Hallo,

ich hätte vor kurzem einen Spywarebefall, ich hatte auch diesen Bluescreen, der mir mitteilt: "Spyware detected on your computer, please install..."

Ich googelte ein wenig und fand ne ganze Menge Informationen wie man
in verschiedenen Schritten selbstständig sicherstellt, dass der Computer frei von Spyware ist.

Am einfachsten dachte ich aber, sei Windows (XP) platt zu machen, und einfach neu installieren. Ich habe einen Acer-Laptop auf welchen Windows schon von vornerein installiert war, man kann also die Festplatte nicht komplett formatieren und Windows neu installieren, da man keine InstallationsCD besitzt. Es ist allerdings möglich das System in dem Zustand wiederherzustellen, wie es vom Werk aus geliefert wurde.
Meine Frage ist nun, ob es trotzdem noch sein kann, das die Spyware das überlebt haben könnte? Ich hab 2 Partitionen auf meiner Festplatte, und das Wiederherstellungsprogramm hat zum Beispiel auch nur die Windowspartition angerührt. Die Dateien auf der anderen Partition blieben unberührt..

Norton Antivirus sagt zwar das System sei sauber, aber ich hab auch gelesen, das die Spyware sich für das AntiVirenProgramm unsichtbar machen kann, bzw eben dem AntiVirenprogramm befehlen kann, das Spywareverzeichniss nicht zu durchsuchen...

Was meint ihr? Kann es sein dass ich trotzdem noch von Spyware befallen bin?

Viele Grüße

Hi,

das garantiert kein sauberes System!
1. Gibt es Bootblockviren / MBR, wenn nicht der neu geschrieben wird oder komplett formatiert wird, sind sie nach dem Rücksetzten wieder da (besser: immer noch) und nehmen die Arbeit wieder auf.

2. Können die Daten von der zweiten Partition ebenfalls infiziert sein (z. B. Makroviren in Word)

3. Kann sich der Virus/Trojaner auf jedes angeschlossene Laufwerk/Partition kopiert haben und per autorun.inf bei jedem Windowsstart (wenn Windows die zweite Partition/Laufwerk erkennt und der Autostart nicht disabled wurde) ausführen lassen, damit ist dann das gesamte System wieder infiziert. Dies gilt dem Sinn nach auch für z.B. USB-Sticks, USB-Festplatten etc. (u. U. sogar für Kameras, die sich als Laufwerk per USB einblenden)...

Daher solltest Du auf jeden Fall noch weitere Schritte unternehmen, z. B.
einen kompletten Systemscann mit MAM und Avira-Antirootkit:

Malwarebytes Antimalware.
Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/.

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip


chris

ok, hab Avira Rootkit detection und Anti Malware ausgeführt, haben beide nichts gefunden.
Woher kann ich sicher sein, dass die Spyware nicht auch den Suchmechanismus von diesen beiden Programmen beeinflusst?
Und Avira Rootkit detection ist ja auch nur eine eingeschränkte Version,
kann man dann trotzdem von spywarefreiem System ausgehen?

Beste Grüße!


Hier die Berichte:

