|
Plagegeister aller Art und deren Bekämpfung: Computer nach wiederaufsetzten sauber?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.01.2008, 13:42 | #1 |
| Computer nach wiederaufsetzten sauber? Hier nochmal mein Problem in Kurzfassung: Ich hatte mir über eine ravmone.exe offenbar die Trojaner: TR/Agent.Abt und TR/Agent.AEI.1 (und evtl. andere Konsorten gefangen). Die konnten - nach meinem laienhaften Augenschein zu urteilen - alle von Antivir beseitigt werden. Trotzdem ging ich davon aus, das mein System korrumpiert war und wollte sicher sein. Leider hab ich hierauf keine Antworten bekommen, mich deswegen zur Radikallösung entschieden und mein System nach eurer Anleitung und bestem Wissen und Gewissen neu aufgesetzt (inkl. format c:\) und versucht es bestmöglich abzusichern. Danach habe ich mir sofort die Freeware von Antivir heruntergeladen, aktualisiert und gescannt (da ich jetzt ja davon ausgehen kann, das der Virenscanner nicht mehr von Rootkits o.ä. verarscht werden konnte) - ohne Fund. Leider hab ich außer dem, was ich in den letzten Wochen so gelesen hab, wenig Ahnung, eher gefährliches Halbwissen und deswegen bin ich nicht sicher, ob sich der Trojaner nun vielleicht noch auf meiner anderen Partition D: befindet, oder ob ich die dort gespeicherten Daten (keine Programme!) problem- und gefahrlos nutzen kann (ravmone.exe wurde seinerzeit von Antivir auf jeder Partition und auf jedem USB-Stick gefunden und gelöscht). Also, reicht es, nur die Systempartition zu formatieren um sicher zu sein, oder könnte es mit den anderen Partitionen, auf denen sich nur Daten befinden noch Probleme geben (oder sogar mit den Daten selbst, was natürlich ein Super-GAU wäre)? Habe nämlich noch meinen Arbeitsrechner, der noch nicht neu aufgesetzt ist und bei dem das gleiche Problem herrscht. (Nachzulesen auch sehr detailliert in diesem Forum - dort wird exakt mein Problem beschrieben, vor allem mit dem Zugriff auf Festplatten über den Arbeitsplatz). |
11.01.2008, 16:19 | #2 |
| Computer nach wiederaufsetzten sauber? Jetzt ab ich glatt "korrumpiert" geschrieben, meine natürlich "kompromittiert" - peinlich, aber irgendwie passts ja auch... Da sieht man mal, was für ein Anfänger ich noch bin. (BTW - wo ist hier der "Editier"-Button?)
__________________Wäre wirklich sehr, sehr dankbar, wenn mir jemand helfen könnte. Was ist denn mit dieser HiJackThis-Logfile? Soll ich das mal machen? Danke im Vorraus! EDIT: Strange, jetzt finde ich hier den Edit-Button, im Beitrag davor taucht er nicht auf... Geändert von Reanubis (11.01.2008 um 16:29 Uhr) |
11.01.2008, 21:31 | #3 | |||||||
Gast | Computer nach wiederaufsetzten sauber?Zitat:
Zitat:
Zitat:
Zitat:
Siehe meine Bemerkung weiter oben..... Zitat:
Zitat:
Zitat:
|
11.01.2008, 21:57 | #4 | ||||
| Computer nach wiederaufsetzten sauber? Vielen Dank schon mal für die Antwort! Zitat:
Zitat:
Zitat:
Zitat:
Ok, ich mach mal eine HJT-Logfile und poste sie dann... |
11.01.2008, 22:48 | #5 |
| Computer nach wiederaufsetzten sauber? Hier also mal die HJT-Logfile(s). Als ich sie aus dem Userprofil, dass ich fürs surfen nutze machen wollte, kam während des Scans folgende Meldung: "For some reasons your system denied write access to the Hosts file. If any hijacked domains are in this file, HijackThis may NOT be able to fix this. If that happens, you need to edit the file yourself. To do this, click Start, Run and type: notepad c:\WINDOWS\System32\drivers\etc\hosts and press Enter. Find the line(s) HiajckThis reports and delete them. Save the file as 'hosts.' (with quotes), and reboot. For Vista: simply, exit HijackThis, right click on the HijackThis icon, choose 'Run as administrator'." Ich versteh nur Bahnhof, aber hier mal die Logfile aus dem eingeschränkten Internetkonto: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:29:45, on 11.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Dokumente und Einstellungen\****\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/ O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: kavsvc - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 1945 bytes Ich hab mich dann noch mal im Adminkonto angemeldet und die hier gemacht: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:20:52, on 11.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\atievxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: kavsvc - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 2394 bytes Hoffe ihr findet nichts... |
11.01.2008, 22:57 | #6 |
Gast | Computer nach wiederaufsetzten sauber? Nein, das eingeschränkte Konto nützt nichts zur Analyse, bitte Dein *normales* Konto posten! |
11.01.2008, 23:13 | #7 | ||||
Gast | Computer nach wiederaufsetzten sauber?Zitat:
Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun? – Microsoft TechNet: Rubrik Sicherheitsverwaltung Homepage von Malte J. Wetz Zitat:
Zitat:
Zitat:
Poste das neue Logfile! |
11.01.2008, 23:50 | #8 |
| Computer nach wiederaufsetzten sauber? Die Logfile ist schon im obrigen Posting... hatte da zwei Files gepostet... die untere ist die aus dem Adminkonto... Aber ich poste sie gerne noch mal, dann musst du nicht scrollen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:20:52, on 11.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\atievxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: kavsvc - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 2394 bytes P.S. hab jetzt verstanden warum ich meinem Virenscanner nur bedingt trauen kann.. danke. Diese Trojaner sind ja Bastarde! Mir war bis vor zwei Wochen nicht bewusst wie krass die sind! Geändert von Reanubis (12.01.2008 um 00:09 Uhr) |
12.01.2008, 10:54 | #9 |
Gast | Computer nach wiederaufsetzten sauber? Sorry, habe überlesen, daß Du 2 Logs gepostet hattest. Es sieht ok aus, kann nichts Schlimmes feststellen. Aber grade AntiVir ist ja für Fehlalarme bekannt, hast Du schon mal die beiden fraglichen Dateien zu denen zwecks Überprüfung geschickt? Hier ist die Adresse: Code:
ATTFilter AntiVir: virus(at)free-av.de |
12.01.2008, 12:57 | #10 | |
| Computer nach wiederaufsetzten sauber? Danke für deine erst mal beruhigende Antwort! Zitat:
Heißt das denn jetzt soweit (gesetz des Falls, dass HJT die Wahrheit spricht und nichts schlimmes mehr vorhanden ist), dass ich nach einem Neuaufsetzen meines anderen Systems und diesem hier wieder gefahrlos mit meinen Dateien aus den anderen Partitionen und Platten arbeiten kann? Wie gehe ich sicher, dass meine Fotos, Texte, Videos, Soundfiles, Homepage etc. nicht auch verseucht sind, obwohl das System wieder sauber ist? Ich erinnere noch mal daran, dass der andere PC (mein ArbeitsPC) keinen Internetzugang hat. |
12.01.2008, 22:09 | #11 | ||||
Gast | Computer nach wiederaufsetzten sauber?Zitat:
Zitat:
Zitat:
Zitat:
Hast Du einen 2. schnellen Internetzugang (nicht verseucht!) und einen Brenner und eine CD? (w/Erstellung Live-CD) |
Themen zu Computer nach wiederaufsetzten sauber? |
ahnung, anleitung, antivir, antworten, arbeitsplatz, ausgehen, computer, daten, format, formatieren, freeware, gelöscht, keine programme, neu, neu aufgesetzt, nicht mehr, nicht sicher, nutzen, platte, problem, probleme, programme, rootkits, scanner, system, trojaner, usb-stick, virenscan, virenscanner, wenig ahnung |