldrrr.exe*
*C:\WINDOWS\system32\hldrrr.exe*
*R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://smartsurfer.web.de/client/distribution/?partnerid=0&distribution=00000000 0480&affiliate=0 &affiliate_user_input=&version=4.0.0.4&transfererr or=0&winver=Win XP SP 2 (obfuscated)*
*O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe*
*O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe*

-Wechsel danach SOFORT in den abgesicherten Modus (F8 beim Reboot).

-Starte MWAVE. Häkchen bei:

Memory
Start up
Drive -> all local Drive
Registry
System Folders
Services
SCAN ALL FILES

dann auf Scan and remove klicken und laaaaaaaange warten.

Danach bitte das loFile mit Hilfe der find.bat (Anleitung zur find.bat in der Anleitung zu eScan in meiner Signatur) und ein neues HJT log.

Viel Erfolg

Undoreal

Hallo,

@Undoreal

Geht`s noch ?
Verwende wenigstens Google bevor du postest !!

W32/Bagle-KF - Wurm - Sophos Bedrohungsanalyse
Irrlicht

Also erst mal vielen dank für die genau info ich werde mich heute abend mal drüber machen und dir über erfolg oder misserfolg berichten. thx

Ach noch was warum sagt ihr es wäre ein wurm wenn mir antivir einen tr.dldr anzeigt also trojaner ??????????????????

Ich habe das gleiche Problem, bei mir heißt er 'TR/Dldr.Ba.109155.A' [TR/Dldr.Ba.109155.A], wenn ich den Prozess hldrrr.exe aus der Registry nehm, nervt das Ding nicht mehr.

Wie bekomm ich das Teil allerdings langfristig runter?

Danke für die Hilfe...

Hallo,

Zitat:

Wie bekomm ich das Teil allerdings langfristig runter?

Um es kurz zu machen....
nur so !! :http://www.trojaner-board.de/12154-a...sicherung.html
Irrlicht

@irrlicht:

Oder auch anders!

Dazu braucht man folgendes:

- h**p://www.x-ways.net/winhex/index-d.html (WinHex => die Demoversion!),
- h**p://mh-nexus.de/hxd (HxD => Freeware (Version 1.6.1.0),
- nicht infizierten Windows-Rechner,
- externes USB/Firewire/S-ATA-Gehäuse (für die infizierte HD)

Getestet wurde die Anleitung an dem "Trojan.Downloader.Bagle.GD" (BitDefender's interner Name) nachdem BitDefender den größten Schaden "abgewehrt" hatte und vom Trojaner "ausgeknockt" wurde.

Bevor jetzt ein "Nicht die infizierte Platte in einen Rechner einbauen der noch in Ordnung ist" kommt, sei angemerkt, das der Trojan.Downloader.Bagle.GD sich NICHT auf dem sauberen Rechner installiert, da von der infizierten Platte WEDER EIN PROGRAMM GESTARTET NOCH EINE DATEI GEÖFFNET wird!


Ausgangspunkt:

WinXP, SP 2, einige Partitionen werden als unformatiert angezeigt, obwohl noch alle Daten vorhanden sind, BitDefender und einige andere Hilfsprogramme werden am Starten gehindert, Rootkit-Dateien und Registrierungseinträge sind unsichtbar!


Vorgehensweise:

Zuerst den infizierten Rechner herunterfahren und Platte ausbauen auf dem sich die Windows-Partition befindet. Dann die Platte in ein externes Gehäuse einsetzen und an einen anderen Computer anschließen der komplett sauber ist und einen funktionierenden Virenscanner besitzt!

WICHTIGER HINWEIS: NIEMALS(!) eine Datei auf der infizierten Festplatte öffnen! Auch wenn ein Anti-Virenprogramm installiert ist, bedeutet dies nicht unbedingt ein "Rundumschutz" für den Arbeitsrechner auf dem die Platte gesäubert wird!!

Nach dem Hochfahren des Computers wird "WinHex" installiert bzw. gestartet und über "Tools" - "Open Disk..." wird das "Edit Disk"-Auswahlfenster geöffnet. Dort wird das Laufwerk ausgewählt, das die infizierte Windowsversion enthält.

WICHTIG: unbedingt(!) darauf achten, das der Laufwerksbuchstabe stimmt!

Mit "Ok" wird die Auswahl bestätigt und kurz darauf erscheint im oberen Teil des Bildschirms (unterhalb des Menüs und der Symbolleisten) das Hauptverzeichnis des Laufwerks. Als nächstes navigiert man in das "system32"-Verzeichnis indem man ganz normal auf die entsprechenden Einträge klickt (z. B. wie beim Total Commander). Scrollt man nach unten, findet man unter "h" die "hldrrr.exe"!

Da der Eintrag versteckt ist und man im WinHex nur beschränkte Möglichkeiten hat (=> Demo-Version), nutzen wir "HxD" (Freeware Hex-Editor für Laufwerke)!

Wir starten also "HxD" und gehen in der Symbolleiste auf "Datenträger öffnen".

Im Dialog "Datenträger öffnen" klickt man zuerst auf "Schreibgeschützt öffnen", damit der Haken weg ist.

WARNUNG! Alles was geändert und dann gespeichert wird, wird tatsächlich auf der Festplatte geändert!!

Nachdem der Haken weg ist, wählt man das entsprechende Laufwerk aus (gleicher Buchstabe wie unter "WinHex"!!!!!!) und bestätigt mit "Ok".

Unter "Suchen" - "Gehe zu..." kann man ein sogenanntes "Offset" eingeben. Dieses Offset ist (standardmäßig!) eine Hexadezimalzahl und diese ist aus dem "WinHex" zu entnehmen. Hat man nämlich auf die "hldrrr.exe" geklickt, erscheint in der Mitte (unterhalb der Verzeichnisliste) eine Hexadezimale Liste die den Programmcode anzeigt.

Um den richtigen Hexwert zu nehmen, muß man den Wert nehmen, der in der gleichen Zeile unter "Offset" steht wie das "MZ" (standardmäßig 1. Zeile).

Der Wert muß so wie er da steht bei "HxD" eingetragen werden und dann mit "Ok" bestätigt werden. Tipp: am Besten vorher nochmals kontrollieren!

Daraufhin wird dann die entsprechende Stelle gesucht. Leider zeigt "HxD" die Stelle nicht direkt in der 1. Zeile an, so das man hochscrollen muß bis diese ganz oben steht.

ACHTUNG!! Wenn der Offset-Wert der 1. Zeile in "HxD" dem von "WinHex" in der 1. Zeile entspricht UNBEDINGT(!) genau vergleichen, ob beide auch gleich sind!! Eine Änderung könnte fatale Folgen haben.

Wenn beide Auflistungen genau übereinstimmen ist alles ok und eine Änderung bewirkt genau das, was sie soll: der "hldrrr.exe" den "Saft abdrehen"!

Um dies zu erreichen, überschreibt man einfach ab dem "MZ" im "HxD" die Werte mit einer Null! Um sicher zu gehen reicht es, wenn man bis zum Text "This program cannot be run in DOS mode" die Nullen schreibt.

Anschließend speichert man die Änderung.

Der Hinweis der erscheint kann bestätigt werden, da ja kontrolliert wurde das es die richtige Stelle ist und die Änderung gemacht werden soll.

Damit das "Rootkit" nicht weiter die Dateien und Einträge in der Registrierungsdatenbank verstecken kann, suchen wir im "WinHex" den Eintrag "srosa.sys" heraus und gehen genauso vor, wie bei der "hldrrr.exe"!

Als nächstes werden beide Programme beendet, die Festplatte ordnungsgemäß abgemeldet und wieder in den anderen Computer eingebaut.

Um zu gucken, ob die "Operation" geglückt ist, wird der Rechner ganz normal gestartet.

Nun sollten weder die "hldrrr.exe" noch die "srosa.sys" gestartet worden sein. Um das zu kontrollieren sucht man im Registrierungseditor einfach mal den Schlüssel "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" auf. Erscheint dort ein Eintrag bei dem unter "Wert" die "hldrrr.exe" erscheint, so ist das Rootkit erfolgreich gekillt worden und der Eintrag kann gelöscht werden!