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started Mittwoch, 20. August 2008 - 17:24:24
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 43.88 GB
- Working disk free size : 36.20 GB (82 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/86527
Registry items: 0/162807
Processes: 0/58
Scan time: 00:12:44
--------------------------------------------------------------------------------------------------------
Active processes:
- wajxbblf.exe (PID 4004) (Avira AntiRootkit Tool - Beta)
- System (PID 4)
- smss.exe (PID 452)
- csrss.exe (PID 864)
- winlogon.exe (PID 892)
- services.exe (PID 936)
- lsass.exe (PID 948)
- svchost.exe (PID 1112)
- svchost.exe (PID 1160)
- svchost.exe (PID 1200)
- EvtEng.exe (PID 1268)
- S24EvMon.exe (PID 1300)
- svchost.exe (PID 1412)
- svchost.exe (PID 1472)
- ccSetMgr.exe (PID 1972)
- Explorer.EXE (PID 2004)
- ccEvtMgr.exe (PID 1532)
- SPBBCSvc.exe (PID 1912)
- symlcsvc.exe (PID 1924)
- spoolsv.exe (PID 148)
- AOLACSD.EXE (PID 484)
- admServ.exe (PID 492)
- CLCapSvc.exe (PID 552)
- CLMLServer.exe (PID 592)
- CLMLService.exe (PID 676)
- LSSrvc.exe (PID 708)
- navapsvc.exe (PID 956)
- NPFMntor.exe (PID 1220)
- nvsvc32.exe (PID 1252)
- RegSrvc.exe (PID 1372)
- RichVideo.exe (PID 1396)
- CLSched.exe (PID 1692)
- wmiprvse.exe (PID 2472)
- alg.exe (PID 2616)
- AluSchedulerSvc.exe (PID 2788)
- RTHDCPL.EXE (PID 2916)
- SynTPEnh.exe (PID 3032)
- PCMService.exe (PID 3284)
- qttask.exe (PID 3624)
- eDSloader.exe (PID 3644)
- svchost.exe (PID 3664)
- admtray.exe (PID 740)
- ccApp.exe (PID 756)
- rundll32.exe (PID 1628)
- ePower_DMC.exe (PID 2168)
- LManager.exe (PID 2432)
- Monitor.exe (PID 2536)
- ctfmon.exe (PID 2580)
- msmsgs.exe (PID 1728)
- RtkBtMnt.exe (PID 2988)
- aoltray.exe (PID 2932)
- unsecapp.exe (PID 4012)
- SNDSrvc.exe (PID 4056)
- wmiprvse.exe (PID 232)
- NSCSRVCE.EXE (PID 788)
- iexplore.exe (PID 644)
- mbam.exe (PID 2868)
- avirarkd.exe (PID 1036)
========================================================================================================
- Scan finished Mittwoch, 20. August 2008 - 17:37:08
========================================================================================================





und von antimalware:


Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1072
Windows 5.1.2600 Service Pack 2

17:58:43 20.08.2008
mbam-log-08-20-2008 (17-58-43).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 114029
Laufzeit: 37 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hi,

100% Sicherheit gibt es nicht, schließlich ziehen die Trojaner/Virenschreiber zuerst und die Sicherheitsindustrie reagiert darauf (mit einem zeitlichen versatz). Es gibt zwar behavior-Scanner, die sind aber noch in den Kinderschuhen (aber schon eine gute Ergänzung, z. B. lass ich Avira und Mamutu laufen)...

Zwei Sachen noch:
Blacklight und MBR-Scanner:

blacklight:
http://virus-protect.org/artikel/tools/rootkithook.html
Blacklight-Logfile posten. Sein Pfad wird etwa so lauten: C:\fsbl-xxxxxxxxxxxxxx.log, wobei die 'x' für Ziffern stehen

MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

chris

ok, vielen Dank. Scheint immer noch alles ok zu sein.
Mich wundert es nur ein wenig, das in vielen andern Threads und Foren eine ganze Menge an Schritten angegeben ist, um Malware zu entdecken und entfernen. Warum klappt das bei mir so einfach mit Systemwiederherstellung und ein paar Scans?

Beste Grüße und vielen Dank!

hier der Bericht von Blacklight:

08/22/08 23:25:13 [Info]: BlackLight Engine 1.0.70 initialized
08/22/08 23:25:13 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/22/08 23:25:13 [Note]: 7019 4
08/22/08 23:25:13 [Note]: 7005 0
08/22/08 23:25:29 [Note]: 7006 0
08/22/08 23:25:29 [Note]: 7011 1720
08/22/08 23:25:29 [Note]: 7035 0
08/22/08 23:25:29 [Note]: 7026 0
08/22/08 23:25:29 [Note]: 7026 0
08/22/08 23:25:31 [Note]: FSRAW library version 1.7.1024
08/22/08 23:25:46 [Note]: 2000 1012
08/22/08 23:25:46 [Note]: 2000 1012
08/22/08 23:25:46 [Note]: 2000 1012
08/22/08 23:26:44 [Note]: 7007 0


hier von MBR:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK