Hallo

Zitat:

Ist doch sch...egal wie der Virus beseitigt wird. War ja auch nur ein
Lösungsvorschlag meinerseits, auch wenn ihn andere für dämlich halten.

Ich fand es sogar ne pfiffige Lösung.

Zitat:

Bis jetzt ist jedenfalls noch keine andere brauchbare Lösung hier aufge-
taucht.

Wozu? ihr habt ne Lösung geliefert

Zitat:

Mein Rechner läuft auch heute noch ohne Probleme. Neuaufsetzen
kann ja jeder als sicherste Methode für sich selbst entscheiden.

Aber davon auszugehen, dass der Rechner jetzt "sauber" ist nur , weil er keine Auffälligkeiten mehr zeigt konnte kolossal nach hinten losgehen.

Zitat:

Nur, wie lange bin ich danach denn sicher?

Einigermaßen sicher so lange man sich angepasst verhält, bei mir sind es knapp 3 Jahre ohne was

Zitat:

Soll ich jetzt nur um wirklich sicher zu sein jeden Tag neu aufsetzen?

Währe ne Möglichkeit

Zitat:

Das kann ja wohl auch nicht die Lösung sein. Dafür gibt's Spyware und
Virenscanner

Du willst dich blind auf Software verlassen - Schade ich hatte dir mehr zugetraut

Zitat:

Und wer gibt mir denn die Garantie, das ich ihn nicht wieder einfange?

Nur du selbst indem man nicht alles anklickt und ein bisschen gesundes misstrauen an den Tag legt.

Zitat:

Ich würde mir wünschen, das in diesem Forum auch mal unkonventionelle
Methoden nicht gleich als "Dämliche Lösung" verdammt werden, sondern
als eine mögliche Alternative angesehen wird die man mit konventionellen
Methoden vielleicht optimieren kann. Viele Wege führen nach Rom.

Ich geb dir recht, wenn es funktioniert soll es recht sein.

MFG

Hallo!


Ich kann Heidefighter and De-M-oN wirklich danken, dass nun alles wieder funktioniert und es tut mir leid, dass dieser Thread nun wirklich langsam in Machtkämpfe ausartet, das war nicht meine Absicht.

Ich wollte nur recht schnell eine gute Lösung haben, die ich ja auch bekommen habe.

Ich hab allerdings auch eine Verwarnung bekommen, weil ich meine Logs nicht forumgerecht editiert hatte.

Wäre nett, wenn man das vielleicht ganz am Anfang hätte anbringen können, dass es gar nicht zu einer Verwarnung gekommen wäre. Naja, hätte wohl selber auch die Forumregeln durchlesen sollen.


Ich wünsch euch allen alles Gute


Lg Günter

Zitat:

Zitat von TheUlrich

...dass dieser Thread nun wirklich langsam in Machtkämpfe ausartet, das war nicht meine Absicht.

Es geht hier weniger um Machtkämpfe, sondern eher um die mehr als unangebrachte Ausdrucksweise eines gewissen Demons

Zitat:

Ich hab allerdings auch eine Verwarnung bekommen, weil ich meine Logs nicht forumgerecht editiert hatte.

Dein erstes Logfile hatte keine klickbaren Links, das was du zum Ende allerdings nochmal gepostet hattest allerdings schon, sonst hätte der Admin es nicht editiert. Leider ist es nunmal so, dass in HJT-Logfiles aktive Links eine Gefährdung darstellen können und somit müssen alle editiert werden.

Zitat:

Wäre nett, wenn man das vielleicht ganz am Anfang hätte anbringen können, dass es gar nicht zu einer Verwarnung gekommen wäre. Naja, hätte wohl selber auch die Forumregeln durchlesen sollen.

Wie gesagt, das erste hattest du regelkonform gepostet. Die Mitmachregeln werden jedem neuen user dick und fett unter die Nase gehalten und auch wenn ein neuer Thread eröffnet wird, steht alles nochmal da. Aber nichts für Ungut.

