Hallo ihr da draussen.
Zunächst und vorab ein dickes Lob an die Helfer, die hier unterwegs sind !
Hier wurde mir schnell, kompetent und umfassend geholfen. Und das so allgemein verständlich, dass es keinerlei Probleme gab.
Das ist nicht überall so und dafür möchte ich an dieser Stelle ein dickes DANKE sagen !!!!!!!!

Meine Frage ist:

Wenn mein System sich nicht auffällig verhält und so arbeitet wie immer, wenn auch ein Antivirenprogramm keinen Alarm schlägt, so kann es doch durchaus sein, dass mein Rechner befallen ist. Oder sehe ich das falsch ?
Sicherlich gibt es Trojaner, die so unauffällig arbeiten, dass sie eben NICHT auffallen.
Nun könnte man ja in regelmäßigen Abständen HijackThis benutzen, aber wie erkenne ich denn an diesem Log, wo der Teufel im Detail sitzt ?
Gibt es für Nicht-Profis überhaupt eine Chance dieses Log zu deuten ?

Wenn ich die Threads hier verfolge so stelle ich fest, dass sehr oft Dateien aus dem Systemverzeichnis überprüft werden sollen.
Das ist an sich kein Ding, nur was macht die Dateien verdächtig ?

Wenn es für Nicht-Profis nicht möglich ist zu erkennen, wo der Befall sitzen könnte hieße das, dass man alle Dateien dieser Verzeichnisse scannen müsste.
Ach du lieber Gott, dass wollen wir doch alle nicht......

Woran erkenne ich, ob Handlungsbedarf besteht ??

ich denke mal, wenn du dein system erfolgreich (ohne funde) von einem antivirenprogramm, einem antispywareprogramm, hijackthis und einem rootkitscanner durchsuchts, bist du clean!^^
natürlich gibt es keinen 100% schutz, doch da ich als Hintergrundwächter bei mir immer Brain 1.0 am laufen habe, kann ich mich recht sicher im netz bewegen!
zuden hjt-logs:
ja, das geht lange bis man da einfach rüberschaun kann und promt eine lösung bietet! sonst ist google dein freund

Einige Befälle lassen sich im Log recht leicht erkennen:
zb Swizzor...

Zitat:

O4 - HKLM\..\Run: [plan load film pop] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OkayDrawPlanLoad\dale kind.exe
O4 - HKLM\..\Run: [01FlagAimDate] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Popcoal01flag\Chic thunk.exe

Leerzeichen in der .exe sind schon fast eindeutig. Ebenso konnte man vundo bisher relativ einfach an seinen 020-Einträgen erkennen.

Zitat:

O20 - Winlogon Notify: cbxxwxw - C:\WINDOWS\SYSTEM32\cbxxwxw.dll
O20 - Winlogon Notify: wnccf32 - C:\WINDOWS\SYSTEM32\wnccf32.dll

Wie du aber gemerkt hast, waren diese Einträge bei dir nicht da. Man muss also flexibel sein.

Auswerten ist eigentlich Übung. An sich muss man alle Einträge die man nicht kennt, entweder selbst überprüfen (castlecops, google, etc.) oder man lässt sie vom TO überprüfen. Macht man das schon etwas länger, so kennt man einen Großteil der Programme die auftauchen, das meiste sind Virenschutzprogramme, Autostarteinträge von Adobe, Java, Winamp... etc, die kann man sozusagen selbst als "gut" erkennen. Wo Zweifel bleiben lässt man überprüfen, lieber mal ne Datei zuviel überprüft, als etwas übersehen.
Es gibt natürlich auch Einträge die sofort "MALWARE" schreien. Namen, die an Systemdateien erinnern sollen, zb scvhost (statt svchost), winupdate.exe, winupdates.exe ...
Allerdings gibt es derart viele Trojaner die derartige Dateinamen nutzen, dass man die Dateien dennoch auswerten lassen muss um zu wissen, womit man es zu tun hat.
EDIT: und man darf natürlich nicht aufhören, wenn man einen auffälligen Beitrag gefunden hat. Es befindet sich häufig mehr als ein Trojaner aufm Rechner.

Aha, das hilft schon einmal weiter.
Da mich das Thema an sich brennend interessiert, werde ich einfach still mitlesen in diesem Board, weil man was diese Thematik betrifft sicherlich nicht genug wissen kann.
Und im übrigen ist es auch irgendwie eine Herausforderung das Sytem sauberzuhalten / sauber zu bekommen.

Und blöder wird man davon auch nicht.....


Danke für die schnellen Antworten, ich vertiefe mich dann mal in das Board und dann in mein System.....