Nachdem ich dank der Hilfe von [GC]Sunny den Virtumonde-Trojaner löschen konnte (Link zum Topic) und Ad-Aware mir bei einem Smart Scan keine Malware mehr anzeigte, habe ich mir zur Sicherheit noch AntiVir installiert. Dieses zeigte mir erschreckenderweise bei einem Systemscan über 20 Funde an, darunter folgende Typen von Viren, Trojanern und Würmern:

TR/Ranky.B1
WORM/Rbot.145920.11
WORM/Rbot.145920.10
TR/Fotomoto.E
TR/Crypt.ULPM.Gen
WORM/Sdbot.52736

Quarantäne und löschen hat nichts gebracht, die Viren kommen in unterschiedlicher Gestalt immer wieder. Ich weiß nicht, wo die Quelle ist und wie sie in mein System gekommen sind, aber ich dachte, mit WinXP SP2 eigentlich vor solchen Schädlingen sicher zu sein.

Die Frage ist: was kann ich jetzt alles unternehmen, um der Lage wieder Herr zu werden? Ganz sicher will ich nicht nochmal formatieren, weil möglicherweise auch meine 2. Festplatte betroffen ist und ich demzufolge kein sauberes Medium für Sicherungen habe.

Wäre nett, wenn mir mal jemand eine Empfehlung gibt. Danke!
Solltet ihr noch Daten (Logs etc.) benötigen, sagt bitte einfach welche und ich werde sie umgehend posten.

du wirst hier hilfe kriegen aber sie dir nie sicher das den auch alles beseitigt ist also die schädlinge hinterlassen spuren .und du meinst du hats 20pfunde

leider neu formatieren

Hallo phantomvirus

Auch wenn Du vordergründig Virtumonde *entfernt* hast, so bleibt doch immer noch ein Restrisiko bestehen.

Bei Adware, und das soll Virtumonde ja laut Beschreibung sein, ist es prinzipiell möglich, diese durch entprechende Removal-Tools zu entfernen, aber ob das in jedem Fall 100 %ig gelingt, wage ich zu bezweifeln.

Spätestens dann, wenn durch die Browser-Lücke (BHO im IE) aktiv weitere Schädlinge nachgeladen werden. Das ist ohne weiteres möglich, schau hier:

ADSPY/Virtumonde.B - Vollständig

Zitat:

Quarantäne und löschen hat nichts gebracht, die Viren kommen in unterschiedlicher Gestalt immer wieder.

Sollte es sich in der Tat um die gemeldeten Schädlinge handeln, kannst Du dieses Ungeziefer (Backdoor-Trojaner, Würmer) mit herkömmlichen Mitteln, also mit einem Removal-Tool, nicht entfernen, Punkt. Das geht nur durch format : C, nichts sonst.

Siehe auch hier folgende Links, warum man im Zweifel formatieren sollte:

Homepage von Malte J. Wetz

oder hier, diese Link stammt von MS, dem Hersteller Deines OS:

Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun? – Microsoft TechNet: Rubrik Sicherheitsverwaltung

Zitat:

Ich weiß nicht, wo die Quelle ist und wie sie in mein System gekommen sind, aber ich dachte, mit WinXP SP2 eigentlich vor solchen Schädlingen sicher zu sein.

Es sieht nach einer Browser-Lücke aus, da sich die Malware als BHO (sog. 02-Einträge = BrowserHelperObject) im IE *eingeklinkt* hat. Durch die Systemnähe des IE zu Deinem Betriebssystem haben Schädlinge bei Lücken im Browser dann natürlich leichtes Spiel. War Dein Betriebssystem eventuell nicht auf dem neuesten Stand? Stichwort: MS Updates! Bist Du mit dem Browser in der aktuellsten Version gesurft? Wie schaut es mit Java, Plugins etc. aus? Hast Du vielleicht mal mit dem IE Seiten aufgerufen, die über FF nicht darstellbar waren, oder bei einer anderen Gelegenheit den IE benutzt?

Siehe hierzu die Prozeß-Info zur fraglichen Datei *awtqp.dll*, die Du damals im HijackThis-Logfile hattest:

awtqp.dll Windows Prozess - Was ist das?

Es wäre natürlich viel besser gewesen, den genauen Infektionsweg zu kennen, schon alleine aus dem Grund, um für die Zukunft *gewappnet* zu sein, sonst könnte diese Infizierung genauso oder in ähnlicher Form wieder passieren.

Und nein, SP2 ist zwar zwingend, aber nur das alleine hilft Dir nicht, *sicher* zu sein. Hierzu gehören einige Verhaltensweisen, die Du in ihrer Gesamtheit allesamt befolgen mußt! Machst Du das nicht, oder vernachlässigst nur eine Sache, oder Du verläßt Dich stattdessen auf irgendwelche sog. *Schutzprogramme*, wirst Du früher oder später wieder Probleme bekommen.

Ein lesenswerter Link ist dieser hier:

Homepage von Malte J. Wetz

Zitat:

Die Frage ist: was kann ich jetzt alles unternehmen, um der Lage wieder Herr zu werden? Ganz sicher will ich nicht nochmal formatieren, weil möglicherweise auch meine 2. Festplatte betroffen ist und ich demzufolge kein sauberes Medium für Sicherungen habe.

Format : C, wie ich oben schon schrieb, auch wenn Dir das nicht schmeckt. Wenn Du Bilder, Filme, Texte sichern möchtest, mache das bitte nicht über einen USB-Stick (nichts mehr an den PC anstöpseln), sondern über eine Live-CD ála BartPE.

Link:

Bart's Pe-Builder - Live Windows von CD/DVD

Diese aber von einem sauberen System aus laden. Mit dieser greifst Du sodann auf Deinen Rechner zu. Die zu sichernden Dateien, wie ich oben schon schrieb (Texte, Bilder, etc.) am besten auf CD/DVD brennen. Nicht sichern darfst Du Programm- oder Installationsdateien, die sind tabu. Vor der Sicherung bitte alle Dateiendungen sichtbar machen.

Link: sicher-ins-netz.info - So schützen Sie Ihr System richtig ---> Punkt B.) c)

Bezüglich zukünftiger Sicherungen, schaffe Dir ein Image-Programm und eine 2. externe HDD an, dort regelmäßig ein Backup der Systempartition machen, das spart Zeit und Nerven. Ein Zurückspielen des Image dauert ca. 10-15 Minuten. Formatieren und Installieren und konfigurieren hingegen.........

Falls Du noch Fragen hast, helfe ich Dir gerne weiter.

Gruß

Also gut, ich finde mich damit ab, dass es keinen besseren Weg gibt, als noch einmal komplett zu formatieren. Habe soeben eine Datensicherung vorgenommen und bin jetzt soweit, dass ich Windows neu aufspielen kann. Dazu habe ich noch ein paar Fragen, hoffe ihr könnt sie mir beantworten.

Meine Datensicherung befindet sich auf einer zweiten Festplatte. Es kann sein, dass dort noch Reste von Würmern und Viren sind, weshalb ich mir Folgendes gedacht hab:

im Bios schalte ich die zweite Platte aus und formatiere die erste (vielleicht sogar Low Level). Dann installiere ich auf dieser WinXP und alles, was nötig ist, um den Rechner vor weiteren Angriffen zu schützen. Erst, wenn alles 'sicher' ist, schalte ich die zweite Festplatte wieder ein und reinige diese (starte aber keine gefährlichen .exe-Dateien).

Ist diese Vorgehensweise soweit ok? Gibts vielleicht eine bessere?

Und was ich unbedingt wissen muss: welche Schritte (in welcher Reihenfolge) muss ich unternehmen, wenn das Betriebssystem aufgespielt ist? Welche Software installieren, welche Dienste ausschalten etc.?

Wäre super, wenn ich darauf bis morgen eine Antwort bekommen könnte, danke im Voraus!

Hi phantomvirus

Zitat:

Meine Datensicherung befindet sich auf einer zweiten Festplatte. Es kann sein, dass dort noch Reste von Würmern und Viren sind, weshalb ich mir Folgendes gedacht hab:

Was genau meinst Du mit *Datensicherung*? Ein Backup der Systempartition? Wohl nicht, ich denke mal eher, daß Du dort Deine privaten Dateien hast, oder?

Sollte das so sein, würde ich die Daten, die Du unbedingt behalten willst, so sichern, wie ich es in meinem vorherigen Post beschrieb, (alle Dateiendungen sichtbar machen, Zugriff nur über eine Live-CD = BartPE), und dann auf CD/DVD brennen.

Danach "C" formatieren, (langsame Formatierung und NTFS, ist Dir aber eh klar, nehme ich an) , danach das Betriebssystem und die Treiber installieren.

Auf Deiner Win-XP-CD sollte SP2 drauf sein, oder?

Nutze hierfür den letzten von mir geposteten Link, *Sicher-ins-Netz* von Markus Klaffke, dort werden Dir alle relevanten Informationen sehr gut verständlich dargelegt.

Zitat:

Erst, wenn alles 'sicher' ist, schalte ich die zweite Festplatte wieder ein und reinige diese (starte aber keine gefährlichen .exe-Dateien).

Hm, was meinst Du mit *reinigen*? Wieder mit so einem Removal-Tool? Wenn Du Dir schon so viel Arbeit machst, dann mache Nägel mit Köpfen und formatiere nach Deiner Systempartition auch diese, nur dann kannst Du sicher sein, daß alles wieder ok ist. Oder ich hab Dich jetzt falsch verstanden und Du meintest auch hier formatieren mit *reinigen*??

Ich wünsche Dir viel Erfolg bei Deiner Aktion.

Und denke für die Zukunft an meinen Rat, besorge Dir eine externe HDD, sofern Du die noch nicht hast, und ein Image-Programm wie AcronisTrueImage, kostet ca. 50 Euro. Evtl. auch noch als ältere Version auf einer Heft-CD vorhanden. Glaub mir, wenn Du das beherrschst, damit umzugehen, möchtest Du es nie mehr missen und fragst Dich, warum Du das nicht schon von Anfang an so gemacht hast.

Grüße

So, habe jetzt Folgendes gemacht:

Alle wichtigen Daten habe ich auf die 2. Festplatte geschoben (~250Gb), danach habe ich diese abgestöpselt und die erste low level formatiert. Anschließend habe ich 2 Partitionen eingerichtet, eine für das Betriebssystem und die andere für Programme etc.

Auf der Betriebssystem-Partition habe ich Windows XP (mit SP2) installiert und (nach nervigen Telefonaten mit Microsoft wegen der Aktivierung) alle aktuellen Updates installiert. Anschließend habe ich mit XP Antispy noch einige Einstellungen vorgenommen, mit win32sec alle nicht benötigten Dienste abgeschaltet, Ad-Aware und Antivir installiert, mit beiden Scans durchgeführt usw. usf.

Die Windows-Firewall ist an, außerdem nutze ich Firefox zum surfen (wie vorher auch), Thunderbird für E-Mails.

Das Problem ist nur: sobald ich meine zweite Festplatte mit den gesicherten Daten anschließe, könnten doch von dieser potentiell Viren auf mein zum jetzigen Zeitpunkt sauberes Laufwerk übertragen werden oder nicht? Die Lösung mit Bart's PE Builder kommt leider nicht in Frage, weil einige Daten (Videos im DV-Format z.B.) >10Gb groß sind. Selbst bei einer perfekten Aufteilung wären das fast 60 (!) DVD-Rohlinge, die ich bräuchte, um alles zu sichern. Es muss doch einen anderen Weg geben wie ich die Platte säubern kann, ohne gleich formatieren zu müssen (denn dann wären die Daten weg). Was kann ich also noch tun?

Eine externe HD werd ich mir wohl oder übel besorgen müssen, denn nochmal tu ich mir diesen Stress nicht an. Ist schon wieder fast ein ganzer Tag dafür draufgegangen.

Eine Frage, die daran anschließt:
Mir hat jemand gesagt, dass diese Trojaner und Würmer nur gefährlich wären, wenn sie bereits aktiv in meinem System sind, ich also z.B. eine ausführbare Datei gestartet habe, die infiziert war bzw. als Träger des Virus fungierte. Wenn ich jetzt meine zweite Festplatte anschließe und die Dateien mit AntiVir scanne, würde das ausreichen, um sagen zu können, ob die Daten 'clean' sind? Oder könnte allein beim Anschluss der HD schon der eine oder andere Virus ins System gelangen so wie das früher bei den Bootsektor-Viren war?