Allerdings fand ich es bei deiner sulimo.dat schon etwas verwirrend. Du hast es auf der einen Seite geschafft, sie zu auf Null Byte zu editieren, aber nach meinen Nachfragen nicht hinbekommen sie bei Virustotal auswerten zu lassen, weil sie angeblich nicht mehr da war. Es war auch nichts dergleichen mit "sulimo*.*" im listing.txt aufzufinden. Weder als Datei, noch als Ordner. Du hast sie also als leere schreibgeschütze Datei erneut erstellt, nachdem du in einem Ordner, dessen Namen du nicht nanntest, eine "exit.exe" gefunden hattest.
Was du mit dem Spyware Doctor aufgespürt hast, das würde mich auch mal interessieren. Vllt. könntest du mal davon das Logfile posten und somit für zufällige Fälle mehr Licht ins Dunkle bringen, bevor wieder Dämonen auftauchen...

Das war ja auch gerade das schleierhafte.


Ich konnte die Datei nicht einsehen, deswegen auch nicht zu VirusTotal uploaden.

Wenn ich allerdings mit dem Editor die Datei unter C:\WINDOWS\system32\ speciher lasse, bekam ich den Befehl, ob ich die Datei überschreiben wolle.

Hab das mit sulimo_Delete_Me.... und systems.dat sowie txt gemacht.


Habe mit dem REGEditor die Dateien suchen lasen und sie waren auch mehrfach vorhanden:


nur bei "Sulimo":

ab (Standard) REG_SZ (Wert nicht gesetzt)
ab 000 REG_SZ printer.exe
ab 001 REG_SZ SharedTaskScheduler´s dll
ab 002 REG_SZ sulimo

wenn ich "sulimo.dat" suche:

ab (Standard) REG_SZ (Wert nicht gesetzt)
ab a REG_SZ C:\rapport2.txt
ab b REG_SZ C:\Dokumente und Einstellungen\Günter\Eigene Dateien\rapport2.txt
ab c REG_SZ C:\rapport3.txt
ab d REG_SZ C:\Dokumente und Einstellungen\**\Eigene Dateien\hijackthisNACHT.txt
ab e REG_SZ C:\WINDOWS\system32\sulimo_Delete_Me_Dummy_systems .dat
ab f REG_SZ C:\WINDOWS\system32\systems.dat
ab g REG_SZ C:\Dokumente und Einstellungen\**\Eigene Dateien\REGEDIT.txt
ab h REG_SZ C:\Programme\Firefox Setup 2.0.0.8.exe
ab i REG_SZ C:\WINDOWS\system32\sulimo.dat
ab j REG_SZ C:\Dokumente und Einstellungen\**\Eigene Dateien\hijackthis.log
ab MRUList REG_SZ gdjiefcabh

Danach hab ich Spyware Doctor verwendet und hab vieles löschen können. Das Programm wurde allerdings inzwischen schon wieder entfernt.

Leider hab ich von Spyware Doctor keine Log File, Hauptproblem war: Trojaner.PWS eben knapp 240 Einträge.


Wenn ich jetzt was mit REGEdit suche, finde ich nichts mehr und das System arbeitet einwandfrei, auch SmitFrauFix findet nichts mehr.

Lg Günter

Mich würde mal interessieren was passiert wenn du die Dateien "löschst". Mit dem Avenger kannst du auch Dateidummies erstellen und Kopien der Originalinhalte werden gesichert in einer avenger.zip - die Dateien werden dann quasi wie von @heidefighter auf Null Byte gesetzt. Auch wenn einige Dateien nicht mehr vorhanden sein könnten, acker das hier mal ab:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code: Alles auswählenAufklappen

ATTFilter

Files to replace with dummy:
C:\WINDOWS\system32\sulimo_Delete_Me_Dummy_systems.dat
C:\Windows\System32\sulimo_Delete_Me_Dummy_systems.txt 
C:\WINDOWS\system32\systems.dat
C:\WINDOWS\system32\sulimo.dat
         

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Man hätte von Anfang an mit dem Anvenger diese Datei löschen oder per interner Funktion mit einem "Dummy" ersetzen können, nach einem Neustart hätte man sogar die Möglichkeit den Inhalt der gelöschten Datei übermitteln zu können um so AV-Labs etc. zu benachrichtigen.
Nur leider bin ich aufgrund der Information, dass diese Dateien doch nicht mehr da seien, einen anderen weg eingeschlagen.