Entsprechend muß auch unter "HKEY_LOCAL_MACHINE" bei "Run" ein Eintrag vorhanden sein.

Jetzt kann man auch wieder seine Lieblings-Anti-Viren und Rootkit-Remove-Software nutzen, um Windows von den "Resten" des Schädlings zu säubern.

Hinweis in eigener Sache: ich übernehme keine Garantie und keine Gewähr für diese Anleitung! Sollte es zu einem Datenverlust kommen so übernehme ich keine Haftung dafür.

Ich weise AUSDRÜCKLICH daraufhin, das die Manipulationen an einem Datenträger nur von Personen durchzuführen sind die genau wissen, was sie tun! Daher ist diese Anleitung nicht für Personen geeignet, die nur Grundkenntnisse im Bereich Computer besitzen!!

Sollte jemand nur Grundkenntnisse besitzen und diese Anleitung trotzdem nutzen wollen, so rate ich dieser Person DRINGEND dazu einen Bekannten mit den entsprechenden Kenntnissen zu konsultieren!

Hi,

ich hab ja Achtung vor Bit- und Byte-Tüftlern, aber die Anleitung lass ich nicht unkommentiert. Wenn man die Platte schon in einen anderen Rechenr eingebaut hat, dann kann man die beiden Dateien dort gleich löschen (oder durch einen anderen Inhalt ersetzen), da braucht man keine Hexadezimaleditoren, um die Platte zu editieren.

Man muss die Platte nicht mal in einen anderen Rechner einbauen, mit Blacklight (eventuell noch Avenger) lassen sich die Dateien auch so erledigen.

Das Hauptproblem bei dem Bagle sind die schweren Folgeschäden, die er dem System hinzufügt. Da passt die Anleitung komplett, die Registrydateien mit Winhex überarbeiten dürfte auch eine harte Nummer sein, noch dazu man bei dne gelöschten teilen nicht einmal weiß, was denn für das konkrete System dort einzutragen ist

Zitat:

Ich weise AUSDRÜCKLICH daraufhin, das die Manipulationen an einem Datenträger nur von Personen durchzuführen sind die genau wissen, was sie tun!

Genau die brauchen die Anleitung nicht, denn die fangen sich keinen Bagle. Und falls doch, installieren sie ihr System ratzfatz neu: Denn sie wissen genau, was sie tun

Gruß, Karl

@karlkarl

Zitat:

...dann kann man die beiden Dateien dort gleich löschen (oder durch einen anderen Inhalt ersetzen), da braucht man keine Hexadezimaleditoren, um die Platte zu editieren.

Man muss die Platte nicht mal in einen anderen Rechner einbauen, mit Blacklight (eventuell noch Avenger) lassen sich die Dateien auch so erledigen.

Also ich habe da eine andere Erfahrung gemacht!

Ich hatte mal einen Virus drauf, bei dem die schädliche EXE-Datei sichtbar war! Ich versuchte diese mit dem BitDefender zu löschen. Fehlanzeige! Der BitDefender konnte die Datei nicht entfernen, weil ein Schreibschutz vorhanden war.

Um den Schreibschutz zu umgehen, habe ich also Linux gestartet. Die Windows-Partition wurde mit allen Schreib- und Leserechten (war damals noch FAT32!) unter Linux eingebunden.

Da dachte ich mir:"Ok. Nu isser weg der blöde Virus!". Verzeichnis ausgewählt, draufgeglickt und löschen ausgewählt. Schwups bekam ich die Mitteilung das die Datei nicht zu löschen sei!

Also hab ich "Trick 17" angewandt: Editor geöffnet, Datei geladen, den EXE-Header mit Null überschrieben und wieder gespeichert.

Anschließend konnte ich unter Windows mit dem BitDefender die Datei löschen.

Zurück zu dem Trojaner den ich drauf hatte: er war im Dateisystem nicht sichtbar und somit kann man den dann auch nicht überschreiben! Denn: was Windows nicht "sieht" ist nicht da (in Ausnahmefällen).

Sicherlich funktionieren "Anti-Rootkits". Die Frage ist nur: wie lange? Das mittlerweile eine ganze Latte von Antivirus-Programmen und Anti-Rootkits von den Trojanern geblockt bzw. am Start gehindert werden, zeigt doch deutlich, was für ein gefährliches Potential in den Schädlingen steckt!!

Irgendwann ist es notwendig das man einen sauberen Zweitrechner zu Hause stehen haben muß, damit man dort die verseuchte Platte einbauen kann um sie zu reinigen, weil das Windows so "abgeschottet" ist, das fast gar nichts mehr geht!

Zitat:

...die Registrydateien mit Winhex überarbeiten dürfte auch eine harte Nummer sein...

Ich wüßte jetzt nicht, wo ich geschrieben habe, das man die Registrierungsdatenbank mit WInHex "überarbeiten" soll bzw. darf. Als ich Pfadangaben in der Registrierung angegeben habe, habe ich in dem Zusammenhang auf den Registrierungseditor verwiesen, weil

1) "WinHex" in der Demoversion keine Änderungen am Datenträger speichert und,
2) man die Dateien, die die Registrierung bilden, überhaupt nicht "entschlüsseln" kann um die entsprechenden Werte zu ändern


Eine persönliche Anmerkung habe ich noch: um Personen, die Trojaner die so gefährlich wie die aus der W32.Bagle-Familie sind, auf lange Sicht das "Leben so schwer wie möglich" zu machen, sollten so wenig Informationen wie möglich gemacht werden! Denn: solche Leute lesen die Beiträge in diesem Forum garantiert auch, denn so erfahren sie mehr über neue Anti-Rootkits und diverser anderer Programme die ihre "Vorhaben" erschweren könnten!

Daher halte ich viel davon, wenn man den Tipp gibt: Platte ausbauen und in einem sauberen System reinigen! Denn da hat man Ruhe vor dem Schädling, weil er "friedlich" ist und nicht verhindern kann das Anti-Rootkits und Anti-Virenprogramme im den "Saft abdrehen" und ihn ins Nirwana befördern!!

Zitat:

Daher halte ich viel davon, wenn man den Tipp gibt: Platte ausbauen und in einem sauberen System reinigen! Denn da hat man Ruhe vor dem Schädling, weil er "friedlich" ist und nicht verhindern kann das Anti-Rootkits und Anti-Virenprogramme im den "Saft abdrehen" und ihn ins Nirwana befördern!!

Mal abgesehen davon ,wieso du einen staubigen Thread vom letzten Jahr rauskramen mußtest....

Erst mal muß ich als ONU eine Platte ausbauen können...
Dann muß ich eine zweite Kiste und das nötige Können vorrätig haben....
....und warum ich das nicht gleich mit Knoppix machen kann,erschließt sich mir auch nicht....
Sollte tatsächlich der Schädling "friedlicher" sein ,wenn er samt Platte in einen anderen Rechner muß ?

Deshalb halte ich von deiner Idee gar nix !!
Eine Neuinstallation ist der einfachere Weg und sicherer obendrein,denn ich muß mir keine Sorgen machen eventuell irgend was übersehen zu haben...
Irrlicht

Zitat:

Zitat von DXler

Platte ausbauen und in einem sauberen System reinigen!

Meist würde schon die Wiederherstellungskonsole reichen (gegebenenfalls mit Erweiterung per Richtlinie), aber der übermäßige Einsatz von Software (auch in Form von anderen OSen) scheint bei der Schädlingsbekämpfung Mode zu sein.

Nachtrag:

Zitat:

Genau die brauchen die Anleitung nicht, denn die fangen sich keinen Bagle. Und falls doch, installieren sie ihr System ratzfatz neu: Denn sie wissen genau, was sie tun

Nun. Ich zähle mich mit den mittlerweile 8 Jahren Internet-Erfahrung mal zu denen die "wissen was sie tun". Allerdings kann es auch solchen Leuten passieren, das sie sich einen Virus oder Trojaner einfangen!

Denn: irgendwann ist ein neuer Schädling mal so neu, das jegliche Antiviren-Software machtlos ist! Sicherlich wird im nächsten Update der neue Virus mit aufgenommen, aber das heißt noch lange nicht, das dieser Schutz auch 100 %ig ist!

Mein BitDefender z. B. hat es nur bedingt geschafft den "Trojan.Downloader.Bagle.GD" zu blocken!

Den "Rest" mußte ich von Hand entfernen.

Außerdem: einige haben nicht die Zeit Windows neu aufzusetzen und alles wieder zu installieren, da sie z. B. beruflich auf den Computer angewiesen sind und jede Minute kostbar ist.

Sicherlich kann man sich ein Image von der Installation machen, aber was ist z. B. wenn man sich einen Virus oder Trojaner einfängt der momentan nicht von der Antivirus-Software erkannt wird und man sich dann ein Sicherheits-Image erstellt?

Zitat:

Zitat von DXler

Nun. Ich zähle mich mit den mittlerweile 8 Jahren Internet-Erfahrung mal zu denen die "wissen was sie tun". Allerdings kann es auch solchen Leuten passieren, das sie sich einen Virus oder Trojaner einfangen!

Denn: irgendwann ist ein neuer Schädling mal so neu, das jegliche Antiviren-Software machtlos ist! Sicherlich wird im nächsten Update der neue Virus mit aufgenommen, aber das heißt noch lange nicht, das dieser Schutz auch 100 %ig ist!

Nun der Trick an der Sache mit der Erfahrung ist, dass man nach 8 Jahren eigentlich auch ohne Virenscanner wissen sollte ob sich in der Datei ein Trojaner findet oder nicht.
Das ist dann wieder unabhängig von den Updates von Bitdefender.

Zitat:

Außerdem: einige haben nicht die Zeit Windows neu aufzusetzen und alles wieder zu installieren, da sie z. B. beruflich auf den Computer angewiesen sind und jede Minute kostbar ist.

Und da ist es schneller, die Platte auszubauen, woanders einzubauen, auf der Platte nach allen Spuren zu suchen und mit verschiedenen Tools die Dateien zu verändern?
Da ist ein Neuaufsetzen allemal schneller.

Zitat:

Sicherlich kann man sich ein Image von der Installation machen, aber was ist z. B. wenn man sich einen Virus oder Trojaner einfängt der momentan nicht von der Antivirus-Software erkannt wird und man sich dann ein Sicherheits-Image erstellt?

Na dann nimmst du eben das vorherige Image. Eigentlich reicht ein Image nachdem du alle notwendigen Programme (und möglichst vorm runterladen irgendwelcher illegalen Daten) heruntergeladen hast.
Das Backup deiner Daten solltest du natürlich häufiger Vornehmen, aber das sind dann ja eigentlich auch nicht ausführbare Dateien.

lg myrtille, die sich auch mal einmischen will.

Zitat:

Zitat von DXler

Sicherlich kann man sich ein Image von der Installation machen, aber was ist z. B. wenn man sich einen Virus oder Trojaner einfängt der momentan nicht von der Antivirus-Software erkannt wird und man sich dann ein Sicherheits-Image erstellt?

Ein Image ziehe ich von der Basisinstallation inklusive Treiber, Patches und sämtlicher Anwendungssoftware (inklusive Patches für diesen Zeitpunkt). Daten gehören auf eine Datenpartition. Ich sehe da kein konkretes Schädlingsproblem was einen aus der Fassung bringen sollte.

Wer beruflich auf den Rechner angewiesen ist - und das auch noch dringend - dem ist nicht mehr zu helfen, wenn er versucht seine kostbare Arbeitszeit mit sinnloser Frickelei zu verbringen. Image plus Datenbackup (wenn notwendig) und gut ist. Sollte maximal 15 Minuten dauern. Schädlingsjagd ist im privaten Bereich ja ne kurzweilige Sache, in Produktivumgebungen aber völlig fehl am Platz außer es geht um forensische Aspekte.

Edit:
Der Feinschliff hat mich jetzt die Position gekostet. Aber sei's drum, morgen Katrin