Schon gemacht cosinus:

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\sulimo_Delete_Me_Dummy_systems.dat not found!
Replacement with dummy of file C:\WINDOWS\system32\sulimo_Delete_Me_Dummy_systems.dat failed!

Could not process line:
C:\WINDOWS\system32\sulimo_Delete_Me_Dummy_systems.dat
Status: 0xc0000034



File C:\Windows\System32\sulimo_Delete_Me_Dummy_systems.txt not found!
Replacement with dummy of file C:\Windows\System32\sulimo_Delete_Me_Dummy_systems.txt failed!

Could not process line:
C:\Windows\System32\sulimo_Delete_Me_Dummy_systems.txt
Status: 0xc0000034



File C:\WINDOWS\system32\systems.dat not found!
Replacement with dummy of file C:\WINDOWS\system32\systems.dat failed!

Could not process line:
C:\WINDOWS\system32\systems.dat
Status: 0xc0000034



File C:\WINDOWS\system32\sulimo.dat not found!
Replacement with dummy of file C:\WINDOWS\system32\sulimo.dat failed!

Could not process line:
C:\WINDOWS\system32\sulimo.dat
Status: 0xc0000034



File C:\WINDOWS\system32\systems.txt not found!
Replacement with dummy of file C:\WINDOWS\system32\systems.txt failed!

Could not process line:
C:\WINDOWS\system32\systems.txt
Status: 0xc0000034



File C:\WINDOWS\system32\sulimo.txt not found!
Replacement with dummy of file C:\WINDOWS\system32\sulimo.txt failed!

Could not process line:
C:\WINDOWS\system32\sulimo.txt
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Lg Günter

Ok. Es hat keinen Sinn mehr, dann diese Dateien wurden wahrscheinlich schon vom Spyware Doctor oder was auch immer gelöscht.
D.h. diese Dateien sind definitiv nicht mehr auf deinem Rechner.

Die Funde vom Spyware Doctor wären aber interessant!

Die hab ich leider nicht, weil ich nicht weiß, wie man mit Spyware Doctor eine log File anlegt.


Weiß eben leider nur, dass er 244 Einträge mit dem Trojaner.PWS gefunden hatte (hoffe, ich hab die richtigen Kürzel verwendet).

Lg Günter

Ich kenn den spyware doctor leider auch nicht, aber vllt. findest du in den Programmoptionen eine Möglichkeit, dir das Logfile anzeigen zu lassen.

Hallo Cosinus!


Hab gestern versucht, Programm noch mal neu zu installieren und dann die Konfiguration nach der Log File zu durchsuchen, nur leider ohne Erfolg.


Leider hab ich auch keinen Pfad einsehen können, sondern hab nur die Meldungen angezeigt bekommen, was auf dem System ist, aber wie gesagt, nicht wo.

Leider, hast du vielleicht noch einen Scanner der Rückstände finden kann und zerstört, oder sollen wir es damit belassen?


Lg Günter

Ich schätze du kannst es erstmal so belassen. Wenn du auf Nummer sicher gehen willst und evtl. Reste sicher löschen willst, die nicht mehr erkannt werden können, solltest du neu aufsetzen. Ist aber deine Entscheidung, denn eine akute Gefahr geht von deiner Kiste wohl nicht mehr aus. Dennoch solltest du mal das System unter Beobachtung mit versch. Scannern quasi unter "Kreuzfeuer" stellen - effektiverweise am besten auch mal von einem Fremdsystem aus, z.B. der UBCD4WIN, die schon versch. AV-Tools beinhaltet.

Hm, sonst als weiterer Scanner würde mir aber nur noch Online-Virenscanner über ActiveX einfallen. Z.B. der Kaspersky-Onlinescanner (mit Internet Explorer öffnen).

Hallo!


Tut mir leid, dass ich mich erst jetzt wieder melde.


Hab alles mit dem Kaspersky Onlinescanner noch einmal überprüfen lassen und es war alles in Ordnung!


Ich danke euch recht herzlich für eure Bemühungen mir zu helfen.

Es hat alles wunderbar geklappt und wie gesagt, es läuft alles wieder einwandfrei.




Ich werd immer wieder mal gerne vorbei schauen, denn ich finde euer Form sehr interessant, obwohl ich froh wäre, wenn ich eure Hilfe so schnell nicht mehr brauche. LOL


Also, bis bald


Günter